Diese Seite wurde exportiert von Exams Labs Braindumps [ http://blog.examslabs.com ] Exportdatum:Sat Jan 4 7:09:45 2025 / +0000 GMT ___________________________________________________ Titel: Angenommen, IAPP CIPP-E Dumps PDF werden die beste Punktzahl [Q129-Q150] --------------------------------------------------- Gehen Sie davon aus, dass IAPP CIPP-E Dumps PDF das beste Ergebnis sein werden Zertifizierte Information Privacy Professional CIPP-E Prüfung und Zertifizierung Test Engine FRAGE 129Welche Verpflichtung hat ein für die Verarbeitung Verantwortlicher oder ein Auftragsverarbeiter nach der Ernennung eines Datenschutzbeauftragten? Dafür zu sorgen, dass der Datenschutzbeauftragte ausreichende Anweisungen für die Ausübung der ihm übertragenen Aufgaben erhält. Er muss die erforderlichen Ressourcen bereitstellen, um die festgelegten Aufgaben des Datenschutzbeauftragten zu erfüllen und sein Fachwissen zu erhalten. Sicherstellung, dass der Datenschutzbeauftragte als einziger Ansprechpartner für Fragen der Betroffenen zu ihren personenbezogenen Daten fungiert. Er legt dem Datenschutzbeauftragten einen Verhaltenskodex zur Genehmigung vor, der die organisatorischen Praktiken regelt und die Einhaltung der Datenschutzgrundsätze nachweist. Referenz https://www.i-scoop.eu/gdpr/data-controller-data-controller-duties/QUESTION 130Nach Artikel 30 der Datenschutz-Grundverordnung sind die für die Verarbeitung Verantwortlichen verpflichtet, Aufzeichnungen über alle folgenden Punkte zu führen AUSSER? Vorfälle von Verletzungen des Schutzes personenbezogener Daten, unabhängig davon, ob sie offengelegt wurden oder nicht. Durchgeführte Dateninventare oder Datenzuordnungen. Kategorien von Empfängern, an die die personenbezogenen Daten weitergegeben wurden. Aufbewahrungsfristen für das Löschen und die Löschung von Kategorien personenbezogener Daten. Abschnitt: (keine)ErläuterungReferenz https://medium.com/golden-data/what-records-must-controllers-and-processors-keep-to-comply- with-eu-data-protection-law-3e8bac177695FRAGE 131Welche Aussage ist richtig, wenn man das Recht auf Privatsphäre nach Artikel 8 der Europäischen Menschenrechtskonvention (EMRK) betrachtet? Das Recht auf Privatsphäre ist ein absolutes Recht Das Recht auf Privatsphäre muss gegen andere Rechte gemäß der EMRK abgewogen werden Das Recht auf freie Meinungsäußerung gemäß Artikel 10 der EMRK hat immer Vorrang vor dem Recht auf Privatsphäre Das Recht auf Privatsphäre schützt das Recht, Meinungen zu vertreten und Ideen ohne Einmischung zu empfangen und weiterzugeben. Referenz https://www.echr.coe.int/Documents/Guide_Art_8_ENG.pdf (15)FRAGE 132Wie wird die Vorratsspeicherung von Kommunikationsverkehrsdaten zu Strafverfolgungszwecken im europäischen Datenschutzrecht behandelt? Die Datenschutzrichtlinie für elektronische Kommunikation erlaubt es den einzelnen EU-Mitgliedstaaten, solche Daten auf Vorrat zu speichern. Die Datenschutzrichtlinie für elektronische Kommunikation harmonisiert die Vorschriften der EU-Mitgliedstaaten über eine solche Vorratsdatenspeicherung. Durch die Aufhebung der Richtlinie über die Vorratsdatenspeicherung ist eine solche Vorratsdatenspeicherung nun zulässig. Die Datenschutz-Grundverordnung erlaubt die Vorratsspeicherung solcher Daten nur zum Zwecke der Verhütung, Ermittlung, Feststellung oder Verfolgung von Straftaten. Die Datenschutzrichtlinie für elektronische Kommunikation ist eine Richtlinie der Europäischen Union (EU), die darauf abzielt, die Vertraulichkeit der elektronischen Kommunikation zu schützen und deren willkürliches Abfangen oder Abhören zu verhindern. Sie wurde im Jahr 2002 verabschiedet und 2009 geändert. Sie gilt für alle Anbieter elektronischer Kommunikationsdienste, wie Internetdienstanbieter, Mobilfunkbetreiber und Online-Plattformen.12 Eines der Hauptziele der Datenschutzrichtlinie für elektronische Kommunikation ist es, sicherzustellen, dass die Vorratsspeicherung von Kommunikationsverkehrsdaten zu Strafverfolgungszwecken strengen Bedingungen und Garantien unterliegt. Kommunikationsverkehrsdaten sind alle Informationen, die sich auf die Übertragung oder Weiterleitung elektronischer Kommunikation beziehen, wie IP-Adressen, Zeitstempel und Metadaten3. Solche Daten können von den zuständigen nationalen Behörden zur Verhütung, Ermittlung, Feststellung oder Verfolgung von Straftaten und zum Schutz der nationalen Sicherheit verwendet werden.4 Die Datenschutzrichtlinie für elektronische Kommunikation erlaubt es den einzelnen EU-Mitgliedstaaten jedoch nicht, eine solche Vorratsdatenspeicherung durchzuführen, ohne ihre Vorschriften zu harmonisieren. In Artikel 6 Absatz 1 Buchstabe b der Richtlinie heißt es: "Die Mitgliedstaaten stellen sicher, dass die von ihnen getroffenen Maßnahmen zur Vorratsspeicherung von Verkehrsdaten mit dieser Richtlinie im Einklang stehen". Daher muss jeder EU-Mitgliedstaat ein nationales Gesetz verabschieden, das den Anforderungen und Beschränkungen der Richtlinie entspricht.12 Die Richtlinie über die Vorratsdatenspeicherung (Data Retention Directive, DRD) war eine frühere EU-Richtlinie, die darauf abzielte, einen gemeinsamen Rahmen für die Vorratsspeicherung von Kommunikationsverkehrsdaten zu Strafverfolgungszwecken in allen EU-Mitgliedstaaten zu schaffen. Sie wurde im Jahr 2006 verabschiedet und 2010 geändert. Sie wurde jedoch 2014 vom Gerichtshof der Europäischen Union (EuGH) aus verfahrensrechtlichen Gründen für nichtig erklärt. Der EuGH stellte fest, dass einige Bestimmungen der Datenschutzrichtlinie mit anderen EU-Richtlinien und -Grundsätzen wie Artikel 8 Absatz 2 der Charta der Grundrechte der Europäischen Union (GRC), die den Einzelnen vor willkürlichen Eingriffen in seine Privatsphäre schützt, unvereinbar sind.56 Die Datenschutz-Grundverordnung (DSGVO) ist eine neue EU-Verordnung, die mit ihren Bestimmungen zur Verarbeitung personenbezogener Daten einige Aspekte der Datenschutzrichtlinie in nationales Recht umsetzt. Sie befasst sich jedoch nicht direkt mit der Frage der Vorratsspeicherung von Kommunikationsverkehrsdaten zu Strafverfolgungszwecken. Stattdessen werden die Anbieter verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein Sicherheitsniveau zu gewährleisten, das dem mit der Verarbeitung personenbezogener Daten verbundenen Risiko angemessen ist. Zu diesen Maßnahmen gehören Verschlüsselung, Pseudonymisierung, Zugangskontrolle und Rechenschaftspflicht7 . Die Datenschutz-Grundverordnung räumt dem Einzelnen auch bestimmte Rechte in Bezug auf seine personenbezogenen Daten ein, z. B. das Recht auf Auskunft, Berichtigung, Löschung, Übertragbarkeit und Widerspruch.7 Daher gibt es nach geltendem EU-Recht keine einheitliche Rechtsgrundlage für die Vorratsspeicherung von Kommunikationsverkehrsdaten zu Strafverfolgungszwecken in allen EU-Mitgliedstaaten. Jeder Mitgliedstaat muss sein eigenes nationales Recht verabschieden, das die in der Datenschutzrichtlinie für elektronische Kommunikation festgelegten Grundsätze und Beschränkungen beachtet.Bezug:Datenschutzrichtlinie für elektronische KommunikationeDatenschutzverordnungWas sind Kommunikationsverkehrsdaten?Wie werden Kommunikationsverkehrsdaten aufbewahrt?Richtlinie über die VorratsdatenspeicherungDie Richtlinie über die Vorratsdatenspeicherung wurde vom EuGH für ungültig erklärtAllgemeine DatenschutzverordnungWelche Rechte haben Sie in Bezug auf Ihre personenbezogenen Daten?FRAGE 133MagicClean ist ein webbasierter Dienst in den Vereinigten Staaten, der Kunden Reinigungsdienste für ihr Zuhause anbietet. Das Unternehmen bietet seine Dienste ausschließlich in den Vereinigten Staaten an. Es nutzt einen in Frankreich ansässigen Auftragsverarbeiter, um seine Daten zu optimieren. Unterliegt MagicClean der Datenschutz-Grundverordnung? Ja, da MagicClean Daten in der EU verarbeitet Ja, weil die Datenverarbeitungsvereinbarung von MagicClean mit dem französischen Auftragsverarbeiter eine Niederlassung in der EU darstellt Nein, weil MagicClean nur in den Vereinigten Staaten ansässig ist. Nein, weil MagicClean keine Dienstleistungen für betroffene Personen in der EU anbietet. Gemäß Artikel 3 der Datenschutz-Grundverordnung gilt die Verordnung für die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung eines für die Verarbeitung Verantwortlichen oder eines Auftragsverarbeiters in der EU, unabhängig davon, ob die Verarbeitung in der EU stattfindet oder nicht. Die Verordnung gilt auch für die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der EU aufhalten, durch einen nicht in der EU niedergelassenen für die Verarbeitung Verantwortlichen oder Auftragsverarbeiter, wenn die Verarbeitungstätigkeiten mit dem Angebot von Waren oder Dienstleistungen an diese betroffenen Personen in der EU oder mit der Überwachung ihres Verhaltens verbunden sind, soweit ihr Verhalten innerhalb der EU stattfindet. In diesem Fall ist MagicClean ein für die Verarbeitung Verantwortlicher, der nicht in der EU ansässig ist, und bietet den betroffenen Personen in der EU keine Dienstleistungen an und überwacht ihr Verhalten nicht. Daher unterliegt MagicClean nicht der Datenschutz-Grundverordnung, auch wenn es einen Auftragsverarbeiter mit Sitz in Frankreich zur Optimierung seiner Daten einsetzt. Für die Anwendbarkeit der DSGVO ist nicht der Standort des Auftragsverarbeiters ausschlaggebend, sondern der Kontext der Tätigkeiten des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters und die Beziehung zu den betroffenen Personen. Referenz:Artikel 3 des GDPRIAPP CIPP/E Study Guide, Seite 14FRAGE 134SCENARIBitte beantworten Sie die nächste Frage wie folgt:T-Craze, ein in Deutschland ansässiges Unternehmen für Spezial-T-Shirts, verkaufte erfolgreich an große deutsche Großstädte. Nach einer kürzlich erfolgten Fusion mit einem anderen in Deutschland ansässigen Unternehmen, das auf einem breiteren europäischen Markt tätig war, hat T-Craze seine Marketingbemühungen überarbeitet, um ein breiteres Publikum anzusprechen. Zu diesen Bemühungen gehörten eine komplette Neugestaltung des Logos, um die kürzliche Fusion widerzuspiegeln, und Verbesserungen der Website, um durch die Verwendung von Cookies mehr Informationen über die Besucher zu erfassen. Während der Hauptsitz von T-Craze und das Hauptbüro für Produktdesign weiterhin in Deutschland angesiedelt sind, ist die französische Tochtergesellschaft für alle Marketing- und Vertriebsaktivitäten zuständig. Vor kurzem beauftragte die französische Tochtergesellschaft Right Target, ein renommiertes Marketingunternehmen mit Sitz auf den Philippinen, mit der Durchführung ihrer jüngsten Marketingkampagne. Nach gründlichen Untersuchungen stellte Right Target fest, dass T-Craze bei Kunden im Alter zwischen 18 und 22 Jahren am erfolgreichsten ist. Daher richtete sich die erste Kampagne an Universitätsstudenten in mehreren europäischen Hauptstädten, was T-Craze in einem Quartal fast 40% neue Kunden einbrachte. Right Target führte auch weitere Kampagnen für T-Craze durch, allerdings mit weitaus geringerem Erfolg: Die letzten beiden Kampagnen bezogen sich auf eine breitere demografische Gruppe und führten zu unzähligen Abmeldeanfragen, darunter eine große Zahl in Spanien. Die spanische Datenschutzbehörde erhielt sogar eine Beschwerde von Sofia, einer Investmentbankerin in der Mitte ihrer Laufbahn. Sofia war verärgert, nachdem sie eine Marketingmitteilung erhalten hatte, obwohl sie sich im Namen von T-Craze von solchen Mitteilungen von Right Target abgemeldet hatte.Welche der folgenden Behörden ist die federführende Aufsichtsbehörde von T-Craze? Deutschland, da dies der Hauptsitz von T-Craze ist. Frankreich, weil T-Craze dort die Verarbeitung personenbezogener Daten durchführt. Spanien, da dies der Hauptmarkt von T-Craze aufgrund seiner Marketingkampagnen ist. T-Craze kann die federführende Aufsichtsbehörde dort wählen, wo eine seiner Tochtergesellschaften ihren Sitz hat, da das Unternehmen in mehreren europäischen Ländern vertreten ist. QUESTION 135SCENARIBitte beantworten Sie die folgende Frage:ABC Hotelkette und XYZ Reisebüro sind multinationale Unternehmen mit Sitz in den USA. Sie nutzen eine gemeinsame internetbasierte Plattform für die Erfassung und den Austausch ihrer Kundendaten, um ihre Marketingaktivitäten zu integrieren. Darüber hinaus vereinbaren sie, welche Daten gespeichert werden, wie Reservierungen gebucht und bestätigt werden und wer Zugang zu den gespeicherten Daten hat.Mike, ein in der EU ansässiger Kunde, hat in der Vergangenheit über das XYZ-Reisebüro Reisen gebucht, um in den Hotels der ABC-Hotelkette zu übernachten. Das XYZ-Reisebüro bietet ein Prämienprogramm an, bei dem die Kunden Punkte sammeln können, die sie später gegen kostenlose Reisen eintauschen können. Mike hat die Vereinbarung zur Teilnahme am Prämienprogramm unterzeichnet und möchte nun wissen, welche persönlichen Daten das Unternehmen über ihn besitzt. Er schickt eine E-Mail, in der er um Zugang zu seinen Daten bittet, um seine Rechte als Betroffener wahrzunehmen.Welche Rolle spielen ABC Hotel Chain und XYZ Travel Agency in dieser Beziehung? ABC Hotel Chain ist der für die Verarbeitung Verantwortliche und XYZ Travel Agency ist der Auftragsverarbeiter. XYZ Travel Agency ist der für die Verarbeitung Verantwortliche und ABC Hotel Chain ist der Auftragsverarbeiter. ABC Hotel Chain und XYZ Travel Agency sind unabhängige für die Verarbeitung Verantwortliche. ABC Hotel Chain und XYZ Travel Agency sind gemeinsam für die Verarbeitung Verantwortliche. FRAGE 136Welches ist laut DSGVO die Hauptaufgabe eines Datenschutzbeauftragten (DSB)? Er erstellt und pflegt Aufzeichnungen über die Verarbeitungstätigkeiten. Durchführung von Datenschutz-Folgenabschätzungen im Namen des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters. Er überwacht die Einhaltung anderer lokaler oder europäischer Datenschutzbestimmungen. Er schafft Verfahren für die Meldung von Verletzungen des Schutzes personenbezogener Daten an die zuständigen Aufsichtsbehörden. Referenz https://digitalguardian.com/blog/what-data-protection-officer-dpo-learn-about-new-role-required- gdpr-complianceFRAGE 137Nach dem Austritt aus der EU im Rahmen des Brexit wird das Vereinigte Königreich eine Angemessenheitsbestimmung beantragen. Was ist der Grund dafür? Der Insurance Commissioner hat festgestellt, dass das Datenschutzgesetz eine Angemessenheitsbestimmung vorschreibt. Angemessenheitsfeststellungen werden automatisch hinfällig, wenn ein Mitgliedstaat die EU verlässt. Das Vereinigte Königreich ist nun ein Drittland, da es nicht mehr der DSGVO unterliegt. Das Vereinigte Königreich ist weniger vertrauenswürdig, da es nun nicht mehr Teil der Union ist. Die Datenschutz-Grundverordnung gilt für die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung eines für die Verarbeitung Verantwortlichen oder eines Auftragsverarbeiters in der EU, unabhängig davon, ob die Verarbeitung in der EU stattfindet oder nicht. Die DSGVO gilt auch für die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der EU befinden, durch einen für die Verarbeitung Verantwortlichen oder einen Auftragsverarbeiter, der nicht in der EU niedergelassen ist, wenn die Verarbeitungstätigkeiten im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen an diese betroffenen Personen in der EU oder mit der Überwachung ihres Verhaltens stehen, soweit ihr Verhalten innerhalb der EU stattfindet1. Daher wurde das Vereinigte Königreich nach dem Austritt aus der EU im Rahmen des Brexit zu einem Drittland im Sinne der DSGVO, was bedeutet, dass die Übermittlung personenbezogener Daten aus der EU in das Vereinigte Königreich den Vorschriften für internationale Datenübermittlungen gemäß Kapitel V der DSGVO unterliegt2. Um die Kontinuität und Stabilität des Datenverkehrs zwischen der EU und dem Vereinigten Königreich zu gewährleisten, beantragte das Vereinigte Königreich bei der Europäischen Kommission einen Angemessenheitsbeschluss, mit dem formal anerkannt wird, dass ein Drittland ein Datenschutzniveau bietet, das dem der EU gleichwertig ist3. Am 28. Juni 2021 nahm die Europäische Kommission zwei Angemessenheitsbeschlüsse für das Vereinigte Königreich an: einen für Übermittlungen im Rahmen der DSGVO und einen für Übermittlungen im Rahmen der Strafverfolgungsrichtlinie (LED)4. Diese Beschlüsse ermöglichen den ungehinderten Fluss personenbezogener Daten aus der EU in das Vereinigte Königreich, ohne dass weitere Schutzmaßnahmen erforderlich sind, und werden voraussichtlich bis zum 27. Juni 2025 gelten, sofern sie nicht vorher geändert, ausgesetzt oder aufgehoben werden5. Referenz:DSGVO, Artikel 3GDPR, Kapitel VDAngemessenheit des Datenschutzes für Nicht-EU-Länder, Abschnitt "Angemessenheitsbeschlüsse" Die Regierung des Vereinigten Königreichs begrüßt die Entwürfe der Europäischen Kommission für Angemessenheitsbeschlüsse Angemessenheit, Abschnitt "Was besagt der Angemessenheitsbeschluss der EU-DSGVO? "FRAGE 138Wie lange muss ein für die Verarbeitung Verantwortlicher gemäß Artikel 14 der DSGVO einer betroffenen Person die erforderlichen Datenschutzinformationen zur Verfügung stellen, wenn die personenbezogenen Daten dieser Person aus anderen Quellen stammen? So schnell wie möglich nach Erhalt der personenbezogenen Daten. So schnell wie möglich nach der ersten Kommunikation mit der betroffenen Person. Innerhalb einer angemessenen Frist nach Erhalt der personenbezogenen Daten, spätestens jedoch innerhalb eines Monats. Innerhalb einer angemessenen Frist nach Erhalt der personenbezogenen Daten, spätestens jedoch innerhalb von acht Wochen. FRAGE 139 In welchem Fall müsste ein für die Verarbeitung Verantwortlicher, der eine Datenschutz-Folgenabschätzung durchgeführt hat, am ehesten eine Aufsichtsbehörde konsultieren? Wenn die Datenschutz-Folgenabschätzung ergibt, dass personenbezogene Daten in andere Länder außerhalb des EWR übermittelt werden müssen. Wenn die Datenschutz-Folgenabschätzung hohe Risiken für die Rechte und Freiheiten von Personen aufzeigt, die der für die Verarbeitung Verantwortliche durch entsprechende Maßnahmen verringern kann. Wenn in der Datenschutzfolgenabschätzung festgestellt wird, dass die vorgeschlagene Verarbeitung sensible Daten von EU-Bürgern erfasst. Wenn die Datenschutzfolgenabschätzung Risiken aufzeigt, die eine Versicherung zum Schutz seiner Geschäftsinteressen erfordern. QUESTION 140SCENARIOP Please use the following to answer the next question:Liem, ein Online-Händler, der für seine umweltfreundlichen Schuhe bekannt ist, hat kürzlich seine Präsenz in Europa erweitert. In dem Bestreben, eine marktbeherrschende Stellung zu erlangen, schloss sich Liem mit einem anderen umweltfreundlichen Unternehmen, EcoMick, zusammen, das Accessoires wie Gürtel und Taschen verkauft. Gemeinsam entwarfen die Unternehmen eine Reihe von Marketingkampagnen, die die ökologischen und wirtschaftlichen Vorteile ihrer Produkte hervorheben sollten. Nach monatelanger Planung schlossen Liem und EcoMick eine Vereinbarung über die gemeinsame Nutzung der gleichen Marketing-Datenbank, MarketIQ, um die Kampagnen an ihre jeweiligen Kontakte zu versenden.Liem und EcoMick schlossen außerdem eine Vereinbarung über die Datenverarbeitung mit MarketIQ, die vorsah, dass personenbezogene Daten nur auf Anweisung von Liem und EcoMick verarbeitet werden und ihnen alle Informationen zur Verfügung gestellt werden, die für den Nachweis der Einhaltung der Datenschutzbestimmungen erforderlich sind.Liem und EcoMick beauftragten daraufhin ein Unternehmen namens JaphSoft, ein Unternehmen für Marketingoptimierung, das maschinelles Lernen einsetzt, um Unternehmen bei der Durchführung erfolgreicher Kampagnen zu unterstützen. Die Kunden stellen JaphSoft die personenbezogenen Daten der Personen zur Verfügung, die in jeder Kampagne angesprochen werden sollen. Um den Schutz der Daten seiner Kunden zu gewährleisten, setzt JaphSoft die technischen und organisatorischen Maßnahmen ein, die sie für angemessen hält. JaphSoft arbeitet an der kontinuierlichen Verbesserung ihrer Machine-Learning-Modelle, indem sie die Daten, die sie von ihren Kunden erhält, analysiert, um die erfolgreichsten Komponenten einer erfolgreichen Kampagne zu ermitteln. Diese Modelle nutzt JaphSoft dann bei der Bereitstellung von Dienstleistungen für seine Kunden. Da sich die Modelle erst im Laufe der Zeit verbessern, wenn mehr Informationen gesammelt werden, gibt es bei JaphSoft keinen Löschungsprozess für die Daten, die sie von ihren Kunden erhält. Um jedoch die Einhaltung der Datenschutzbestimmungen zu gewährleisten, pseudonymisiert JaphSoft die personenbezogenen Daten, indem sie identifizierende Informationen aus den Kontaktinformationen entfernt. Im Rahmen der Vereinbarung mit Liem und EcoMick erhielt JaphSoft Zugang zu MarketIQ, das sowohl Kontaktinformationen als auch frühere Käufe dieser Kontakte enthielt, um Kampagnen zu erstellen, die zu den meisten Aufrufen der Websites der beiden Unternehmen führen würden. Eine frühere Kundin von Liem, Frau Iman, erhielt von JaphSoft eine Marketingkampagne, die sowohl die neuesten Produkte von Liem als auch von EcoMick anpries. Frau Iman erinnert sich zwar daran, dass sie ein Kästchen angekreuzt hat, um in Zukunft Informationen über die Produkte von Liem zu erhalten, sie hat jedoch nie bei EcoMick eingekauft und diesem Unternehmen auch keine personenbezogenen Daten zur Verfügung gestellt. Welche der folgenden Aussagen beschreibt am BESTEN die Beziehung zwischen Liem, EcoMick und JaphSoft? Liem ist ein für die Verarbeitung Verantwortlicher und EcoMick ist ein Auftragsverarbeiter, da Liem spezifische Anweisungen für die Durchführung der Marketingkampagnen erteilt. EcoMick und JaphSoft sind ein für die Verarbeitung Verantwortlicher und Liem ist ein Auftragsverarbeiter, weil EcoMick seine Marketingdaten für Kontakte in Europa mit Liem teilt. JaphSoft ist der einzige Auftragsverarbeiter, da es personenbezogene Daten im Auftrag seiner Kunden verarbeitet. Liem und EcoMick sind gemeinsam für die Verarbeitung Verantwortliche, da sie gemeinsame Marketingaktivitäten durchführen. QUESTION 141SCENARIOPlease use the following to answer the next question:Jane Stan's her new role as a Data Protection Officer (DPO) at a Malta-based company that allows anyone to buy and sell cryptocurrencies via its online platform. Das Unternehmen speichert und verarbeitet die personenbezogenen Daten seiner Kunden in einem speziellen Rechenzentrum (Malta |EU) Wer mit Kryptowährungen handeln möchte, muss ein Online-Konto auf der Plattform eröffnen. Die nicht-europäischen Kunden müssen außerdem auf alle ihre Rechte aus der DSGVO verzichten, indem sie einen fettgedruckten Haftungsausschluss lesen und ein Kontrollkästchen auf einer separaten Seite ankreuzen, um ihr Konto auf der Plattform genehmigen zu lassen.Die Kunden müssen ebenfalls die Nutzungsbedingungen der Plattform akzeptieren. Die Nutzungsbedingungen enthalten auch einen Abschnitt über den Datenschutz, in dem es unter anderem heißt, dass, wenn ein Was kann mit dem in der AWS-Wolke betriebenen Sicherungssystem falsch sein? Die AWS-Server befinden sich in der EU, aber in einem anderen Land als der Hauptsitz des Unternehmens. Es ist rechtswidrig, personenbezogene Daten in einer Cloud zu verarbeiten, wenn die Cloud nicht von einer zuständigen Aufsichtsbehörde als GOPR-konform zertifiziert ist. Die Aufbewahrungsfrist der Daten muss überarbeitet werden, und es muss ein Datenverarbeitungsabkommen mit AWS unterzeichnet werden. AWS ist ein US-amerikanisches Unternehmen, an das keine personenbezogenen Daten von in Europa ansässigen Personen ohne die ausdrückliche schriftliche Zustimmung der betroffenen Personen übermittelt werden dürfen. FRAGE 142Welches Organ ist befugt, Feststellungen zu treffen, die die Angemessenheit des Datenschutzniveaus in einem Nicht-EU-Land bestätigen? Das Europäische Parlament Die Europäische Kommission Die Artikel-29-Datenschutzgruppe Der Europäische Rat FRAGE 143Welche marketingbezogene Tätigkeit fällt am ehesten unter die Bestimmungen der Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG)? Werbung, die passiv auf einer Website angezeigt wird. Die Verwendung von Cookies, um Daten über eine Person zu sammeln. Eine Textnachricht an Einzelpersonen von einem Unternehmen, das Konzertkarten zum Verkauf anbietet. Eine E-Mail von einem Einzelhandelsgeschäft, in der ein Verkauf an einen früheren Kunden beworben wird. Referenz https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:02002L0058- 20091219&from=ROQUESTION 144Ein unvorhergesehener Stromausfall führt dazu, dass das Unternehmen Z sechs Stunden lang keinen Zugriff auf Kundendaten hat. Gemäß Artikel 32 der Datenschutz-Grundverordnung gilt dies als Datenschutzverletzung. Auf der Grundlage des Leitfadens der WP 29 vom Februar 2018 sollte Unternehmen Z welche der folgenden Maßnahmen ergreifen? Die betroffenen Personen benachrichtigen, dass ihre Daten für einen bestimmten Zeitraum nicht verfügbar waren. den Verlust der Verfügbarkeit dokumentieren, um die Verantwortlichkeit nachzuweisen Benachrichtigung der Aufsichtsbehörde über den Verlust der Verfügbarkeit Eine gründliche Prüfung aller Sicherheitssysteme durchführen FRAGE 145Lesen Sie die folgenden Schritte:Ermitteln Sie, welche Mitarbeiter von welchen Geräten und Apps aus auf Cloud-Dienste zugreifen Sperren Sie die Daten in diesen Apps und Geräten Überwachen und analysieren Sie die Apps und Geräte im Hinblick auf die Einhaltung der Vorschriften Verwalten Sie die Lebenszyklen der Anwendungen Überwachen Sie die gemeinsame Nutzung von Daten Eine Organisation sollte diese Schritte durchführen, um welchen der folgenden Punkte zu erfüllen? Einen GDPR-konformen Privacy-by-Design-Prozess einführen. Einen GDPR-konformen Mitarbeiterüberwachungsprozess einrichten. Ein sicheres Bring Your Own Device (BYOD)-Programm aufrechterhalten. Sicherstellen, dass Cloud-Anbieter die internen Datenverwendungsrichtlinien einhalten. Die in der Frage aufgeführten Schritte sind Teil eines Best-Practice-Rahmens für die Implementierung eines sicheren BYOD-Programms, das es Mitarbeitern ermöglicht, mit ihren persönlichen Geräten auf Unternehmensdaten und -anwendungen zuzugreifen. Ein BYOD-Programm birgt erhebliche Datenschutz- und Sicherheitsrisiken, wie z. B. Datenlecks, unbefugten Zugriff, Malware-Infektionen und Compliance-Verstöße. Daher sollte ein Unternehmen einen umfassenden Ansatz verfolgen, um die an einem BYOD-Programm beteiligten Geräte, Anwendungen und Daten zu erkennen, zu überwachen, zu verwalten und zu sichern. Dieser Ansatz kann der Organisation helfen, die GDPR-Anforderungen für Datenschutz durch Design und Standard, Datensicherheit, Rechenschaftspflicht und Benachrichtigung bei Datenschutzverletzungen zu erfüllen. Referenz:Free CIPP/E Study Guide, Seite 15, Abschnitt 2.3.3CIPP/E Certification, Seite 10, Abschnitt 1.1.2Cipp-e Study guides, Class notes & Summaries, Dokument "CIPP/E Exam Summary 2023", Seite 42, Abschnitt 2.3.3FRAGE 146Was muss ein Datenverantwortlicher tun, um personenbezogene Daten zu pseudonymisieren? Er muss alle Informationen, die eine Verknüpfung der Daten mit der betroffenen Person ermöglichen, getrennt aufbewahren. Verschlüsseln Sie die Daten, um einen unbefugten Zugriff oder eine Veränderung zu verhindern. Entfernen Sie alle indirekten Datenidentifikatoren und entsorgen Sie sie sicher. Verwenden Sie die Daten nur in aggregierter Form für Forschungszwecke. Pseudonymisierung ist eine Methode, die es ermöglicht, den ursprünglichen Datensatz (z. B. E-Mail oder einen Namen) durch einen Alias oder ein Pseudonym zu ersetzen, d. h. durch einen Wert, der keine direkte Identifizierung der Person zulässt1. Es handelt sich um einen reversiblen Prozess, bei dem Daten de-identifiziert werden, aber bei Bedarf später wieder identifiziert werden können1. Es handelt sich um eine bekannte Datenverwaltungstechnik, die in der Allgemeinen Datenschutzverordnung (DSGVO) als eine der Datenschutzmethoden empfohlen wird2. Um personenbezogene Daten zu pseudonymisieren, muss der für die Verarbeitung Verantwortliche alle Informationen, die eine Verknüpfung der Daten mit der betroffenen Person ermöglichen, wie z. B. einen Schlüssel oder einen Code, gesondert aufbewahren und sicherstellen, dass diese Informationen sicher aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die einen unbefugten Zugriff oder eine Re-Identifizierung verhindern23. Die anderen Optionen sind nicht korrekt, da sie entweder andere Datenschutzmethoden wie Verschlüsselung oder Anonymisierung beschreiben oder nicht der Definition von Pseudonymisierung gemäß der Datenschutz-Grundverordnung entsprechen. Referenz: Pseudonymisierung nach der DSGVO, Pseudonymisierung - Wikipedia, Anonymisierung und Pseudonymisierung | DatenschutzbeauftragterFRAGE 147Ein Unternehmen in Frankreich wird über das Wochenende aufgrund einer defekten Alarmanlage ausgeraubt. Als festgestellt wird, dass der Einbruch den Verlust einer beträchtlichen Datenmenge zur Folge hat, entscheidet sich das Unternehmen für ein CCTV-System zur Überwachung künftiger Vorfälle. Techniker des Unternehmens installieren Kameras im Eingang des Gebäudes, in den Fluren und Büros. Die Aufnahmen werden kontinuierlich aufgezeichnet und von der Zentrale in den Vereinigten Staaten überwacht. Was ist der realistischste Schritt, den das Unternehmen unternehmen könnte, um seine Sicherheitsbedenken auszuräumen und die in Artikel 5 der Datenschutz-Grundverordnung festgelegten Grundsätze für die Verarbeitung personenbezogener Daten einzuhalten? Holen Sie die informierte Zustimmung der Mitarbeiter des Unternehmens ein. Lassen Sie Kameras nur während der Arbeitszeit aufzeichnen. Bewahren Sie das aufgenommene Filmmaterial nicht länger als 30 Tage auf. Beschränken Sie die Platzierung der Kameras auf die Eingänge der Gebäude. Gemäß Artikel 5 der Datenschutz-Grundverordnung müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Beschädigung durch geeignete technische oder organisatorische Maßnahmen ("Integrität und Vertraulichkeit")1. Die Entscheidung des Unternehmens, Kameras im Eingang des Gebäudes, in den Fluren und in den Büros zu installieren, kann gegen diesen Grundsatz verstoßen, da dadurch die personenbezogenen Daten der Mitarbeiter und Besucher unnötigen Risiken wie Hacking, Missbrauch oder Offenlegung ausgesetzt werden können. Darüber hinaus muss das Unternehmen auch die anderen Grundsätze der Datenverarbeitung einhalten, wie Rechtmäßigkeit, Fairness und Transparenz, Zweckbindung, Datenminimierung, Richtigkeit und Speicherbegrenzung1. Das Unternehmen muss einen legitimen und spezifischen Zweck für die Installation der Kameras haben und die betroffenen Personen über die Verarbeitung ihrer personenbezogenen Daten informieren. Das Unternehmen muss außerdem sicherstellen, dass die Kameras nur die für den Zweck erforderliche Mindestmenge an Daten erfassen, dass die Daten korrekt sind und nicht länger als nötig gespeichert werden. Das Unternehmen muss auch die Rechte und Freiheiten der betroffenen Personen respektieren und ihnen die Möglichkeit geben, ihre Rechte auszuüben, z. B. das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch oder Portierung.2 Der realistischste Schritt, den das Unternehmen unternehmen könnte, um seine Sicherheitsbedenken auszuräumen und die Grundsätze der Verarbeitung personenbezogener Daten gemäß Artikel 5 der Datenschutz-Grundverordnung einzuhalten, ist die Beschränkung der Kameraplatzierung auf die Gebäudeeingänge. Dies würde den Umfang und die Auswirkungen der Datenverarbeitung begrenzen und die Risiken für die personenbezogenen Daten der Mitarbeiter und Besucher verringern. Das Unternehmen müsste die betroffenen Personen dennoch über die Verarbeitung informieren und sicherstellen, dass das Filmmaterial sicher gespeichert und übertragen wird, insbesondere wenn es von der Zentrale in den Vereinigten Staaten überwacht wird, einem Drittland, das möglicherweise keinen angemessenen Schutz für personenbezogene Daten bietet3. Das Unternehmen müsste auch die Möglichkeit in Betracht ziehen, die Einwilligung der betroffenen Personen einzuholen oder sich auf eine andere Rechtsgrundlage für die Verarbeitung zu stützen, wie etwa die berechtigten Interessen des Unternehmens oder die Erfüllung eines Vertrags4. Referenz:Artikel 5 der Datenschutz-