Datenschutz-Folgenabschätzung
Jede öffentliche und nichtöffentliche Stelle ist angehalten, vorab zu evaluieren, ob in ihrem speziellen Fall die Datenschutz-Folgenabschätzung zu erfolgen hat oder nicht. Spezielle, eigens installierte Aufsichtsbehörden – und nicht etwa der jeweilige Datenschutzbeauftragte – sollen die Vorgänge überprüfen und entsprechende Listen herausgeben.
Checkliste
Im Folgenden stellen wir Ihnen für den Ablauf der Datenschutz-Folgenabschätzung eine Vorlage zur Verfügung. Diese erhebt jedoch keinen Anspruch auf Vollständigkeit und kann aus diesem Grund nur der ersten Orientierung für die genauen Abläufe der Datenschutz-Folgenabschätzung dienen. Welchem Muster diese abschließend tatsächlich zu folgen hat, richtet sich nach den Angaben der jeweiligen Aufsichtsbehörde.
Checkliste zur Datenschutz-Folgenabschätzung | Erledigt? | |
---|---|---|
Erforderlichkeitsprüfung | Ja | Nein |
Werden Daten zum Zwecke des Profilings oder in Scoringverfahren verarbeitet? | ? | ? |
Werden besonders schützenswerte personenbezogene Daten gespeichert, verarbeitet oder genutzt? | ? | ? |
Findet die systematische Überwachung im öffentlichen Raum statt? | ? | ? |
Können Sie eine dieser Fragen mit "Ja" beantworten, ist die Datenschutz-Folgenabschätzung in Ihrer Einrichtung erforderlich. Es gibt darüber hinaus aber auch weitere Kriterien, die dies bestimmen können. | ||
Vorgaben der Aufsichtsbehörden | Ja | Nein |
Ist die Prüfung der Negativ- und Positivlisten, die die Aufsichtsbehörden herausgeben, erfolgt? | ? | ? |
Gibt es besondere Vorgaben? | ? | ? |
Wenn ein Datenschutzbeauftragter installiert ist, können Sie diesen für die Durchführung dieser Vorgaben beratend hinzuziehen. | ||
Beschreibung | Ja | Nein |
Haben Sie sämtliche Verarbeitungsvorgänge systematisch beschrieben? | ? | ? |
Sind die jeweiligen Zwecke der geplanten Verarbeitungsvorgänge festgelegt? Welche sind dies? | ? | ? |
Wurde ggf. notiert, welches Interesse Sie als Verantwortlicher dabei verfolgen? | ? | ? |
Prüfung der Datenschutzkonformität | Ja | Nein |
Werden die Datenschutzgrundsätze berücksichtigt? | ||
1. Notwendigkeit | ? | ? |
2. Verhältnismäßigkeit | ? | ? |
3. Zweckgebundenheit | ? | ? |
4. Datensparsamkeit | ? | ? |
5. Integrität | ? | ? |
6. Nichtverkettbarkeit | ? | ? |
7. Vertraulichkeit | ? | ? |
8. Intervenierbarkeit | ? | ? |
9. Transparenz | ? | ? |
Gibt es Strategien zur Wahrung der Rechte der Betroffenen (Auskunftsrecht, Recht auf Löschung usf.)? | ? | ? |
Risikobewertung | Ja | Nein |
Besteht bei der Datenverarbeitung oder bei einzelnen Schritten vermutlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen? Welche Sind dies? | ? | ? |
Maßnahmen zur Risikovermeidung | Ja | Nein |
Wurden jedem einzelnen Risiko Abhilfemaßnahmen zugeordnet (Garantien, Sicherheitsvorkehrungen, Schutzverfahren, Nachweisverfahren usf.)? | ? | ? |
Sind die Abhilfemaßnahmen entsprechend für alle Zuständigen dokumentiert? | ? | ? |
Standpunkt des Betroffenen | Ja | Nein |
Haben Sie unterschiedliche Standpunkte zum Verarbeitungsvorgang von Betroffenen oder deren Vertretern eingeholt? | ? | ? |
Wurden Bedenken bei der Risikobewertung und -vermeidung berücksichtigt? | ? | ? |
Ökonomie | Ja | Nein |
Wurde die Firmenstruktur an die Ergebnisse der Risikobewertung geschaffen? | ? | ? |
Sind ausreichend finanzielle Mittel für das Datenschutz-Segment angewiesen? | ? | ? |
Wurde ein Datenschutzbeauftragter bestellt? | ? | ? |
Dokumentation | Ja | Nein |
Wurde die Datenschutz-Folgenabschätzung umfassend, systematisch und belastbar dokumentiert? | ? | ? |