FRAGE 88
Die Datenschutz-Grundverordnung verpflichtet die für die Verarbeitung Verantwortlichen, den betroffenen Personen ausführliche Informationen über die Verarbeitung ihrer Daten zur Verfügung zu stellen. Wenn ein für die Verarbeitung Verantwortlicher die Daten direkt von den betroffenen Personen erhält, welche der folgenden Informationen müssen rechtlich NICHT bereitgestellt werden?

FRAGE 89
SCENARIO
Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben:
Jason, ein langjähriger Kunde der ABC-Versicherung, war vor ein paar Monaten in einen leichten Autounfall verwickelt.
Obwohl niemand verletzt wurde, wird Jason von SMS und Anrufen einer Firma namens Erbium Insurance geplagt, die ihm anbietet, ihm bei der Entschädigung von Personenschäden zu helfen. Jason hat davon gehört, dass Versicherungsunternehmen Kundendaten an Dritte verkaufen, und er ist überzeugt, dass Erbium seine Informationen von ABC erhalten haben muss.
Jason hat auch vermehrt Marketinginformationen von ABC erhalten, die ihm die gesamte Palette ihrer Versicherungspolicen verkaufen wollen.
Jason ist darüber beunruhigt und schaut sich im Internet Preisvergleichsseiten an. Er ist schockiert, dass andere Versicherer viel günstigere Tarife anbieten als ABC, obwohl er seit vielen Jahren ein treuer Kunde ist. Als seine ABC-Police erneuert werden muss, beschließt er, zu Xentron Insurance zu wechseln.
Um seinen neuen Versicherungsvertrag zu aktivieren, muss Jason Xentron Informationen über seinen Schadensfreiheitsrabatt, sein Fahrzeug und sein Fahrverhalten übermitteln. Nachdem er sich über seine Rechte nach der Datenschutz-Grundverordnung informiert hat, bittet er ABC schriftlich, seine Daten direkt an Xentron zu übermitteln. Bei dieser Gelegenheit fordert er ABC auch auf, seine personenbezogenen Daten nicht mehr für Marketingzwecke zu verwenden.
ABC stellt Jason eine PDF- und eine XML-Version (Extensible Markup Language) seiner Unbedenklichkeitsbescheinigung zur Verfügung, teilt ihm jedoch mit, dass es seine Daten nicht direkt an Xentron übermitteln kann, da dies technisch nicht machbar ist. ABC erklärt auch, dass Jasons Vertrag eine Klausel enthielt, in der er zustimmte, dass seine Daten für Marketingzwecke verwendet werden dürfen; laut ABC ist es für Jason zu spät, seine Meinung diesbezüglich zu ändern. Jason ist verärgert, wenn er sich an den Wortlaut des Vertrags erinnert, der mit juristischem Fachjargon gespickt und sehr verwirrend war.
In der Zwischenzeit erhält Jason immer noch unerwünschte Anrufe von Erbium Insurance. Er schreibt an Erbium und bittet um den Namen der Organisation, die seine Daten an sie weitergegeben hat. Er warnt Erbium, dass er vorhat, sich bei der Datenschutzbehörde zu beschweren, weil er glaubt, dass das Unternehmen seine Daten unrechtmäßig verwendet hat. In seinem Schreiben erklärt er, dass er nicht möchte, dass seine Daten in irgendeiner Weise von Erbium verwendet werden.
Das Antwortschreiben von Erbium bestätigt Jasons Verdacht. Erbium ist die hundertprozentige Tochtergesellschaft von ABC und erhielt von ABC Informationen über Jasons Unfall, kurz nachdem Jason seinen Unfallantrag gestellt hatte.
Erbium versichert Jason, dass kein Verstoß gegen die Datenschutz-Grundverordnung vorliegt, da Jasons Vertrag eine Klausel enthielt, in der er zustimmte, seine Daten zu Geschäftszwecken an die mit ABC verbundenen Unternehmen weiterzugeben.
Jason ist angewidert von der Art und Weise, wie er von ABC behandelt wurde, und schreibt ihnen, dass alle seine Daten aus ihrem Computersystem gelöscht werden müssen.
Welche Aussage fasst die Verpflichtung von ABC in Bezug auf Jasons Antrag auf Datenübertragbarkeit genau zusammen?

FRAGE 90
Ein für die Datenverarbeitung Verantwortlicher ernennt einen Datenschutzbeauftragten. Welche der folgenden Bedingungen würde NICHT zu einem Verstoß gegen die Artikel 37 bis 39 der Datenschutz-Grundverordnung führen?

FRAGE 91
Welcher der folgenden Punkte gehört zu den Untersuchungsbefugnissen der Aufsichtsbehörde?

FRAGE 92
SCENARIO
Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben:
WonderkKids bietet einen Online-Buchungsservice für Kinderbetreuung. Wonderkids hat seinen Sitz in Frankreich, betreibt seine Website aber über ein Unternehmen in der Schweiz. Im Rahmen seiner Dienstleistung gibt Wonderkids alle ihm zur Verfügung gestellten personenbezogenen Daten an den über sein System gebuchten Kinderbetreuungsanbieter weiter. Zu den auf der Website erfassten personenbezogenen Daten gehören der Name der Person, die die Kinderbetreuung bucht, Adresse und Kontaktdaten sowie Informationen über die zu betreuenden Kinder wie Name, Alter, Geschlecht und Gesundheitsdaten. Die Datenschutzerklärung auf der Wonderkids-Website besagt Folgendes:
"WonderkKids stellt die Informationen, die Sie uns über diese Website zur Verfügung stellen, Ihrem Kinderbetreuer aus Gründen der Terminplanung und der Gesundheit und Sicherheit zur Verfügung. Wir können Ihre persönlichen Daten und die Ihres Kindes auch für unsere eigenen legitimen Geschäftszwecke verwenden und beauftragen einen Drittanbieter mit Sitz in der Schweiz mit der Speicherung der Daten. Alle Daten, die auf Geräten in der Schweiz gespeichert werden, entsprechen den Bestimmungen der Europäischen Kommission zur Gewährleistung eines angemessenen Schutzes Ihrer persönlichen Daten und der Ihres Kindes. Wir werden Ihre persönlichen Daten und die Ihres Kindes nur an Unternehmen weitergeben, die unserer Meinung nach einen echten Mehrwert für Sie darstellen. Indem Sie uns personenbezogene Daten zur Verfügung stellen, erklären Sie sich damit einverstanden, dass diese an verbundene Unternehmen weitergegeben werden und wir Ihnen Werbeangebote zusenden dürfen.
"Wir dürfen Ihre persönlichen Daten und die Ihres Kindes nicht länger als 28 Tage aufbewahren, danach werden die Daten entpersonalisiert, es sei denn, Ihre persönlichen Daten werden für einen legitimen Geschäftszweck über die 28 Tage hinaus verwendet, dann dürfen sie bis zu zwei Jahre aufbewahrt werden."
"Wir verarbeiten die personenbezogenen Daten von Ihnen und Ihrem Kind mit Ihrer Zustimmung. Wenn Sie sich dafür entscheiden, uns bestimmte Informationen nicht zur Verfügung zu stellen, können Sie unsere Dienste möglicherweise nicht nutzen. Sie haben das Recht: Zugang zu Ihren personenbezogenen Daten und denen Ihres Kindes zu verlangen; Ihre personenbezogenen Daten oder die Ihres Kindes zu berichtigen oder zu löschen; das Recht auf Berichtigung oder Löschung Ihrer und/oder der personenbezogenen Daten Ihres Kindes; Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten und der Ihres Kindes. Sie haben auch das Recht, sich bei der Aufsichtsbehörde über unsere Datenverarbeitungsaktivitäten zu beschweren". Was muss der Vertrag zwischen WonderKids und dem Hosting-Dienstleister enthalten?

FRAGE 93
Bioface ist ein Unternehmen mit Sitz in den Vereinigten Staaten. Es hat keine Server, Mitarbeiter oder Vermögenswerte in der Europäischen Union. Es sammelt Fotos aus sozialen Medien und anderen webbasierten Diensten wie Zeitungen und Blogs und verwendet maschinelles Lernen, um einen Algorithmus zur Gesichtserkennung zu entwickeln. Der Algorithmus identifiziert auf der Grundlage des Algorithmus und der vorhandenen Daten Personen auf Fotos, die nicht in seinem Datensatz enthalten sind. Der Dienst sammelt Fotos von betroffenen Personen in der Europäischen Union und identifiziert sie, wenn er ihre Fotos vorlegt. Bioface bietet seinen Dienst Regierungsbehörden und Unternehmen in den Vereinigten Staaten und Kanada an, nicht aber in der Europäischen Union. Bioface bietet den Dienst nicht für Privatpersonen an.
Warum unterliegt Bioface dem territorialen Anwendungsbereich der allgemeinen Datenschutzverordnung?

FRAGE 94
In den Leitlinien aus dem Jahr 2016 bekräftigte das britische Information Commissioner's Office (ICO), wie wichtig es ist, einen "mehrschichtigen Hinweis" zu verwenden, um den betroffenen Personen Folgendes mitzuteilen?

FRAGE 95
Welcher Mechanismus, der neu in der Datenschutz-Grundverordnung ist, ermöglicht nun die Übermittlung personenbezogener Daten an Drittländer gemäß Artikel 42?

FRAGE 96
SCENARIO
Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben:
Building Block Inc. ist ein multinationales Unternehmen mit Hauptsitz in Chicago und Niederlassungen in den Vereinigten Staaten, Asien und Europa (einschließlich Deutschland, Italien, Frankreich und Portugal). Im vergangenen Jahr wurde das Unternehmen Opfer eines Phishing-Angriffs, der zu einem erheblichen Datenverlust führte. Der Vorstand beschloss daraufhin in Abstimmung mit dem Geschäftsführer, dem Datenschutzbeauftragten und dem Informationssicherheitsteam, zusätzliche Sicherheitsmaßnahmen zu ergreifen. Dazu gehörten Schulungsprogramme zur Sensibilisierung der Mitarbeiter, ein Cybersicherheitsaudit und der Einsatz eines neuen Softwaretools namens SecurityScan, das die Computer der Mitarbeiter daraufhin überprüft, ob sie über Software verfügen, die nicht mehr von einem Anbieter unterstützt wird und daher keine Sicherheitsupdates erhält. Diese Software bietet jedoch auch andere Funktionen, darunter die Überwachung der Computer der Mitarbeiter.
Da diese Maßnahmen möglicherweise Auswirkungen auf die Mitarbeiter haben würden, beschloss das Datenschutzbüro von Building Block, eine allgemeine Mitteilung an alle Mitarbeiter herauszugeben, in der darauf hingewiesen wird, dass das Unternehmen eine Reihe von Initiativen zur Verbesserung der Informationssicherheit und zur Verhinderung künftiger Datenschutzverletzungen durchführen wird.
Nach der Umsetzung dieser Maßnahmen nahm die Serverleistung ab. Der Geschäftsführer wies das Sicherheitsteam in die Verwendung von SecurityScan ein, um die Computeraktivitäten der Mitarbeiter und deren Standort zu überwachen.
Dabei entdeckte das Informationssicherheitsteam, dass ein Mitarbeiter aus Italien täglich eine Verbindung zu einer Videothek mit Filmen herstellte und ein anderer Mitarbeiter aus Deutschland ohne Genehmigung aus der Ferne arbeitete. Das Sicherheitsteam meldete diese Vorfälle dem Datenschutzbüro und dem Generaldirektor. In seinem Bericht kam das Team zu dem Schluss, dass der Mitarbeiter aus Italien der Grund für den Leistungsabfall des Servers war.
Aufgrund der Schwere dieser Verstöße beschloss das Unternehmen, gegen beide Mitarbeiter disziplinarische Maßnahmen zu ergreifen, da die Sicherheits- und Datenschutzpolitik des Unternehmens es den Mitarbeitern untersagte, Software auf den Computern des Unternehmens zu installieren und ohne Genehmigung aus der Ferne zu arbeiten.
Wie sollte Building Block die Situation mit dem Mitarbeiter aus Italien am besten angehen?

FRAGE 97
Welche Institution ist befugt, Feststellungen zu treffen, die die Angemessenheit des Datenschutzniveaus in einem Nicht-EU-Land bestätigen?

FRAGE 98
Welches der folgenden Länder war das erste, das 1973 ein nationales Datenschutzgesetz in Kraft setzte?

FRAGE 99
Eine Grundschule plant den Einsatz von Gesichtserkennung, um die Anwesenheit der Schüler zu erfassen. Welche der folgenden Angaben kann eine rechtmäßige Grundlage für diese Verarbeitung darstellen?

FRAGE 100
Welche Aussage zum Recht auf Privatsphäre gemäß Artikel 8 der Europäischen Menschenrechtskonvention (EMRK) ist richtig?

FRAGE 101
Welcher Satz fasst am BESTEN die Begriffe "Fairness", "Rechtmäßigkeit" und "Transparenz" zusammen, wie sie in Artikel 5 der Datenschutz-Grundverordnung ausdrücklich gefordert werden?

FRAGE 102
Was war das Ziel der Europäischen Datenschutzrichtlinie 95/46/EG?

FRAGE 103
Was muss ein für die Datenverarbeitung Verantwortlicher tun, um personenbezogene Daten zu pseudonymisieren?

FRAGE 104
Wie werden pseudonyme personenbezogene Daten nach der Datenschutz-Grundverordnung definiert?

FRAGE 105
SCENARIO
Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben:
Anna und Frank arbeiten beide an der Universität Granchester. Anna ist als Juristin für den Datenschutz zuständig, während Frank als Dozent im Fachbereich Technik tätig ist. Die Universität verwaltet eine Reihe von Aufzeichnungen:
Studentenakten, einschließlich Namen, Matrikelnummern, Wohnadressen, Informationen über die Zeit vor dem Studium, Anwesenheits- und Leistungsnachweise an der Universität, Einzelheiten über besondere Bildungsbedürfnisse und finanzielle Informationen.
Unterlagen des Personals, einschließlich autobiografischer Materialien (z. B. Lehrpläne, Akten zu beruflichen Kontakten, Beurteilungen von Studenten und andere relevante Unterrichtsakten).
Alumni-Datensätze, einschließlich Geburtsorte, Geburtsjahre, Daten der Immatrikulation und der Verleihung von Abschlüssen. Diese Daten sind für ehemalige Studenten nach der Registrierung über das Alumni-Portal von Granchester zugänglich. Aufzeichnungen des Bildungsministeriums, aus denen hervorgeht, wie bestimmte demografische Gruppen (z. B. Studenten der ersten Generation) im Durchschnitt vorankommen könnten. Diese Aufzeichnungen enthalten keine Namen oder Identifikationsnummern.
Im Rahmen ihrer Sicherheitspolitik verschlüsselt die Universität alle personenbezogenen Datensätze während der Übertragung und im Ruhezustand.
Um seinen Unterricht zu verbessern, möchte Frank untersuchen, wie seine Ingenieurstudenten im Vergleich zu den Erwartungen des Bildungsministeriums abschneiden. Er hat an einer Datenschutzschulung von Anna teilgenommen und weiß, dass er nicht mehr personenbezogene Daten als nötig verwenden sollte, um sein Ziel zu erreichen. Er erstellt ein Programm, das nur einige Studentendaten exportiert: die zuvor besuchten Schulen, die ursprünglich erzielten Noten, die aktuell erzielten Noten und die erstmals besuchte Universität. Er möchte die Datensätze auf der Ebene des einzelnen Schülers aufbewahren. Mit Rücksicht auf Annas Ausbildung lässt Frank die Schülernummern durch einen Algorithmus laufen, um sie in verschiedene Referenznummern umzuwandeln. Er verwendet jedes Mal denselben Algorithmus, so dass er jeden Datensatz im Laufe der Zeit aktualisieren kann.
Eine von Annas Aufgaben ist es, das Verzeichnis der Verarbeitungstätigkeiten zu vervollständigen, wie es die DSGVO vorschreibt. Nach Erhalt ihrer E-Mail-Erinnerung, wie in der DSGVO vorgeschrieben. Nach Erhalt ihrer Erinnerungs-E-Mail informiert Frank Anna über seine Leistungsdatenbank.
Ann erklärt Frank, dass die Universität nicht nur personenbezogene Daten auf ein Minimum reduzieren, sondern auch prüfen muss, ob diese neue Verwendung bestehender Daten zulässig ist. Sie vermutet auch, dass nach der Datenschutz-Grundverordnung möglicherweise eine Risikoanalyse durchgeführt werden muss, bevor die Datenverarbeitung stattfinden kann. Anna vereinbart, dies mit Frank weiter zu besprechen, nachdem sie einige zusätzliche Recherchen angestellt hat.
Frank möchte in seiner Freizeit an seiner Analyse arbeiten und überträgt sie daher auf seinen privaten Laptop (der nicht verschlüsselt ist). Als Frank den Laptop mit in die Universität nimmt, verliert er ihn leider im Zug. Frank muss sich an diesem Tag mit Anna treffen, um die kompatible Verarbeitung zu besprechen. Er weiß, dass er Sicherheitsvorfälle melden muss, also beschließt er, Anna gleichzeitig von seinem verlorenen Laptop zu erzählen.
Anna wird feststellen, dass eine Risikoanalyse in dieser Situation NICHT notwendig ist, solange?

FRAGE 106
Unter welchen Umständen könnte die "soft opt-in"-Regel in Bezug auf Direktmarketing gelten?