Gehen Sie davon aus, IAPP CIPP-E Dumps PDF werden die besten Ergebnisse [Q129-Q150]

FRAGE 129
Welche Verpflichtung hat ein für die Verarbeitung Verantwortlicher oder ein Auftragsverarbeiter, wenn er einen Datenschutzbeauftragten bestellt hat?

Sicherstellung, dass der Datenschutzbeauftragte ausreichende Anweisungen für die Ausübung seiner Aufgaben erhält.

Bereitstellung der erforderlichen Mittel zur Erfüllung der festgelegten Aufgaben des Datenschutzbeauftragten und zur Aufrechterhaltung seines Fachwissens.

Sicherstellung, dass der Datenschutzbeauftragte als einziger Ansprechpartner für Fragen der Bürger zu ihren personenbezogenen Daten fungiert.

dem Datenschutzbeauftragten einen Verhaltenskodex zur Genehmigung vorzulegen, der die organisatorischen Praktiken regelt und die Einhaltung der Datenschutzgrundsätze nachweist.

FRAGE 130
Gemäß Artikel 30 der Datenschutz-Grundverordnung sind die für die Verarbeitung Verantwortlichen verpflichtet, Aufzeichnungen über alle folgenden Punkte zu führen AUSSER?

Vorfälle von Verletzungen des Schutzes personenbezogener Daten, unabhängig davon, ob sie veröffentlicht wurden oder nicht.

Dateninventarisierung oder Datenkartierung, die bereits durchgeführt wurden.

Kategorien von Empfängern, an die die personenbezogenen Daten weitergegeben wurden.

Aufbewahrungsfristen für das Löschen und die Löschung von Kategorien personenbezogener Daten.

FRAGE 131
Welche Aussage zum Recht auf Privatsphäre gemäß Artikel 8 der Europäischen Menschenrechtskonvention (EMRK) ist richtig?

Das Recht auf Privatsphäre ist ein absolutes Recht

Das Recht auf Privatsphäre muss gegen andere Rechte gemäß der EMRK abgewogen werden

Das Recht auf freie Meinungsäußerung gemäß Artikel 10 der EMRK hat immer Vorrang vor dem Recht auf Privatsphäre

Das Recht auf Privatsphäre schützt das Recht, Meinungen zu vertreten und Ideen ungehindert zu empfangen und weiterzugeben.

FRAGE 132
Wie wird die Vorratsspeicherung von Kommunikationsverkehrsdaten zu Strafverfolgungszwecken im europäischen Datenschutzrecht behandelt?

Die Datenschutzrichtlinie für elektronische Kommunikation erlaubt es den einzelnen EU-Mitgliedstaaten, eine solche Datenspeicherung vorzunehmen.

Die Datenschutzrichtlinie für elektronische Kommunikation harmonisiert die Vorschriften der EU-Mitgliedstaaten zur Vorratsdatenspeicherung.

Durch die Aufhebung der Richtlinie über die Vorratsdatenspeicherung ist eine solche Datenspeicherung nun zulässig.

Die Datenschutz-Grundverordnung erlaubt die Speicherung solcher Daten nur zur Verhütung, Ermittlung, Feststellung oder Verfolgung von Straftaten.

Die Datenschutzrichtlinie für elektronische Kommunikation ist eine Richtlinie der Europäischen Union (EU), die darauf abzielt, die Vertraulichkeit der elektronischen Kommunikation zu schützen und deren willkürliches Abfangen oder Abhören zu verhindern. Sie wurde im Jahr 2002 verabschiedet und 2009 geändert. Sie gilt für alle Anbieter von elektronischen Kommunikationsdiensten, wie Internetdienstanbieter, Mobilfunkbetreiber und Online-Plattformen12.
Eines der Hauptziele der Datenschutzrichtlinie für elektronische Kommunikation ist es, sicherzustellen, dass die Vorratsspeicherung von Kommunikationsverkehrsdaten zu Strafverfolgungszwecken strengen Bedingungen und Garantien unterliegt. Unter Kommunikationsverkehrsdaten versteht man alle Informationen über die Übertragung oder Weiterleitung elektronischer Kommunikation, wie IP-Adressen, Zeitstempel und Metadaten3. Solche Daten können von den zuständigen nationalen Behörden für die Verhütung, Ermittlung, Feststellung oder Verfolgung von Straftaten und den Schutz der nationalen Sicherheit verwendet werden4.
Die Datenschutzrichtlinie für elektronische Kommunikation erlaubt es den einzelnen EU-Mitgliedstaaten jedoch nicht, eine solche Vorratsdatenspeicherung vorzunehmen, ohne ihre Vorschriften zu harmonisieren. In Artikel 6 Absatz 1 Buchstabe b der Richtlinie heißt es: "Die Mitgliedstaaten stellen sicher, dass die von ihnen getroffenen Maßnahmen zur Vorratsspeicherung von Verkehrsdaten mit dieser Richtlinie im Einklang stehen". Daher muss jeder EU-Mitgliedstaat ein nationales Gesetz verabschieden, das den in der Richtlinie festgelegten Anforderungen und Beschränkungen entspricht12.
Die Richtlinie über die Vorratsdatenspeicherung (Data Retention Directive, DRD) war eine frühere EU-Richtlinie, die darauf abzielte, einen gemeinsamen Rahmen für die Vorratsspeicherung von Kommunikationsverkehrsdaten zu Strafverfolgungszwecken in allen EU-Mitgliedstaaten zu schaffen. Sie wurde im Jahr 2006 verabschiedet und 2010 geändert. Sie wurde jedoch 2014 vom Gerichtshof der Europäischen Union (EuGH) aus verfahrensrechtlichen Gründen für nichtig erklärt. Der EuGH stellte fest, dass einige Bestimmungen der DRD nicht mit anderen EU-Richtlinien und -Grundsätzen vereinbar sind, wie etwa Artikel 8 Absatz 2 der Charta der Grundrechte (GRC), der den Einzelnen vor willkürlichen Eingriffen in seine Privatsphäre schützt56.
Die DSGVO ist eine neue EU-Verordnung, die mit ihren Bestimmungen über die Verarbeitung personenbezogener Daten einige Aspekte der Datenschutzrichtlinie in nationales Recht umsetzt. Sie befasst sich jedoch nicht direkt mit der Frage der Vorratsspeicherung von Kommunikationsverkehrsdaten zu Strafverfolgungszwecken. Stattdessen werden die Anbieter verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein Sicherheitsniveau zu gewährleisten, das dem mit der Verarbeitung personenbezogener Daten verbundenen Risiko angemessen ist. Zu diesen Maßnahmen gehören Verschlüsselung, Pseudonymisierung, Zugangskontrolle und Rechenschaftspflicht7 . Die Datenschutz-Grundverordnung räumt dem Einzelnen auch bestimmte Rechte in Bezug auf seine personenbezogenen Daten ein, wie das Recht auf Auskunft, Berichtigung, Löschung, Übertragbarkeit und Widerspruch7 .
Daher gibt es nach geltendem EU-Recht keine einheitliche Rechtsgrundlage für die Vorratsspeicherung von Kommunikationsverkehrsdaten zu Strafverfolgungszwecken in allen EU-Mitgliedstaaten. Jeder Mitgliedstaat muss sein eigenes nationales Recht verabschieden, das die in der Datenschutzrichtlinie für elektronische Kommunikation festgelegten Grundsätze und Einschränkungen beachtet.
Referenz:
Datenschutzrichtlinie für elektronische Kommunikation
Datenschutzverordnung für elektronische Kommunikation
Was sind Kommunikationsverkehrsdaten?
Wie werden die Daten des Kommunikationsverkehrs gespeichert?
Richtlinie über die Vorratsdatenspeicherung
Richtlinie zur Vorratsdatenspeicherung vom EuGH für nichtig erklärt
Allgemeine Datenschutzverordnung
Welche Rechte haben Sie in Bezug auf Ihre personenbezogenen Daten?

FRAGE 133
MagicClean ist ein webbasierter Dienst mit Sitz in den Vereinigten Staaten, der Reinigungsdienste für Haushalte an Kunden vermittelt. Das Unternehmen bietet seine Dienste ausschließlich in den Vereinigten Staaten an. Es nutzt einen Auftragsverarbeiter in Frankreich, um seine Daten zu optimieren. Unterliegt MagicClean der DSGVO?

Ja, denn MagicClean verarbeitet Daten in der EU

Ja, denn der Datenverarbeitungsvertrag von MagicClean mit dem französischen Auftragsverarbeiter ist eine Niederlassung in der EU.

Nein, denn MagicClean ist nur in den Vereinigten Staaten ansässig.

Nein, denn MagicClean bietet keine Dienstleistungen für betroffene Personen in der EU an.

FRAGE 134
SCENARIO
Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben:
T-Craze, ein in Deutschland ansässiges Unternehmen für Spezial-T-Shirts, verkaufte erfolgreich in deutschen Großstädten. Nach einer kürzlich erfolgten Fusion mit einem anderen in Deutschland ansässigen Unternehmen, das auf einem breiteren europäischen Markt tätig ist, hat T-Craze seine Marketingbemühungen überarbeitet, um ein breiteres Publikum anzusprechen. Zu diesen Bemühungen gehörte eine komplette Neugestaltung des Logos, um die kürzliche Fusion widerzuspiegeln, sowie Verbesserungen der Website, um durch die Verwendung von Cookies mehr Informationen über die Besucher zu erfassen.
T-Craze eröffnete außerdem verschiedene Niederlassungen in ganz Europa, um sein Geschäft zu erweitern. Während der Hauptsitz von T-Craze und das Hauptbüro für Produktdesign weiterhin in Deutschland angesiedelt sind, ist die französische Tochtergesellschaft nun für alle Marketing- und Vertriebsaktivitäten zuständig. Vor kurzem beauftragte die französische Tochtergesellschaft Right Target, ein renommiertes Marketingunternehmen mit Sitz auf den Philippinen, mit der Durchführung ihrer jüngsten Marketingkampagne. Nach gründlichen Untersuchungen stellte Right Target fest, dass T-Craze bei Kunden im Alter zwischen 18 und 22 Jahren am erfolgreichsten ist. Daher richtete sich die erste Kampagne an Universitätsstudenten in mehreren europäischen Hauptstädten, was T-Craze in einem Quartal fast 40% neue Kunden einbrachte. Right Target führte auch spätere Kampagnen für T-Craze durch, allerdings mit deutlich geringerem Erfolg.
Die letzten beiden Kampagnen bezogen sich auf eine breitere demografische Gruppe und führten zu unzähligen Abmeldeanfragen, darunter auch eine große Anzahl in Spanien. Die spanische Datenschutzbehörde erhielt sogar eine Beschwerde von Sofia, einer Investmentbankerin in der Mitte ihrer Laufbahn. Sofia war verärgert, nachdem sie eine Marketingmitteilung erhalten hatte, obwohl sie solche Mitteilungen von Right Target im Namen von T-Craze abbestellt hatte.
Welche der folgenden Stellen ist die federführende Aufsichtsbehörde von T-Craze?

Deutschland, denn dort hat T-Craze seinen Hauptsitz.

Frankreich, da T-Craze dort die Verarbeitung personenbezogener Daten durchführt.

Spanien, denn das ist der Hauptmarkt von T-Craze, wie die Marketingkampagnen zeigen.

T-Craze kann seine federführende Aufsichtsbehörde dort wählen, wo eine seiner Tochtergesellschaften ihren Sitz hat, da das Unternehmen in mehreren europäischen Ländern vertreten ist.

FRAGE 135
SCENARIO
Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben:
Die Hotelkette ABC und das Reisebüro XYZ sind multinationale Unternehmen mit Sitz in den USA. Sie nutzen eine gemeinsame internetbasierte Plattform für die Erfassung und den Austausch ihrer Kundendaten, um ihre Marketingaktivitäten zu integrieren. Darüber hinaus vereinbaren sie, welche Daten gespeichert werden sollen, wie Reservierungen gebucht und bestätigt werden und wer Zugriff auf die gespeicherten Daten hat.
Mike, der in der EU wohnt, hat in der Vergangenheit über das Reisebüro XYZ Reisen gebucht, um in den Hotels der ABC Hotelkette zu übernachten. Das XYZ-Reisebüro bietet ein Prämienprogramm an, bei dem Kunden Punkte sammeln können, die später für kostenlose Reisen eingelöst werden können. Mike hat die Vereinbarung zur Teilnahme am Rewards-Programm unterzeichnet.
Nun möchte Mike wissen, welche persönlichen Daten das Unternehmen über ihn besitzt. Er schickt eine E-Mail, in der er Zugang zu seinen Daten beantragt, um seine Rechte als Betroffener wahrzunehmen.
Welche Rolle spielen die Hotelkette ABC und das Reisebüro XYZ in dieser Beziehung?

ABC Hotelkette ist der für die Verarbeitung Verantwortliche und XYZ Reisebüro ist der Auftragsverarbeiter.

Das Reisebüro XYZ ist der für die Verarbeitung Verantwortliche und die Hotelkette ABC ist der Auftragsverarbeiter.

Die Hotelkette ABC und das Reisebüro XYZ sind unabhängige für die Verarbeitung Verantwortliche.

Die Hotelkette ABC und das Reisebüro XYZ sind gemeinsam für die Verarbeitung verantwortlich.

FRAGE 136
Was ist nach der DSGVO die Hauptaufgabe eines Datenschutzbeauftragten (DSB)?

Erstellung und Pflege von Aufzeichnungen über Verarbeitungstätigkeiten.

Durchführung von Datenschutz-Folgenabschätzungen im Auftrag des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters.

Überwachung der Einhaltung anderer lokaler oder europäischer Datenschutzbestimmungen.

Schaffung von Verfahren zur Meldung von Verletzungen des Schutzes personenbezogener Daten an die zuständigen Aufsichtsbehörden.

FRAGE 137
Nach dem Austritt aus der EU im Rahmen des Brexit wird das Vereinigte Königreich eine Angemessenheitsprüfung beantragen. Was ist der Grund dafür?

Der Versicherungskommissar stellte fest, dass eine Angemessenheitsprüfung nach dem Datenschutzgesetz erforderlich ist.

Die Angemessenheitsbestimmungen werden automatisch hinfällig, wenn ein Mitgliedstaat die EU verlässt.

Das Vereinigte Königreich ist jetzt ein Drittland, weil es nicht mehr der Datenschutz-Grundverordnung unterliegt.

Das Vereinigte Königreich ist jetzt, da es nicht mehr Teil der Union ist, weniger vertrauenswürdig.

Die DSGVO gilt für die Verarbeitung personenbezogener Daten im Zusammenhang mit den Tätigkeiten einer Niederlassung eines für die Verarbeitung Verantwortlichen oder eines Auftragsverarbeiters in der EU, unabhängig davon, ob die Verarbeitung in der EU stattfindet oder nicht. Die DSGVO gilt auch für die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der EU befinden, durch einen für die Verarbeitung Verantwortlichen oder einen Auftragsverarbeiter, der nicht in der EU niedergelassen ist, wenn die Verarbeitungstätigkeiten im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen an diese betroffenen Personen in der EU oder mit der Überwachung ihres Verhaltens stehen, soweit ihr Verhalten innerhalb der EU stattfindet1. Daher wurde das Vereinigte Königreich nach dem Austritt aus der EU im Rahmen des Brexit zu einem Drittland im Sinne der DSGVO, was bedeutet, dass die Übermittlung personenbezogener Daten aus der EU in das Vereinigte Königreich den Vorschriften für internationale Datenübermittlungen gemäß Kapitel V der DSGVO unterliegt2. Um die Kontinuität und Stabilität des Datenverkehrs zwischen der EU und dem Vereinigten Königreich zu gewährleisten, beantragte das Vereinigte Königreich bei der Europäischen Kommission einen Angemessenheitsbeschluss, mit dem formal anerkannt wird, dass ein Drittland ein Datenschutzniveau bietet, das dem der EU gleichwertig ist3. Am 28. Juni 2021 nahm die Europäische Kommission zwei Angemessenheitsbeschlüsse für das Vereinigte Königreich an: einen für Übermittlungen im Rahmen der Datenschutz-Grundverordnung und einen für Übermittlungen im Rahmen der Strafverfolgungsrichtlinie (LED)4. Diese Beschlüsse ermöglichen den ungehinderten Fluss personenbezogener Daten aus der EU in das Vereinigte Königreich, ohne dass weitere Schutzmaßnahmen erforderlich sind, und werden voraussichtlich bis zum 27. Juni 2025 gelten, sofern sie nicht vorher geändert, ausgesetzt oder aufgehoben werden5. Referenz:
GDPR, Artikel 3
GDPR, Kapitel V
Angemessenheit des Datenschutzes für Nicht-EU-Länder, Abschnitt "Angemessenheitsbeschlüsse" Die britische Regierung begrüßt die Entwürfe der Europäischen Kommission für Angemessenheitsbeschlüsse Angemessenheit, Abschnitt "Was besagt der Angemessenheitsbeschluss der EU-Grundverordnung?"

FRAGE 138
Wie lange muss ein für die Verarbeitung Verantwortlicher gemäß Artikel 14 der Datenschutz-Grundverordnung einer betroffenen Person die erforderlichen Datenschutzinformationen zur Verfügung stellen, wenn die personenbezogenen Daten dieser Person aus anderen Quellen stammen?

So schnell wie möglich nach Erhalt der persönlichen Daten.

So schnell wie möglich nach der ersten Mitteilung an die betroffene Person.

Innerhalb einer angemessenen Frist nach Erhalt der personenbezogenen Daten, spätestens jedoch innerhalb eines Monats.

Innerhalb einer angemessenen Frist nach Erhalt der personenbezogenen Daten, spätestens jedoch innerhalb von acht Wochen.

FRAGE 139
In welchem Fall müsste ein für die Verarbeitung Verantwortlicher, der eine DPA durchgeführt hat, höchstwahrscheinlich eine Aufsichtsbehörde konsultieren?

Wenn die Datenschutzfolgenabschätzung ergibt, dass personenbezogene Daten in andere Länder außerhalb des EWR übermittelt werden müssen.

Wenn die Datenschutzfolgenabschätzung hohe Risiken für die Rechte und Freiheiten von Personen aufzeigt, kann der für die Verarbeitung Verantwortliche Maßnahmen ergreifen, um diese zu verringern.

Wenn in der Datenschutzfolgenabschätzung festgestellt wird, dass bei der vorgeschlagenen Verarbeitung sensible Daten von EU-Bürgern erhoben werden.

Wenn die Folgenabschätzung Risiken aufzeigt, die eine Versicherung zum Schutz der Geschäftsinteressen erforderlich machen.

FRAGE 140
SCENARIO
Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben:
Liem, ein Online-Händler, der für seine umweltfreundlichen Schuhe bekannt ist, hat vor kurzem seine Präsenz in Europa erweitert. In dem Bestreben, den Markt zu dominieren, schloss sich Liem mit einem anderen umweltfreundlichen Unternehmen, EcoMick, zusammen, das Accessoires wie Gürtel und Taschen verkauft. Gemeinsam entwarfen die Unternehmen eine Reihe von Marketingkampagnen, die die ökologischen und wirtschaftlichen Vorteile ihrer Produkte hervorheben sollten. Nach monatelanger Planung schlossen Liem und EcoMick eine Vereinbarung über die gemeinsame Nutzung derselben Marketingdatenbank, MarketIQ, um die Kampagnen an ihre jeweiligen Kontakte zu senden.
Liem und EcoMick schlossen außerdem eine Datenverarbeitungsvereinbarung mit MarketIQ ab, die vorsah, personenbezogene Daten nur auf Anweisung von Liem und EcoMick zu verarbeiten und ihnen alle Informationen zur Verfügung zu stellen, die erforderlich sind, um die Einhaltung der Verpflichtungen aus der DSGVO nachzuweisen.
Liem und EcoMick beauftragten daraufhin das Unternehmen JaphSoft, eine Firma für Marketingoptimierung, die Unternehmen mit Hilfe von maschinellem Lernen bei der Durchführung erfolgreicher Kampagnen unterstützt. Die Kunden stellen JaphSoft die personenbezogenen Daten der Personen zur Verfügung, die in jeder Kampagne angesprochen werden sollen. Um den Schutz der Daten seiner Kunden zu gewährleisten, setzt JaphSoft die technischen und organisatorischen Maßnahmen ein, die sie für angemessen hält. JaphSoft arbeitet an der kontinuierlichen Verbesserung ihrer Machine-Learning-Modelle, indem sie die Daten, die sie von ihren Kunden erhält, analysiert, um die erfolgreichsten Komponenten einer erfolgreichen Kampagne zu ermitteln. Diese Modelle nutzt JaphSoft dann bei der Bereitstellung von Dienstleistungen für seine Kunden. Da sich die Modelle erst im Laufe der Zeit verbessern, wenn mehr Informationen gesammelt werden, gibt es bei JaphSoft keinen Löschungsprozess für die Daten, die sie von ihren Kunden erhält. Um jedoch die Einhaltung der Datenschutzbestimmungen zu gewährleisten, pseudonymisiert JaphSoft die personenbezogenen Daten, indem sie identifizierende Informationen aus den Kontaktinformationen entfernt. Die Ingenieure von JaphSoft bewahren jedoch alle Kontaktinformationen in derselben Datenbank auf wie die identifizierenden Informationen.
Im Rahmen seiner Vereinbarung mit Liem und EcoMick erhielt JaphSoft Zugang zu MarketIQ, das Kontaktinformationen sowie frühere Käufe dieser Kontakte enthielt, um Kampagnen zu erstellen, die zu den meisten Aufrufen der Websites der beiden Unternehmen führen würden. Eine frühere Kundin von Liem, Frau Iman, erhielt von JaphSoft eine Marketingkampagne, die sowohl die neuesten Produkte von Liem als auch von EcoMick anpries. Frau Iman erinnert sich zwar daran, dass sie ein Kästchen angekreuzt hat, um in Zukunft Informationen über die Produkte von Liem zu erhalten, aber sie hat nie bei EcoMick eingekauft und auch keine persönlichen Daten an dieses Unternehmen weitergegeben.
Welche der folgenden Aussagen beschreibt am besten die Beziehung zwischen Liem, EcoMick und JaphSoft?

Liem ist ein für die Verarbeitung Verantwortlicher und EcoMick ist ein Auftragsverarbeiter, da Liem spezifische Anweisungen für die Durchführung der Marketingkampagnen erteilt.

EcoMick und JaphSoft sind ein für die Verarbeitung Verantwortlicher und Liem ist ein Auftragsverarbeiter, da EcoMick seine Marketingdaten für Kontakte in Europa mit Liem teilt.

JaphSoft ist der einzige Auftragsverarbeiter, da es personenbezogene Daten im Auftrag seiner Kunden verarbeitet.

Liem und EcoMick sind gemeinsam für die Verarbeitung Verantwortliche, da sie gemeinsame Marketingaktivitäten durchführen.

FRAGE 141
SCENARIO
Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben:
Jane Stan ist in ihrer neuen Rolle als Datenschutzbeauftragte (DSB) bei einem in Malta ansässigen Unternehmen tätig, das es jedem ermöglicht, über seine Online-Plattform Kryptowährungen zu kaufen und zu verkaufen. Das Unternehmen speichert und verarbeitet die personenbezogenen Daten seiner Kunden in einem speziellen Rechenzentrum (Malta |EU).
Personen, die mit Kryptowährungen handeln möchten, müssen ein Online-Konto auf der Plattform eröffnen. Anschließend müssen sie eine KYC-Due-Diligence-Prüfung erfolgreich durchlaufen, um Geldwäsche zu verhindern und die Einhaltung der geltenden Finanzvorschriften zu gewährleisten.
Die nicht-europäischen Kunden müssen außerdem auf alle ihre Rechte aus der DSGVO verzichten, indem sie einen fettgedruckten Disclaimer lesen und auf einer separaten Seite ein Kästchen ankreuzen, um ihr Konto auf der Plattform zu genehmigen.
Die Kunden müssen ebenfalls die Nutzungsbedingungen der Plattform akzeptieren. Die Nutzungsbedingungen enthalten auch einen Abschnitt zum Datenschutz, in dem es unter anderem heißt, dass, wenn ein Was ist möglicherweise falsch mit dem in der AWS-Cloud betriebenen Backup-System?

Die AWS-Server befinden sich in der EU, aber in einem anderen Land als der Hauptsitz des Unternehmens.

Es ist rechtswidrig, personenbezogene Daten in einer Cloud zu verarbeiten, wenn die Cloud nicht von einer zuständigen Aufsichtsbehörde als GOPR-konform zertifiziert ist.

Der Zeitraum für die Datenspeicherung muss geändert werden, und es muss eine Datenverarbeitungsvereinbarung mit AWS unterzeichnet werden.

AWS ist ein US-amerikanisches Unternehmen, an das ohne die ausdrückliche schriftliche Zustimmung der betroffenen Personen keine personenbezogenen Daten von in Europa ansässigen Personen übermittelt werden dürfen.

FRAGE 142
Welche Institution ist befugt, Feststellungen zu treffen, die die Angemessenheit des Datenschutzniveaus in einem Nicht-EU-Land bestätigen?

Das Europäische Parlament

Die Europäische Kommission

Die Artikel-29-Arbeitsgruppe

Der Europäische Rat

FRAGE 143
Welche marketingbezogene Tätigkeit fällt am ehesten unter die Bestimmungen der Verordnung über den Datenschutz und die elektronische Kommunikation (Richtlinie 2002/58/EG)?

Werbung, die passiv auf einer Website angezeigt wird.

Die Verwendung von Cookies zur Sammlung von Daten über eine Person.

Eine Textnachricht an Einzelpersonen von einem Unternehmen, das Konzertkarten zum Verkauf anbietet.

Eine E-Mail von einem Einzelhandelsgeschäft, das einen Verkauf an einen seiner früheren Kunden bewirbt.

FRAGE 144
Ein unvorhergesehener Stromausfall führt dazu, dass Unternehmen Z sechs Stunden lang keinen Zugriff auf Kundendaten hat. Gemäß Artikel 32 der Datenschutz-Grundverordnung gilt dies als Datenschutzverletzung. Auf der Grundlage der Leitlinien der Arbeitsgruppe 29 vom Februar 2018 sollte Unternehmen Z welche der folgenden Maßnahmen ergreifen?

Benachrichtigen Sie die betroffenen Personen, dass ihre Daten für eine gewisse Zeit nicht verfügbar waren.

Dokumentieren Sie den Verlust der Verfügbarkeit, um die Verantwortlichkeit nachzuweisen.

Benachrichtigung der Aufsichtsbehörde über den Verlust der Verfügbarkeit

Durchführung eines gründlichen Audits aller Sicherheitssysteme

FRAGE 145
Lesen Sie die folgenden Schritte:
Ermitteln, welche Mitarbeiter von welchen Geräten und Apps aus auf Cloud-Dienste zugreifen Sperren Sie die Daten in diesen Apps und Geräten. Überwachen und analysieren Sie die Apps und Geräte im Hinblick auf die Einhaltung von Vorschriften. Verwalten Sie die Lebenszyklen von Anwendungen. Überwachen Sie die gemeinsame Nutzung von Daten.

Verfolgen Sie einen GDPR-konformen Privacy-by-Design-Prozess.

Einführung eines GDPR-konformen Mitarbeiterüberwachungsprozesses.

Führen Sie ein sicheres Bring Your Own Device (BYOD)-Programm ein.

Sicherstellen, dass die Cloud-Anbieter die internen Richtlinien zur Datennutzung einhalten.

FRAGE 146
Was muss ein für die Datenverarbeitung Verantwortlicher tun, um personenbezogene Daten zu pseudonymisieren?

Alle Informationen, die es ermöglichen, die Daten mit der betroffenen Person in Verbindung zu bringen, müssen separat gespeichert werden.

Verschlüsseln Sie die Daten, um jeden unbefugten Zugriff oder jede Änderung zu verhindern.

Entfernen Sie alle indirekten Datenidentifikatoren und entsorgen Sie sie sicher.

die Daten nur in aggregierter Form für Forschungszwecke verwenden.

FRAGE 147
Bei einem Unternehmen in Frankreich wird am Wochenende aufgrund eines defekten Alarmsystems eingebrochen. Als festgestellt wird, dass bei dem Einbruch eine beträchtliche Menge an Daten verloren gegangen ist, entscheidet sich das Unternehmen für ein CCTV-System zur Überwachung künftiger Vorfälle. Techniker des Unternehmens installieren Kameras im Eingang des Gebäudes, in den Fluren und Büros. Die Aufnahmen werden kontinuierlich aufgezeichnet und von der Zentrale in den Vereinigten Staaten überwacht. Was ist die realistischste Maßnahme, die das Unternehmen ergreifen könnte, um seine Sicherheitsbedenken auszuräumen und die in Artikel 5 der Datenschutz-Grundverordnung festgelegten Grundsätze für die Verarbeitung personenbezogener Daten einzuhalten?

Holen Sie die informierte Zustimmung der Mitarbeiter des Unternehmens ein.

Lassen Sie die Kameras nur während der Arbeitszeiten aufzeichnen.

Bewahren Sie das aufgenommene Filmmaterial höchstens 30 Tage lang auf.

Beschränken Sie die Platzierung der Kameras auf die Gebäudeeingänge.

Gemäß Artikel 5 der Datenschutz-Grundverordnung müssen personenbezogene Daten so verarbeitet werden, dass eine angemessene Sicherheit der personenbezogenen Daten gewährleistet ist, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor zufälligem Verlust, zufälliger Zerstörung oder zufälliger Beschädigung durch geeignete technische oder organisatorische Maßnahmen ("Integrität und Vertraulichkeit")1. Die Entscheidung des Unternehmens, Kameras im Eingang des Gebäudes, in den Fluren und in den Büros zu installieren, kann gegen diesen Grundsatz verstoßen, da dadurch die personenbezogenen Daten der Mitarbeiter und Besucher unnötigen Risiken wie Hacking, Missbrauch oder Offenlegung ausgesetzt werden können. Darüber hinaus muss das Unternehmen auch die anderen Grundsätze der Datenverarbeitung einhalten, wie Rechtmäßigkeit, Fairness und Transparenz, Zweckbindung, Datenminimierung, Richtigkeit und Speicherbegrenzung1. Das Unternehmen muss einen legitimen und spezifischen Zweck für die Installation der Kameras haben und die betroffenen Personen über die Verarbeitung ihrer personenbezogenen Daten informieren. Das Unternehmen muss außerdem sicherstellen, dass die Kameras nur die für den Zweck erforderliche Mindestmenge an Daten erfassen, dass die Daten korrekt sind und nicht länger als nötig gespeichert werden. Das Unternehmen muss auch die Rechte und Freiheiten der betroffenen Personen respektieren und ihnen die Möglichkeit geben, ihre Rechte auszuüben, wie z. B. das Recht auf Zugang, Berichtigung, Löschung, Einschränkung, Widerspruch oder Portierung2.
Der realistischste Schritt, den das Unternehmen unternehmen könnte, um seine Sicherheitsbedenken auszuräumen und die Grundsätze der Verarbeitung personenbezogener Daten gemäß Artikel 5 der Datenschutz-Grundverordnung einzuhalten, wäre die Beschränkung der Kameraplatzierung auf die Gebäudeeingänge. Dies würde den Umfang und die Auswirkungen der Datenverarbeitung begrenzen und die Risiken für die personenbezogenen Daten der Mitarbeiter und Besucher verringern. Das Unternehmen müsste die betroffenen Personen dennoch über die Verarbeitung informieren und sicherstellen, dass das Filmmaterial sicher gespeichert und übertragen wird, insbesondere wenn es von der Zentrale in den Vereinigten Staaten überwacht wird, einem Drittland, das möglicherweise keinen angemessenen Schutz für personenbezogene Daten bietet3. Das Unternehmen müsste auch die Möglichkeit in Betracht ziehen, die Einwilligung der betroffenen Personen einzuholen oder sich auf eine andere Rechtsgrundlage für die Verarbeitung zu stützen, z. B. auf die berechtigten Interessen des Unternehmens oder die Erfüllung eines Vertrags4. Referenz:
Artikel 5 der Datenschutz-Grundverordnung
[Artikel 12-23 der Datenschutz-Grundverordnung]
[Artikel 44-50 der Datenschutz-Grundverordnung]
[Artikel 6 der Datenschutz-Grundverordnung]

FRAGE 148
Lesen Sie die folgenden Schritte:
Ermitteln, welche Mitarbeiter von welchen Geräten und Apps aus auf Cloud-Dienste zugreifen Sperren Sie die Daten in diesen Apps und Geräten. Überwachen und analysieren Sie die Apps und Geräte im Hinblick auf die Einhaltung von Vorschriften. Verwalten Sie die Lebenszyklen von Anwendungen. Überwachen Sie die gemeinsame Nutzung von Daten.

Verfolgen Sie einen GDPR-konformen Privacy-by-Design-Prozess.

Einführung eines GDPR-konformen Mitarbeiterüberwachungsprozesses.

Führen Sie ein sicheres Bring Your Own Device (BYOD)-Programm ein.

Sicherstellen, dass die Cloud-Anbieter die internen Richtlinien zur Datennutzung einhalten.

FRAGE 149
Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben:
ProStorage ist ein multinationaler Cloud-Speicheranbieter mit Hauptsitz in den Niederlanden. Sein CEO. Ruth Brown, hat eine zweigleisige Wachstumsstrategie entwickelt: 1) Ausweitung des weltweiten Kundenstamms von ProStorage und 2) Vergrößerung des ProStorage-Vertriebsteams durch effizientes Onboarding effektiver Teams. Die Umsetzung dieser Strategie wurde in letzter Zeit durch Ruths Gesundheitszustand erschwert, der ihre Arbeitszeiten und ihre Möglichkeiten, zu potenziellen Kunden zu reisen, einschränkte. Die Personalabteilung von ProStorage und Ruths Stabschef arbeiten nun zusammen, um ihren Zeitplan zu verwalten und sicherzustellen, dass sie alle Arzttermine wahrnehmen kann. Letzteres wurde besonders wichtig nach Ruths letzter Reise nach Indien, wo sie einen medizinischen Notfall erlitt und in ein Krankenhaus in Neu-Delhi eingeliefert wurde: ProStorage Warum ist die von Jackie empfohlene zusätzliche Maßnahme ausreichend für die Nutzung von UpFinance?

UpFinance ist ein seit 7 Jahren bestehendes Unternehmen.

UpFinance ist in einer stark regulierten Finanzbranche tätig

UpFinance hat seinen Sitz in einem Land ohne Überwachungsgesetze.

UpFinance ergreift ausreichende Maßnahmen zum Schutz der Daten

FRAGE 150
SCENARIO
Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben:
T-Craze, ein in Deutschland ansässiges Unternehmen für Spezial-T-Shirts, verkaufte erfolgreich in deutschen Großstädten. Nach einer kürzlich erfolgten Fusion mit einem anderen in Deutschland ansässigen Unternehmen, das auf einem breiteren europäischen Markt tätig ist, hat T-Craze seine Marketingbemühungen überarbeitet, um ein breiteres Publikum anzusprechen. Zu diesen Bemühungen gehörte eine komplette Neugestaltung des Logos, um die kürzliche Fusion widerzuspiegeln, sowie Verbesserungen der Website, um durch die Verwendung von Cookies mehr Informationen über die Besucher zu erfassen.
T-Craze eröffnete außerdem verschiedene Niederlassungen in ganz Europa, um sein Geschäft zu erweitern. Während der Hauptsitz von T-Craze und das Hauptbüro für Produktdesign weiterhin in Deutschland angesiedelt sind, ist die französische Tochtergesellschaft nun für alle Marketing- und Vertriebsaktivitäten zuständig. Vor kurzem beauftragte die französische Tochtergesellschaft Right Target, ein renommiertes Marketingunternehmen mit Sitz auf den Philippinen, mit der Durchführung ihrer jüngsten Marketingkampagne. Nach gründlichen Untersuchungen stellte Right Target fest, dass T-Craze bei Kunden im Alter zwischen 18 und 22 Jahren am erfolgreichsten ist. Daher richtete sich die erste Kampagne an Universitätsstudenten in mehreren europäischen Hauptstädten, was T-Craze in einem Quartal fast 40% neue Kunden einbrachte. Right Target führte auch spätere Kampagnen für T-Craze durch, allerdings mit deutlich geringerem Erfolg.
Die letzten beiden Kampagnen bezogen sich auf eine breitere demografische Gruppe und führten zu unzähligen Abmeldeanfragen, darunter auch eine große Anzahl in Spanien. Die spanische Datenschutzbehörde erhielt sogar eine Beschwerde von Sofia, einer Investmentbankerin in der Mitte ihrer Laufbahn. Sofia war verärgert, nachdem sie eine Marketingmitteilung erhalten hatte, obwohl sie solche Mitteilungen von Right Target im Namen von T-Craze abbestellt hatte.
Welche der folgenden Stellen ist die federführende Aufsichtsbehörde von T-Craze?

Deutschland, denn dort hat T-Craze seinen Hauptsitz.

Frankreich, da T-Craze dort die Verarbeitung personenbezogener Daten durchführt.

Spanien, denn das ist der Hauptmarkt von T-Craze, wie die Marketingkampagnen zeigen.

T-Craze kann seine federführende Aufsichtsbehörde dort wählen, wo eine seiner Tochtergesellschaften ihren Sitz hat, da das Unternehmen in mehreren europäischen Ländern vertreten ist.