CIPM Exam Study Guide Free Practice Test LAST UPDATED DATE May 18, 2024 [Q20-Q40]

4/5 - (1 Abstimmung)

CIPM Exam Study Guide Free Practice Test LAST UPDATED DATE May 18, 2024

Der neue CIPM 2024 Aktualisierte und geprüfte Studienführer und die besten Kurse

Die IAPP CIPM (Certified Information Privacy Manager)-Zertifizierungsprüfung ist eine weltweit anerkannte Zertifizierung, die Einzelpersonen die Fähigkeiten und das Wissen vermittelt, um Datenschutzrichtlinien und -praktiken innerhalb einer Organisation zu verwalten. Die Zertifizierung zum Certified Information Privacy Manager (CIPM) soll Fachleuten dabei helfen, Datenschutzprogramme, -richtlinien und -verfahren zu entwickeln und umzusetzen, die den globalen Standards und gesetzlichen Anforderungen entsprechen.

Die IAPP CIPM-Zertifizierung ist eine ausgezeichnete Wahl für Fachleute, die ihre Karriere im Datenschutzmanagement vorantreiben wollen. Die Zertifizierung zum Certified Information Privacy Manager (CIPM) vermittelt ein umfassendes Verständnis der globalen Datenschutzgesetze und -vorschriften und bereitet Fachleute auf die Entwicklung und Umsetzung effektiver Datenschutzprogramme in ihren Unternehmen vor. Angesichts der zunehmenden Bedeutung des Datenschutzes in der heutigen digitalen Landschaft ist die CIPM-Zertifizierung ein wertvoller Gewinn für alle, die im Bereich des Datenschutzmanagements arbeiten.

 

NR. 20 Welche Aussage über den Einsatz von technischen Sicherheitskontrollen ist FALSCH?

 
 
 
 

NR. 21 SCENARIO
Beantworten Sie bitte die nächste FRAGE anhand der folgenden Angaben:
Penny ist seit kurzem neue Datenschutzbeauftragte bei Ace Space, einem Unternehmen, das online Haushaltswaren verkauft. Das Unternehmen hat seinen Sitz in Kalifornien, aber dank der großen Publicity durch einen Social-Media-Influencer im vergangenen Jahr hat das Unternehmen einen Zustrom von Verkäufen aus der EU erhalten und ein regionales Büro in Irland eingerichtet, um diese Expansion zu unterstützen. Um sich mit den Praktiken von Ace Space vertraut zu machen und einzuschätzen, welche Prioritäten sie in Bezug auf den Datenschutz setzen wird, hat Penny Treffen mit einer Reihe von Kollegen vereinbart, um sich über deren Arbeit und ihre Bemühungen um die Einhaltung der Vorschriften zu informieren.
Pennys Kollege in der Marketingabteilung ist begeistert von den neuen Verkäufen und den Plänen des Unternehmens, macht sich aber auch Sorgen, dass Penny einige der von ihm geplanten Wachstumsmöglichkeiten einschränken könnte. Er sagt ihr: "Ich habe im Pausenraum jemanden über neue Datenschutzgesetze reden hören, aber ich glaube nicht, dass uns das betrifft. Wir sind nur ein kleines Unternehmen. Ich meine, wir verkaufen nur Zubehör online, wo ist also das wirkliche Risiko?" Er hat ihr auch erzählt, dass er mit einer Reihe von kleinen Unternehmen zusammenarbeitet, die ihm helfen, Projekte schnell zu erledigen. "Wir müssen unsere Fristen einhalten, sonst verlieren wir Geld. Ich unterschreibe die Verträge und beauftrage Jim in der Finanzabteilung, die Zahlung zu veranlassen. Die Prüfung der Verträge nimmt Zeit in Anspruch, die wir einfach nicht haben." Bei ihrem Treffen mit einem Mitglied des IT-Teams hat Penny erfahren, dass Ace Space zwar eine Reihe von Vorkehrungen getroffen hat, um seine Website vor böswilligen Aktivitäten zu schützen, aber nicht die gleiche Sorgfalt auf seine physischen Dateien oder seine interne Infrastruktur verwendet hat. Pennys Kollege in der IT-Abteilung hat ihr erzählt, dass ein ehemaliger Mitarbeiter einen verschlüsselten USB-Stick mit Finanzdaten verloren hat, als er das Unternehmen verließ. Das Unternehmen hätte letztes Jahr beinahe den Zugang zu seiner Kundendatenbank verloren, nachdem es Opfer eines Phishing-Angriffs geworden war. Penny erfährt von ihrem IT-Kollegen, dass das IT-Team "nicht wusste, was zu tun war oder wer was tun sollte. Wir waren nicht dafür geschult worden, aber wir sind ein kleines Team, also hat es am Ende gut funktioniert." Penny ist besorgt, dass diese Probleme die Privatsphäre und den Datenschutz von Ace Space gefährden könnten.
Penny ist sich bewusst, dass das Unternehmen solide Pläne hat, seine internationalen Umsätze zu steigern, und wird eng mit dem CEO zusammenarbeiten, um die Organisation im Bereich Daten "aufzurütteln". Ihre Aufgabe ist es, eine starke Datenschutzkultur innerhalb des Unternehmens zu kultivieren.
Penny hat heute ein Treffen mit dem CEO von Ace Space und wurde gebeten, ihre ersten Eindrücke zu schildern und einen Überblick über ihre nächsten Schritte zu geben.
Welcher Ansatz wäre am hilfreichsten, um Penny und ihrem CEO bei der Erreichung ihrer Ziele zu helfen, um ihre IT-Probleme zu lösen?

 
 
 
 

NR. 22 SCENARIO
Beantworten Sie bitte die nächste FRAGE anhand der folgenden Angaben:
Richard McAdams hat vor kurzem sein Jurastudium abgeschlossen und beschlossen, in die Kleinstadt Lexington, Virginia, zurückzukehren, um die Anwaltspraxis seines alternden Großvaters zu übernehmen. Der ältere McAdams wünschte sich eine begrenzte, leichtere Rolle in der Praxis, in der Hoffnung, dass sein Enkel sie schließlich übernehmen würde, wenn er sich vollständig zur Ruhe setzt. Zusätzlich zur Einstellung von Richard beschäftigt Herr McAdams zwei Anwaltsgehilfen, eine Verwaltungsassistentin und einen Teilzeit-IT-Spezialisten, der sich um alle grundlegenden Netzwerkanforderungen kümmert. Er plant, weitere Mitarbeiter einzustellen, sobald Richard sich eingelebt hat und die Wachstumsstrategien der Kanzlei bewertet hat.
Unmittelbar nach seiner Ankunft war Richard erstaunt über die Menge an Arbeit, die getan werden musste, um das Büro zu modernisieren, vor allem im Hinblick auf den Umgang mit den persönlichen Daten der Kunden. Sein erstes Ziel ist es, alle in Aktenschränken aufbewahrten Unterlagen zu digitalisieren, da viele der Dokumente personenbezogene finanzielle und medizinische Daten enthalten. Außerdem ist Richard aufgefallen, dass die Verwaltungsassistentin den ganzen Tag über massenhaft Kopien anfertigt, was nicht nur die Zahl der Akten in den Aktenschränken täglich erhöht, sondern auch zu Sicherheitsproblemen führen kann, wenn keine formelle Richtlinie eingeführt wird. Richard ist auch besorgt über die übermäßige Nutzung des Gemeinschaftskopierers/-druckers, der sich in Sichtweite der Kunden befindet, die das Gebäude besuchen. Ein weiteres Problem ist die Nutzung desselben Faxgeräts durch alle Mitarbeiter. Richard hofft, die Nutzung dieses Geräts drastisch einzuschränken, um die Sicherheit und den Schutz personenbezogener Daten zu gewährleisten, und bis zum Jahresende zu einer strengen Internet-Faxpolitik überzugehen.
Richard äußerte seine Bedenken gegenüber seinem Großvater, der ihm zustimmte, dass eine Aktualisierung der Datenspeicherung, der Datensicherheit und ein allgemeiner Ansatz zur Verbesserung des Schutzes personenbezogener Daten in all seinen Facetten notwendig sei. Jetzt beginnt Richard nicht nur eine Karriere als Anwalt, sondern auch als Datenschutzbeauftragter der kleinen Kanzlei. Richard plant, sich am nächsten Tag mit dem IT-Mitarbeiter zu treffen, um sich einen Überblick darüber zu verschaffen, wie das Computersystem der Kanzlei derzeit eingerichtet ist und verwaltet wird.
Welche der folgenden Erklärungen benötigt zusätzliche Anweisungen, um die personenbezogenen Daten ihrer Kunden besser zu schützen?

 
 
 
 

NR. 23 SCENARIO
Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben:
Als Leiter der Datenschutzabteilung der Consolidated Records Corporation sind Sie zu Recht mit Ihren bisherigen Leistungen zufrieden. Anlass für Ihre Einstellung waren Warnungen von Aufsichtsbehörden nach einer Reihe von relativ geringfügigen Datenschutzverletzungen, die durchaus schlimmer hätten ausfallen können. In den drei Jahren Ihrer Tätigkeit für das Unternehmen gab es jedoch keinen einzigen meldepflichtigen Vorfall. Sie halten Ihr Programm sogar für ein Modell, an dem sich andere in der Datenspeicherbranche bei der Entwicklung ihrer eigenen Programme orientieren können.
Sie begannen das Programm bei Consolidated mit einem Wirrwarr von Richtlinien und Verfahren und arbeiteten an der Kohärenz zwischen den Abteilungen und dem gesamten Betrieb. Unterstützt wurden Sie dabei vom Sponsor des Programms, dem Vice President of Operations, sowie von einem Datenschutzteam, das von einem klaren Verständnis der Notwendigkeit von Veränderungen ausging.
Anfangs stieß Ihre Arbeit bei der "alten Garde" des Unternehmens auf wenig Vertrauen und Enthusiasmus, und zwar sowohl bei den Führungskräften als auch bei den Mitarbeitern, die an vorderster Front mit den Daten arbeiten und mit den Kunden in Kontakt stehen. Durch die Verwendung von Kennzahlen, die nicht nur die Kosten für die aufgetretenen Verstöße aufzeigten, sondern auch Prognosen über die Kosten, die angesichts des derzeitigen Betriebszustands leicht entstehen könnten, hatten Sie die Führungskräfte und wichtigen Entscheidungsträger bald weitgehend auf Ihrer Seite. Viele der anderen Mitarbeiter waren widerspenstiger, aber durch persönliche Treffen mit jeder Abteilung und die Entwicklung eines grundlegenden Schulungsprogramms zum Datenschutz wurde eine ausreichende Zustimmung erreicht, um mit der Einführung der richtigen Verfahren zu beginnen.
Der Schutz der Privatsphäre ist heute ein akzeptierter Bestandteil aller laufenden Operationen, die mit personenbezogenen oder geschützten Daten zu tun haben, und muss Teil des Endprodukts jedes technologischen Entwicklungsprozesses sein. Ihr Ansatz ist zwar nicht systematisch, aber doch recht effektiv.
Sie werden nachdenklich: Was muss getan werden, um das Programm aufrechtzuerhalten und es über ein reines Programm zur Verhinderung von Datenschutzverletzungen hinaus zu entwickeln? Wie können Sie auf Ihrem Erfolg aufbauen? Was sind die nächsten Aktionsschritte?
Welcher der folgenden Punkte kann am besten als Leitfaden für einen Systemansatz zur Umsetzung des Datenschutzes verwendet werden?

 
 
 
 

NR. 24 SCENARIO
Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben:
Paul Daniels, der über jahrelange Erfahrung als CEO verfügt, ist besorgt über das erfolgreiche Unternehmen seines Sohnes Carlton, Gadgo.
Als technologischer Innovator in der Kommunikationsbranche, der schnell profitabel wurde, hat Gadgo seine Start-up-Phase hinter sich gelassen. Paul befürchtet jedoch, dass das Unternehmen unter der Leitung von Carlton seine Risiken und Verpflichtungen nicht so ernst nimmt, wie es nötig wäre. Paul hat Sie, einen Datenschutzberater, beauftragt, das Unternehmen zu bewerten und Vater und Sohn Bericht zu erstatten. "Carlton will nicht auf mich hören", sagt Paul,
"aber er kann einem Experten seine Aufmerksamkeit schenken."
Gadgos Arbeitsplatz ist ein Clubhaus für Innovationen, mit Spielen, Spielzeug, Snacks, Espressomaschinen, riesigen Fischbecken und sogar einem Leguan, der Sie mit wenig Interesse betrachtet. Auch Carlton wirkt gelangweilt, als er Ihnen die Verfahren und Technologien des Unternehmens für den Datenschutz beschreibt. Es handelt sich um eine lose Ansammlung von Kontrollen, denen es an Konsistenz fehlt und die viele Schwachstellen aufweisen. "Dies ist ein Technologieunternehmen", sagt Carlton. "Wir schaffen. Wir sind innovativ. Ich möchte keine unnötigen Maßnahmen, die die Leute nur ausbremsen und ihre Gedanken verwirren." Die Besprechung dauert bis zum frühen Abend. Beim Verlassen gehen Sie durch das Büro. Es sieht aus, als wäre kürzlich ein starker Sturm durchgezogen, und die Papiere liegen verstreut auf Schreibtischen und Tischen und sogar auf dem Boden. A
Eine "Putzkolonne" aus einem Teenager leert die Mülleimer. Einige Computer wurden über Nacht eingeschaltet gelassen, andere fehlen. Carlton nimmt Ihre Aufmerksamkeit dafür zur Kenntnis: "Die meisten meiner Leute nehmen ihre Laptops mit nach Hause oder benutzen ihre eigenen Tablets oder Telefone. Ich möchte, dass sie das nutzen, was ihnen beim Denken hilft, und dass sie Tag und Nacht auf die große Erkenntnis vorbereitet sind. Sie kommt vielleicht nur einmal!" Welche Art von Audit würden Sie für Gadgo empfehlen?

 
 
 
 

NR. 25 Welcher der folgenden Punkte ist KEINE Metrik eines Datenschutzprogramms?

 
 
 
 

NR. 26 Welcher der folgenden Faktoren ist NICHT wichtig für die Ausarbeitung einer Richtlinie zur Datenspeicherung?

 
 
 
 

NR. 27 Ihr Marketingteam möchte wissen, warum sie ein Kontrollkästchen für die SMS-Anmeldung benötigen. Sie erklären, dass dies Teil des Rechts des Verbrauchers ist,?

 
 
 
 

NR. 28 Alle der folgenden Änderungen werden wahrscheinlich eine Aktualisierung des Datenbestands auslösen, außer?

 
 
 
 

NR. 29 SCENARIO
Beantworten Sie bitte die nächste FRAGE anhand der folgenden Angaben:
Ben arbeitet in der IT-Abteilung von IgNight, Inc. einem Unternehmen, das Beleuchtungslösungen für seine Kunden entwickelt. Obwohl der Kundenstamm von IgNight hauptsächlich aus Büros in den USA besteht, waren einige Personen von der einzigartigen Ästhetik und dem energiesparenden Design der Leuchten so beeindruckt, dass sie IgNight-Installationen in ihren Häusern auf der ganzen Welt angefordert haben.
Eines Sonntagmorgens, als Ben seinen Arbeitslaptop benutzt, um Tickets für ein bevorstehendes Musikfestival zu kaufen, bemerkt er zufällig ungewöhnliche Benutzeraktivitäten in den Firmendaten. Bei einer flüchtigen Überprüfung scheinen alle Daten noch dort zu sein, wo sie sein sollen, aber er wird das Gefühl nicht los, dass etwas nicht stimmt. Er weiß, dass es sich möglicherweise um einen Kollegen handelt, der außerplanmäßige Wartungsarbeiten durchführt, aber er erinnert sich an eine E-Mail des Sicherheitsteams seines Unternehmens, in der die Mitarbeiter daran erinnert werden, dass sie vor Angriffen einer bekannten Gruppe bösartiger Akteure auf der Hut sein sollten, die es speziell auf die Branche abgesehen haben.
Ben ist ein fleißiger Mitarbeiter und möchte das Unternehmen schützen, aber er möchte seine hart arbeitenden Kollegen am Wochenende nicht belästigen. Er wird die Angelegenheit gleich morgen früh mit dem Vorgesetzten besprechen, möchte aber vorbereitet sein, damit er sein Wissen in diesem Bereich unter Beweis stellen und sich für eine Beförderung einsetzen kann.
Wie kann IgNight sein IT-Team am besten auf die Bewältigung dieser Art von Sicherheitsvorfällen vorbereiten?

 
 
 
 

NR. 30 SCENARIO
Beantworten Sie bitte die nächste FRAGE anhand der folgenden Angaben:
Natalia, Finanzchefin der Restaurantkette Nationwide Grill, hatte ihre Kollegen noch nie so besorgt gesehen. Letzte Woche meldete ein vom Unternehmen genutztes Datenverarbeitungsunternehmen, dass sein System möglicherweise gehackt wurde und Kundendaten wie Namen, Adressen und Geburtstage in die falschen Hände geraten sind. Obwohl sich der Versuch als erfolglos erwies, veranlasste der Schreck mehrere Führungskräfte von Nationwide Grill, das Datenschutzprogramm des Unternehmens auf der heutigen Sitzung zu hinterfragen.
Alice, eine Vizepräsidentin, sagte, dass der Vorfall Klagen Tür und Tor geöffnet haben könnte, was der Marktposition von Nationwide Grill schaden könnte. Der Chief Information Officer (CIO), Brendan, versuchte ihr zu versichern, dass die Chancen für eine erfolgreiche Klage gegen das Unternehmen gering seien, selbst wenn es tatsächlich zu einem Verstoß gekommen wäre. Doch Alice ließ sich nicht überzeugen.
Spencer - ein ehemaliger CEO und derzeitiger Senior Advisor - sagte, er habe immer vor dem Einsatz von Auftragnehmern für die Datenverarbeitung gewarnt. Zumindest, so argumentierte er, sollten diese vertraglich dafür verantwortlich gemacht werden, die Kunden über etwaige Sicherheitsvorfälle zu informieren. Seiner Ansicht nach sollte Nationwide Grill nicht gezwungen werden, den Namen des Unternehmens für ein Problem zu beschmutzen, das es nicht verursacht hat.
Daraufhin ergriff Haley, einer der Führungskräfte für Geschäftsentwicklung (BD), das Wort und bat alle um Einsicht.
"Trotz aller Bemühungen der Unternehmen kann es zu Verstößen kommen", sagte sie. "Angemessene Vorbereitung ist der Schlüssel". Sie erinnerte an den Vorfall vor sieben Jahren, als die Finanzdaten der großen Lebensmittelkette Tinkerton's nach einer Großbestellung von Nationwide Grill-Tiefkühlgerichten kompromittiert wurden. Als langjährige BD-Führungskraft mit einem soliden Verständnis der Unternehmenskultur von Tinkerton's, das sie durch jahrelange Pflege von Beziehungen erworben hatte, konnte Haley die Reaktion des Unternehmens auf den Vorfall erfolgreich managen.
Spencer entgegnete, dass vernünftiges Handeln bedeutet, dass die Sicherheit von den Sicherheitsfunktionen im Unternehmen und nicht von den BD-Mitarbeitern wahrgenommen werden muss. In ähnlicher Weise müsse die Personalabteilung (HR) ihre Mitarbeiter besser schulen, um Vorfälle zu verhindern. Er wies darauf hin, dass die Mitarbeiter von Nationwide Grill mit Postern, E-Mails und Memos sowohl von der Personalabteilung als auch von der Ethikabteilung zum Datenschutzprogramm des Unternehmens überhäuft werden. Sowohl die Menge als auch die Duplizierung der Informationen führen dazu, dass diese oft völlig ignoriert werden.
Spencer sagte: "Das Unternehmen muss sich seinem Datenschutzprogramm widmen und regelmäßig einmal im Monat persönliche Schulungen für alle Mitarbeiter ansetzen." Alice erwiderte, dass dieser Vorschlag zwar gut gemeint, aber nicht praktikabel sei. Da es viele Standorte gibt, müssen die lokalen Personalabteilungen bei ihren Schulungsplänen flexibel sein. Im Stillen stimmte Natalia zu.
Wie könnte der Einwand gegen Spencers Ausbildungsvorschlag angegangen werden?

 
 
 
 

NR. 31 SCENARIO
Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben:
Seit 15 Jahren arbeitet Albert bei Treasure Box, einem Versandhaus in den Vereinigten Staaten, das früher Zierkerzen in der ganzen Welt verkaufte, aber vor kurzem beschlossen hat, nur noch an Kunden in den USA zu liefern.
48 zusammenhängende Staaten. Trotz seiner langjährigen Erfahrung wird Albert bei der Besetzung von Führungspositionen oft übersehen. Seine Frustration darüber, nicht befördert zu werden, und sein Interesse an Fragen des Datenschutzes haben Albert dazu motiviert, sich für positive Veränderungen einzusetzen.
In Kürze wird er ein Vorstellungsgespräch für eine neu ausgeschriebene Stelle führen. Während des Gesprächs plant Albert, die Führungskräfte auf Mängel im Datenschutzprogramm des Unternehmens hinzuweisen. Er ist sich sicher, dass er mit einer Beförderung belohnt werden wird, wenn er negative Folgen der veralteten Richtlinien und Verfahren des Unternehmens verhindert.
Albert hat zum Beispiel vom AICPA (American Institute of Certified Public Accountans)/CICA (Canadian Institute of Chartered Accountants) Privacy Maturity Model (PMM) erfahren. Albert ist der Meinung, dass das Modell eine nützliche Methode ist, um die Fähigkeit von Treasure Box zum Schutz persönlicher Daten zu messen. Albert hat festgestellt, dass Treasure Box die Anforderungen der höchsten Reifegradstufe dieses Modells nicht erfüllt; bei seinem Vorstellungsgespräch wird Albert sich verpflichten, das Unternehmen bei der Erfüllung dieser Stufe zu unterstützen, um den Kunden die bestmögliche Sicherheit zu bieten.
Albert möchte bei seinem Vorstellungsgespräch einen positiven Ausblick geben. Er will das Engagement des Unternehmens für den Schutz der persönlichen Daten von Kunden und Mitarbeitern vor externen Bedrohungen loben. Albert macht sich jedoch Sorgen über die hohe Fluktuation im Unternehmen, insbesondere im Bereich des Telefondirektmarketings. Er sieht jeden Tag viele unbekannte Gesichter, die für das Marketing eingestellt werden, und hört in der Kantine häufig Beschwerden über lange Arbeitszeiten und niedrige Löhne sowie über eine anscheinend eklatante Missachtung der Unternehmensverfahren.
Darüber hinaus gab es bei Treasure Box in letzter Zeit zwei Sicherheitsvorfälle. Das Unternehmen hat auf die Vorfälle mit internen Audits und Aktualisierungen der Sicherheitsvorkehrungen reagiert. Dennoch scheinen die Gewinne immer noch beeinträchtigt zu sein, und anekdotische Hinweise deuten darauf hin, dass viele Menschen immer noch Misstrauen hegen. Albert möchte dem Unternehmen helfen, sich zu erholen.
Er weiß, dass es mindestens einen Vorfall gibt, von dem die Öffentlichkeit nichts weiß, auch wenn Albert die Einzelheiten nicht kennt. Er glaubt, dass das Beharren des Unternehmens darauf, den Vorfall geheim zu halten, dem Ruf des Unternehmens weiter schaden könnte. Eine weitere Möglichkeit, wie Albert Treasure Box helfen will, seinen Ruf wiederherzustellen, ist die Einrichtung einer gebührenfreien Telefonnummer für Kunden sowie ein effizienteres Verfahren zur Beantwortung von Kundenanliegen per Post.
Neben seinen Verbesserungsvorschlägen glaubt Albert, dass sein Wissen über die jüngsten geschäftlichen Manöver des Unternehmens die Gesprächspartner ebenfalls beeindrucken wird. So weiß Albert zum Beispiel, dass das Unternehmen in den kommenden Wochen ein Unternehmen für medizinische Hilfsmittel übernehmen will.
Mit seinem vorausschauenden Denken hofft Albert, die Manager, die mit ihm ein Vorstellungsgespräch führen werden, davon zu überzeugen, dass er der Richtige für die Stelle ist.
Zu welchem der folgenden Themen benötigt Albert am ehesten zusätzliche Kenntnisse?

 
 
 
 

NR. 32 SCENARIO
Beantworten Sie bitte die nächste FRAGE anhand der folgenden Angaben:
Penny ist seit kurzem neue Datenschutzbeauftragte bei Ace Space, einem Unternehmen, das online Haushaltswaren verkauft. Das Unternehmen hat seinen Sitz in Kalifornien, aber dank der großen Publicity durch einen Social-Media-Influencer im vergangenen Jahr hat das Unternehmen einen Zustrom von Verkäufen aus der EU erhalten und ein regionales Büro in Irland eingerichtet, um diese Expansion zu unterstützen. Um sich mit den Praktiken von Ace Space vertraut zu machen und einzuschätzen, welche Prioritäten sie in Bezug auf den Datenschutz setzen wird, hat Penny Treffen mit einer Reihe von Kollegen vereinbart, um sich über deren Arbeit und ihre Bemühungen um die Einhaltung der Vorschriften zu informieren.
Pennys Kollege in der Marketingabteilung ist begeistert von den neuen Verkäufen und den Plänen des Unternehmens, macht sich aber auch Sorgen, dass Penny einige der von ihm geplanten Wachstumsmöglichkeiten einschränken könnte. Er sagt ihr: "Ich habe im Pausenraum jemanden über neue Datenschutzgesetze reden hören, aber ich glaube nicht, dass uns das betrifft. Wir sind nur ein kleines Unternehmen. Ich meine, wir verkaufen nur Zubehör online, wo ist also das wirkliche Risiko?" Er hat ihr auch erzählt, dass er mit einer Reihe von kleinen Unternehmen zusammenarbeitet, die ihm helfen, Projekte schnell zu erledigen. "Wir müssen unsere Fristen einhalten, sonst verlieren wir Geld. Ich unterschreibe die Verträge und beauftrage Jim in der Finanzabteilung, die Zahlung zu veranlassen. Die Prüfung der Verträge nimmt Zeit in Anspruch, die wir einfach nicht haben." Bei ihrem Treffen mit einem Mitglied des IT-Teams hat Penny erfahren, dass Ace Space zwar eine Reihe von Vorkehrungen getroffen hat, um seine Website vor böswilligen Aktivitäten zu schützen, aber nicht die gleiche Sorgfalt auf seine physischen Dateien oder seine interne Infrastruktur verwendet hat. Pennys Kollege in der IT-Abteilung hat ihr erzählt, dass ein ehemaliger Mitarbeiter einen verschlüsselten USB-Stick mit Finanzdaten verloren hat, als er das Unternehmen verließ. Das Unternehmen hätte letztes Jahr beinahe den Zugang zu seiner Kundendatenbank verloren, nachdem es Opfer eines Phishing-Angriffs geworden war. Penny erfährt von ihrem IT-Kollegen, dass das IT-Team "nicht wusste, was zu tun war oder wer was tun sollte. Wir waren nicht dafür geschult worden, aber wir sind ein kleines Team, also hat es am Ende gut funktioniert." Penny ist besorgt, dass diese Probleme die Privatsphäre und den Datenschutz von Ace Space gefährden könnten.
Penny ist sich bewusst, dass das Unternehmen solide Pläne hat, seine internationalen Umsätze zu steigern, und wird eng mit dem CEO zusammenarbeiten, um die Organisation im Bereich Daten "aufzurütteln". Ihre Aufgabe ist es, eine starke Datenschutzkultur innerhalb des Unternehmens zu kultivieren.
Penny hat heute ein Treffen mit dem CEO von Ace Space und wurde gebeten, ihre ersten Eindrücke zu schildern und einen Überblick über ihre nächsten Schritte zu geben.
Um die aktuelle Basislinie der Datenschutzreife von Ace Space zu ermitteln, sollte Penny alle folgenden Faktoren berücksichtigen AUSSER?

 
 
 
 

NR. 33 SCENARIO
Beantworten Sie bitte die nächste FRAGE anhand der folgenden Angaben:
Vielleicht hätte Jack Kelly in den USA bleiben sollen. Er genießt innerhalb des Unternehmens, Special Handling Shipping, einen ausgezeichneten Ruf für seine Arbeit bei der Reformierung bestimmter "abtrünniger" Büros. Letztes Jahr wurde bekannt, dass die Polizei einen Drogenring aufgedeckt hatte, der in der Niederlassung in Providence, Rhode Island, in den Vereinigten Staaten operierte. Das Video der Überwachungskameras des Büros, das an die Presse durchgesickert war, zeigte einen Drogentausch zwischen Mitarbeitern von Special Handling und verdeckten Ermittlern.
Nach diesem Vorfall war Kelly nach Providence geschickt worden, um die Kultur des "Nichtstuns" zu ändern, die nach Ansicht der oberen Führungsebene den kriminellen Elementen die Durchführung ihrer illegalen Geschäfte ermöglicht hatte. Nach ein paar Wochen unter Kellys Leitung wurde das Büro zu einem Musterbeispiel für Effizienz und Kundenservice. Kelly überwachte die Aktivitäten seiner Mitarbeiter mit denselben Kameras, die das illegale Verhalten ihrer früheren Kollegen aufgezeichnet hatten.
Jetzt wurde Kelly damit beauftragt, das Büro in Cork, Irland, einem weiteren Krisenherd, zu sanieren. Das Unternehmen hat zahlreiche Berichte darüber erhalten, dass die Mitarbeiter das Büro unbeaufsichtigt lassen. Als Kelly eintraf, stellte er fest, dass die Mitarbeiter, selbst wenn sie anwesend waren, den Tag oft mit sozialen Kontakten oder der Erledigung privater Angelegenheiten auf ihren Handys verbrachten. Auch hier beobachtete er ihr Verhalten mit Hilfe von Überwachungskameras. Allein aufgrund der Videoaufnahmen des ersten Tages erteilte er sechs Mitarbeitern schriftliche Verwarnungen.
Zu Kellys Überraschung und zu seinem Leidwesen wird nun gegen ihn und das Unternehmen vom irischen Datenschutzbeauftragten wegen angeblicher Verletzung der Datenschutzrechte der Mitarbeiter ermittelt. Kelly wurde gesagt, dass in der Lizenz des Unternehmens für die Kameras als Hauptzweck die Gebäudesicherheit angegeben ist, aber er weiß nicht, warum das wichtig ist. Er hat seine Vorgesetzten darauf hingewiesen, dass in den Schulungsprogrammen des Unternehmens zum Schutz der Privatsphäre und zur Datenerfassung nichts über Überwachungsvideos erwähnt wird.
Sie sind ein Berater für den Schutz der Privatsphäre, der von dem Unternehmen beauftragt wurde, diesen Vorfall zu bewerten, einen Bericht über die rechtlichen und Compliance-Probleme zu erstellen und Empfehlungen für die nächsten Schritte abzugeben.
Was wäre der beste Schritt, da die Aufsichtsbehörde nun eine Untersuchung durchführt?

 
 
 
 

NR. 34 SCENARIO
Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben:
Edufox veranstaltet jährlich einen Kongress für die Nutzer seiner berühmten E-Learning-Softwareplattform, der sich im Laufe der Zeit zu einem großen Ereignis entwickelt hat. Sie füllt eines der großen Konferenzhotels im Stadtzentrum und fließt in die anderen Hotels über. Mehrere tausend Teilnehmer genießen drei Tage lang Präsentationen, Podiumsdiskussionen und Networking. Der Kongress ist das Herzstück der Produkteinführung des Unternehmens und eine großartige Schulungsmöglichkeit für die derzeitigen Benutzer. Die Vertriebsmitarbeiter ermutigen auch potenzielle Kunden zur Teilnahme, damit sie einen besseren Eindruck davon bekommen, wie das System an die unterschiedlichsten Bedürfnisse angepasst werden kann, und damit sie verstehen, dass sie sich mit dem Kauf dieses Systems einer Gemeinschaft anschließen, die sich wie eine Familie fühlt.
Die diesjährige Konferenz ist nur noch drei Wochen entfernt, und Sie haben gerade von einer neuen Initiative gehört, die sie unterstützt:
eine Smartphone-App für die Teilnehmerinnen und Teilnehmer. Die App unterstützt die späte Anmeldung, hebt die vorgestellten Vorträge hervor und bietet eine mobile Version des Konferenzprogramms. Außerdem ist sie mit einem Restaurant-Reservierungssystem verknüpft, das die beste Küche in den vorgestellten Bereichen anbietet. "Es wird großartig werden", sagt die Entwicklerin Deidre Hoffman, "wenn wir es tatsächlich zum Laufen bringen! Sie lacht nervös, erklärt aber, dass sie wegen des engen Zeitrahmens, der ihr für die Entwicklung der App gesetzt wurde, den Auftrag an eine lokale Firma vergeben hat. "Es sind nur drei junge Leute", sagt sie, "aber sie leisten großartige Arbeit." Sie beschreibt einige der anderen Apps, die sie entwickelt haben. Auf die Frage, wie sie für diesen Auftrag ausgewählt wurden, zuckt Deidre mit den Schultern. "Sie leisten gute Arbeit, also habe ich sie ausgewählt." Deidre ist eine großartige Mitarbeiterin mit einer starken Erfolgsbilanz. Deshalb wurde sie auch mit der Durchführung dieses eiligen Projekts beauftragt. Sie sind sicher, dass ihr das Wohl des Unternehmens am Herzen liegt, und Sie bezweifeln nicht, dass sie unter Druck steht, um eine unaufschiebbare Frist einzuhalten. Sie haben jedoch Bedenken, was den Umgang mit personenbezogenen Daten und die Sicherheitsvorkehrungen der App angeht. Beim Mittagessen im Pausenraum fangen Sie an, mit ihr darüber zu sprechen, aber sie versucht schnell, Sie zu beruhigen: "Ich bin sicher, dass wir mit Ihrer Hilfe alle Sicherheitsprobleme beheben können, wenn es nötig ist, aber ich bezweifle, dass es welche geben wird. Diese Leute entwickeln Apps für ihren Lebensunterhalt, und sie wissen, was sie tun. Du machst dir zu viele Sorgen, aber genau deshalb bist du so gut in deinem Job!" Sie möchten darauf hinweisen, dass die üblichen Protokolle in dieser Angelegenheit NICHT befolgt worden sind.
Welcher Prozess wurde dabei besonders vernachlässigt?

 
 
 
 

NR. 35 Ihr Unternehmen bietet ein SaaS-Tool für B2B-Dienste an und interagiert nicht mit einzelnen Kunden. Der derzeitige Mitarbeiter eines Kunden wendet sich an Sie und bittet um das Recht auf Löschung.

 
 
 
 

NR. 36 SCENARIO
Beantworten Sie bitte die nächste FRAGE anhand der folgenden Angaben:
Als neuer Chief Executive Officer des Unternehmens möchte Thomas Goddard als führendes Unternehmen im Bereich des Datenschutzes bekannt werden. Goddard war zuletzt Finanzchef von Hoopy.com, einem Pionier der Online-Videowiedergabe mit Millionen von Nutzern in aller Welt. Leider ist Hoopy in Kreisen des Datenschutzes berüchtigt für seine ethisch fragwürdigen Praktiken, einschließlich des nicht genehmigten Verkaufs persönlicher Daten an Vermarkter. Hoopy war auch das Ziel eines Diebstahls von Kreditkartendaten, der weltweit für Schlagzeilen sorgte, da mindestens zwei Millionen Kreditkartennummern gestohlen worden sein sollen, obwohl das Unternehmen behauptete, "angemessene" Datenschutzvorkehrungen zu treffen. Der Skandal wirkte sich auf das Geschäft des Unternehmens aus, da Konkurrenten schnell ein höheres Schutzniveau anboten und gleichzeitig ähnliche Unterhaltungs- und Medieninhalte anboten. Innerhalb von drei Wochen nach Bekanntwerden des Skandals musste Hoopy-Gründer und CEO Maxwell Martin, Goddards Mentor, zurücktreten.
Goddard scheint jedoch auf dem Boden der Tatsachen gelandet zu sein, denn er sicherte sich den CEO-Posten bei Ihrem Unternehmen Medialite, das gerade seine Start-up-Phase hinter sich gelassen hat. Er überzeugte den Vorstand des Unternehmens und die Investoren von seiner Vision, dass Medialite seine Marke unter anderem auf der Grundlage branchenführender Datenschutzstandards und -verfahren aufbaut.
Er war vielleicht eine Schlüsselfigur in einer Organisation, die in Bezug auf den Schutz der Privatsphäre vernachlässigt wurde oder sogar abtrünnig war, aber jetzt behauptet er, dass er reformiert wurde und wirklich an den Schutz der Privatsphäre glaubt. In seiner ersten Woche im Amt ruft er Sie in sein Büro und erklärt Ihnen, dass Ihre Hauptaufgabe darin besteht, seine Vision des Datenschutzes mit Leben zu erfüllen. Aber Sie bemerken auch einige Vorbehalte. "Wir wollen, dass Medialite die absolut höchsten Standards hat", sagt er. "Ich möchte, dass wir in der Lage sind zu sagen, dass wir in Sachen Privatsphäre und Datenschutz eindeutig führend sind. Allerdings muss ich auch ein verantwortungsvoller Verwalter der Unternehmensfinanzen sein. Ich will also die besten Lösungen für alle Bereiche, aber sie müssen auch kosteneffizient sein." Sie sollen sich in einer Woche mit Ihren Empfehlungen zurückmelden. Mit diesem zweideutigen Auftrag verlassen Sie die Vorstandsetage und denken bereits über Ihre nächsten Schritte nach.
Sie halten vor Ihrem CEO einen Vortrag über die Reife des Datenschutzprogramms. Was bedeutet es, ein "gemanagtes" Datenschutzprogramm zu haben, gemäß dem AICPA/CICA Privacy Maturity Model?

 
 
 
 

NR. 37 SCENARIO
Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben:
Sie leiten das Datenschutzbüro eines Unternehmens, das Daten von Personen aus verschiedenen Ländern Europas und Amerikas verarbeitet. Sie beginnen an diesem Morgen mit der Überprüfung des Datenschutzes, als ein Vertragsbeauftragter Ihnen eine Nachricht schickt, in der er Sie um einen Anruf bittet. Der Nachricht mangelt es an Klarheit und Details, aber Sie vermuten, dass Daten verloren gegangen sind.
Als Sie sich mit dem Vertragsbeauftragten in Verbindung setzen, teilt er Ihnen mit, dass er einen Brief von einem Anbieter erhalten hat, in dem er behauptet, dass der Anbieter unrechtmäßig Informationen über Ihre Kunden weitergegeben hat. Er rief bei dem Anbieter an und bestätigte, dass Ihr Unternehmen vor kurzem genau 2000 Personen zu ihren jüngsten Erfahrungen im Gesundheitswesen befragt und diese Umfragen an den Anbieter geschickt hat, damit dieser sie in eine Datenbank überträgt, aber der Anbieter vergaß, die Datenbank wie im Vertrag versprochen zu verschlüsseln. Infolgedessen hat der Anbieter die Kontrolle über die Daten verloren.
Der Verkäufer ist äußerst entschuldigend und bietet an, die Verantwortung für den Versand der Benachrichtigungen zu übernehmen. Er sagt Ihnen, dass er 2000 frankierte Postkarten beiseite gelegt hat, weil das die Zeit bis zum Versand der Benachrichtigung verkürzen soll. Eine Seite ist auf das Logo des Unternehmens beschränkt, aber die andere Seite ist frei und sie akzeptieren alles, was Sie schreiben wollen. Sie stellen das Angebot zurück und beginnen, den Text unter Berücksichtigung des begrenzten Platzes zu entwickeln. Sie geben sich damit zufrieden, dass das Logo des Verkäufers mit der Mitteilung in Verbindung gebracht wird.
In der Benachrichtigung wird erklärt, dass Ihr Unternehmen vor kurzem einen Anbieter beauftragt hat, Informationen über die letzten Erfahrungen in der Klinik für Infektionskrankheiten des St. Sebastian Krankenhauses zu speichern. Der Anbieter hat die Informationen nicht verschlüsselt und hat keine Kontrolle mehr über sie. Alle 2000 betroffenen Personen werden gebeten, sich für E-Mail-Benachrichtigungen über ihre Daten anzumelden. Dazu müssen sie lediglich auf die Website Ihres Unternehmens gehen, eine kurze Werbung ansehen und dann ihren Namen, ihre E-Mail-Adresse sowie Geburtsmonat und -jahr angeben.
Sie schreiben eine E-Mail an den Krisenstab, um dessen Zustimmung vor 9 Uhr einzuholen. Wenn in dieser Situation etwas schief geht, wollen Sie die Schuld auf Ihre Kollegen verteilen. In den nächsten acht Stunden schickt jeder seine Kommentare per E-Mail hin und her. Der Berater, der das Notfallteam leitet, merkt an, dass dies sein erster Tag im Unternehmen ist, er aber schon seit 45 Jahren in anderen Branchen tätig ist und sein Bestes geben wird. Einer der drei Anwälte im Rat sorgt dafür, dass das Gespräch vom Kurs abweicht, aber schließlich kommt es wieder in Gang. Am Ende stimmen sie dafür, mit der von Ihnen verfassten Mitteilung fortzufahren und die Postkarten des Verkäufers zu verwenden.
Kurz nachdem der Verkäufer die Postkarten verschickt hat, erfahren Sie, dass die Daten auf einem Server gespeichert waren, der gestohlen wurde, und Sie beschließen, dass Ihr Unternehmen Kreditüberwachungsdienste anbieten soll. Eine schnelle Internetrecherche findet ein Kreditüberwachungsunternehmen mit einem überzeugenden Namen: Credit Under Lock and Key (CRUDLOK). Ihr Vertriebsmitarbeiter hat noch nie einen Vertrag für 2000 Personen abgewickelt, entwickelt aber innerhalb eines Tages ein Angebot, in dem steht, dass CRUDLOK dies tun wird:
1. am Tag nach der Unterzeichnung des Vertrags eine Einladung zur Einschreibung an alle Teilnehmer zu senden.
2.jemanden nur mit seinem Vornamen und den letzten 4 seiner nationalen Kennung erfassen.
3. das Guthaben jedes Antragstellers zwei Jahre lang ab dem Datum der Einschreibung zu überwachen.
4. monatlich eine E-Mail mit ihrer Bonitätsbewertung und Angeboten für kreditbezogene Dienstleistungen zu marktüblichen Preisen zu versenden.
5. 20% der Kosten für die Wiederherstellung des Guthabens werden Ihrem Unternehmen in Rechnung gestellt.
Sie schließen den Vertrag ab, und die Einladungen zur Teilnahme werden per E-Mail an die 2000 Personen verschickt. Drei Tage später setzen Sie sich hin und dokumentieren alles, was gut gelaufen ist und was besser hätte laufen können. Sie legen es in eine Akte, um beim nächsten Vorfall darauf zurückgreifen zu können.
Welcher der folgenden Punkte würde bei der Kreditüberwachung die größten Bedenken hervorrufen?

 
 
 
 

NR. 38 Welche der folgenden Punkte deuten darauf hin, dass Sie den richtigen Datenschutzrahmen für Ihr Unternehmen entwickelt haben?

 
 
 
 

NR. 39 SCENARIO
Beantworten Sie bitte die nächste FRAGE anhand der folgenden Angaben:
Das ist genau das, was Sie befürchtet haben. Ohne Sie zu konsultieren, hat der Leiter der Informationstechnologie in Ihrem Unternehmen eine neue Initiative gestartet, um die Mitarbeiter zu ermutigen, persönliche Geräte für geschäftliche Zwecke zu nutzen. Die Initiative machte die Anschaffung eines neuen, hochspezialisierten Laptops zu einer attraktiven Option, wobei die verbilligten Laptops über ein Jahr lang von der Gehaltsabrechnung abgezogen werden. Die Organisation zahlt auch die Umsatzsteuer. Es ist ein großartiges Angebot, und nach einem Monat hat sich mehr als die Hälfte der Mitarbeiter der Organisation für neue Laptops entschieden und diese erworben. Wenn man durch die Einrichtung geht, sieht man, wie sie fröhlich ihre neuen Computer anpassen und Notizen vergleichen, und am Ende des Tages nehmen die meisten ihre Laptops mit nach Hause oder an andere unbekannte Orte, wo sie möglicherweise persönliche Daten mit sich führen. Das reicht aus, um Ihnen Alpträume in Sachen Datenschutz zu bereiten, und Sie haben den Leiter der Informationstechnologie und viele andere in der Organisation auf die potenziellen Gefahren dieser neuen Praxis hingewiesen, einschließlich der Unvermeidlichkeit eines möglichen Datenverlusts oder -diebstahls.
Heute haben Sie einen Vertreter der Marketingabteilung des Unternehmens in Ihrem Büro, der Ihnen widerwillig eine Geschichte mit möglicherweise schwerwiegenden Folgen erzählt. Am Abend zuvor ging er direkt von der Arbeit mit dem Laptop in der Hand in den Bull and Horn Pub, um mit seinen Freunden Billard zu spielen. Ein schöner Abend mit Sport und geselligem Beisammensein begann, wobei der Laptop "sicher" auf einer Bank unter seiner Jacke verstaut war. Später am Abend, als es Zeit war zu gehen, holte er die Jacke zurück, aber der Laptop war weg. Er befand sich weder unter der Bank noch auf einer anderen Bank in der Nähe. Die Kellner hatten ihn nicht gesehen. Seine Freunde hatten sich keinen Scherz mit ihm erlaubt. Nach einer schlaflosen Nacht bestätigte er es heute Morgen, als er in der Kneipe vorbeikam, um mit den Reinigungskräften zu sprechen. Sie hatten ihn nicht gefunden. Der Laptop war verschwunden. Gestohlen, wie es scheint. Er sieht Sie an, verlegen und verärgert.
Sie fragen ihn, ob der Laptop persönliche Daten von Kunden enthält, und er nickt bedauernd mit dem Kopf: Ja. Er glaubt, dass er Dateien von etwa 100 Kunden enthält, darunter Namen, Adressen und staatliche Identifikationsnummern. Er seufzt und stützt seinen Kopf verzweifelt in die Hände.
Was ist aus Unternehmenssicht die produktivste Art und Weise, die Nutzung von persönlicher Ausrüstung durch Mitarbeiter für arbeitsbezogene Aufgaben zu betrachten?

 
 
 
 

NR. 40 Welche der folgenden Kontrollen schreibt der PCI DSS-Rahmen NICHT vor?

 
 
 
 

Bereiten Sie sich auf Ihre CIPM-Prüfung mit aktuellen 182 Fragen vor: https://www.examslabs.com/IAPP/Certified-Information-Privacy-Manager/best-CIPM-exam-dumps.html