Diese Seite wurde exportiert von Exams Labs Braindumps [ http://blog.examslabs.com ] Exportdatum:Thu Nov 28 18:30:02 2024 / +0000 GMT ___________________________________________________ Titel: TAKE Certified Information Privacy Professional CIPP-E PRACTICE QUESTIONS FOR AMAZING RESULTS [Q88-Q106] --------------------------------------------------- TAKE Certified Information Privacy Professional CIPP-E PRACTICE QUESTIONS FOR AMAZING RESULTS IAPP CIPP-E Exam Dumps sind unerlässlich, um gute Noten zu erhalten FRAGE 88Die Datenschutz-Grundverordnung verpflichtet die für die Verarbeitung Verantwortlichen, den betroffenen Personen ausführliche Informationen über die Verarbeitung ihrer Daten zur Verfügung zu stellen. Wenn ein für die Verarbeitung Verantwortlicher die Daten direkt von den betroffenen Personen erhält, welche der folgenden Informationen müssen rechtlich NICHT bereitgestellt werden? Die Empfänger oder Kategorien von Empfängern. Die Kategorien der betroffenen personenbezogenen Daten. Die Rechte auf Auskunft, Löschung, Einschränkung und Übertragbarkeit. Das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen. Referenz https://gdpr-info.eu/art-13-gdpr/QUESTION 89SCENARIBitte beantworten Sie die folgende Frage:Jason, ein langjähriger Kunde der ABC-Versicherung, war vor einigen Monaten in einen kleinen Autounfall verwickelt. Obwohl niemand verletzt wurde, wurde Jason von SMS und Anrufen einer Firma namens Erbium Insurance geplagt, die ihm anbot, ihm bei der Entschädigung von Personenschäden zu helfen. Jason hat davon gehört, dass Versicherungsunternehmen Kundendaten an Dritte verkaufen, und er ist überzeugt, dass Erbium seine Daten von ABC erhalten haben muss.Jason erhält auch immer mehr Marketinginformationen von ABC, die ihm die gesamte Palette ihrer Versicherungspolicen verkaufen wollen.Beunruhigt darüber hat Jason begonnen, sich Preisvergleichsseiten im Internet anzusehen und musste schockiert feststellen, dass andere Versicherer viel günstigere Tarife anbieten als ABC, obwohl er seit vielen Jahren ein treuer Kunde ist. Um seinen neuen Versicherungsvertrag zu aktivieren, muss Jason Xentron Informationen über seinen Schadensfreiheitsrabatt, sein Fahrzeug und sein Fahrverhalten zur Verfügung stellen. Nachdem er sich über seine Rechte gemäß der Datenschutz-Grundverordnung informiert hat, bittet er ABC schriftlich, seine Daten direkt an Xentron zu übermitteln. ABC stellt Jason eine PDF- und eine XML-Version (Extensible Markup Language) seiner Schadensfreiheitsbescheinigung zur Verfügung, teilt ihm aber mit, dass es seine Daten nicht direkt an Xentron übermitteln kann, da dies technisch nicht machbar sei. ABC erklärt auch, dass Jasons Vertrag eine Klausel enthielt, in der er zustimmte, dass seine Daten für Marketingzwecke verwendet werden dürfen; laut ABC ist es für Jason zu spät, seine Meinung diesbezüglich zu ändern. Jason ist verärgert, als er sich an den Wortlaut des Vertrags erinnert, der mit juristischem Fachjargon gespickt und sehr verwirrend war. Er schreibt an Erbium und bittet um den Namen der Organisation, die seine Daten an sie weitergegeben hat. Er warnt Erbium, dass er vorhat, sich bei der Datenschutzbehörde zu beschweren, weil er glaubt, dass das Unternehmen seine Daten unrechtmäßig verwendet hat. In seinem Schreiben heißt es, dass er nicht möchte, dass seine Daten in irgendeiner Weise von Erbium verwendet werden. Erbium ist eine hundertprozentige Tochtergesellschaft von ABC und hat von ABC Informationen über Jasons Unfall erhalten, kurz nachdem Jason seinen Unfallantrag gestellt hatte.Erbium versichert Jason, dass kein Verstoß gegen die Datenschutz-Grundverordnung vorliegt, da Jasons Vertrag eine Klausel enthielt, in der er zustimmte, seine Daten zu Geschäftszwecken an die ABC-Tochtergesellschaften weiterzugeben.Jason ist empört über die Art und Weise, wie er von ABC behandelt wurde, und fordert in einem Schreiben, dass alle seine Daten aus ihrem Computersystem gelöscht werden.Welche Aussage fasst die Verpflichtung von ABC in Bezug auf Jasons Antrag auf Datenübertragbarkeit richtig zusammen? ABC ist nicht verpflichtet, Jasons Daten an Xentron zu übermitteln, wenn dies technisch nicht machbar ist. ABC ist nicht verpflichtet, Jasons Daten an Xentron zu übermitteln, da das Recht auf Datenübertragbarkeit nicht gilt, wenn personenbezogene Daten verarbeitet werden, um Aufgaben im öffentlichen Interesse zu erfüllen. ABC ist der Pflicht zur Übermittlung von Jasons Daten an Xentron nicht nachgekommen, weil diese Pflicht immer dann gilt, wenn personenbezogene Daten automatisiert verarbeitet werden und für die Erfüllung eines Vertrags mit dem Kunden erforderlich sind. ABC ist der Pflicht zur Übermittlung von Jasons Daten an Xentron nicht nachgekommen, weil das Unternehmen verpflichtet ist, allgemein verwendete, maschinenlesbare und interoperable Formate zu entwickeln, damit alle Kundendaten auf Anfrage an andere Versicherer übertragen werden können. FRAGE 90Ein für die Datenverarbeitung Verantwortlicher ernennt einen Datenschutzbeauftragten. Welche der folgenden Bedingungen würde NICHT zu einem Verstoß gegen die Artikel 37 bis 39 der Datenschutz-Grundverordnung führen? Wenn der Datenschutzbeauftragte keine Zertifizierung als ISO 27001-Auditor besitzt. Wenn der Datenschutzbeauftragte vom Datenverarbeiter gestellt wird. Wenn der Datenschutzbeauftragte auch das Marketingbudget verwaltet. Wenn der Datenschutzbeauftragte Anweisungen vom für die Datenverarbeitung Verantwortlichen erhält. Referenz https://www.itgovernance.eu/fr-lu/data-protection-officer-dpo-under-the-gdpr-luQUESTION 91Welche der folgenden Befugnisse der Aufsichtsbehörde gehören zu den Untersuchungsbefugnissen? Den für die Verarbeitung Verantwortlichen oder den Auftragsverarbeiter über einen mutmaßlichen Verstoß gegen die DSGVO zu informieren. Zu verlangen, dass für die Verarbeitung Verantwortliche oder Auftragsverarbeiter zugelassene Datenschutz-Zertifizierungsmechanismen anwenden. Feststellung, ob ein für die Verarbeitung Verantwortlicher oder ein Auftragsverarbeiter das Recht auf einen gerichtlichen Rechtsbehelf gegen eine gegen ihn ergangene Entschädigungsentscheidung hat. Die für die Datenverarbeitung Verantwortlichen sollen verpflichtet werden, ihnen alle neuen Verarbeitungstätigkeiten schriftlich zu melden. Referenz https://gdpr-info.eu/art-58-gdpr/QUESTION 92SCENARIBitte beantworten Sie die nächste Frage wie folgt:WonderkKids bietet einen Online-Buchungsdienst für Kinderbetreuung. Wonderkids hat seinen Sitz in Frankreich, betreibt seine Website aber über ein Unternehmen in der Schweiz. Im Rahmen seines Dienstes gibt Wonderkids alle ihm zur Verfügung gestellten personenbezogenen Daten an den Anbieter der Kinderbetreuung weiter, die über sein System gebucht wird. Zu den auf der Website erfassten personenbezogenen Daten gehören der Name der Person, die die Kinderbetreuung bucht, Adresse und Kontaktdaten sowie Informationen über die zu betreuenden Kinder wie Name, Alter, Geschlecht und Gesundheitsdaten. In der Datenschutzerklärung auf der Wonderkids-Website heißt es: "WonderkKids stellt die Informationen, die Sie uns über diese Website mitteilen, Ihrem Kinderbetreuungsanbieter aus Gründen der Terminplanung sowie der Gesundheit und Sicherheit zur Verfügung. Wir können Ihre persönlichen Daten und die Ihres Kindes auch für unsere eigenen legitimen Geschäftszwecke verwenden, und wir beauftragen einen Drittanbieter mit Sitz in der Schweiz mit der Speicherung der Daten. Alle Daten, die auf Geräten in der Schweiz gespeichert werden, entsprechen den Bestimmungen der Europäischen Kommission zur Gewährleistung eines angemessenen Schutzes der persönlichen Daten von Ihnen und Ihrem Kind. Wir werden Ihre persönlichen Daten und die Ihres Kindes nur an Unternehmen weitergeben, die unserer Meinung nach einen echten Mehrwert für Sie darstellen. Indem Sie uns personenbezogene Daten zur Verfügung stellen, erklären Sie sich damit einverstanden, dass wir diese an verbundene Unternehmen weitergeben und Ihnen Werbeangebote zusenden.""Wir dürfen die personenbezogenen Daten von Ihnen und Ihrem Kind nicht länger als 28 Tage aufbewahren, danach werden die Daten entpersonalisiert, es sei denn, Ihre personenbezogenen Daten werden für einen legitimen Geschäftszweck über die 28 Tage hinaus verwendet, in diesem Fall dürfen sie bis zu zwei Jahre aufbewahrt werden.""Wir verarbeiten die personenbezogenen Daten von Ihnen und Ihrem Kind mit Ihrer Zustimmung. Wenn Sie sich entscheiden, uns bestimmte Informationen nicht zur Verfügung zu stellen, können Sie unsere Dienste möglicherweise nicht nutzen. Sie haben das Recht: Zugang zu Ihren personenbezogenen Daten und denen Ihres Kindes zu verlangen; Ihre personenbezogenen Daten oder die Ihres Kindes zu berichtigen oder zu löschen; das Recht auf Berichtigung oder Löschung Ihrer und/oder der personenbezogenen Daten Ihres Kindes; Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten und die Ihres Kindes. Sie haben auch das Recht, sich bei der Aufsichtsbehörde über unsere Datenverarbeitungsaktivitäten zu beschweren". Was muss der Vertrag zwischen WonderKids und dem Hosting-Dienstleister enthalten? Die Verpflichtung, technische und organisatorische Maßnahmen zum Schutz der Daten zu ergreifen. Mustervertragsklauseln zwischen für die Verarbeitung Verantwortlichen und für die Verarbeitung Verantwortlichen. Kontrollrechte für die betroffenen Personen. Eine Vertraulichkeitsvereinbarung. FRAGE 93Bioface ist ein Unternehmen mit Sitz in den Vereinigten Staaten. Es hat keine Server, Mitarbeiter oder Vermögenswerte in der Europäischen Union. Es sammelt Fotos aus sozialen Medien und anderen webbasierten Diensten wie Zeitungen und Blogs und verwendet maschinelles Lernen, um einen Algorithmus zur Gesichtserkennung zu entwickeln. Der Algorithmus identifiziert auf der Grundlage des Algorithmus und der vorhandenen Daten Personen auf Fotos, die nicht in seinem Datensatz enthalten sind. Der Dienst sammelt Fotos von betroffenen Personen in der Europäischen Union und identifiziert sie, wenn er ihre Fotos vorlegt. Bioface bietet seinen Dienst Regierungsbehörden und Unternehmen in den Vereinigten Staaten und Kanada an, nicht aber in der Europäischen Union. Warum unterliegt Bioface dem territorialen Anwendungsbereich der allgemeinen Datenschutzverordnung? Das Unternehmen sammelt Daten von Websites in der Europäischen Union, was eine Niederlassung in der Europäischen Union darstellt. Es bietet Dienstleistungen in der Europäischen Union an, indem es die betroffenen Personen in der Europäischen Union identifiziert. Sie erhebt Daten von betroffenen Personen und verwendet sie für die automatisierte Verarbeitung. Sie überwacht das Verhalten der betroffenen Personen in der Europäischen Union. FRAGE 94 In den Leitlinien von 2016 bekräftigte das britische Information Commissioner's Office (ICO), wie wichtig es ist, einen "mehrschichtigen Hinweis" zu verwenden, der den betroffenen Personen was bietet? Einen Datenschutzhinweis, der kurze Informationen enthält und gleichzeitig Zugang zu weiteren Details bietet. Einen Datenschutzhinweis, in dem die Folgen einer Ablehnung der Verwendung von Cookies auf einer Website erläutert werden. Eine Erläuterung der Sicherheitsmaßnahmen, die bei der Übermittlung personenbezogener Daten an eine dritte Partei angewandt werden. Ein wirksames Mittel zur Erteilung der schriftlichen Zustimmung in den Mitgliedstaaten, in denen dies vorgeschrieben ist. ErläuterungFRAGE 95Welcher Mechanismus, der neu in der Datenschutz-Grundverordnung ist, ermöglicht nun die Übermittlung personenbezogener Daten an Drittländer gemäß Artikel 42? Zugelassene Zertifizierungen. Verbindliche Unternehmensregeln. Ersuchen der Strafverfolgungsbehörden. Standardvertragsklauseln. Referenz https://www.anonos.com/gdpr-chapter-5-transfers-of-personal-data-to-third-countries-or- international-organisationsQUESTION 96SCENARIOPLUSBitte beantworten Sie die folgende Frage:Building Block Inc. ist ein multinationales Unternehmen mit Hauptsitz in Chicago und Niederlassungen in den Vereinigten Staaten, Asien und Europa (einschließlich Deutschland, Italien, Frankreich und Portugal). Im vergangenen Jahr wurde das Unternehmen Opfer eines Phishing-Angriffs, der zu einer erheblichen Datenpanne führte. Der Vorstand beschloss in Abstimmung mit dem Geschäftsführer, dem Datenschutzbeauftragten und dem Informationssicherheitsteam, zusätzliche Sicherheitsmaßnahmen zu ergreifen. Dazu gehörten Schulungsprogramme zur Sensibilisierung der Mitarbeiter, ein Cybersicherheitsaudit und der Einsatz eines neuen Softwaretools namens SecurityScan, das die Computer der Mitarbeiter daraufhin überprüft, ob sie über Software verfügen, die nicht mehr von einem Anbieter unterstützt wird und daher keine Sicherheitsupdates erhält. Da diese Maßnahmen potenziell Auswirkungen auf die Mitarbeiter haben könnten, beschloss das Datenschutzbüro von Building Block, eine allgemeine Mitteilung an alle Mitarbeiter herauszugeben, in der darauf hingewiesen wurde, dass das Unternehmen eine Reihe von Initiativen zur Verbesserung der Informationssicherheit und zur Verhinderung künftiger Datenschutzverletzungen durchführen wird. Der Geschäftsführer wies das Sicherheitsteam in die Verwendung von SecurityScan ein, um die Computeraktivitäten der Mitarbeiter und ihren Standort zu überwachen. Während dieser Aktivitäten entdeckte das Informationssicherheitsteam, dass ein Mitarbeiter aus Italien täglich eine Verbindung zu einer Videothek mit Filmen herstellte und ein anderer aus Deutschland ohne Genehmigung aus der Ferne arbeitete. Das Sicherheitsteam meldete diese Vorfälle dem Datenschutzbüro und dem Generaldirektor. Aufgrund der Schwere dieser Verstöße beschloss das Unternehmen, gegen beide Mitarbeiter disziplinarische Maßnahmen zu ergreifen, da die Sicherheits- und Datenschutzrichtlinien des Unternehmens es den Mitarbeitern untersagten, Software auf den Computern des Unternehmens zu installieren und ohne Genehmigung aus der Ferne zu arbeiten.Wie sollte Building Block die Situation mit dem Mitarbeiter aus Italien am besten handhaben? Da die Datenschutz-Grundverordnung in diesem Fall nicht gilt, wäre das Unternehmen berechtigt, jede nach italienischem Arbeitsrecht zulässige Disziplinarmaßnahme anzuwenden. Da der Mitarbeiter ein ernsthaftes Risiko für die Leistung des Servers und seine Daten darstellte, wäre das Unternehmen berechtigt, Disziplinarmaßnahmen gegen diesen Mitarbeiter zu ergreifen, einschließlich einer ordentlichen Entlassung. Da der Mitarbeiter nicht darüber informiert wurde, dass die Sicherheitsmaßnahmen zu anderen Zwecken wie der Überwachung verwendet werden, könnte das Unternehmen Schwierigkeiten haben, Disziplinarmaßnahmen gegen diesen Mitarbeiter zu ergreifen. Da es sich um einen schwerwiegenden Verstoß handelte, der Mitarbeiter aber nicht angemessen über die Folgen der neuen Sicherheitsmaßnahmen informiert wurde, wäre das Unternehmen berechtigt, einige Disziplinarmaßnahmen zu ergreifen, aber nicht zu entlassen. FRAGE 97Welches Organ ist befugt, Feststellungen zu treffen, die die Angemessenheit des Datenschutzniveaus in einem Nicht-EU-Land bestätigen? Das Europäische Parlament Die Europäische Kommission Die Artikel-29-Datenschutzgruppe Der Europäische Rat Referenz https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/ adequacy-decisions_enQUESTION 98Welche der folgenden Länder war das erste, das 1973 ein nationales Gesetz zum Datenschutz einführte? Frankreich Schweden Deutschland Vereinigtes Königreich Referenz https://scandinavianlaw.se/pdf/47-18.pdfQUESTION 99Eine Grundschule plant die Verwendung von Gesichtserkennung, um die Anwesenheit der Schüler zu verfolgen. Welche der folgenden Punkte können eine rechtmäßige Grundlage für diese Verarbeitung darstellen? Die Schule bringt in der Nähe jeder Kamera einen Hinweis an. Die Schule holt die ausdrückliche Zustimmung der Schüler ein. Die Verarbeitung ist für die von der Schule verfolgten legitimen Interessen erforderlich. Ein staatliches Gesetz schreibt die Gesichtserkennung vor, um die Anwesenheit zu überprüfen. Referenz https://www.jdsupra.com/legalnews/let-s-face-it-facial-recognition-1134180/QUESTION 100Welche Aussage ist richtig, wenn man das Recht auf Privatsphäre gemäß Artikel 8 der Europäischen Menschenrechtskonvention (EMRK) betrachtet? Das Recht auf Privatsphäre ist ein absolutes Recht Das Recht auf Privatsphäre muss gegen andere Rechte der EMRK abgewogen werden. Das Recht auf freie Meinungsäußerung gemäß Artikel 10 der EMRK hat immer Vorrang vor dem Recht auf Privatsphäre Das Recht auf Privatsphäre schützt das Recht, Meinungen zu vertreten und Ideen ohne Einmischung zu empfangen und weiterzugeben. Referenz https://www.echr.coe.int/Documents/Guide_Art_8_ENG.pdf (15)FRAGE 101Welcher Satz fasst am BESTEN die Begriffe "Fairness", "Rechtmäßigkeit" und "Transparenz" zusammen, wie sie in Artikel 5 der Datenschutz-Grundverordnung ausdrücklich gefordert werden? Fairness und Transparenz beziehen sich auf die Übermittlung von Schlüsselinformationen vor der Datenerhebung; Rechtmäßigkeit bezieht sich auf die Einhaltung von staatlichen Vorschriften. Fairness bezieht sich auf die Begrenzung der Menge an Daten, die von Einzelpersonen gesammelt werden; Rechtmäßigkeit bezieht sich auf die Genehmigung von Unternehmensrichtlinien durch den Staat; Transparenz bezieht sich ausschließlich auf die Mitteilung von Schlüsselinformationen vor der Datenerhebung. Fairness bezieht sich auf die Sicherheit personenbezogener Daten; Rechtmäßigkeit und Transparenz beziehen sich auf die Analyse von Verordnungen, um sicherzustellen, dass sie einheitlich durchgesetzt werden. Fairness bezieht sich auf die Erhebung von Daten verschiedener Personen; Rechtmäßigkeit bezieht sich auf die Notwendigkeit einheitlicher rechtlicher Regelungen; Transparenz bezieht sich auf den Zugang des Einzelnen zu seinen Daten. ErläuterungFRAGE 102Was war das Ziel der Europäischen Datenschutzrichtlinie 95/46/EG? Die Umsetzung der Europäischen Menschenrechtskonvention in allen Mitgliedsstaaten zu harmonisieren. Die Umsetzung der OECD-Leitlinien zum Schutz der Privatsphäre und des grenzüberschreitenden Verkehrs personenbezogener Daten. Vollständige Verhinderung der Übermittlung personenbezogener Daten aus der Europäischen Union heraus. Den Schutz der Grundrechte des Einzelnen und den freien Datenfluss von einem Mitgliedstaat in einen anderen weiter in Einklang zu bringen. Referenz https://www.oecd.org/sti/ieconomy/oecd_privacy_framework.pdf (3)FRAGE 103Was muss ein für die Verarbeitung Verantwortlicher tun, um personenbezogene Daten zu pseudonymisieren? Er muss alle Informationen, die eine Verknüpfung der Daten mit der betroffenen Person ermöglichen, gesondert aufbewahren. Die Daten verschlüsseln, um unbefugten Zugriff oder Änderungen zu verhindern. Entfernen Sie alle indirekten Datenidentifikatoren und entsorgen Sie sie sicher. Verwenden Sie die Daten nur in aggregierter Form für Forschungszwecke. FRAGE 104Wie werden pseudonyme personenbezogene Daten gemäß der Datenschutz-Grundverordnung definiert? Daten, die nicht mehr einer bestimmten betroffenen Person zugeordnet werden können, ohne dass zusätzliche, getrennt aufbewahrte Informationen verwendet werden. Daten, die nicht mehr einer bestimmten betroffenen Person zugeordnet werden können, ohne dass die Möglichkeit besteht, die Daten erneut zu identifizieren. Daten, die in einer Weise anonymisiert wurden, dass die betroffene Person nicht mehr identifizierbar ist. Daten, die verschlüsselt wurden oder anderen technischen Sicherheitsvorkehrungen unterworfen sind. Erläuterung/Referenz: https://www.chino.io/blog/what-is-pseudonymous-data-according-to-the-gdpr/QUESTION 105SCENARIBitte beantworten Sie die nächste Frage wie folgt:Anna und Frank arbeiten beide an der Universität Granchester. Anna ist als Juristin für den Datenschutz zuständig, während Frank als Dozent im Fachbereich Technik tätig ist. Die Universität führt eine Reihe von Unterlagen: Studentenunterlagen, einschließlich Namen, Matrikelnummern, Wohnadressen, Informationen über die Zeit vor dem Studium, Anwesenheits- und Leistungsnachweise, Angaben zu besonderen Bildungsbedürfnissen und finanzielle Informationen.Personalunterlagen, einschließlich autobiografischer Materialien (wie Lebensläufe, berufliche Kontaktdateien, Beurteilungen von Studenten und andere relevante Lehrdateien).Absolventenunterlagen, einschließlich Geburtsorte, Geburtsjahre, Daten der Immatrikulation und der Verleihung von Abschlüssen. Diese Daten sind für ehemalige Studenten zugänglich, nachdem sie sich über das Alumni-Portal von Granchester registriert haben. Aufzeichnungen des Bildungsministeriums, aus denen hervorgeht, wie bestimmte demografische Gruppen (z. B. Studenten der ersten Generation) im Durchschnitt vorankommen werden. Im Rahmen ihrer Sicherheitsrichtlinien verschlüsselt die Universität alle personenbezogenen Daten während der Übertragung und im Ruhezustand. Um seinen Unterricht zu verbessern, möchte Frank untersuchen, wie seine Studenten der Ingenieurwissenschaften im Verhältnis zu den Erwartungen des Bildungsministeriums abschneiden. Er hat an einer Datenschutzschulung von Anna teilgenommen und weiß, dass er nicht mehr personenbezogene Daten als nötig verwenden sollte, um sein Ziel zu erreichen. Er erstellt ein Programm, das nur einige Studentendaten exportiert: die zuvor besuchten Schulen, die ursprünglich erzielten Noten, die aktuell erzielten Noten und die erstmals besuchte Universität. Er möchte die Datensätze auf der Ebene des einzelnen Schülers aufbewahren. Mit Rücksicht auf Annas Ausbildung lässt Frank die Schülernummern durch einen Algorithmus laufen, um sie in verschiedene Referenznummern umzuwandeln. Eine von Annas Aufgaben ist es, die Aufzeichnung der Verarbeitungstätigkeiten zu vervollständigen, wie es die Datenschutzgrundverordnung verlangt. Nachdem sie ihre Erinnerungs-E-Mail erhalten hat, wie in der DSGVO vorgeschrieben. Nach Erhalt ihrer Erinnerungs-E-Mail informiert Frank Anna über seine Leistungsdatenbank.Ann erklärt Frank, dass die Universität nicht nur die personenbezogenen Daten minimieren, sondern auch prüfen muss, ob diese neue Verwendung bestehender Daten zulässig ist. Sie vermutet auch, dass gemäß der Datenschutz-Grundverordnung möglicherweise eine Risikoanalyse