Course 2024 CIPP-E Test Prep Training Practice Exam Download [Q133-Q156] : Top Exam Collection : http://blog.topexamcollection.com

Diese Seite wurde exportiert von Top Exam Collection [ http://blog.topexamcollection.com ]
Export date: Tue Jan 21 12:17:35 2025 / +0000 GMT

Kurs 2024 CIPP-E Test Prep Training Practice Exam Download [Q133-Q156]

Kurs 2024 CIPP-E Test Prep Training Practice Exam Download

Informationen zur CIPP-E-Prüfung und kostenloser Praxistest Professionelle Quiz-Studienmaterialien

NEUE FRAGE 133
Unternehmen X hat Anbieter Y mit der Verarbeitung seiner Gehaltsabrechnungsdaten beauftragt. Anbieter Y speichert diese Daten verschlüsselt auf seinem Server. Die IT-Abteilung von Anbieter Y stellt fest, dass es jemandem gelungen ist, sich in das System einzuhacken und eine Kopie der Daten von seinem Server zu nehmen. Wen muss Anbieter Y in diesem Fall benachrichtigen?

Die Öffentlichkeit

Unternehmen X

Strafverfolgung

Die Aufsichtsbehörde

NEUE FRAGE 134
SCENARIO
Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben:
WonderkKids bietet einen Online-Buchungsservice für Kinderbetreuung. Wonderkids hat seinen Sitz in Frankreich, betreibt seine Website aber über ein Unternehmen in der Schweiz. Im Rahmen seiner Dienstleistung gibt Wonderkids alle ihm zur Verfügung gestellten personenbezogenen Daten an den über sein System gebuchten Kinderbetreuungsanbieter weiter. Zu den auf der Website erfassten personenbezogenen Daten gehören der Name der Person, die die Kinderbetreuung bucht, Adresse und Kontaktdaten sowie Informationen über die zu betreuenden Kinder wie Name, Alter, Geschlecht und Gesundheitsdaten. Die Datenschutzerklärung auf der Wonderkids-Website besagt Folgendes:
"WonderkKids stellt die Informationen, die Sie uns über diese Website zur Verfügung stellen, Ihrem Kinderbetreuer aus Gründen der Terminplanung und der Gesundheit und Sicherheit zur Verfügung. Wir können Ihre persönlichen Daten und die Ihres Kindes auch für unsere eigenen legitimen Geschäftszwecke verwenden, und wir beauftragen einen Drittanbieter mit Sitz in der Schweiz mit der Speicherung der Daten. Wir werden Ihre persönlichen Daten und die Ihres Kindes nur an Unternehmen weitergeben, die unserer Meinung nach einen echten Mehrwert für Sie darstellen. Indem Sie uns personenbezogene Daten zur Verfügung stellen, erklären Sie sich damit einverstanden, dass diese an verbundene Unternehmen weitergegeben werden und wir Ihnen Werbeangebote zusenden dürfen.
"Wir dürfen Ihre persönlichen Daten und die Ihres Kindes nicht länger als 28 Tage aufbewahren, danach werden die Daten entpersonalisiert, es sei denn, Ihre persönlichen Daten werden für einen legitimen Geschäftszweck über die 28 Tage hinaus verwendet, dann dürfen sie bis zu zwei Jahre aufbewahrt werden."
"Wir verarbeiten die personenbezogenen Daten von Ihnen und Ihrem Kind mit Ihrer Zustimmung. Wenn Sie sich dafür entscheiden, uns bestimmte Informationen nicht zur Verfügung zu stellen, können Sie unsere Dienste möglicherweise nicht nutzen. Sie haben das Recht: Zugang zu Ihren personenbezogenen Daten und denen Ihres Kindes zu verlangen; Ihre personenbezogenen Daten oder die Ihres Kindes zu berichtigen oder zu löschen; das Recht auf Berichtigung oder Löschung Ihrer und/oder der personenbezogenen Daten Ihres Kindes; Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten und der Ihres Kindes. Sie haben auch das Recht, sich bei der Aufsichtsbehörde über unsere Datenverarbeitungsaktivitäten zu beschweren". Welche Direktmarketing-Informationen darf WonderKids ohne vorherige Zustimmung der Person, die die Kinderbetreuung gebucht hat, per E-Mail versenden?

Keinerlei Marketinginformationen.

Überhaupt keine Marketinginformationen.

Marketinginformationen im Zusammenhang mit anderen Geschäftsaktivitäten von WonderKids.

Marketinginformationen für Produkte oder Dienstleistungen, die denen von WonderKids ähneln.

NEUE FRAGE 135
Ein multinationales Unternehmen ernennt einen obligatorischen Datenschutzbeauftragten. Welche der folgenden Maßnahmen muss das Unternehmen zusätzlich zu den in Artikel 37 Absatz 1 der Datenschutz-Grundverordnung festgelegten Regeln ergreifen, um die Einhaltung der Vorschriften in allen EU-Ländern, in denen es tätig ist, zu gewährleisten?

Konsultieren Sie die nationalen Ausnahmeregelungen, um festzustellen, ob es weitere Fälle gibt, die in dieser Angelegenheit zu berücksichtigen sind.

Durchführung einer Datenschutzbewertung der Verarbeitungsvorgänge des Unternehmens in allen Ländern, in denen es tätig ist.

Prüfen Sie, ob das Unternehmen in jedem der EU-Mitgliedstaaten, in denen es ansässig ist, mehr als 250 Beschäftigte hat.

Überprüfen Sie die Datenverarbeitungstätigkeiten des Unternehmens, die mehr als eine Gerichtsbarkeit betreffen, um zu bewerten, ob sie mit den Grundsätzen des eingebauten Datenschutzes und der Voreinstellungen übereinstimmen.

Ein multinationales Unternehmen, das einen obligatorischen Datenschutzbeauftragten (DSB) ernennt, muss auch nationale Ausnahmeregelungen konsultieren, um zu bewerten, ob es zusätzliche Fälle gibt, die in dieser Angelegenheit zu berücksichtigen sind. Gemäß Artikel 37 (1) der Datenschutz-Grundverordnung muss der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter einen Datenschutzbeauftragten benennen, wenn: (a) die Verarbeitung durch eine Behörde oder eine öffentliche Einrichtung erfolgt, mit Ausnahme von Gerichten in ihrer gerichtlichen Eigenschaft; b) die Kerntätigkeit des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters aus Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine regelmäßige und systematische Überwachung der betroffenen Personen in großem Umfang erfordern; oder die Kerntätigkeit des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters aus der Verarbeitung besonderer Datenkategorien oder personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten in großem Umfang besteht 1. Nach Artikel 37 Absatz 4 der Datenschutz-Grundverordnung können die Mitgliedstaaten jedoch auch weitere Fälle vorsehen, in denen ein DSB per Gesetz bestellt werden muss 1. Daher muss ein multinationales Unternehmen die nationalen Rechtsvorschriften der EU-Länder, in denen es tätig ist, konsultieren, um sicherzustellen, dass es alle zusätzlichen Anforderungen für die Bestellung eines DSB erfüllt.
Die anderen Optionen sind nicht korrekt, da sie nicht direkt mit der Bestellung eines DSB zusammenhängen. Die Durchführung einer Datenschutzbeurteilung, die Bewertung der Anzahl der Mitarbeiter und die Überprüfung der Datenverarbeitungstätigkeiten sind allesamt gute Praktiken, um die Einhaltung der DSGVO zu gewährleisten, aber sie sind keine obligatorischen Maßnahmen für die Benennung eines DSB. Darüber hinaus ist die Anzahl der Mitarbeiter kein relevantes Kriterium für die Bestellung eines DSB, da die Datenschutz-Grundverordnung keinen Schwellenwert in Abhängigkeit von der Größe der Organisation festlegt 2. Verweis: 1: Artikel 37 der Datenschutz-Grundverordnung 2: Leitlinien für Datenschutzbeauftragte ("DSB")

NEUE FRAGE 136
SCENARIO
Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben:
Das Fitnessunternehmen Vigotron hat kürzlich eine neue App namens M-Health entwickelt, die es auf seiner Website als kostenlosen Download anbieten möchte. Der Marketingleiter von Vigotron bittet seine Assistentin Emily, eine Webseite zu erstellen, die die App beschreibt und die Nutzungsbedingungen festlegt. Emily, die neu bei Vigotron ist, ist begeistert von dieser Aufgabe. Bei ihrer vorherigen Arbeitsstelle hat sie einen Datenschutzkurs besucht, und obwohl die Details etwas verschwommen sind, erkennt sie, dass Vigotron in einigen Fällen die Zustimmung der Benutzer für die Nutzung der App einholen muss. Emily skizziert den folgenden Entwurf und versucht, so viel wie möglich abzudecken, bevor sie ihn an die Rechtsabteilung von Vigotron schickt.
Anmeldeformular
Die neue M-Health-App von Vigotron macht es Ihnen leicht, eine Vielzahl von gesundheitsbezogenen Aktivitäten zu überwachen, einschließlich Ernährung, Bewegung und Schlafverhalten. M-Health stützt sich auf Ihre Smartphone-Einstellungen (zusammen mit anderen Apps von Drittanbietern, die Sie möglicherweise bereits haben), um Daten über all diese wichtigen Lebensstilelemente zu sammeln und die Informationen bereitzustellen, die Sie benötigen, um Ihre Lebensqualität zu verbessern. (Bitte klicken Sie hier, um eine vollständige Beschreibung der von M-Health angebotenen Dienste zu lesen). Vigotron schätzt Ihre Privatsphäre. Mit der M-Heaith-App können Sie entscheiden, welche Informationen in ihr gespeichert werden und welche Apps auf Ihre Daten zugreifen können. Wenn Ihr Gerät mit einem Passcode gesperrt ist, werden alle Ihre Gesundheits- und Fitnessdaten mit Ihrem Passcode verschlüsselt. Sie können die in der Health-App gespeicherten Daten bei Vigotrons Cloud-Anbieter Stratculous sichern. (Lesen Sie hier mehr über Stratculous.) Vigotron wird niemals persönliche Informationen, die von der M-Health-App gesammelt wurden, tauschen, vermieten oder verkaufen. Darüber hinaus werden wir den Namen eines Kunden, seine E-Mail-Adresse oder andere über die App gesammelte Informationen nicht ohne die Zustimmung des Kunden an Dritte weitergeben, es sei denn, dies wird von einem Gericht angeordnet, durch eine Vorladung angewiesen oder um die gesetzlichen Rechte des Herstellers durchzusetzen oder sein Geschäft oder Eigentum zu schützen.
Wir freuen uns, die M-Health-App kostenlos anbieten zu können. Wenn Sie sie herunterladen und nutzen möchten, bitten wir Sie, zunächst dieses Registrierungsformular auszufüllen. (Bitte beachten Sie, dass die M-Health-App nur von Erwachsenen ab 16 Jahren genutzt werden darf, es sei denn, Minderjährige haben die Zustimmung ihrer Eltern). Name und Vorname:
Nachname:
Geburtsjahr:
E-Mail:
Physische Adresse (fakultativ*):
Gesundheitszustand:
*Wenn Sie an der Zusendung von Newslettern über unsere Produkte und Dienstleistungen interessiert sind, die für Sie von Interesse sein könnten, geben Sie bitte Ihre physische Adresse an. Wenn Sie später entscheiden, dass Sie diese Newsletter nicht mehr erhalten möchten, können Sie sich per E-Mail an [email protected] abmelden oder einen Brief mit Ihrer Anfrage an die unten auf dieser Seite angegebene Adresse senden.
Bedingungen und Konditionen
1. Zuständigkeit. [...]
2. Anwendbares Recht. [...]
3. Begrenzung der Haftung. [...]
Zustimmung
Mit dem Ausfüllen dieses Registrierungsformulars bestätigen Sie, dass Sie mindestens 16 Jahre alt sind und dass Sie der Verarbeitung Ihrer personenbezogenen Daten durch Vigotron zum Zwecke der Nutzung der M-Health-App zustimmen. Obwohl Sie das Recht haben, Werbung oder Marketing abzulehnen, erklären Sie sich damit einverstanden, dass Vigotron Sie per E-Mail oder auf anderem elektronischem Wege kontaktiert oder Ihnen alle erforderlichen Mitteilungen, Vereinbarungen oder sonstigen Informationen zu den Dienstleistungen zukommen lässt. Sie erklären sich auch damit einverstanden, dass das Unternehmen automatisierte E-Mails mit Warnhinweisen zu Problemen mit der M-Health-App, die Ihr Wohlbefinden beeinträchtigen könnten, versenden darf.
Welches ist ein potenzielles Problem, auf das Vigotrons Alterspolitik im Rahmen der DSGVO stoßen könnte?

Die Altersbeschränkungen sind strenger, wenn es um Gesundheitsdaten geht.

Die Nutzer müssen erst mindestens 13 Jahre alt sein, um als Erwachsene zu gelten.

Die Organisationen müssen angemessene Anstrengungen unternehmen, um die Zustimmung der Eltern zu überprüfen.

Organisationen, die einen Dienst mit Marketing verbinden, müssen für jeden Zweck eine Einwilligung einholen.

NEUE FRAGE 137
SCENARIO
Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben:
ProStorage ist ein multinationaler Cloud-Speicheranbieter mit Hauptsitz in den Niederlanden. Sein CEO. Ruth Brown, hat eine zweigleisige Wachstumsstrategie entwickelt: 1) Ausweitung des weltweiten Kundenstamms von ProStorage und 2) Vergrößerung des ProStorage-Vertriebsteams durch effizientes Onboarding effektiver Teams. Die Umsetzung dieser Strategie wurde in letzter Zeit durch Ruths Gesundheitszustand erschwert, der ihre Arbeitszeiten und ihre Möglichkeiten, zu potenziellen Kunden zu reisen, einschränkte. Die Personalabteilung von ProStorage und Ruths Stabschef arbeiten nun zusammen, um ihren Zeitplan zu verwalten und sicherzustellen, dass sie alle ihre medizinischen Termine wahrnehmen kann. Letzteres wurde besonders wichtig nach Ruths letzter Reise nach Indien, wo sie einen medizinischen Notfall erlitt und in ein Krankenhaus in Neu-Delhi eingeliefert wurde: ProStorage Zur Unterstützung von Ruths strategischem Ziel, mehr Vertriebsmitarbeiter einzustellen, konzentriert sich das Team der Personalabteilung auf die Verbesserung seiner Prozesse, um sicherzustellen, dass neue Mitarbeiter effizient gesucht, interviewt, eingestellt und eingearbeitet werden. Zu diesem Zweck wählte Mary zwei Anbieter aus: HRYourWay, ein in Deutschland ansässiges Unternehmen, und InstaHR, ein in Australien ansässiges Unternehmen. Sie entschied sich, beide Anbieter dem ProStorage-Verfahren zur Risikoprüfung zu unterziehen, damit sie gemeinsam mit Ruth die endgültige Entscheidung treffen konnte. Im Rahmen des Überprüfungsprozesses überprüfte Jackie, die für die Pflege des Datenschutzprogramms von ProStorage verantwortlich ist (einschließlich der Pflege der BCRs für die für die Verarbeitung Verantwortlichen und der Durchführung von Risikobewertungen der Anbieter), beide Anbieter, führte aber nur für InstaHR eine Bewertung der Auswirkungen der Übertragung durch. Nach ihrer Prüfung rühmten sich beide mit einem etablierteren Datenschutzprogramm und legten Bescheinigungen Dritter vor, während HRYourWay ein kleiner Anbieter mit minimalen Datenschutzmaßnahmen war.
Daher empfahl sie InstaHR.
Das Marketingteam von ProStorage arbeitete auch daran, die strategischen Ziele des Unternehmens zu erreichen, indem es sich auf Branchen konzentrierte, in denen es seinen Marktanteil vergrößern musste. Zu diesem Zweck wählte das Team UpFinance als Partner aus, ein in den USA ansässiges Unternehmen mit guten Verbindungen zu Kunden aus der Finanzbranche. Während des Prüfungsverfahrens von ProStorage stellte Jackie vom Datenschutzteam in der Folgenabschätzung für den Transfer fest, dass UpFinance mehrere Datenschutzmaßnahmen umsetzt, darunter eine Ende-zu-Ende-Verschlüsselung, wobei die Verschlüsselungsschlüssel im Besitz des Kunden sind.
Bemerkenswert ist, dass UpFinance in den 7 Jahren seiner Geschäftstätigkeit keine Anfragen von Behörden erhalten hat. Dennoch empfahl Jackie, im Vertrag festzulegen, dass UpFinance ProStorage benachrichtigen muss, wenn es eine staatliche Anfrage zu personenbezogenen Daten erhält, die UpFinance in seinem Namen verarbeitet, bevor es diese Daten offenlegt.
Welches Übermittlungsverfahren hat ProStorage höchstwahrscheinlich genutzt, um Ruths medizinische Daten an das Krankenhaus zu übermitteln?

Ruths stillschweigende Zustimmung.

Schutz der vitalen Interessen von Ruth

Erfüllung eines Vertrags mit Ruth.

Schutz vor rechtlicher Haftung von Ruth.

Gemäß Artikel 49 der Datenschutz-Grundverordnung darf die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen bei Fehlen eines Angemessenheitsbeschlusses oder geeigneter Garantien wie Standardvertragsklauseln oder verbindlicher unternehmensinterner Vorschriften nur erfolgen, wenn eine der in diesem Artikel aufgeführten Ausnahmen gilt1. Eine dieser Ausnahmen ist gegeben, wenn die Übermittlung zur Wahrung lebenswichtiger Interessen der betroffenen Person oder anderer Personen erforderlich ist und die betroffene Person aus physischen oder rechtlichen Gründen nicht in der Lage ist, ihre Einwilligung zu geben1. Diese Ausnahmeregelung soll nur dringende Situationen abdecken, wie medizinische Notfälle, in denen die Übermittlung für das Leben oder die Gesundheit der betroffenen Person unerlässlich ist2.
In diesem Szenario hat sich ProStorage höchstwahrscheinlich auf diese Ausnahmeregelung berufen, um Ruths medizinische Daten an das Krankenhaus in Indien zu übermitteln, wo sie einen medizinischen Notfall erlitt und stationär aufgenommen wurde. Die Übermittlung war zum Schutz von Ruths lebenswichtigen Interessen notwendig, da sie sich in einem kritischen Zustand befand und dringend medizinische Versorgung benötigte. Ruth war auch körperlich oder rechtlich nicht in der Lage, ihre Zustimmung zu geben, da sie bewusstlos oder entmündigt war. Daher ist Option B die richtige Antwort.
Option A ist falsch, da Ruths stillschweigende Zustimmung kein gültiger Übermittlungsmechanismus gemäß der Datenschutz-Grundverordnung ist. Für die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen muss die Einwilligung ausdrücklich, in Kenntnis der Sachlage, für den konkreten Fall und aus freien Stücken erteilt werden1. Ruth hat der Übermittlung ihrer medizinischen Daten an das Krankenhaus weder ausdrücklich zugestimmt, noch wurde sie darüber informiert oder gefragt. Darüber hinaus kann die Einwilligung nicht als Übermittlungsmechanismus herangezogen werden, wenn sich die betroffene Person in einer Notlage oder in einem Abhängigkeitsverhältnis befindet, wie z. B. bei einem medizinischen Notfall, da sie nicht als freiwillig gegeben angesehen werden kann2.
Option C ist falsch, da die Erfüllung eines Vertrags mit Ruth kein gültiger Übermittlungsmechanismus im Sinne der DSGVO ist. Die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen auf der Grundlage eines Vertrags mit der betroffenen Person ist nur zulässig, wenn die Übermittlung für die Erfüllung dieses Vertrags oder für die Durchführung vorvertraglicher Maßnahmen, die auf Antrag der betroffenen Person getroffen wurden, erforderlich ist1. In diesem Szenario gibt es keinen Vertrag zwischen ProStorage und Ruth, der die Übermittlung ihrer medizinischen Daten an das Krankenhaus erfordert oder rechtfertigt. Die Übermittlung ist weder für die Erfüllung von Ruths Arbeitsvertrag mit ProStorage noch für vorvertragliche Maßnahmen von Ruth erforderlich.
Option D ist falsch, da der Schutz vor rechtlicher Haftung durch Ruth kein gültiger Übermittlungsmechanismus nach der DSGVO ist. Die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen zur Geltendmachung von Rechtsansprüchen oder zur Rechtsverteidigung ist nur zulässig, wenn die Übermittlung für die Feststellung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist1. In diesem Szenario ist die Übermittlung von Ruths medizinischen Daten an das Krankenhaus nicht mit einem Rechtsanspruch oder einer Verteidigung verbunden. Die Übermittlung ist nicht für die Begründung, Ausübung oder Verteidigung von Rechtsansprüchen durch oder gegen ProStorage oder Ruth erforderlich.
Referenz:
Ausnahmeregelungen für besondere Situationen
Leitlinien 2/2018 zu Ausnahmen von Artikel 49 der Verordnung 2016/679

NEUE FRAGE 138
SCENARIO
Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben:
WonderkKids bietet einen Online-Buchungsservice für Kinderbetreuung. Wonderkids hat seinen Sitz in Frankreich, betreibt seine Website aber über ein Unternehmen in der Schweiz. Im Rahmen seiner Dienstleistung gibt Wonderkids alle ihm zur Verfügung gestellten personenbezogenen Daten an den über sein System gebuchten Kinderbetreuungsanbieter weiter. Zu den auf der Website erfassten personenbezogenen Daten gehören der Name der Person, die die Kinderbetreuung bucht, Adresse und Kontaktdaten sowie Informationen über die zu betreuenden Kinder wie Name, Alter, Geschlecht und Gesundheitsdaten. Die Datenschutzerklärung auf der Wonderkids-Website besagt Folgendes:
"WonderkKids stellt die Informationen, die Sie uns über diese Website zur Verfügung stellen, Ihrem Kinderbetreuer aus Gründen der Terminplanung und der Gesundheit und Sicherheit zur Verfügung. Wir können Ihre persönlichen Daten und die Ihres Kindes auch für unsere eigenen legitimen Geschäftszwecke verwenden, und wir beauftragen einen Drittanbieter mit Sitz in der Schweiz mit der Speicherung der Daten. Wir werden Ihre persönlichen Daten und die Ihres Kindes nur an Unternehmen weitergeben, die unserer Meinung nach einen echten Mehrwert für Sie darstellen. Indem Sie uns personenbezogene Daten zur Verfügung stellen, erklären Sie sich damit einverstanden, dass diese an verbundene Unternehmen weitergegeben werden und wir Ihnen Werbeangebote zusenden dürfen.
"Wir dürfen Ihre persönlichen Daten und die Ihres Kindes nicht länger als 28 Tage aufbewahren, danach werden die Daten entpersonalisiert, es sei denn, Ihre persönlichen Daten werden für einen legitimen Geschäftszweck über die 28 Tage hinaus verwendet, dann dürfen sie bis zu zwei Jahre aufbewahrt werden."
"Wir verarbeiten die personenbezogenen Daten von Ihnen und Ihrem Kind mit Ihrer Zustimmung. Wenn Sie sich dafür entscheiden, uns bestimmte Informationen nicht zur Verfügung zu stellen, können Sie unsere Dienste möglicherweise nicht nutzen. Sie haben das Recht auf: Zugang zu Ihren und den personenbezogenen Daten Ihres Kindes; Berichtigung oder Löschung Ihrer oder der personenbezogenen Daten Ihres Kindes; das Recht auf Berichtigung oder Löschung Ihrer und/oder der personenbezogenen Daten Ihres Kindes; Widerspruch gegen die Verarbeitung Ihrer und der personenbezogenen Daten Ihres Kindes. Sie haben auch das Recht, sich bei der Aufsichtsbehörde über unsere Datenverarbeitungsaktivitäten zu beschweren". Was muss der Vertrag zwischen WonderKids und dem Hosting-Dienstleister enthalten?

Die Verpflichtung, technische und organisatorische Maßnahmen zum Schutz der Daten zu treffen.

Controller-zu-Controller-Modell Vertragsklauseln.

Prüfungsrechte für die betroffenen Personen.

Eine Geheimhaltungsvereinbarung.

NEUE FRAGE 139
Welches EU-Organ ist befugt, auf eigene Initiative neue Datenschutzvorschriften vorzuschlagen?

Der Europäische Rat

Das Europäische Parlament

Die Europäische Kommission

Der Rat der Europäischen Union

NEUE FRAGE 140
Wer dürfte nach der Datenschutz-Grundverordnung am wenigsten dazu berechtigt sein, sensible medizinische Daten einer betroffenen Person ohne deren Wissen oder Zustimmung zu erheben, zu verwenden und weiterzugeben?

Ein Mitglied der Justiz, das an der Entscheidung eines Rechtsstreits beteiligt ist, an dem die betroffene Person beteiligt ist und der die Gesundheit der betroffenen Person betrifft.

Eine für die öffentliche Gesundheit zuständige Behörde, wenn die Weitergabe solcher Informationen zum Schutz der Bevölkerung als notwendig erachtet wird.

Angehörige der Gesundheitsberufe, die an der medizinischen Versorgung der betroffenen Person beteiligt sind, wenn das Leben der betroffenen Person von der rechtzeitigen Weitergabe dieser Informationen abhängt.

Ein Journalist, der einen Artikel über die angefragte Krankheit schreibt und der Meinung ist, dass die Veröffentlichung dieser Informationen im öffentlichen Interesse liegt.

Die Datenschutz-Grundverordnung definiert Gesundheitsdaten als eine besondere Kategorie personenbezogener Daten, für die besondere Verarbeitungsbedingungen und Garantien gelten. Die DSGVO verbietet die Verarbeitung solcher Daten, es sei denn, es gilt eine der Ausnahmen in Artikel 9. Eine dieser Ausnahmen ist die ausdrückliche Einwilligung der betroffenen Person, was bedeutet, dass die betroffene Person klar und deutlich ihr Einverständnis mit der Verarbeitung ihrer Gesundheitsdaten gegeben hat. Eine weitere Ausnahme besteht, wenn die Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit erforderlich ist, etwa zum Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung. Eine dritte Ausnahme besteht, wenn die Verarbeitung für Zwecke der Präventiv- oder Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Arbeitnehmers, für die medizinische Diagnose, für die Bereitstellung von Gesundheits- oder Sozialfürsorge oder Behandlung oder für die Verwaltung von Gesundheits- oder Sozialfürsorgesystemen und -diensten erforderlich ist. Diese Ausnahmen beruhen auf dem Grundsatz der Notwendigkeit, was bedeutet, dass die Verarbeitung für einen bestimmten Zweck unbedingt erforderlich sein muss und nicht auf andere Weise erreicht werden kann.
Im vorliegenden Fall fällt der Journalist unter keine der genannten Ausnahmen. Der Journalist ist kein Angehöriger eines Heilberufs, keine Behörde und keine Person, die die ausdrückliche Zustimmung der betroffenen Person erhalten hat. Der Journalist verarbeitet die Daten nicht für einen rechtmäßigen Zweck im Zusammenhang mit der öffentlichen Gesundheit, der medizinischen Versorgung oder dem sozialen Schutz. Der Journalist verfolgt lediglich sein eigenes Interesse an der Veröffentlichung einer Geschichte, die im öffentlichen Interesse liegen kann oder auch nicht. Der Journalist respektiert nicht die Rechte und Freiheiten der betroffenen Person, insbesondere ihr Recht auf Privatsphäre und Vertraulichkeit. Daher wäre es dem Journalisten am wenigsten zuzumuten, die sensiblen medizinischen Daten der betroffenen Person ohne deren Wissen oder Zustimmung zu erheben, zu verwenden und weiterzugeben. Referenz:
Artikel 4 (15) und Artikel 9 der Datenschutz-Grundverordnung
Gesundheitsdaten | ICO
Was bedeutet die Datenschutz-Grundverordnung für personenbezogene Daten in medizinischen Berichten?
Sensible Daten und ärztliche Schweigepflicht - FutureLearn
Gesundheitsdaten und Datenschutz: Speicherung sensibler Daten unter GDPR

NEUE FRAGE 141
Welche Verpflichtung hat ein für die Verarbeitung Verantwortlicher oder ein Auftragsverarbeiter, wenn er einen Datenschutzbeauftragten bestellt hat?

Sicherstellung, dass der Datenschutzbeauftragte ausreichende Anweisungen für die Ausübung seiner Aufgaben erhält.

Bereitstellung der erforderlichen Mittel zur Erfüllung der festgelegten Aufgaben des Datenschutzbeauftragten und zur Aufrechterhaltung seines Fachwissens.

Sicherstellung, dass der Datenschutzbeauftragte als einziger Ansprechpartner für Fragen der Bürger zu ihren personenbezogenen Daten fungiert.

dem Datenschutzbeauftragten einen Verhaltenskodex zur Genehmigung vorzulegen, der die organisatorischen Praktiken regelt und die Einhaltung der Datenschutzgrundsätze nachweist.

NEUE FRAGE 142

Sie überlegt zunächst, ob Unternehmen A im Zusammenhang mit dem neuen Zeiterfassungssystem eine Datenschutz-Folgenabschätzung durchführen muss, ist sich aber nicht sicher, ob dies erforderlich ist oder nicht.
Jenny weiß jedoch, dass es nach der Datenschutz-Grundverordnung eine formelle schriftliche Vereinbarung geben muss, in der Unternehmen B verpflichtet wird, die Zeit- und Anwesenheitsdaten nur zum Zweck der Erbringung der Lohn- und Gehaltsabrechnung zu verwenden und angemessene technische und organisatorische Sicherheitsmaßnahmen zum Schutz der Daten anzuwenden. Jenny schlägt vor, dass Unternehmen B sich von seinem Datenschutzbeauftragten beraten lässt. Das Unternehmen hat keinen Datenschutzbeauftragten, erklärt sich aber im Interesse des Vertragsabschlusses bereit, die Bestimmungen in vollem Umfang zu unterzeichnen. Unternehmen A schließt den Vertrag ab.
Wochen später, noch immer unter Vertrag mit Unternehmen A, beginnt Unternehmen B mit einem separaten Projekt, das die Funktionalität seines Gehaltsabrechnungsdienstes verbessern soll, und beauftragt Unternehmen C mit der Unterstützung. Unternehmen C erklärt sich bereit, alle personenbezogenen Daten aus den Live-Systemen von Unternehmen B zu extrahieren, um eine neue Datenbank für Unternehmen B zu erstellen.

Diese Datenbank wird in einer Testumgebung gespeichert, die auf dem Server von Unternehmen C in den USA gehostet wird. Die beiden Unternehmen vereinbaren, keine Bestimmungen über die Datenverarbeitung in ihren Dienstleistungsvertrag aufzunehmen, da die Daten nur für IT-Testzwecke verwendet werden.
Leider ist der Server von Unternehmen C in den USA nur durch ein veraltetes IT-Sicherheitssystem geschützt, und kurz nach Beginn der Projektarbeit von Unternehmen C kommt es zu einem Cybersicherheitsvorfall. Dies hat zur Folge, dass die Daten der Mitarbeiter von Unternehmen A für jeden sichtbar sind, der die Website von Unternehmen C besucht. Unternehmen A ist sich dessen nicht bewusst, bis Jenny ein Schreiben der Aufsichtsbehörde im Zusammenhang mit der daraufhin eingeleiteten Untersuchung erhält. Sobald Jenny von dem Verstoß erfährt, benachrichtigt sie alle betroffenen Mitarbeiter.
Welche der Handlungen von Unternehmen B würden nach der Datenschutz-Grundverordnung NICHT zu einer potenziellen Durchsetzungsmaßnahme führen?

Das Fehlen von Datenschutzbestimmungen in ihrem Vertrag mit Unternehmen C.

Sie haben es versäumt, ausreichende Sicherheitsvorkehrungen für die Daten von Unternehmen A zu treffen.

Ihre Beauftragung von Unternehmen C mit der Verbesserung seiner Lohnbuchhaltung.

Ihre Entscheidung, ohne einen Datenschutzbeauftragten zu arbeiten.

NEUE FRAGE 143
SCENARIO
Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben:
Anna und Frank arbeiten beide an der Universität Granchester. Anna ist als Juristin für den Datenschutz zuständig, während Frank als Dozent im Fachbereich Technik tätig ist. Die Universität verwaltet eine Reihe von Aufzeichnungen:
* Studentenakten, einschließlich Namen, Matrikelnummern, Wohnadressen, Informationen über die Zeit vor dem Studium, Anwesenheits- und Leistungsnachweise an der Universität, Einzelheiten über besondere Bildungsbedürfnisse und finanzielle Informationen.
* Personalakten, einschließlich autobiografischer Materialien (z. B. Lehrpläne, Akten zu beruflichen Kontakten, Beurteilungen von Studenten und andere relevante Unterrichtsakten).
* Aufzeichnungen über Ehemalige, einschließlich Geburtsorte, Geburtsjahre, Daten der Immatrikulation und der Verleihung von Abschlüssen.
Diese Aufzeichnungen sind für ehemalige Studenten zugänglich, nachdem sie sich über das Alumni-Portal von Granchester registriert haben.
* Aufzeichnungen des Bildungsministeriums, aus denen hervorgeht, welche Fortschritte bei bestimmten demografischen Gruppen (z. B. Studenten der ersten Generation) im Durchschnitt zu erwarten sind. Diese Aufzeichnungen enthalten keine Namen oder Identifikationsnummern.
* Im Rahmen ihrer Sicherheitspolitik verschlüsselt die Universität alle personenbezogenen Datensätze bei der Übertragung und im Ruhezustand.
Um seinen Unterricht zu verbessern, möchte Frank untersuchen, wie seine Ingenieurstudenten im Vergleich zu den Erwartungen des Bildungsministeriums abschneiden. Er hat an einer Datenschutzschulung von Anna teilgenommen und weiß, dass er nicht mehr personenbezogene Daten als nötig verwenden sollte, um sein Ziel zu erreichen. Er erstellt ein Programm, das nur einige Studentendaten exportiert: die zuvor besuchten Schulen, die ursprünglich erzielten Noten, die aktuell erzielten Noten und die erstmals besuchte Universität. Er möchte die Datensätze auf der Ebene des einzelnen Schülers aufbewahren.
Mit Rücksicht auf Annas Ausbildung lässt Frank die Schülernummern durch einen Algorithmus laufen, um sie in verschiedene Referenznummern umzuwandeln. Er verwendet jedes Mal denselben Algorithmus, damit er jeden Datensatz im Laufe der Zeit aktualisieren kann.
Eine von Annas Aufgaben ist es, das Verzeichnis der Verarbeitungstätigkeiten zu vervollständigen, wie es die DSGVO vorschreibt. Nach Erhalt ihrer E-Mail-Erinnerung, wie in der DSGVO vorgeschrieben. Nach Erhalt ihrer Erinnerungs-E-Mail informiert Frank Anna über seine Leistungsdatenbank.
Ann erklärt Frank, dass die Universität nicht nur personenbezogene Daten auf ein Minimum reduzieren, sondern auch prüfen muss, ob diese neue Verwendung bestehender Daten zulässig ist. Sie vermutet auch, dass nach der Datenschutz-Grundverordnung möglicherweise eine Risikoanalyse durchgeführt werden muss, bevor die Datenverarbeitung stattfinden kann. Anna vereinbart, dies mit Frank weiter zu besprechen, nachdem sie einige zusätzliche Recherchen angestellt hat.
Frank möchte in seiner Freizeit an seiner Analyse arbeiten und überträgt sie daher auf seinen privaten Laptop (der nicht verschlüsselt ist). Als Frank den Laptop mit in die Universität nimmt, verliert er ihn leider im Zug. Frank muss sich an diesem Tag mit Anna treffen, um die kompatible Verarbeitung zu besprechen. Er weiß, dass er Sicherheitsvorfälle melden muss, also beschließt er, Anna gleichzeitig von seinem verlorenen Laptop zu erzählen.
Anna wird feststellen, dass eine Risikoanalyse in dieser Situation NICHT notwendig ist, solange?

Die betroffenen Personen sind keine Studenten mehr bei Frank's

Die Verarbeitung wird die Rechte der betroffenen Personen nicht beeinträchtigen.

Die Algorithmen, die Frank für die Verarbeitung verwendet, sind technologisch solide

Die betroffenen Personen haben ihre eindeutige Zustimmung zur ursprünglichen Verarbeitung gegeben

NEUE FRAGE 144
SCENARIO
Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben:
Joe gründete die Gummy Bear Company im Jahr 2000 von seinem Haus in Vermont, USA, aus. Heute ist es ein milliardenschweres Süßwarenunternehmen, das auf allen Kontinenten tätig ist. Alle IT-Server des Unternehmens befinden sich in Vermont. In diesem Jahr stellt Joe seinen Sohn Ben ein, um in das Unternehmen einzusteigen und das Projekt Big zu leiten, eine groß angelegte Marketingstrategie zur Verdreifachung des Bruttoumsatzes in nur 5 Jahren. Ben hat einen Doktortitel in Computersoftware von einer Spitzenuniversität erhalten. Ben beschließt, in das Unternehmen seines Vaters einzusteigen, arbeitet aber insgeheim auch an der Gründung einer neuen globalen Online-Dating-Website namens Ben Knows Best.
Ben weiß, dass die Gummy Bear Company Millionen von Kunden hat und glaubt, dass viele von ihnen auch daran interessiert sein könnten, ihren perfekten Partner zu finden. Für das Projekt Big gestaltet Ben das Online-Webportal des Unternehmens um und verlangt von Kunden in der Europäischen Union und anderswo zusätzliche persönliche Informationen, um Kunde zu bleiben. Projekt Ben beginnt mit der Sammlung von Daten über die philosophischen Überzeugungen, politischen Meinungen und den Familienstand der Kunden.
Wenn ein Kunde sich als Single ausweist, kopiert Ben alle persönlichen Daten dieses Kunden in eine separate Datenbank für Ben Knows Best. Ben glaubt, dass er nichts Falsches tut, weil er jeden Kunden ausdrücklich um seine Zustimmung bittet, indem er ihn auffordert, ein Kästchen anzukreuzen, bevor er seine Daten akzeptiert. Da es sich bei Project Big um ein wichtiges Projekt handelt, stellt das Unternehmen auch einen Studenten im ersten Jahr seines Informatikstudiums namens Sam ein, der Ben helfen soll.
Ben ruft aus und Sam stößt auf die Datenbank von Ben Knows Best. Sam plant, mit 10 seiner Freunde über den Frühlingsanfang nach Irland zu fahren, also kopiert er alle Kundeninformationen von Leuten, die in Irland wohnen, damit er und seine Freunde die Leute kontaktieren können, wenn sie in Irland sind.
Joe stellt auch die Tochter seines besten Freundes, Alice, ein, die gerade ihr Jurastudium in den USA abgeschlossen hat, um die neue Rechtsabteilung des Unternehmens zu leiten. Alice hat von der Datenschutz-Grundverordnung gehört und recherchiert deshalb darüber. Alice wendet sich an Joe und teilt ihm mit, dass sie verbindliche Unternehmensregeln ausgearbeitet hat, an die sich alle im Unternehmen halten müssen, da es für das Unternehmen wichtig ist, über einen rechtlichen Mechanismus für die interne Datenübermittlung von den Betrieben des Unternehmens in der Europäischen Union in die USA zu verfügen.
Joe ist der Meinung, dass Alice großartige Arbeit leistet, und teilt ihr mit, dass sie auch für die Bearbeitung einer großen Klage zuständig sein wird, die gegen das Unternehmen vor einem Bundesgericht in den USA eingereicht wurde. Um sich auf die Klage vorzubereiten, weist Alice die IT-Abteilung des Unternehmens an, Kopien der Computerfestplatten des gesamten weltweiten Vertriebsteams, einschließlich der Europäischen Union, anzufertigen und alles an sie zu schicken, damit sie die Informationen aller Mitarbeiter überprüfen kann. Alice ist davon überzeugt, dass Joe froh sein wird, dass sie die Überprüfung auf der ersten Ebene vorgenommen hat, da das Unternehmen dadurch viel Geld sparen kann, das es sonst an eine externe Anwaltskanzlei zahlen müsste.
Bens Sammlung zusätzlicher Daten von Kunden brachte mehrere potenzielle Probleme für das Unternehmen mit sich, die höchstwahrscheinlich was erfordern würden?

Neue Corporate Governance und neuer Verhaltenskodex.

Eine Datenschutz-Folgenabschätzung.

Ein umfassendes Dateninventar.

Anstellung eines Datenschutzbeauftragten.

Bens Sammlung zusätzlicher Daten von Kunden, insbesondere sensibler Daten wie philosophischer Überzeugungen und politischer Meinungen, brachte mehrere potenzielle Probleme für das Unternehmen mit sich, wie zum Beispiel:
Das Risiko eines Verstoßes gegen den Grundsatz der Datenminimierung, der besagt, dass die erhobenen personenbezogenen Daten angemessen, relevant und auf das für die Zwecke der Verarbeitung erforderliche Maß beschränkt sein müssen1.
Das Risiko, die Rechte und Freiheiten der betroffenen Personen zu verletzen, die möglicherweise nicht über die Weiterverwendung ihrer Daten durch Ben Knows Best Bescheid wissen oder dieser nicht zustimmen, oder das Risiko, dass Sam unerlaubt auf ihre Daten zugreift und sie kopiert.
Das Risiko der Nichteinhaltung der Anforderungen der Datenschutz-Grundverordnung für die Verarbeitung besonderer Datenkategorien, zu denen auch Daten gehören, aus denen philosophische Überzeugungen und politische Meinungen hervorgehen. Solche Daten dürfen nur unter bestimmten Bedingungen verarbeitet werden, z. B. bei ausdrücklicher Einwilligung, erheblichem öffentlichen Interesse oder Rechtsansprüchen2.
Das Risiko von Datenverstößen oder -verlusten, da die Daten in eine separate Datenbank übertragen, von Sam kopiert und auf den Servern des Unternehmens in Vermont gespeichert werden, die möglicherweise nicht über angemessene Sicherheitsmaßnahmen oder Schutzvorkehrungen verfügen.
Daher würde das Unternehmen höchstwahrscheinlich eine Datenschutz-Folgenabschätzung (DPIA) benötigen, um diese Risiken zu ermitteln und zu mindern. Eine Datenschutz-Folgenabschätzung ist ein Verfahren, das dabei hilft, die Auswirkungen der geplanten Verarbeitungsvorgänge auf den Schutz personenbezogener Daten zu bewerten und die Aufsichtsbehörde zu konsultieren, wenn die Datenschutz-Folgenabschätzung darauf hinweist, dass die Verarbeitung ein hohes Risiko zur Folge hätte, wenn der für die Verarbeitung Verantwortliche keine Maßnahmen zur Minderung des Risikos ergreift3. Die anderen Optionen werden von der Datenschutz-Grundverordnung nicht unbedingt vorgeschrieben, obwohl sie bewährte Praktiken oder Vertragsbedingungen darstellen können. Referenz:
Kostenloser CIPP/E-Studienführer, Seite 32, Abschnitt 4.1.2
CIPP/E-Zertifizierung, Seite 27, Abschnitt 4.1.2
Der ultimative CIPP/E-Studienführer für 2023, Seite 36, Abschnitt 4.1.2
Grundsätze - Allgemeine Datenschutzverordnung (GDPR), Artikel 5
Besondere Kategorien personenbezogener Daten - Allgemeine Datenschutzverordnung (DSGVO), Artikel 9 Datenschutzfolgenabschätzung - Allgemeine Datenschutzverordnung (DSGVO), Artikel 35

NEUE FRAGE 145
SCENARIO
Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben:
TripBliss Inc. ist ein Reisedienstleister, der in den letzten Jahren erhebliche Umsatzeinbußen zu verzeichnen hatte. Der neue Geschäftsführer Oliver vermutet, dass dies zum Teil auf die veraltete Website des Unternehmens zurückzuführen ist. Nach einigen Nachforschungen trifft er sich mit einem Vertriebsmitarbeiter des aufstrebenden IT-Unternehmens Techiva, in der Hoffnung, dass sie eine neue, hochmoderne Website für TripBliss Inc. entwerfen können, deren Geschäft ins Stocken geraten ist.
Während der Verhandlungen beschreibt ein Techiva-Vertreter einen Plan zur Sammlung von mehr Kundeninformationen durch detaillierte Fragebögen, die verwendet werden könnten, um ihre Präferenzen auf bestimmte Reiseziele zuzuschneiden.
TripBliss Inc. kann eine beliebige Anzahl von Datenkategorien - Alter, Einkommen, ethnische Zugehörigkeit - wählen, die ihnen am besten helfen, ihre Ziele zu erreichen. Oliver ist von dieser Idee begeistert, möchte aber auch eine Möglichkeit haben, den Erfolg dieses Ansatzes zu messen, zumal die Kunden in den Fragebögen ihre ausdrückliche Zustimmung zur Erfassung ihrer Daten geben müssen. Der Techiva-Vertreter schlägt vor, ein Programm zur Analyse des Datenverkehrs auf der neuen Website zu starten, um ein besseres Verständnis dafür zu bekommen, wie die Kunden sie nutzen. Er erläutert seinen Plan, eine Reihe von Cookies auf den Geräten der Kunden zu platzieren. Die Cookies werden es dem Unternehmen ermöglichen, IP-Adressen und andere Informationen zu sammeln, z. B. die Websites, von denen die Kunden kamen, wie viel Zeit sie auf der Website von TripBliss Inc. verbringen und welche Seiten der Website sie besuchen. Alle diese Informationen werden in Protokolldateien gesammelt, die Techiva mit Hilfe eines speziellen Programms analysiert. TripBliss Inc. erhält zusammengefasste Statistiken, um die Effektivität der Website zu bewerten. Oliver engagiert Techiva mit Begeisterung für diese Dienstleistungen.
Techiva beauftragt den langjährigen Kundenbetreuer Leon Santos mit dem analytischen Teil des Projekts. Wie üblich erhält Leon Santos Administratorrechte für die Website von TripBliss Inc. und kann den Zugriff auf die dort gesammelten Protokolldateien genehmigen. Zum Unglück für TripBliss Inc. übernimmt Leon dieses neue Projekt jedoch zu einem Zeitpunkt, an dem seine Unzufriedenheit mit Techiva auf einem Höhepunkt ist. Um sich für die seiner Meinung nach ungerechte Behandlung durch das Unternehmen zu rächen, bittet Leon seinen Freund Fred, einen Hobby-Hacker, um Hilfe. Gemeinsam hecken sie folgenden Plan aus: Fred hackt sich in das System von Techiva ein und kopiert die Logdateien auf einen USB-Stick.
Trotz seiner anfänglichen Absicht, den USB-Stick an die Presse und die Datenschutzbehörde zu schicken, um Techiva anzuprangern, gerät Leon in eine Gewissenskrise und überdenkt schließlich seinen Plan. Er beschließt stattdessen, alle Daten auf dem USB-Stick sicher zu löschen und seinem Vorgesetzten mitzuteilen, dass das System der Zugangskontrolle des Unternehmens überdacht werden muss.
Wenn TripBliss Inc. beschließt, den Vorfall nicht der Aufsichtsbehörde zu melden, was wäre dann ihre BESTE Verteidigung?

Die sich daraus ergebende Verpflichtung zur Benachrichtigung der betroffenen Personen wäre mit unverhältnismäßigem Aufwand verbunden.

Der Vorfall ist auf die Handlungen eines Dritten zurückzuführen, die sich ihrer Kontrolle entzogen.

Durch die Vernichtung der gestohlenen Daten ist ein Risiko für die betroffenen Personen unwahrscheinlich.

Die Sensibilität der von dem Vorfall betroffenen Datenkategorien war nicht hoch genug.

NEUE FRAGE 146
Wie lautete das Urteil des Gerichtshofs der Europäischen Union (EuGH) in der Rechtssache Planet 49 in Bezug auf die Frage der Cookies?

Wenn die Cookies keine personenbezogenen Daten aufzeichnen, dann sind vormarkierte Kästchen akzeptabel.

Wenn die Datenschutzrichtlinie für elektronische Kommunikation die Zustimmung zu Cookies vorschreibt, gelten die Zustimmungsanforderungen der Datenschutz-Grundverordnung.

Wenn aus dem Cookie-Hinweis einer Website klar hervorgeht, welche Informationen gesammelt werden und wie lange das Cookie gültig ist, dann sind vorab angekreuzte Kästchen akzeptabel.

Wenn eine betroffene Person nach dem Lesen eines Cookie-Banners weiter durch eine Website scrollt, stellt dies eine gültige Zustimmung zu dem im Cookie-Banner beschriebenen Tracking dar.

NEUE FRAGE 147
Was ist die Folge, wenn ein Auftragsverarbeiter eine unabhängige Entscheidung über die Zwecke und Mittel der Verarbeitung trifft, die er im Auftrag eines für die Verarbeitung Verantwortlichen durchführt?

Der für die Verarbeitung Verantwortliche ist zur Zahlung einer Geldstrafe verpflichtet

Der Auftragsverarbeiter ist verpflichtet, den betroffenen Personen Schadenersatz zu leisten.

Der Auftragsverarbeiter wird in Bezug auf die betreffende Verarbeitung als für die Verarbeitung Verantwortlicher betrachtet

Der für die Verarbeitung Verantwortliche muss nachweisen, dass die unbefugte Verarbeitung eine oder mehrere der betroffenen Parteien beeinträchtigt hat

NEUE FRAGE 148
Die Datenschutzpraktiken eines Online-Unternehmens sind unterschiedlich, da es eine Vielzahl von Dienstleistungen anbietet. Wie könnte es am besten auf die Befürchtung reagieren, dass die Erklärung aller Maßnahmen unverständlich werden würde?

Verwendung eines mehrschichtigen Datenschutzhinweises auf der Website und in der E-Mail-Kommunikation.

Angabe der Datenverwendung in einem Datenschutzhinweis, der der betroffenen Person zugesandt wird.

nur allgemeine Informationen über ihre Verarbeitungstätigkeiten bereitstellen und eine gebührenfreie Nummer für weitere Informationen anbieten.

ein Banner auf ihrer Website zu platzieren, das besagt, dass die Besucher durch den Besuch der Website der Datenschutzrichtlinie und den Nutzungsbedingungen zustimmen.

NEUE FRAGE 149
SCENARIO
Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben:
Sie wurden gerade von einem Spielzeughersteller mit Sitz in Hongkong eingestellt. Das Unternehmen vertreibt eine breite Palette von Puppen, Actionfiguren und Plüschtieren, die international in einer Vielzahl von Einzelhandelsgeschäften zu finden sind. Obwohl der Hersteller keine Niederlassungen außerhalb Hongkongs unterhält und auch kein Personal außerhalb Hongkongs beschäftigt, hat er eine Reihe von lokalen Vertriebsverträgen abgeschlossen. Die von dem Unternehmen hergestellten Spielzeuge sind in allen gängigen Spielwarengeschäften in Europa, den Vereinigten Staaten und Asien zu finden. Ein großer Teil der Einnahmen des Unternehmens stammt aus dem internationalen Verkauf.
Das Unternehmen möchte nun eine neue Reihe von vernetzten Spielzeugen auf den Markt bringen, die mit Kindern sprechen und interagieren können. Der CEO des Unternehmens preist diese Spielzeuge als das nächste große Ding an, da sie mehr Möglichkeiten bieten: Die Figuren können die Fragen der Kinder beantworten: zu verschiedenen Themen, wie mathematische Berechnungen oder das Wetter. Jede Figur ist mit einem Mikrofon und einem Lautsprecher ausgestattet und kann über Bluetooth mit jedem Smartphone oder Tablet verbunden werden. Jedes mobile Gerät in einem Umkreis von 10 Metern kann sich ebenfalls über Bluetooth mit den Spielzeugen verbinden. Die Figuren können auch mit anderen Figuren (desselben Herstellers) verbunden werden und miteinander interagieren, um das Spielerlebnis zu verbessern.
Wenn ein Kind dem Spielzeug eine FRAGE stellt, wird die Anfrage zur Analyse an die Cloud gesendet, und die Antwort wird auf Cloud-Servern generiert und an die Figur zurückgesendet. Die Antwort wird über die integrierten Lautsprecher der Figur gegeben, so dass es den Anschein hat, dass das Spielzeug tatsächlich auf die FRAGE des Kindes antwortet. Die Verpackung des Spielzeugs enthält weder technische Details zur Funktionsweise noch einen Hinweis darauf, dass für diese Funktion eine Internetverbindung erforderlich ist. Die dafür notwendige Datenverarbeitung wurde in ein Rechenzentrum in Südafrika ausgelagert. Ihr Unternehmen hat jedoch seine für den Verbraucher sichtbaren Datenschutzrichtlinien noch nicht dahingehend geändert.
Parallel dazu plant das Unternehmen die Einführung einer neuen Reihe von Spielsystemen, mit denen die Verbraucher die Figuren spielen können, die sie im Laufe des Spiels erwerben. Das System wird mit einem Portal geliefert, das ein NFC-Lesegerät (Near-Field Communications) enthält. Dieses Gerät liest ein RFID-Etikett in der Actionfigur und erweckt diese auf dem Bildschirm zum Leben. Jede Figur hat ihre eigenen Standardfunktionen und -fähigkeiten, aber es ist auch möglich, durch das Erreichen von Spielzielen zusätzliche Fähigkeiten zu erwerben. Die einzigen Informationen, die auf dem Tag gespeichert sind, beziehen sich auf die Fähigkeiten der Figuren. Es ist einfach, während des Spiels zwischen den Figuren zu wechseln, und es ist möglich, die Figur an Orte außerhalb des Hauses zu bringen, ohne dass die Fähigkeiten der Figur verloren gehen.
Welche Praxis sollte das Unternehmen angesichts der Anforderungen von Artikel 32 der Datenschutz-Grundverordnung (in Bezug auf die Sicherheit der Verarbeitung) einführen?

Verschlüsseln Sie die Daten während der Übertragung über die drahtlose Bluetooth-Verbindung.

Fügen Sie vor jeder Nutzung durch ein Kind eine Zwei-Faktor-Authentifizierung ein, um ein Mindestmaß an Sicherheit zu gewährleisten.

Führen Sie vor jeder Nutzung durch ein Kind eine Drei-Faktor-Authentifizierung durch, um die bestmögliche Sicherheit zu gewährleisten.

Aufnahme von Vertragsklauseln in den Vertrag zwischen dem Spielzeughersteller und dem Cloud-Service-Anbieter, da Südafrika außerhalb der Europäischen Union liegt.

Gemäß Artikel 32 der DSGVO müssen der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen ergreifen, um ein Sicherheitsniveau zu gewährleisten, das dem Risiko der Verarbeitung personenbezogener Daten angemessen ist, wobei der Stand der Technik, die Kosten der Umsetzung, die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedliche Wahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen berücksichtigt werden. Die DSGVO enthält auch einige Beispiele für solche Maßnahmen, darunter die Pseudonymisierung und Verschlüsselung personenbezogener Daten, die Fähigkeit, die kontinuierliche Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten zu gewährleisten, die Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Vorfalls zeitnah wiederherzustellen, sowie ein Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
In diesem Szenario verarbeitet das Unternehmen personenbezogene Daten von Kindern, wie z. B. ihre Stimme, Fragen, Vorlieben und ihren Standort, über das angeschlossene Spielzeug, das über eine drahtlose Bluetooth-Verbindung mit Smartphones, Tablets, Cloud-Servern und anderem Spielzeug kommuniziert. Dies birgt ein hohes Risiko für die Sicherheit der Daten, da Bluetooth eine drahtlose Technologie mit kurzer Reichweite ist, die leicht von böswilligen Akteuren abgefangen, gehackt oder kompromittiert werden kann. Daher sollte das Unternehmen die Daten während der Übertragung über die Bluetooth-Verbindung verschlüsseln, um einen unbefugten Zugriff, eine Offenlegung oder Veränderung der Daten zu verhindern. Bei der Verschlüsselung werden Daten mithilfe eines geheimen Schlüssels oder Algorithmus in eine unlesbare Form umgewandelt, die nur von autorisierten Parteien, die über den entsprechenden Schlüssel oder Algorithmus verfügen, rückgängig gemacht werden kann. Durch die Verschlüsselung können die Daten vor dem Zugriff oder der Veränderung durch Personen geschützt werden, die nicht über den Schlüssel oder Algorithmus verfügen, wodurch die Vertraulichkeit und Integrität der Daten gewährleistet wird.
Die anderen Optionen sind falsch, weil:
B) Die Einführung einer Zwei-Faktor-Authentifizierung vor jeder Nutzung durch ein Kind, um ein Mindestmaß an Sicherheit zu gewährleisten, ist keine ausreichende Maßnahme zum Schutz der über die Bluetooth-Verbindung übertragenen Daten. Bei der Zwei-Faktor-Authentifizierung wird die Identität eines Benutzers überprüft, indem zwei Nachweise verlangt werden, z. B. ein Passwort und ein Code, der an ein Telefon oder eine E-Mail gesendet wird. Dies kann zwar die Sicherheit des Benutzerkontos oder des Geräts erhöhen, schützt aber nicht die Daten, die über die drahtlose Verbindung übertragen werden, die immer noch von böswilligen Akteuren abgefangen, gehackt oder gefährdet werden können. Außerdem ist die Zwei-Faktor-Authentifizierung für Kinder, die keinen Zugang zu einem Telefon oder einer E-Mail haben oder ihre Passwörter oder Codes vergessen könnten, möglicherweise nicht geeignet oder bequem.
C) Die Einbeziehung der Drei-Faktor-Authentifizierung vor jeder Nutzung durch ein Kind, um das bestmögliche Sicherheitsniveau zu gewährleisten, ist keine notwendige oder verhältnismäßige Maßnahme zum Schutz der Daten, die über die Bluetooth-Verbindung übertragen werden. Bei der Drei-Faktoren-Authentifizierung wird die Identität eines Benutzers anhand von drei Beweismitteln überprüft, z. B. einem Passwort, einem an ein Telefon oder eine E-Mail gesendeten Code und einem biometrischen Merkmal, wie einem Fingerabdruck oder einem Gesichtsscan. Dies kann zwar ein hohes Maß an Sicherheit für das Konto oder das Gerät des Benutzers bieten, schützt aber nicht die Daten, die über die drahtlose Verbindung übertragen werden, die immer noch von böswilligen Akteuren abgefangen, gehackt oder kompromittiert werden können. Darüber hinaus ist die Drei-Faktor-Authentifizierung für Kinder, die möglicherweise keinen Zugang zu einem Telefon oder einer E-Mail haben, keine zuverlässigen biometrischen Merkmale besitzen oder das Verfahren als zu komplex oder umständlich empfinden, möglicherweise nicht geeignet oder nicht durchführbar.
D) Die Aufnahme von Vertragsklauseln in den Vertrag zwischen dem Spielzeughersteller und dem Cloud-Service-Anbieter ist keine relevante Maßnahme zum Schutz der Daten, die über die Bluetooth-Verbindung übertragen werden, da Südafrika außerhalb der Europäischen Union liegt. Bei Vertragsklauseln handelt es sich um rechtliche Vereinbarungen, in denen die Pflichten und Verantwortlichkeiten der an einer Datenübermittlung beteiligten Parteien festgelegt sind, z. B. das Datenschutzniveau, die Rechte der betroffenen Personen und die Rechtsmittel bei Verstößen. Vertragsklauseln können zwar notwendig sein, um die Einhaltung der Vorschriften bei der Datenübermittlung nach Südafrika zu gewährleisten, da es sich um ein Nicht-EU-Land handelt, das nicht über einen Angemessenheitsbeschluss der Europäischen Kommission verfügt, doch gehen sie nicht auf die Sicherheit der Daten ein, die über eine drahtlose Verbindung übertragen werden, die immer noch von böswilligen Akteuren abgefangen, gehackt oder kompromittiert werden kann. Außerdem sind Vertragsklauseln keine technische oder organisatorische Maßnahme, sondern eine rechtliche Maßnahme, die unter eine andere Bestimmung der Datenschutz-Grundverordnung fällt, nämlich Artikel 46.

NEUE FRAGE 150
Welcher Begriff beschreibt am besten das europäische Modell für den Datenschutz?

Sektorale

Selbstregulierung

Marktbasiert

Umfassend

NEUE FRAGE 151
Artikel 5 Absatz 1 Buchstabe b der Datenschutz-Grundverordnung besagt, dass personenbezogene Daten "für festgelegte eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden" müssen. Welche Auswirkungen hat die Auslegung des Wortes "unvereinbar" durch einen Mitgliedstaat auf der Grundlage von Artikel 5 Absatz 1 Buchstabe b?

Sie schreibt vor, welches Sicherheitsniveau ein Auftragsverarbeiter einhalten muss, wenn er personenbezogene Daten für zwei verschiedene Zwecke verwendet und speichert.

Sie dient den Gerichten als Richtschnur für die Schwere der Folgen für diejenigen, die wegen des vorsätzlichen Missbrauchs personenbezogener Daten verurteilt werden.

Sie setzt den Standard für den Detaillierungsgrad, den ein für die Verarbeitung Verantwortlicher bei der Dokumentation des Zwecks der Erhebung personenbezogener Daten aufzeichnen muss.

Sie gibt an, wie flexibel ein für die Verarbeitung Verantwortlicher personenbezogene Daten in einer Weise nutzen kann, die von der ursprünglichen Zweckbestimmung abweicht.

NEUE FRAGE 152
Ein Angestellter des Unternehmens ABCD hat gerade bemerkt, dass ein Speicherstick mit Kundendaten, darunter Namen, Adressen und vollständige Kontaktangaben, verschwunden ist. Die Daten auf dem Stick sind unverschlüsselt und im Klartext. Zum jetzigen Zeitpunkt ist unklar, was mit dem Stick geschehen ist, aber wahrscheinlich ist er auf der Reise eines Mitarbeiters verloren gegangen. Was sollte das Unternehmen tun?

Benachrichtigen Sie so schnell wie möglich die Datenschutzaufsichtsbehörde, dass eine Verletzung des Datenschutzes stattgefunden haben könnte.

Leiten Sie eine Untersuchung ein und benachrichtigen Sie die Datenschutzaufsichtsbehörde, wenn innerhalb eines Monats nichts gefunden wird.

die Ausnahme des "unverhältnismäßigen Aufwands" gemäß Artikel 33 geltend machen, um die Benachrichtigung der betroffenen Personen aufzuschieben, bis mehr Informationen gesammelt werden können.

Benachrichtigen Sie unverzüglich alle Kunden des Unternehmens, dass ein Unbefugter auf ihre Daten zugegriffen hat.

Die Datenschutz-Grundverordnung schreibt vor, dass der für die Verarbeitung Verantwortliche im Falle einer Verletzung des Schutzes personenbezogener Daten die zuständige Aufsichtsbehörde gemäß Artikel 55 unverzüglich und nach Möglichkeit spätestens 72 Stunden, nachdem er davon Kenntnis erlangt hat, über die Verletzung des Schutzes personenbezogener Daten informiert, es sei denn, die Verletzung des Schutzes personenbezogener Daten wird wahrscheinlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führen1. Eine Verletzung des Schutzes personenbezogener Daten ist eine Verletzung der Sicherheit, die zur zufälligen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Weitergabe oder zum unbefugten Zugang zu übermittelten, gespeicherten oder anderweitig verarbeiteten personenbezogenen Daten führt2. In diesem Szenario ist das Unternehmen ABCD der für die Kundendaten Verantwortliche, und der Verlust des Speichersticks mit unverschlüsselten personenbezogenen Daten im Klartext ist eine Verletzung des Schutzes personenbezogener Daten, die ein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen kann, z. B. Identitätsdiebstahl, Betrug, finanzieller Verlust oder Rufschädigung. Daher sollte das Unternehmen ABCD die Datenschutzaufsichtsbehörde so schnell wie möglich benachrichtigen und die in Artikel 33 Absatz 3 der Datenschutz-Grundverordnung genannten Informationen bereitstellen, wie z. B. die Art der Verletzung, die Kategorien und die Anzahl der betroffenen Personen und der betroffenen personenbezogenen Datensätze, die wahrscheinlichen Folgen der Verletzung und die getroffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung1. Option A ist die richtige Antwort, da sie die Verpflichtung des für die Verarbeitung Verantwortlichen gemäß der Datenschutz-Grundverordnung widerspiegelt. Die Optionen B, C und D sind falsch, da sie nicht den Anforderungen der Datenschutz-Grundverordnung entsprechen. Option B würde die Meldung über die 72-Stunden-Frist hinaus verzögern, was zu Geldbußen oder anderen Sanktionen führen könnte3. Option C würde die Ausnahme des "unverhältnismäßigen Aufwands" missbrauchen, die nur für die Benachrichtigung der betroffenen Personen, nicht aber für die Benachrichtigung der Aufsichtsbehörde gilt, und auch nur dann, wenn der für die Verarbeitung Verantwortliche geeignete technische und organisatorische Schutzmaßnahmen, wie z. B. Verschlüsselung, ergriffen hat, die die personenbezogenen Daten für alle Personen unverständlich machen, die nicht zum Zugriff auf sie berechtigt sind4. Bei Option D würden die Kunden des Unternehmens vorzeitig benachrichtigt, ohne zuvor die Aufsichtsbehörde zu benachrichtigen und ohne die Höhe des Risikos und die Notwendigkeit einer solchen Mitteilung zu bewerten, was in Absprache mit der Aufsichtsbehörde erfolgen sollte5. Verweis: 1: Artikel 33 Absatz 1 der Datenschutz-Grundverordnung 2: Artikel 4 Absatz 12 der DS-GVO 3: Artikel 83 Absatz 4 Buchstabe a der DS-GVO 4: Artikel 34 Absatz 3 Buchstabe a der DS-GVO 5: Artikel 34 Absätze 1 und 2 der DS-GVO

NEUE FRAGE 153
Was trifft zu, wenn ein Arbeitnehmer bei seinem Arbeitgeber einen Antrag auf Zugang zu den über ihn gespeicherten personenbezogenen Daten stellt?

Der Arbeitgeber kann die Anfrage automatisch ablehnen, wenn sie personenbezogene Daten über eine dritte Person enthält.

Der Arbeitgeber kann den Antrag ablehnen, wenn die Informationen nur elektronisch gespeichert sind.

Der Arbeitgeber muss alle über den Arbeitnehmer gespeicherten Informationen zur Verfügung stellen.

Der Arbeitgeber muss alle Informationen über einen Arbeitnehmer weitergeben, es sei denn, es gilt eine Ausnahmeregelung.

NEUE FRAGE 154
Welches der folgenden Konzepte oder Verfahren ergibt sich nach Ansicht des Europäischen Datenschutzausschusses NICHT aus den Grundsätzen für die Verarbeitung personenbezogener Daten im Rahmen des EU-Datenschutzrechts?