Diese Checklisten sind nicht durch Externe überarbeitet und validiert worden. Nichtsdestotrotz hält PANELFIT sie für den Zweck, auf den diese Leitlinien abzielen, für angemessen.
Checkliste für die Designphase
| Schritt |
| ☐ Identifizieren Sie die Ziele der jeweiligen Aktivität. |
| ☐ Überprüfen Sie ob die Aktivität unter “Forschung” fällt. |
| ☐ Identifizieren Sie die Rollen des Forschungsteams und der von anderen Interessenvertretern. |
| ☐ Vergewissern Sie sich, dass die Verarbeitung von biometrischen Daten notwendig ist um die Ziele der Aktivität erreichen zu können. |
Checkliste für die Vorbereitungsphase
| Schritt |
| ☐ Überprüfen Sie ob eine der fünf Voraussetzungen für einen DPO gegeben ist. |
| ☐ Wenn Sie eine öffentliche Behörde sind, überprüfen Sie ob ein DPO durch eine andere öffentliche Behörde ernannt wurde. |
| ☐ Veröffentlichen Sie die Kontaktinformationen des DPO. |
| ☐ Identifizieren Sie ob die Datenerhebung direkt über die betroffene Person (data subject) erfolgt, oder indirekt. |
| ☐ Prüfen Sie, ob Sie für eine Ausnahme von der Informationspflicht gegenüber der betroffenen Person in Frage kommen. |
| ☐ Erfassen Sie die Beurteilung, ob eine Befreiung von der Informationspflicht in Frage kommt. |
| ☐ Definieren Sie ein internes Verfahren zur Gewährleistung der Richtigkeit der verarbeiteten Daten. |
| ☐ Erfassen Sie, ob Ausnahmen für die Verarbeitung besonderer Kategorien personenbezogener Daten gelten. |
| ☐ Falls ein zusätzliches Gesetz erforderlich ist, überprüfen Sie dessen Existenz. Falls nicht, geben Sie eine andere Ausnahme an. |
| ☐ Falls Ausnahmen gelten, ist die Rechtsgrundlage für die Datenverarbeitung gemäß Artikel 6 DSGVO anzugeben. |
| ☐ Wenn Sie sich auf die Zustimmung verlassen, stellen Sie sicher, dass diese ausdrücklich ist. |
| ☐ Bewahren Sie Aufzeichnungen über die Einverständniserklärungen auf |
| ☐ Erstellen Sie einen Dokumentenspeicher, der mindestens die von der DSGVO vorgeschriebenen Dokumente enthält. |
| ☐ Überprüfen Sie, ob die Verarbeitung der Daten ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellt. |
| ☐ Erfassen Sie die Ergebnisse dieser vorläufigen Beurteilung. |
| ☐ Führen Sie ein DPIA (Data Protection Impact Assessment (DPIA) / Datenschutz-Folgenabschätzung) durch falls die Datenverarbeitung ein hohes Risiko darstellt. |
| ☐ Wenn die Risiken durch die vorgesehenen Maßnahmen nicht gemindert wurden, sind zusätzliche, geeignete, Maßnahmen zu ergreifen. |
| ☐ Wenn die Risiken nicht gemindert werden können und es nicht möglich istzusätzliche Maßnahmen zu ergreifen, wenden Sie sich an die Aufsichtsbehörde. |
| ☐ Erfassen Sie das Ergebnis des DPIA. |
Checkliste für die Ausführungsphase
| Schritt |
| ☐ Verarbeiten Sie die Daten unter Anwendung der in der Vorbereitungsphase festgelegten Sicherheitsvorkehrungen und Vorsichtsmaßnahmen. |
| ☐ Bei der Entwicklung von IKT-Systemen muss sichergestellt werden, dass die betroffene Person (data subject) über eine geeignete Benutzerschnittstelle Zugang zu den erforderlichen Informationen hat. |
| ☐ Bei der Entwicklung von IKT-Systemen sind die Risiken für die betroffenen Personen im Zusammenhang mit jeder Funktion des Systems zu bewerten. |
| ☐ Erfassen Sie die Ergebnisse der Risikobewertung in Bezug auf die Systemfunktionen |
| ☐ Wenn die Risiken nicht gemindert werden können, konsultieren Sie die Aufsichtsbehörde oder verzichten Sie auf die Umsetzung der Aktivität. |
| ☐ Beachten Sie Anwendungsfälle in denen gefährdete Personen involviert sind. |
| ☐ Im Falle des Testens von IKT-Systemen müssen Sie beurteilen, ob das Testen des Systems einen anderen Fall der Datenverarbeitung als die Entwicklung des Systems darstellt. |
| ☐ Erfassen Sie das Ergebnis der Bewertung über das Testen als eine weitere Form der Datenverarbeitung. |
| ☐ Falls das Testen des Systems einen anderen Fall der Datenverarbeitung darstellt, beurteilen Sie ob die Zwecke und Mittel kompatibel sind. |
| ☐ Erfassen Sie das Ergebnis dieses Kompatibilitätstests. |
| ☐ Beurteilen Sie ob die Verbreitung der Ergebnisse auch die Verbreitung personenbezogener Daten und besonderer Kategorien personenbezogener Daten beinhaltet. |
| ☐ Identifizieren Sie Ausnahmen für die Verarbeitung besonderer Kategorien personenbezogener Daten vor der Weitergabe der Daten. |
| ☐ Identifizieren Sie die am besten geeigneten Rechtsgrundlage für die Verarbeitung personenbezogener Daten vor der Weitergabe der Daten. |
| ☐ Benennen Sie die Empfänger der Daten als Datenverarbeiter. |
| ☐ Informieren Sie die betreffenden Personen über den Transfer der Daten. |
| ☐ Überprüfen Sie ob der Transfer der Daten über Landesgrenzen hinweg stattfindet. |
| ☐ Wenn es sich um eine internationale Übermittlung der Daten handelt und keine Ausnahmeregelungen gelten, geben Sie ein Übermittlungsinstrument an. |
| ☐ Überprüfen Sie ob das Speichern der personenbezogenen Daten rechtmäßig ist. |
| ☐ Erfassen Sie die Ergebnisse der Beurteilung zur Rechtmäßigkeit der Datenspeicherung |
| ☐ Falls die Aufbewahrung personenbezogener Daten rechtswidrig ist, löschen oder anonymisieren Sie diese. |