MemoCard lernen mit System

Bitte erläutern Sie den Begriff "Pseudonymisieren". (3 Punkte)

die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden

Nennen Sie bitte eine mögliche Maßnahme, welche die Kontrolle eines Auftragnehmers in Ihrem Unternehmen gewährleistet. (1 Punkt)

Vertrag zur Auftragsdatenverarbeitung
bzw. vertragliche Regelung

Welche technischen Einrichtungen im Büroalltag sollte sich der DSB genauer anschauen bzw. hinterfragen? Nennen Sie fünf technische Büro- bzw. Kommunikationsgeräte. (5 Punkte)

Kopierer, Faxgeräte, Scanner, Multifunktionsgeräte, Telefonanlage, Arbeitsplatz-PC, Switch, Router, Smartphone, Tablets

falsch sind bspw.: Überwachungskameras, Schlüsselsysteme, usw.

Sie prüfen eine schriftliche Einwilligung gem. Art. 13 DSGVO des Betroffenen zur Datenerhebung. Worauf müssen Sie achten, damit diese Einwilligung formal-juristisch korrekt ist?

Der Betroffene muss auf die Folgen der "Nichteinwilligung" schriftlich hingewiesen sein. (informed consent)
auf die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung
Der Betroffene muss auf den jederzeit möglichen "Widerruf" schriftlich hingewiesen sein.

Nennen Sie bitte eine mögliche Maßnahme, welche den Zugang zu einem Laptop in Ihrem Unternehmen gewährleisten könnte. (1 Punkt)

ID-Card, Token, Passwort

Ein Auftragsverarbeiter (gem. Art. 28 DSGVO) …

… haftet für seine Auftragsverarbeitung ggf. gegenüber dem Betroffenen. Ihn betrifft auch der Art. 28, Absatz 10, Art. 82 DSGVO.
… muss entweder einen AV-Vertrag unterzeichnen oder durch ein anderes Rechtsinstrument nach Unionsrecht oder dem Recht der Mitgliedsstaaten verpflichtet werden.
Die Verpflichtung durch einen AV-Vertrag oder ein anderes Rechtsinstrument stellt nur eine Empfehlung dar und ist nicht zwingend zu erfüllen.

Nennen Sie drei Konfliktsituationen/ Probleme, die für den internen Datenschutzbeauftragten entstehen können. (3 Punkte)

Mangelnde Zeit; fehlende Aus- und Weiterbildung; fehlende Erfahrung; der Datenschutzbeauftragte muss auf Verletzungen zum Datenschutz hinweisen (Loyalitätsfalle); der Datenschutzbeauftragte kann und darf nicht anweisen (fehlendes Weisungsrecht); Interessenkonflikt bei eigenem Aufgabenbereich; notwendige Ressourcen werden nicht bewilligt

Was bedeutet Weisungsfreiheit und Weisungsrecht des betrieblichen Datenschutzbeauftragten?

Der Datenschutzbeauftragte ist in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei.
Der Datenschutzbeauftragte kann den IT-Leiter anweisen, ein Berechtigungskonzept zu erstellen.

Nennen Sie drei Zieldefinitionen eines Unternehmens zur Risikominimierung. (3 Punkte)

Verlust („Know-How“ / Marktposition), Imageschäden, Monetäre Schäden, Arbeitsrechtliche Konsequenzen, Strafrechtliche Konsequenzen

Wann muss der Verantwortliche im Falle einer Datenerhebung beim Betroffenen seinen Informationspflichten nachkommen?

innerhalb von 72 Stunden
innerhalb eines Monats
bei Erhebung

Welche Angaben beinhaltet die Meldepflicht gem. Art. 33 DSGVO?

eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen
eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze
Handelsregisterauszug-Nr.

Nennen Sie drei Datenkategorien, die gem. Art. 9 DSGVO zu den besonderen Personenbezogenen Daten gehören. (3 Punkte)

rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person,

Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.

Welche Bereiche muss der Datenschutzbeauftragte bei einer "Ortsbegehung" in Augenschein nehmen? Nennen Sie drei. (3 Punkte)

Serverraum. Archiv. Personalabteilung. Unternehmensgelände (wegen Videoüberwachung., Einfriedung, Zugänglichkeit). Zentrale / Information.

Datenübermittlung an Drittstaaten: In welcher Unterlage/ Register muss ein Unternehmen dies festlegen?

Technisch-Organisatorische Maßnahmen
Verarbeitungsübersicht

Wer hat das Verzeichnis von Verarbeitungstätigkeiten zu erstellen?

der/die Datenschutzbeauftragte
die Aufsichtsbehörde
der Verantwortliche

Was ist bei der Erstellung "Verbindlicher, konzernweiter Regelungen für den internationalen Datentransfer" (Binding Corporate Rules) zu beachten

Die Aufsichtsbehörden müssen hierzu einwilligen.
Die Aufsichtsbehörden müssen nicht einwilligen.

Welche Vorteile hat ein "externer Datenschutzbeauftragter" gegenüber einem "internen Datenschutzbeauftragten"? Nennen Sie drei. (3 Punkte

1. verfügt über unternehmensübergreifendes Fachwissen
2. hat die nötigen Dokumente ggfs. bereits vorbereitet
3. hat Kenntnisse in der Umsetzung des Datenschutzes
4. hat umfangreichere Erfahrung und Kenntnisse in der Umsetzung des Datenschutzes
5. ist nicht betriebsblind
6. ist nicht durch andere Aufgaben (Teilzeit-DSB) im Unternehmen gebunden
7. i.d.R. keine Weiterbildungskosten

Wem gegenüber macht der Betroffene seine Betroffenenrechte geltend, wenn die Daten im Rahmen einer Auftragsverarbeitung verarbeitet werden?

dem Verantwortlichen
der Aufsichtsbehörde
dem Auftragsverarbeiter

Die Personaldaten auf dem Rechner des Betriebsrates unterliegen zwingend der Kontrolle durch den Datenschutzbeauftragten. Diese Aussage ist:

Richtig
Falsch

Wer ist für die RECHTMÄSSIGKEIT einer im Auftrag durchgeführten Verarbeitung verantwortlich?

der Betroffene, sofern er in die Verarbeitung ausdrücklich eingewilligt hat
der Auftragsverarbeiter
die Aufsichtsbehörde
der Verantwortliche

Eine Einbindung des Datenschutzbeauftragten in die Kommunikationskette eines Unternehmens können Sie gewährleisten durch:

Organisationsanweisung
Mailumleitungen aller Mitarbeiter-Mailkonten auf Ihr eigenes Mail-Postfach

Lernkarten Info

TÜV-Prüfung zum Datenschutzbeauftragten, Set 7