Unternehmens- und Informations-Management Consultants

 

Startseite
UIMC
UIMCollege
Termine
Dienstleistungen
Produkte/Hilfsmittel
Veröffentlichungen
Tipp des Monats
Stellenangebote
Sitemap
Suchfunktion
Impressum/Datenschutz
Kontakt

Ausbildungsbetrieb

 

DienstleistungenAufbau eines DSMSExterne DatenschutzbeauftragungCoaching eines int. DSBDatenschutz-AnalysenSchulungenHilfsmittelLösungen

 

Vorabkontrolle

Was ist eine Vorabkontrolle?

Gesetzliche Grundlagen:

 

  • § 10 DSG NRW
  • § 4d Abs. 5 und 6 BDSG
  • § 4a DSG NRW

Eine Vorabkontrolle ist die Prüfung der rechtmäßigen elektronischen Datenverarbeitung zusätzlich zu der “Zulässigkeitsprüfung” und den technischorganisatorischen Maßnahmen.

Sie soll die Ordnungsmäßigkeit eines Verfahrens untersuchen und gfs. bestätigen.

Wann muss eine Vorabkontrolle durchgeführt werden?

Eine Vorabkontrolle ist immer dann durchzuführen, wenn Rechte und Freiheiten der Betroffenen durch automatisierte Datenverarbeitung einem Risiko ausgesetzt sind.

Die Vorabkontrolle muss vor dem Einsatz eines Produktes vom bDSB durchgeführt werden.

Für öffentliche Stellen des Landes Nordrhein-Westfalen gilt das Landesdatenschutzgesetz Nordrhein-Westfalen (kurz: DSG NRW).

Nach den datenschutzrechtlichen Bestimmungen ist vor der Entscheidung über den Einsatz oder einer wesentlichen Änderung einer automatisierten Datenverarbeitung eine Vorab-kontrolle hinsichtlich möglicher Gefahren für das geschützte Recht der Betroffenen auf in-formationelle Selbstbestimmung durchzuführen.

Die automatisierte Datenverarbeitung darf nur eingesetzt werden, wenn die Gefahren für das geschützte Recht der Betroffenen auf informationelle Selbstbestimmung nicht bestehen oder durch entsprechende Maßnahmen verhindert werden können.

Gebiete einer Produktprüfung:

  • Rechtsgrundlage der Datenverarbeitung
  • Auskunftserteilung
  • Weitergabekontrolle
  • Zugriffsrechteregelung
  • Vertraulichkeit
  • Revisionsfähigkeit
  • Zweckbindung
  • Datenvermeidung und Datensparsamkeit
  • Integrität
  • Verfügbarkeit
  • Trennungskontrolle/Zweckbindung
  • Löschen

 

Prüfung der datenverarbeitenden Stellen auf/gem.:

 

  • §4 Zulässigkeit der DV
  • §5 Rechte der betroffenen Personen
  • §9 Automatisiertes Abrufverfahren und regelmäßige Datenübermittlung
  • §18 Auskunft, Einsichtnahme
  • §29b Optisch-elektronische Überwachung

Phasen einer Vorabkontrolle:

1. Anforderung der Dokumentation und Datenmodell/Datenfelder inkl. Rechtsgrundlagen

2. Dokumentationsprüfung auf datenschutzrelevante Inhalte, Hilfsmittel ”Checkliste”

3. Systemprüfung / Funktionsprüfung vor Ort

4. Erstellung Vorbericht anhand der Prüfergebnisse

5. Evaluierungsphase des Vorberichts einschl. Verbesserungsvorschläge

6. Vorabkontrollen Endbericht (Überarbeitung)

6.1 Ggf. Ergänzungen einarbeiten

6.2 Schwachstellen des Berichtes verbessern

6.3 Genehmigung Vorbericht

7. Verabschiedung Endbericht

 

Bemerkung zur Dokumentation

Das wichtigste Hilfsmittel in der Vorbereitungsphase ist die Überprüfung der Dokumentation. Eine Dokumentation ist nur dann brauchbar, wenn sie aktuell, vom Umfang her ausreichend, von der Abdeckung her vollständig und von der Darstellung her aufschlussreich ist. Dabei ist jedoch zu bemerken, dass eine sinnvolle Produktdokumentation in Abhängigkeit des Produktes einen sehr unterschiedlichen Umfang haben kann.

Unter Berücksichtigung der notwendigen Qualität des zu erstellenden Gutachtens und der für den praktischen Einsatz notwendigen Handbücher im täglichen Betrieb, sind hier Augenmaß und eine pragmatische Herangehensweise gefordert. Generell sollte die mitgelieferte Dokumentation ausreichend präzise und umfangreich sein, um einem Verfahrensbetreuer bzw. Administrator eine nach wertender Gesamtbetrachtung datenschutzgerechte Konfiguration zu ermöglichen.

Das UIMC-Tool

Das Tool umfasst ca. 270 Fragen zu dem Produkt und der Einsatzumgebung.

Das Tool enthält eine Auswertungsfunktion, die es gestattet, die im Erhebungsprozess erhobenen Daten sowohl in Berichtsform als auch in einer quantitativen Darstellung auszuwerten. Der Benutzer steuert, welche Berichtsform er bevorzugt, also z. B. Langtext oder eine tabellarische Darstellung.

Aus der quantitativen und qualitativen Darstellungsform des Berichtes geht hervor, wo Schwachstellen liegen und demnach ein unmittelbarer Verbesserungsbedarf besteht.