 Die Entwickler haben die mit dem Gerät zu erreichenden Hauptziele festgelegt und die Datenschutzaspekte berücksichtigt, die mit der Entwicklung und Implementierung des Geräts verbunden sein könnten.

 Die Entwickler haben sorgfältig geprüft, ob die für die ordnungsgemäße Funktionsweise des Dienstes benötigte Datenmenge oder Art der Verarbeitung mit den Datenschutzerwägungen vereinbar ist.

 Die Entwickler können eine angemessene Umsetzung der Richtlinien in Bezug auf den Datenschutz durch Technikgestaltung gewährleisten. Sie können nachweisen, inwieweit sie sich an die DSGVO und den Rechtsrahmen für Standort- und Begegnungsdaten angepasst haben. Die zur Gewährleistung einer solchen Anpassung ergriffenen Maßnahmen sind sorgfältig dokumentiert.

 Die Entwickler haben die Vor- und Nachteile eines zentralisiertendezentralisierten Systems abgewogen und eine fundierte Entscheidung getroffen, die von der Öffentlichkeit überprüft werden kann. Zu diesem Zweck wurden Konsultationen der wichtigsten Stakeholder durchgeführt und dokumentiert.

 Die Entwickler haben die Stakeholder zu möglichen ethischen und rechtlichen Fragen konsultiert.

 Die Entwickler haben sich vergewissert, dass die Tool-Designer und alle Personen, die mit Daten zu tun haben, über angemessene Kenntnisse des Datenschutzrahmens verfügen, bzw. dafür gesorgt, dass im Entwicklungsteam in Datenschutzfragen geschulte Fachleute vertreten sind.

 Die Entwickler haben ein Schulungsprogramm zu Fragen der Vertraulichkeit, Integrität und Verfügbarkeit von Daten eingeführt.

 Die Entwickler haben bereits in der Anfangsphase des Forschungsprojekts einen Experten für ethischejuristische Fragen hinzugezogen.

 Die Entwickler haben geprüft, ob sie über eine Rechtsgrundlage verfügen, die eine rechtmäßige Datenverarbeitung ermöglicht.

 Die Verantwortlichen haben den EU- oder nationalen Rechtsrahmen in Bezug auf die Verwendung personenbezogener Daten überprüft.

 Wenn personenbezogene Daten für vereinbare Zwecke verwendet werden, hat der Verantwortliche eine Vereinbarkeitsprüfung durchgeführt und sichergestellt, dass die Verwendungen vereinbar sind.

 Wenn die Daten für einen anderen als den ursprünglich angegebenen Zweck verwendet werden, ist das Tool so konzipiert, dass der Nutzer über diese Verwendung informiert wird.

 Das Tool ist so konzipiert, dass die Weiterverwendung personenbezogener Daten nur dann zugelassen wird, wenn sie durch das Unionsrecht oder das Recht der Mitgliedstaaten begründet ist, das eine Liste eindeutiger rechtlich vereinbarer Zwecke festlegt, für die die Weiterverarbeitung rechtmäßig zugelassen werden kann, oder wenn sie eine notwendige und verhältnismäßige Maßnahme in einer demokratischen Gesellschaft darstellt.

☐ Die Verantwortlichen können nachweisen, dass sie nach Abwägung der Umstände der Verarbeitung zu dem Schluss gekommen sind, dass die Einwilligung die geeignetste Rechtsgrundlage für die Verarbeitung ist.

☐ Die Verantwortlichen holen die Einwilligung der betroffenen Personen gemäß Artikel 7 DSGVO freiwillig, für einen konkreten Fall, nach ausreichender Information und unmissverständlich ein.

☐ Die Verantwortlichen haben die betroffenen Personen über ihr Recht informiert, ihre Einwilligung jederzeit zu widerrufen.

☐ Die für die Verarbeitung besonderer Datenkategorien verwendete breite Einwilligung ist mit den nationalen Vorschriften vereinbar.

☐ Wenn eine breite Einwilligung verwendet wird, ist sich der Verantwortliche insbesondere bewusst, dass die betroffenen Personen die Möglichkeit haben, ihre Einwilligung zu widerrufen und zu entscheiden, ob sie an bestimmten Forschungsarbeiten oder Teilen davon teilnehmen wollen oder nicht.

☐ Die Verantwortlichen stehen in einer direkten Beziehung zu der Person, die die Daten zur Verfügung stellt.

☐ Das Machtgefälle zwischen den Verantwortlichen und den betroffenen Personen behindert die freie Einwilligung nicht. Dies ist in bestimmten Kontexten wie der Arbeitswelt besonders wichtig.

☐ Die Verantwortlichen fordern die Personen auf, aktiv zuzustimmen.

☐ Die Verantwortlichen verwenden keine Markierungskästchen oder eine andere Art von Standardeinwilligung.

☐ Die Verantwortlichen verwenden eine klare, einfache und leicht verständliche Sprache.

☐ Die Verantwortlichen geben an, wozu sie die Daten benötigen, was sie damit tun werden und wie lange die Daten verarbeitet werden.

☐ Die Verantwortlichen bieten separate („granulare”) Optionen zur Einwilligung in verschiedene Zwecke und Arten der Verarbeitung.

☐ Die Verantwortlichen stellen eine Verknüpfung, welche Daten oder Datenkategorien für welchen Zweck verarbeitet werden.

☐ Die Verantwortlichen haben die betroffenen Personen über ihr Recht informiert, ihre Einwilligung jederzeit zu widerrufen, und darüber, wie sie dies tun können.

☐ Die Verantwortlichen stellen sicher, dass die betroffenen Personen ihre Einwilligung verweigern können, ohne dass ihnen dadurch der Zugang zu den Diensten erschwert wird.

☐ Die Verantwortlichen vermeiden es, die Einwilligung zur Vorbedingung für einen Dienst zu machen.

 Das Gerät enthält keine Tools, die eine Nutzung der Daten in einer Weise ermöglichen, die mit der Wahrung der Privatsphäre kaum vereinbar ist.

 Das Tool beachtet die Grundsätze der ökologischen Nachhaltigkeit sowohl in Bezug auf das System selbst als auch auf die Lieferkette, mit der es verbunden ist (sofern relevant).

 Die Standardkonfiguration des Geräts lässt keine unverhältnismäßige Nutzung von Daten zu Überwachungszwecken zu.

 Die Verantwortlichen haben dafür gesorgt, dass das Gerät das Wohlergehen aller Beteiligten berücksichtigt., wobe eine generelle Beeinträchtigung ihres Wohlergehens überhaupt nicht absehbar ist.

 Das Gerät ist nicht für Zwecke konzipiert, die mit den ethischen Grundsätzen der EU unvereinbar sind.

 Der Verantwortliche hat die Zuständigkeitsbereiche bestimmt, in denen die Datenverarbeitung stattfinden wird.

 Der Verantwortliche hat geprüft, ob diese Länder Listen mit Verarbeitungen erlassen haben, die eine obligatorische DSFA erfordern, und ob die geplante Datenverarbeitung von diesen Bestimmungen abgedeckt ist.

 Ist sich der Verantwortliche nicht sicher, ob eine DSFA erforderlich ist, muss er den Datenschutzbeauftragten oder stattdessen die Rechtsabteilung des Verantwortlichen konsultieren.

 Gegegenenfalls hat der Verantwortliche eine DSFA durchgeführt.

 Gegebenenfalls hat der Verantwortliche vorab die zuständige Aufsichtsbehörde konsultiert.

 Falls Änderungen vorgeschlagen wurden, hat der Verantwortliche den Rat der Aufsichtsbehörde befolgt.

☐ Der Verantwortliche hat potenzielle Angriffsformen bewertet, für die das Tool anfällig sein könnte, sowie Abhilfemaßnahmen eingeleitet und dokumentiert.

☐ Der Verantwortliche hat verschiedene Arten und Formen von Schwachstellen wie Datenverschmutzung, physische Infrastruktur und Cyberangriffe berücksichtigt.

☐ Der Verantwortliche hat Maßnahmen oder Systeme eingeführt, um die Integrität und Widerstandsfähigkeit des Systems gegen mögliche Angriffe zu gewährleisten.

☐ Der Verantwortliche hat überprüft, wie sich das System in unerwarteten Situationen und Umgebungen verhält.

☐ Der Verantwortliche hat geprüft, inwieweit das System doppelt verwendbar sein könnte. In diesem Fall ergreift der Verantwortliche geeignete Präventivmaßnahmen dagegen.

☐ Der Verantwortliche hat sichergestellt, dass das System im Falle feindlicher Angriffe oder anderer unerwarteter Situationen über einen ausreichenden Fallback-Plan verfügt (z. B. technische Umschaltverfahren oder die Aufforderung an einen menschlichen Bediener, bevor fortgefahren wird).

 Die an den zentralen Server gesendeten Daten werden über einen sicheren Kanal übertragen. Die Nutzung von Benachrichtigungsdiensten, die von Anbietern von Betriebssystemplattformen bereitgestellt werden, wird sorgfältig geprüft und führt nicht zur Offenlegung von Daten gegenüber Dritten.

 Die Anfragen sind nicht anfällig gegenüber Manipulationen durch einen böswilligen Nutzer.

 Es werden kryptografische Techniken nach dem Stand der Technik eingesetzt, um den Austausch zwischen der Anwendung und dem Server sowie zwischen den Anwendungen zu sichern und generell die in den Anwendungen und auf dem Server gespeicherten Informationen zu sichern.

 Der zentrale Server speichert keine Netzverbindungskennungen (z. B. IP-Adressen) von Nutzern.

 Um eine Personifizierung oder das Erstellen falscher Nutzer zu vermeiden, authentifiziert der Server die Anwendung.

 Die Anwendung authentifiziert den zentralen Server.

 Die Funktionen des Servers sind vor Replay-Angriffen geschützt.

 Die vom zentralen Server übermittelten Informationen werden signiert, um ihre Herkunft und Integrität zu authentifizieren.

 Der Zugriff auf alle im zentralen Server gespeicherten und nicht öffentlich zugänglichen Daten ist nur für autorisierte Personen möglich.

 Der Berechtigungsmanager des Geräts auf der Ebene des Betriebssystems fordert nur die Berechtigungen an, die für den Zugriff auf und die Nutzung der Kommunikationsmodule, die Speicherung der Daten im Endgerät und den Informationsaustausch mit dem zentralen Server erforderlich sind.

☐ Das Personal und andere Personen, die an dem Projekt beteiligt sind, wurden über die Sicherheitsmaßnahmen informiert und aufgeklärt.

 Die Verantwortlichen haben angemessene Maßnahmen ergriffen, um Datenschutzverletzungen so schnell wie möglich zu melden, wobei alle am Entwicklungsprozess Beteiligten sich dieser Maßnahmen bewusst sind.

 Es wurden Vorlagen für die Informationen erstellt, die in den Meldungen enthalten sein müssen.

 Es wurden Kommunikationsstrategien und -instrumente entwickelt, um die Kommunikation mit den betroffenen Personen im Falle einer Datenschutzverletzung zu erleichtern.

 Die Verantwortlichen haben zusätzliche Kontrollen für ihre Systeme zur Profilerstellungautomatisierten Entscheidungsfindung eingeführt, um schutzbedürftige Gruppen (einschließlich Kinder) zu schützen.

 Informationen und Datenschutzrichtlinien sollten auf verschiedene Weise zugänglich (durch Sprache, Bilder, Video) oder in einer leicht verständlichen Sprache verfügbar sein. Dies ist besonders wichtig, wenn das Ortungsgerät auf eine bestimmte Nutzergruppe ausgerichtet ist.

 Die Einwilligung ist an die Bedürfnisse schutzbedürftiger Bevölkerungsgruppen und von Kindern angepasst.

 Es wurden Nutzungsoptionen in Erwägung gezogen, die die Verwendung des Geräts durch schutzbedürftige Bevölkerungsgruppen erleichtern.

 Wenn der Verantwortliche die Daten für einen anderen als den ursprünglich angegebenen Zweck verwenden möchte, ist das Tool so konzipiert, dass es die schutzbedürftigen Nutzer in einer Weise um Einwilligung bittet, die mit ihren persönlichen Bedingungen vereinbar ist.

 Der Verantwortliche hat überprüft, welcher Schaden entstehen würde, wenn das Tool verzerrte Vorhersagen macht.

 Der Verantwortliche hat eine Reihe von Maßnahmen ergriffen, um die Genauigkeit des Tools zu erhöhen.

 Der Verantwortliche hat Maßnahmen ergriffen, um zu beurteilen, ob zusätzliche Daten erforderlich sind, z. B. um Verzerrungen zu beseitigen.

 Der Verantwortliche hat überprüft, welcher Schaden entstehen würde, wenn das Tool verzerrte Vorhersagen macht.

 Das Tool beruht auf einer Architektur, die sich so weit wie möglich auf die Geräte der Nutzer stützt.

 Anfragen der Anwendung an den zentralen Server geben keine unnötigen Informationen preis, die für die Erbringung des Dienstes an das System nicht erforderlich sind.

 Um eine Re-Identifikation durch den zentralen Server zu vermeiden, werden Proxy-Server eingesetzt. Zweck dieser vertrauenswürdigen, d. h. noncolluding, Server ist es, die Kennungen mehrerer Nutzer zu mischen, bevor sie mit dem zentralen Server geteilt werden, um zu verhindern, dass der zentrale Server Kenntnis von den Identifikatoren (z. B. IP-Adressen) der Nutzer erhält.

 Die Anwendung und der Server wurden  mit großer Sorgfalt entwickelt und konfiguriert, damit keine unnötigen Daten erhoben werden (z. B. sollten keine Kennungen in die Serverprotokolle aufgenommen werden) und um die Verwendung von Dritten zu vermeiden, die Daten für andere Zwecke sammeln.

 Nach dem Grundsatz der Datenminimierung erhebt die Anwendung keine anderen Daten, als die, die für ihre Zwecke unbedingt erforderlich sind.

 Wenn es der Zweck der Verarbeitung zulässt, verwenden die Verantwortlichen vorrangig anonyme Daten. Wenn personenbezogene Daten verwendet werden müssen, haben pseudonyme Daten Vorrang vor direkten personenbezogenen Daten.

 Das Tool erfasst nur Daten, die von Instanzen der Anwendung oder interoperablen, gleichwertigen Anwendungen übermittelt werden. Daten, die andere Apps und/oder Nahkommunikationsgeräte betreffen, dürfen nicht erhoben werden.

 Anfragen der Anwendung an den zentralen Server geben keine unnötigen Informationen preis, die für die Erbringung des Dienstes an das System nicht erforderlich sind.

 Anfragen des Tools an den zentralen Server geben keine unnötigen Informationen über den Nutzer preis, außer wenn dies in Bezug auf seine pseudonymisierten Kennungen und Kontaktliste notwendig ist.

 Die Nutzung der Anwendung ermöglicht es den Nutzern nicht, etwas über andere Nutzer zu erfahren, wenn dies nicht unbedingt erforderlich ist.

 Der zentrale Server bewahrt keine Liste pseudonymisierter Kennungen der Nutzer auf und verbreitet diese auch nicht.

 Mit dem Tool dürfen über die für seine Zwecke unbedingt erforderlichen Daten hinaus keine weiteren Daten erhoben werden, ausgenommen auf fakultativer Basis und ausschließlich als Entscheidungshilfe im Hinblick auf die Information des Nutzers.

 Wenn das Tool zur Kontaktnachverfolgung gedacht ist, ermöglicht es keine Nachverfolgung der Nutzerbewegungen durch andere Nutzer.

 Im Allgemeinen werden keine Daten vom Gerät des Nutzers abgerufen, wenn dies nicht unbedingt erforderlich ist.

 Die Gestaltung der Geräte oder des Tools berücksichtigt die Grundsätze des Datenschutzes durch Technikgestaltung und zielt darauf ab, nicht mehr Daten als erforderlich zu erheben.

 Wenn die Gestaltung des Geräts oder Tools mehrere Optionen für die Erhebung und weitere Verarbeitung von Daten zulässt, wird standardmäßig die Option mit dem größten Schutz eingestellt.

☐ Die Verantwortlichen haben ihren Zweck oder ihre Zwecke für die Verarbeitung, die „konkret“ sein müssen, eindeutig festgelegt.

☐ Die Verantwortlichen haben diese Zwecke dokumentiert.

☐ Die Verantwortlichen haben Details zu ihren Zwecken in die Datenschutzerklärungen für natürliche Personen aufgenommen und damit sichergestellt, dass die betroffene Person gemäß Art. 12–14 DSGVO angemessen informiert wird.

 Das Tool kann nicht versehentlich unter Umgehung seines primären Verwendungszwecks eingesetzt werden.

 Das Tool verwendet keine Tracking Walls um unnötige Daten zu erheben.

 Wenn der Verantwortliche eine Weiterverarbeitung personenbezogener Daten veranlasst, wurde eine Vereinbarkeitsprüfung durchgeführt und dokumentiert, um dem Grundsatz der Rechenschaftspflicht zu erfüllen. Diese Prüfung muss mindestens die in Art. 6 Absatz 4 DSGVO aufgeführten Faktoren berücksichtigen.

 Wenn der Verantwortliche die Daten für einen anderen als den ursprünglichen Zweck weiterverarbeiten möchte, der mit dem ursprünglichen Zweck unvereinbar ist, und wenn die Einwilligung die geeignetste Rechtsgrundlage ist, ist das Tool so konzipiert, dass es die Nutzer um ihre Einwilligung bittet. In allen anderen Fällen muss der Verantwortliche die am besten geeignete Rechtsgrundlage ermitteln.

 Wenn das Tool so konzipiert ist, dass es mit Begegnungsdaten arbeitet, kann es nicht verwendet werden, um anhand der Interaktion der Nutzer undoder anderer Mittel Rückschlüsse auf den genauen Standort der Nutzer zu ziehen.

 Wenn das Tool so konzipiert ist, dass es mit Standortdaten arbeitet, kann es nicht verwendet werden, um Rückschlüsse auf die Interaktion der Nutzer mit anderen Personen zu ziehen oder um anhand der von der Person besuchten Orte oder auf andere Weise Rückschlüsse auf weitere Datenkategorien zu ziehen.

 Die auf dem Zentralserver gespeicherten Kontakthistorien- oder Standortdaten werden gelöscht, sobald sie für die Zwecke der Verarbeitung nicht mehr benötigt werden.

 Das Verfahren zur Datenlöschung ist angemessen gestaltet und dem Verantwortlichen und den Nutzern gut bekannt.

 Jede in der lokalen Historie enthaltene Kennung wird nach X Tagen nach ihrer Erfassung gelöscht (der X-Wert wird durch den Zweck der Verarbeitung definiert).

 Die Daten in den Serverprotokollen werden auf ein Minimum reduziert und entsprechen den Anforderungen des Datenschutzes.

 Wenn es einen Zentralserver gibt und dieser Datenkennungen speichern muss, müssen diese gelöscht werden, sobald sie an die anderen Anwendungen verteilt wurden, es sei denn, ein rechtlichertechnischer Grund spricht dagegen.

☐ Die Verantwortlichen überprüfen regelmäßig die Verarbeitung und aktualisieren gegebenenfalls ihre Dokumentation und die Informationen zum Schutz der Privatsphäre von Personen.

 Die Nutzer werden über alle erhobenen personenbezogenen Daten informiert. Diese Daten werden nur erhoben, wenn eine Rechtsgrundlage für die Verarbeitung vorliegt.

☐ Die Verantwortlichen erläutern, wie Personen auf Details der Informationen zugreifen können, die für die von dem Tool angebotenen Dienste verwendet werden.

 Die Nutzer müssen ihre Rechte mittels der App ausüben können.

 Wenn das Tool so konzipiert ist, dass es mit Begegnungsdaten arbeitet, kann es nicht verwendet werden, um anhand der Interaktion der Nutzer undoder anderer Mittel Rückschlüsse auf den Standort der Nutzer zu ziehen.

 Wenn das Tool so konzipiert ist, dass es mit Standortdaten arbeitet, kann es nicht verwendet werden, um Rückschlüsse auf die Interaktion der Nutzer mit anderen Personen zu ziehen.

 Wenn die Daten für vereinbare Zwecke verwendet werden, hat der Verantwortliche die Vereinbarkeitsprüfung durchgeführt.

 Wenn der Verantwortliche die Daten für einen anderen als den ursprünglich angegebenen Zweck verwenden möchte, ist das Tool so konzipiert, dass es die Nutzer um Einwilligung bittet.

 Der Verantwortliche hat dokumentiert, wie unerwünschte Auswirkungen des Systems oder Werkzeugs erkannt, gestoppt und vor einer Wiederholung geschützt werden.

 Der Verantwortliche hat alle Maßnahmen der Organisation und die implementierten Garantien dokumentiert, um die Einhaltung der Datenschutzverordnung zu gewährleisten.

 Wenn Daten für vereinbare Zwecke verwendet werden, hat der Verantwortliche die Durchführung einee Vereinbarkeitsprüfung angemessen dokumentiert.

 Der Verantwortliche hat alle durchgeführten Datenschutz-Folgenabschätzungen, die Tätigkeiten des entsprechenden Datenschutzbeauftragten und seine Interaktionen mit den entsprechenden Datenschutzbehörden (falls zutreffend) dokumentiert.

 Der Quellcode der App und ihres „Backends“ muss offen sein, und die technischen Spezifikationen müssen veröffentlicht werden, damit jeder Betroffene den Code prüfen und gegebenenfalls zur Verbesserung des Codes, zur Korrektur möglicher Fehler und zur Gewährleistung der Transparenz bei der Verarbeitung personenbezogener Daten beitragen kann.

 Wenn die Verarbeitung mit einer internationalen Datenübermittlung verbunden ist, haben die Verantwortlichen Informationen darüber eingeholt, wo die Datenverarbeitungstätigkeiten stattfinden werden, und (1) die unter dem nachstehenden Punkt vorgeschlagene Überprüfung der Rechtsprechung durchgeführt und (2) bewertet, ob die Gerichtsbarkeiten im Falle von Nicht-EU-Ländern von der EU-Kommission als angemessen angesehen werden.

 Die Verantwortlichen haben die Rechtsprechung der nationalen Aufsichtsbehörden, in denen der Auftragsverarbeiter tätig ist, geprüft, um mögliche Sanktionen zu ermitteln.

 Die Verantwortlichen haben einen Nachweis über die Einhaltung eines Verhaltenskodex oder eine Zertifizierung verlangt (dies ist nicht unbedingt erforderlich, kann aber als bewährtes Verfahren angesehen werden).

 Die Verantwortlichen haben einen Nachweis einer einschlägigen ISO-Zertifizierung verlangt (dies ist nicht unbedingt erforderlich, kann aber als bewährtes Verfahren angesehen werden).

 Wenn ein Auftragsverarbeiter beteiligt ist, haben die Verantwortlichen eine Kopie der Verzeichnisse über die Verarbeitungstätigkeiten angefordert.

 Die Verantwortlichen haben sich nach dem Entwicklungsprozess des Tools erkundigt, insbesondere nach der Art der Daten, die zum Training des Tools verwendet wurden, und nach den vom Tool benötigten Daten, um zu funktionieren und ein nützliches Ergebnis zu liefern.

 Die Verantwortlichen haben geprüft, ob die Einrichtung bereits einen DSB benannt hat.

 Anderenfalls haben sie mit der Rechtsabteilung geprüft, ob die geplanten Datenverarbeitungstätigkeiten die Benennung eines DSB erforderlich machen, indem sie entweder die einschlägigen europäischen Auslegungen, die lokalen Vorschriften, die einschlägigen lokalen Auslegungen und die einschlägige nationale und europäische Rechtsprechung herangezogen haben.

 Die Verantwortlichen haben gegebenenfalls die Benennung eines DSB und dessen Beteiligung an der Entwicklung des Tools verlangt.

 Generell sollte der DSB über jeden Schritt informiert sein, damit er eingreifen kann, wenn er dies für erforderlich hält.