NR. 134 SCENARIO
Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben:
Jack arbeitete als Pharmacovigiliance Operations Specialist in der irischen Niederlassung eines multinationalen Pharmaunternehmens an einer klinischen Studie zu COVID-19. Als Teil seines Einarbeitungsprozesses erhielt Jack eine Datenschutzschulung. Er wurde ausdrücklich darauf hingewiesen, dass er im Rahmen seiner Arbeit zwar vertrauliche Patientendaten verarbeiten muss, diese Daten aber unter keinen Umständen für andere Zwecke als die Durchführung arbeitsbezogener Aufgaben verwenden darf (fragt Dies wurde auch in der Datenschutzrichtlinie festgelegt, die Jack nach Abschluss der Schulung unterzeichnete.
Nach einigen Monaten der Beschäftigung geriet Jack am Telefon in einen Streit mit einem Patienten. Aus Wut postete er später den Namen und die Herddaten des Patienten zusammen mit abfälligen Kommentaren auf einer Social-Media-Website. Als dies von seinen Pharmakovigilanz-Vorgesetzten entdeckt wurde. Jack wurde sofort entlassen. Jacks Anwalt schickte ein Schreiben an das Unternehmen, in dem er erklärte, dass die Entlassung eine unverhältnismäßige Sanktion sei und dass seine Kanzlei keine andere Wahl habe, als gerichtlich gegen das Unternehmen vorzugehen, wenn Jack nicht innerhalb von 14 Tagen wieder eingestellt würde. Diesem Schreiben war ein Antrag auf Datenzugang von Jack beigefügt, in dem er eine Kopie "aller personenbezogenen Daten, einschließlich interner E-Mails, die von Jack gesendet/empfangen wurden oder bei denen Jack direkt oder indirekt durch den Inhalt identifizierbar ist" verlangte.
Das Unternehmen führte eine erste Suche in seinen IT-Systemen durch, die eine große Menge an Informationen ergab. Daraufhin wandte sich das Unternehmen an Jack und bat ihn um genauere Angaben zu den benötigten Informationen, um eine gezielte Suche durchführen zu können.
Welche Partei haftet gemäß Artikel 82 der Datenschutz-Grundverordnung ("Recht auf Schadenersatz und Haftung") für den durch die Datenschutzverletzung verursachten Schaden?

NR. 135

NR. 136 Wen muss das betroffene Unternehmen nach der Entdeckung eines Einbruchs, bei dem unverschlüsselte personenbezogene Daten gestohlen wurden, gemäß den Anforderungen der DSGVO zuerst benachrichtigen?

NR. 137 Was trifft zu, wenn ein Arbeitnehmer bei seinem Arbeitgeber einen Antrag auf Zugang zu den über ihn gespeicherten personenbezogenen Daten stellt?

NR. 138 SCENARIO
Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben:
Das Fitnessunternehmen Vigotron hat kürzlich eine neue App namens M-Health entwickelt, die es auf seiner Website als kostenlosen Download anbieten möchte. Der Marketingleiter von Vigotron bittet seine Assistentin Emily, eine Webseite zu erstellen, die die App beschreibt und die Nutzungsbedingungen festlegt. Emily, die neu bei Vigotron ist, ist begeistert von dieser Aufgabe. Bei ihrer vorherigen Arbeitsstelle hat sie einen Datenschutzkurs besucht, und obwohl die Details etwas verschwommen sind, erkennt sie, dass Vigotron in einigen Fällen die Zustimmung der Benutzer für die Nutzung der App einholen muss. Emily skizziert den folgenden Entwurf und versucht, so viel wie möglich abzudecken, bevor sie ihn an die Rechtsabteilung von Vigotron schickt.
Anmeldeformular
Die neue M-Health-App von Vigotron macht es Ihnen leicht, eine Vielzahl von gesundheitsbezogenen Aktivitäten zu überwachen, einschließlich Ernährung, Bewegung und Schlafverhalten. M-Health stützt sich auf Ihre Smartphone-Einstellungen (zusammen mit anderen Apps von Drittanbietern, die Sie möglicherweise bereits haben), um Daten über all diese wichtigen Lebensstilelemente zu sammeln und die Informationen bereitzustellen, die Sie benötigen, um Ihre Lebensqualität zu verbessern. (Bitte klicken Sie hier, um eine vollständige Beschreibung der von M-Health angebotenen Dienste zu lesen). Vigotron schätzt Ihre Privatsphäre. Mit der M-Heaith-App können Sie entscheiden, welche Informationen in ihr gespeichert werden und welche Apps auf Ihre Daten zugreifen können. Wenn Ihr Gerät mit einem Passcode gesperrt ist, werden alle Ihre Gesundheits- und Fitnessdaten mit Ihrem Passcode verschlüsselt. Sie können die in der Health-App gespeicherten Daten bei Vigotrons Cloud-Anbieter Stratculous sichern. (Lesen Sie hier mehr über Stratculous.) Vigotron wird niemals persönliche Informationen, die von der M-Health-App gesammelt wurden, tauschen, vermieten oder verkaufen. Darüber hinaus werden wir den Namen eines Kunden, seine E-Mail-Adresse oder andere über die App gesammelte Informationen nicht ohne die Zustimmung des Kunden an Dritte weitergeben, es sei denn, dies wird von einem Gericht angeordnet, durch eine Vorladung angewiesen oder um die gesetzlichen Rechte des Herstellers durchzusetzen oder sein Geschäft oder Eigentum zu schützen.
Wir freuen uns, die M-Health-App kostenlos anbieten zu können. Wenn Sie sie herunterladen und nutzen möchten, bitten wir Sie, zunächst dieses Registrierungsformular auszufüllen. (Bitte beachten Sie, dass die M-Health-App nur von Erwachsenen ab 16 Jahren genutzt werden darf, es sei denn, Minderjährige haben die Zustimmung ihrer Eltern). Name und Vorname:
Nachname:
Geburtsjahr:
E-Mail:
Physische Adresse (fakultativ*):
Gesundheitszustand:
*Wenn Sie an der Zusendung von Newslettern über unsere Produkte und Dienstleistungen interessiert sind, die für Sie von Interesse sein könnten, geben Sie bitte Ihre physische Adresse an. Wenn Sie später entscheiden, dass Sie diese Newsletter nicht mehr erhalten möchten, können Sie sich per E-Mail an [email protected] abmelden oder einen Brief mit Ihrer Anfrage an die unten auf dieser Seite angegebene Adresse senden.
Bedingungen und Konditionen
1. Zuständigkeit. [...]
2. Anwendbares Recht. [...]
3. Begrenzung der Haftung. [...]
Zustimmung
Mit dem Ausfüllen dieses Registrierungsformulars bestätigen Sie, dass Sie mindestens 16 Jahre alt sind und dass Sie der Verarbeitung Ihrer personenbezogenen Daten durch Vigotron zum Zwecke der Nutzung der M-Health-App zustimmen. Obwohl Sie das Recht haben, Werbung oder Marketing abzulehnen, erklären Sie sich damit einverstanden, dass Vigotron Sie per E-Mail oder auf anderem elektronischem Wege kontaktiert oder Ihnen alle erforderlichen Mitteilungen, Vereinbarungen oder sonstigen Informationen zu den Dienstleistungen zukommen lässt. Sie erklären sich auch damit einverstanden, dass das Unternehmen automatisierte E-Mails mit Warnhinweisen zu Problemen mit der M-Health-App, die Ihr Wohlbefinden beeinträchtigen könnten, versenden darf.
Emily schickt den Entwurf an Sam zur Überprüfung. Welchen der folgenden Punkte wird Sam am ehesten als das größte Problem in Emilys Einwilligungserklärung bezeichnen?

NR. 139 SCENARIO
Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben:
Die Hotelkette ABC und das Reisebüro XYZ sind multinationale Unternehmen mit Sitz in den USA. Sie nutzen eine gemeinsame internetbasierte Plattform für die Erfassung und den Austausch ihrer Kundendaten, um ihre Marketingaktivitäten zu integrieren. Darüber hinaus vereinbaren sie, welche Daten gespeichert werden sollen, wie Reservierungen gebucht und bestätigt werden und wer Zugriff auf die gespeicherten Daten hat.
Mike, der in der EU wohnt, hat in der Vergangenheit über das Reisebüro XYZ Reisen gebucht, um in den Hotels der ABC Hotelkette zu übernachten. Das XYZ-Reisebüro bietet ein Prämienprogramm an, bei dem Kunden Punkte sammeln können, die später für kostenlose Reisen eingelöst werden können. Mike hat die Vereinbarung zur Teilnahme am Rewards-Programm unterzeichnet.
Nun möchte Mike wissen, welche persönlichen Daten das Unternehmen über ihn besitzt. Er schickt eine E-Mail, in der er Zugang zu seinen Daten beantragt, um seine Rechte als Betroffener wahrzunehmen.
Innerhalb welcher Zeitspanne sollte Mike eine Antwort auf seine Anfrage erhalten?

NR. 140 Welche GDPR-Anforderung wird die größten Herausforderungen für Unternehmen mit Bring Your Own Device (BYOD)-Programmen darstellen?

NR. 141 Lesen Sie die folgenden Schritte:
* Entdecken Sie, welche Mitarbeiter von welchen Geräten und Anwendungen aus auf Cloud-Dienste zugreifen.
* Sperren Sie die Daten in diesen Anwendungen und Geräten
* Überwachen und Analysieren der Anwendungen und Geräte auf Konformität
* Verwaltung der Lebenszyklen von Anwendungen
* Überwachung der gemeinsamen Nutzung von Daten
Welche der folgenden Schritte sollte eine Organisation durchführen?

NO.142 Auf welche Maßnahme könnte sich ein für die Verarbeitung Verantwortlicher bei der Beauftragung eines Datenverarbeiters NICHT verlassen, um im Falle einer Sicherheitsverletzung nicht haftbar gemacht zu werden?

NR. 143 SCENARIO
Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben:
ProStorage ist ein multinationaler Cloud-Speicheranbieter mit Hauptsitz in den Niederlanden. Sein CEO. Ruth Brown, hat eine zweigleisige Wachstumsstrategie entwickelt: 1) Ausweitung des weltweiten Kundenstamms von ProStorage und 2) Vergrößerung des ProStorage-Vertriebsteams durch effizientes Onboarding effektiver Teams. Die Umsetzung dieser Strategie wurde in letzter Zeit durch Ruths Gesundheitszustand erschwert, der ihre Arbeitszeiten und ihre Möglichkeiten, zu potenziellen Kunden zu reisen, einschränkte. Die Personalabteilung von ProStorage und Ruths Stabschef arbeiten nun zusammen, um ihren Zeitplan zu verwalten und sicherzustellen, dass sie alle ihre medizinischen Termine wahrnehmen kann. Letzteres wurde besonders wichtig nach Ruths letzter Reise nach Indien, wo sie einen medizinischen Notfall erlitt und in ein Krankenhaus in Neu-Delhi eingeliefert wurde: ProStorage Zur Unterstützung von Ruths strategischem Ziel, mehr Vertriebsmitarbeiter einzustellen, konzentriert sich das Team der Personalabteilung auf die Verbesserung seiner Prozesse, um sicherzustellen, dass neue Mitarbeiter effizient gesucht, interviewt, eingestellt und eingearbeitet werden. Zu diesem Zweck wählte Mary zwei Anbieter aus: HRYourWay, ein in Deutschland ansässiges Unternehmen, und InstaHR, ein in Australien ansässiges Unternehmen. Sie entschied sich, beide Anbieter dem ProStorage-Verfahren zur Risikoprüfung zu unterziehen, damit sie gemeinsam mit Ruth die endgültige Entscheidung treffen konnte. Im Rahmen des Überprüfungsprozesses überprüfte Jackie, die für die Pflege des Datenschutzprogramms von ProStorage verantwortlich ist (einschließlich der Pflege der BCRs für die für die Verarbeitung Verantwortlichen und der Durchführung von Risikobewertungen der Anbieter), beide Anbieter, führte aber nur für InstaHR eine Bewertung der Auswirkungen der Übertragung durch. Nach ihrer Prüfung rühmten sich beide mit einem etablierteren Datenschutzprogramm und legten Bescheinigungen Dritter vor, während HRYourWay ein kleiner Anbieter mit minimalen Datenschutzmaßnahmen war.
Daher empfahl sie InstaHR.
Das Marketingteam von ProStorage arbeitete auch daran, die strategischen Ziele des Unternehmens zu erreichen, indem es sich auf Branchen konzentrierte, in denen es seinen Marktanteil vergrößern musste. Zu diesem Zweck wählte das Team UpFinance als Partner aus, ein in den USA ansässiges Unternehmen mit guten Verbindungen zu Kunden aus der Finanzbranche. Während des Prüfungsverfahrens von ProStorage stellte Jackie vom Datenschutzteam in der Folgenabschätzung für den Transfer fest, dass UpFinance mehrere Datenschutzmaßnahmen umsetzt, darunter eine Ende-zu-Ende-Verschlüsselung, wobei die Verschlüsselungsschlüssel im Besitz des Kunden sind.
Bemerkenswert ist, dass UpFinance in den 7 Jahren seiner Geschäftstätigkeit keine Anfragen von Behörden erhalten hat. Dennoch empfahl Jackie, im Vertrag festzulegen, dass UpFinance ProStorage benachrichtigen muss, wenn es eine staatliche Anfrage zu personenbezogenen Daten erhält, die UpFinance in seinem Namen verarbeitet, bevor es diese Daten offenlegt.
Warum ist die von Jackie empfohlene zusätzliche Maßnahme ausreichend für die Nutzung von UpFinance?

NR. 144 SCENARIO
Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben:
BHealthy, ein in Italien ansässiges Unternehmen, ist bereit, eine neue Reihe von Naturprodukten auf den Markt zu bringen, wobei der Schwerpunkt auf Sonnenschutzmitteln liegt. Der letzte Schritt vor der Produkteinführung besteht für BHealthy darin, Untersuchungen durchzuführen, um zu entscheiden, wie umfangreich die neue Sonnenschutzmittellinie in Europa vermarktet werden soll. Zu diesem Zweck hat sich BHealthy mit Natural Insight zusammengetan, einem Unternehmen, das sich auf die Ermittlung der Preise für Naturprodukte spezialisiert hat. BHealthy beschloss, seine bestehenden Kundendaten - Name, Standort und frühere Einkäufe - mit Natural Insight zu teilen. Natural Insight beabsichtigt, diese Informationen zu nutzen, um seinen Algorithmus zu trainieren, der dabei helfen soll, den Preispunkt zu bestimmen, zu dem BHealthy seine neuen Sonnenschutzmittel verkaufen kann.
Vor der Weitergabe seiner Kundenliste hat BHealthy die Sicherheitspraktiken von Natural Insight überprüft und ist zu dem Schluss gekommen, dass das Unternehmen über ausreichende Sicherheitsmaßnahmen zum Schutz der Kontaktinformationen verfügt. Darüber hinaus sehen die Vertragsbedingungen von BHealthy mit Natural Insight für die Datenverarbeitung die fortlaufende Umsetzung von technischen und organisatorischen Maßnahmen vor. Der Vertrag enthält auch Beschränkungen für die Verwendung der von BHealthy bereitgestellten Daten für Zwecke, die über die Erbringung der Dienstleistungen hinausgehen, einschließlich der Verwendung der Daten zur weiteren Verbesserung der maschinellen Lernalgorithmen von Natural Insight.
In welchem Fall würde die Verwendung der Daten von BHealthy durch Natural Insight zur Verbesserung seiner Algorithmen als Tätigkeit des Datenverarbeiters gelten?

NR. 145 Was ist ein wichtiger Unterschied zwischen dem Europäischen Gerichtshof für Menschenrechte (EGMR) und dem Gerichtshof der Europäischen Union (EuGH) in Bezug auf ihre Aufgaben und Funktionen?

NR. 146 Welche Pflichten hat ein Auftragsverarbeiter, der einen Unterauftragsverarbeiter einsetzt?

NR. 147 Das Planet 49-Urteil des EuGH gilt für?

NR. 148 SCENARIO
Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben:
Building Block Inc. ist ein multinationales Unternehmen mit Hauptsitz in Chicago und Niederlassungen in den Vereinigten Staaten, Asien und Europa (einschließlich Deutschland, Italien, Frankreich und Portugal). Im vergangenen Jahr wurde das Unternehmen Opfer eines Phishing-Angriffs, der zu einem erheblichen Datenverlust führte. Der Vorstand beschloss daraufhin in Abstimmung mit dem Geschäftsführer, dem Datenschutzbeauftragten und dem Informationssicherheitsteam, zusätzliche Sicherheitsmaßnahmen zu ergreifen. Dazu gehörten Schulungsprogramme zur Sensibilisierung der Mitarbeiter, ein Cybersicherheitsaudit und der Einsatz eines neuen Softwaretools namens SecurityScan, das die Computer der Mitarbeiter daraufhin überprüft, ob sie über Software verfügen, die nicht mehr von einem Anbieter unterstützt wird und daher keine Sicherheitsupdates erhält. Diese Software bietet jedoch auch andere Funktionen, darunter die Überwachung der Computer der Mitarbeiter.
Da diese Maßnahmen möglicherweise Auswirkungen auf die Mitarbeiter haben würden, beschloss das Datenschutzbüro von Building Block, eine allgemeine Mitteilung an alle Mitarbeiter herauszugeben, in der darauf hingewiesen wird, dass das Unternehmen eine Reihe von Initiativen zur Verbesserung der Informationssicherheit und zur Verhinderung künftiger Datenschutzverletzungen durchführen wird.
Nach der Umsetzung dieser Maßnahmen nahm die Serverleistung ab. Der Geschäftsführer wies das Sicherheitsteam in die Verwendung von SecurityScan ein, um die Computeraktivitäten der Mitarbeiter und deren Standort zu überwachen.
Dabei entdeckte das Informationssicherheitsteam, dass ein Mitarbeiter aus Italien täglich eine Verbindung zu einer Videothek mit Filmen herstellte und ein anderer Mitarbeiter aus Deutschland ohne Genehmigung per Fernzugriff arbeitete.
Das Sicherheitsteam meldete diese Vorfälle dem Datenschutzbüro und dem Generaldirektor. In seinem Bericht kam das Team zu dem Schluss, dass der Mitarbeiter aus Italien der Grund für den Rückgang der Serverleistung war.
Aufgrund der Schwere dieser Verstöße beschloss das Unternehmen, gegen beide Mitarbeiter disziplinarische Maßnahmen zu ergreifen, da die Sicherheits- und Datenschutzpolitik des Unternehmens es den Mitarbeitern untersagte, Software auf den Computern des Unternehmens zu installieren und ohne Genehmigung aus der Ferne zu arbeiten.
Was hätte Building Block als ersten Schritt vor der Implementierung der SecurityScan-Maßnahme tun müssen, um die GDPR einzuhalten?

NR. 149 In welchem Fall müsste ein für die Verarbeitung Verantwortlicher, der eine DPA durchgeführt hat, höchstwahrscheinlich eine Aufsichtsbehörde konsultieren?

NR. 150 Ein Hauseigentümer hat ein bewegungserkennendes Überwachungssystem installiert, das seinen Hauseingang und die Eingangstür filmt. Die Kamera filmt keine öffentlichen Bereiche, sondern nur Bereiche, die Eigentum des Hauseigentümers sind. Das System wurde den Behörden gemäß den Rechtsvorschriften des Landes des Hauseigentümers gemeldet, und ein Schild, das darauf hinweist, dass der Bereich videoüberwacht wird, ist beim Betreten des Grundstücks sichtbar. Warum kann sich der Hauseigentümer NICHT auf die Haushaltsfreistellung hinsichtlich der Verarbeitung der von der Überwachungskamera aufgezeichneten Videobilder berufen?