Die Vorabkontrolle

Gem. § 7 Abs. 3 NDSG darf ein automatisiertes Verfahren nur eingesetzt oder wesentlich geändert werden, soweit die Gefahren für die Rechte Betroffener, die wegen der Art der zu verarbeitenden Daten oder der Verwendung neuer Technologien entstehen können, durch Maßnahmen nach Abs. 1 wirksam beherrscht werden können.

„Werden personenbezogene Daten automatisiert verarbeitet, so sind Maßnahmen zu treffen, die je nach Art der Daten und ihrer Verwendung geeignet sind,
1.  Unbefugten den Zugang zu den Verarbeitungsanlagen zu verwehren (Zugangskontrolle),
2.  zu verhindern, dass Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können (Datenträgerkontrolle),
3.  die unbefugte Eingabe in den Speicher sowie die unbefugte Kenntnisnahme, Veränderung oder Löschung gespeicherter Daten zu verhindern (Speicherkontrolle),
4.  zu verhindern, dass Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung von Unbefugten benutzt werden können (Benutzerkontrolle),
5.  zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können (Zugriffskontrolle),
6.  zu gewährleisten, dass überprüft und festgestellt werden kann, welche Daten zu welcher Zeit an wen übermittelt worden sind (Übermittlungskontrolle),
7.  zu gewährleisten, dass überprüft und festgestellt werden kann, welche Daten zu welcher Zeit von wem in Datenverarbeitungssysteme eingegeben worden sind (Eingabekontrolle),
8.  zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
9.  zu gewährleisten, dass Daten, die im Auftrag verarbeitet werden, nur entsprechend den
Weisungen der Auftraggeber verarbeitet werden können (Auftragskontrolle),
10. zu gewährleisten, dass bei der Übertragung von Daten sowie beim Transport von Datenträgern diese nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle),
11. die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle).“

Die (…) zu treffenden Feststellungen sind schriftlich festzuhalten.

Genauere Informationen zu diesem Thema finden Sie in einer Präsentation, die wir hier zum Download bereit halten.

Dieser Beitrag wurde unter Vorabkontrolle veröffentlicht. Setzen Sie ein Lesezeichen auf den Permalink.