Diese Seite wurde exportiert von Exams Labs Braindumps [ http://blog.examslabs.com ] Exportdatum:Thu Nov 28 16:34:31 2024 / +0000 GMT ___________________________________________________ Titel: Nov 27, 2024 Aktualisierte CIPP-E Dumps Fragen für IAPP Prüfung [Q134-Q151] --------------------------------------------------- Nov 27, 2024 Aktualisierte CIPP-E Dumps Fragen für IAPP Prüfung Bester verfügbarer Vorbereitungsleitfaden für die CIPP-E Prüfung Die IAPP CIPP-E Zertifizierung ist eine wesentliche Qualifikation für Fachleute, die mit personenbezogenen Daten arbeiten und für die Einhaltung der europäischen Datenschutzgesetze und -vorschriften verantwortlich sind. Es handelt sich um eine weltweit anerkannte Zertifizierung, die die Kompetenz einer Fachkraft im Bereich des Datenschutzes nachweist und ihre Glaubwürdigkeit in der Branche stärkt. Die Zertifizierung Certified Information Privacy Professional/Europe (CIPP/E) wird von der IAPP vergeben und von Datenschutzbehörden weltweit anerkannt. NO.134 SCENARIBitte beantworten Sie die nächste Frage anhand des folgenden Beispiels:Jack arbeitete als Pharmacovigiliance Operations Specialist in der irischen Niederlassung eines multinationalen Pharmaunternehmens an einer klinischen Studie zu COVID-19. Als Teil seines Einarbeitungsprozesses erhielt Jack eine Datenschutzschulung. Er wurde ausdrücklich darauf hingewiesen, dass er im Rahmen seiner Arbeit zwar vertrauliche Patientendaten verarbeiten muss, diese Daten aber unter keinen Umständen für andere Zwecke als die Durchführung arbeitsbezogener Aufgaben verwenden darf (fragt Dies war auch in der Datenschutzrichtlinie festgelegt, die Jack nach Abschluss der Schulung unterzeichnete.Nach einigen Monaten der Beschäftigung geriet Jack am Telefon in einen Streit mit einem Patienten. Aus Wut veröffentlichte er später den Namen und die Herddaten des Patienten zusammen mit abfälligen Kommentaren auf einer Website für soziale Medien. Als dies von seinen Pharmakovigilanz-Vorgesetzten entdeckt wurde. Jack wurde sofort entlassen. Jacks Anwalt schickte ein Schreiben an das Unternehmen, in dem er erklärte, dass die Entlassung eine unverhältnismäßige Sanktion sei und dass seine Kanzlei keine andere Wahl hätte, als gerichtlich gegen das Unternehmen vorzugehen, wenn Jack nicht innerhalb von 14 Tagen wieder eingestellt würde. Diesem Schreiben war ein Antrag auf Datenzugang von Jack beigefügt, in dem er eine Kopie "aller personenbezogenen Daten, einschließlich interner E-Mails, die von Jack gesendet/empfangen wurden oder bei denen Jack direkt oder indirekt durch den Inhalt identifizierbar ist" verlangte.Das Unternehmen führte eine erste Suche in seinen IT-Systemen durch, die eine große Menge an Informationen ergab. Daraufhin setzte es sich mit Jack in Verbindung und bat ihn, genauer anzugeben, welche Informationen er benötige, um eine gezielte Suche durchführen zu können. Jack antwortete, dass er den Umfang der angeforderten Informationen nicht einschränken würde. Beide Parteien sind von der Haftung befreit, da das Unternehmen an der Forschung im Bereich der menschlichen Gesundheit beteiligt ist. Jack und das Pharmaunternehmen sind gemeinsam haftbar. Das Pharmaunternehmen ist haftbar. Jack ist haftbar. NR. 135 Sie überlegt zunächst, ob Unternehmen A im Zusammenhang mit dem neuen Zeiterfassungssystem eine Datenschutz-Folgenabschätzung durchführen muss, ist sich aber nicht sicher, ob dies erforderlich ist.Jenny weiß jedoch, dass es nach der Datenschutz-Grundverordnung eine formelle schriftliche Vereinbarung geben muss, in der Unternehmen B verpflichtet wird, die Zeiterfassungsdaten nur für die Erbringung der Lohn- und Gehaltsabrechnung zu verwenden und angemessene technische und organisatorische Sicherheitsmaßnahmen zum Schutz der Daten anzuwenden. Jenny schlägt vor, dass Unternehmen B sich von seinem Datenschutzbeauftragten beraten lässt. Das Unternehmen hat keinen Datenschutzbeauftragten, erklärt sich aber im Interesse des Vertragsabschlusses bereit, die Bestimmungen in vollem Umfang zu unterzeichnen. Wochen später, noch während des Vertragsverhältnisses mit Unternehmen A, beginnt Unternehmen B mit einem separaten Projekt zur Verbesserung der Funktionalität seines Gehaltsabrechnungsdienstes und beauftragt Unternehmen C mit seiner Hilfe. Unternehmen C erklärt sich bereit, alle personenbezogenen Daten aus den Live-Systemen von Unternehmen B zu extrahieren, um eine neue Datenbank für Unternehmen B zu erstellen. Diese Datenbank wird in einer Testumgebung gespeichert, die auf dem US-Server von Unternehmen C gehostet wird. Leider ist der Server von Unternehmen C in den USA nur durch ein veraltetes IT-Sicherheitssystem geschützt und wird kurz nach Beginn der Projektarbeit von Unternehmen C durch einen Cyber-Sicherheitsvorfall beschädigt. Dies hat zur Folge, dass die Daten der Mitarbeiter von Unternehmen A für jeden sichtbar sind, der die Website von Unternehmen C besucht. Unternehmen A ist sich dessen nicht bewusst, bis Jenny ein Schreiben der Aufsichtsbehörde im Zusammenhang mit der daraufhin eingeleiteten Untersuchung erhält. Die Datenschutz-Grundverordnung verlangt ausreichende Garantien dafür, dass ein Unternehmen in der Lage ist, angemessene technische und organisatorische Maßnahmen zu ergreifen. Was wäre die realistischste Möglichkeit für Unternehmen B, diese Anforderung zu erfüllen? Beauftragung von Unternehmen, deren Maßnahmen mit den Empfehlungen der Akkreditierungsstellen übereinstimmen. Beratung und technische Unterstützung durch das IT-Team von Unternehmen A anfordern. Vermeidung der Verwendung von Daten eines anderen Unternehmens zur Verbesserung der eigenen Dienstleistungen. Überprüfung der Maßnahmen von Unternehmen durch die zuständige Aufsichtsbehörde. Erläuterung/Referenz: https://www.knowyourcompliance.com/gdpr-technical-organisational-measures/NO.136 Wen muss das betroffene Unternehmen nach Feststellung eines Einbruchs mit Diebstahl unverschlüsselter personenbezogener Daten gemäß den Anforderungen der DSGVO zuerst benachrichtigen? Alle Eltern von Kindern, deren personenbezogene Daten kompromittiert wurden. Alle betroffenen Kunden, deren Daten kompromittiert wurden. Eine zuständige Aufsichtsbehörde. Eine lokale Strafverfolgungsbehörde NEIN.137 Was trifft zu, wenn ein Arbeitnehmer bei seinem Arbeitgeber einen Antrag auf Zugang zu den über ihn gespeicherten personenbezogenen Daten stellt? Der Arbeitgeber kann den Antrag automatisch ablehnen, wenn er personenbezogene Daten über eine dritte Person enthält. Der Arbeitgeber kann den Antrag ablehnen, wenn die Daten nur elektronisch gespeichert sind. Der Arbeitgeber muss alle über den Arbeitnehmer gespeicherten Daten zur Verfügung stellen. Der Arbeitgeber muss alle über einen Arbeitnehmer gespeicherten Informationen zur Verfügung stellen, es sei denn, es gilt eine Ausnahmeregelung. Nach der britischen Datenschutz-Grundverordnung haben Arbeitnehmer das Recht, von ihrem Arbeitgeber eine Kopie ihrer personenbezogenen Daten und andere zusätzliche Informationen zu erhalten. Dies wird als Antrag auf Zugang zu den Daten der betroffenen Person (DSAR) bezeichnet. Arbeitgeber müssen einen DSAR-Antrag unverzüglich und innerhalb eines Monats nach Eingang des Antrags beantworten, es sei denn, der Antrag ist komplex oder übermäßig umfangreich. Die Arbeitgeber sollten eine angemessene Suche nach den angeforderten Informationen durchführen und diese in einem zugänglichen, prägnanten und verständlichen Format bereitstellen. Der Arbeitgeber kann die Bereitstellung der Informationen nur verweigern, wenn eine Ausnahmeregelung oder eine Einschränkung gilt oder wenn der Antrag offensichtlich unbegründet oder überzogen ist. Einige der Ausnahmen, die im Beschäftigungskontext gelten können, sind: rechtliches Privileg, Managementprognosen, vertrauliche Referenzen, Verhandlungen, regulatorische Aufgaben sowie strafrechtliche Verurteilungen und Straftaten. Arbeitgeber sollten die Informationen auf sichere Weise offenlegen und den Arbeitnehmer über seine Rechte und die Quelle der Daten informieren. Referenz:Auskunftsrecht | ICOSubject Access Request Q and As for employers | ICOData Subject Access Request (Employers' Guide) | DavidsonMorrisNO.138 SCENARIOP Please use the following to answer the next question:Das Fitnessunternehmen Vigotron hat kürzlich eine neue App namens M-Health entwickelt, die es auf seiner Website als kostenlosen Download anbieten möchte. Der Marketingleiter von Vigotron bittet seine Assistentin Emily, eine Webseite zu erstellen, die die App beschreibt und die Nutzungsbedingungen festlegt. Emily, die neu bei Vigotron ist, ist begeistert von dieser Aufgabe. Bei ihrer vorherigen Arbeitsstelle hat sie einen Datenschutzkurs besucht, und obwohl die Details etwas verschwommen sind, erkennt sie, dass Vigotron in einigen Fällen die Zustimmung der Benutzer für die Nutzung der App einholen muss. Emily entwirft den folgenden Entwurf und versucht, so viel wie möglich abzudecken, bevor sie ihn an die Rechtsabteilung von Vigotron schickt.RegistrierungsformularDie neue M-Health-App von Vigotron macht es Ihnen leicht, eine Vielzahl von gesundheitsbezogenen Aktivitäten zu überwachen, einschließlich Ernährung, Bewegung und Schlafverhalten. M-Health stützt sich auf Ihre Smartphone-Einstellungen (zusammen mit anderen Apps von Drittanbietern, die Sie möglicherweise bereits nutzen), um Daten über all diese wichtigen Lebensstilelemente zu sammeln und Ihnen die Informationen zu liefern, die Sie benötigen, um Ihre Lebensqualität zu verbessern. (Bitte klicken Sie hier, um eine vollständige Beschreibung der von M-Health angebotenen Dienste zu lesen). Vigotron schätzt Ihre Privatsphäre. Mit der M-Heaith-App können Sie entscheiden, welche Informationen in ihr gespeichert werden und welche Apps auf Ihre Daten zugreifen können. Wenn Ihr Gerät mit einem Passcode gesperrt ist, werden alle Ihre Gesundheits- und Fitnessdaten mit Ihrem Passcode verschlüsselt. Sie können die in der Health-App gespeicherten Daten bei Vigotrons Cloud-Anbieter Stratculous sichern. (Lesen Sie hier mehr über Stratculous.) Vigotron wird niemals persönliche Informationen, die von der M-Health-App gesammelt wurden, tauschen, vermieten oder verkaufen. Darüber hinaus werden wir den Namen, die E-Mail-Adresse oder andere über die App gesammelte Informationen eines Kunden nicht ohne dessen Zustimmung an Dritte weitergeben, es sei denn, dies wird von einem Gericht angeordnet, durch eine Vorladung angewiesen oder dient der Durchsetzung der gesetzlichen Rechte des Herstellers oder dem Schutz seines Geschäfts oder Eigentums.Wir freuen uns, die M-Health-App kostenlos anbieten zu können. Wenn Sie sie herunterladen und nutzen möchten, bitten wir Sie, zunächst dieses Registrierungsformular auszufüllen. (Bitte beachten Sie, dass die Nutzung der M-Health-App auf Erwachsene ab 16 Jahren beschränkt ist, es sei denn, Minderjährige haben die Erlaubnis ihrer Eltern, die App zu nutzen). Vorname:Nachname:Geburtsjahr:E-Mail:Physische Adresse (optional*):Gesundheitszustand:*Wenn Sie daran interessiert sind, Newsletter über unsere Produkte und Dienstleistungen zu erhalten, die für Sie von Interesse sein könnten, geben Sie bitte Ihre physische Adresse an. Wenn Sie sich später entscheiden, dass Sie diese Newsletter nicht mehr erhalten möchten, können Sie diese abbestellen, indem Sie eine E-Mail an unsubscribe@vigotron.com senden oder einen Brief mit Ihrer Anfrage an die unten auf dieser Seite angegebene Adresse schicken.Allgemeine Geschäftsbedingungen1. Zuständigkeitsbereich. [...]2. Anwendbares Recht. [...]3. Haftungsbeschränkung. [Mit dem Ausfüllen dieses Registrierungsformulars bestätigen Sie, dass Sie mindestens 16 Jahre alt sind und dass Sie mit der Verarbeitung Ihrer personenbezogenen Daten durch Vigotron zum Zwecke der Nutzung der M-Health-App einverstanden sind. Obwohl Sie das Recht haben, Werbung oder Marketing abzulehnen, erklären Sie sich damit einverstanden, dass Vigotron Sie per E-Mail oder auf anderem elektronischem Wege kontaktiert oder Ihnen alle erforderlichen Mitteilungen, Vereinbarungen oder sonstigen Informationen zu den Dienstleistungen zukommen lässt. Sie erklären sich außerdem damit einverstanden, dass das Unternehmen automatisierte E-Mails mit Warnhinweisen zu Problemen mit der M-Health-App, die Ihr Wohlbefinden beeinträchtigen könnten, versenden darf. Welchen der folgenden Punkte wird Sam am ehesten als größtes Problem in Emilys Einwilligungserklärung bezeichnen? Die Aufnahme von Feldern, die Angaben zum Gesundheitszustand erfordern, ist ohne Zustimmung nicht legal. Die Verarbeitung von Gesundheitsdaten erfordert eine ausdrückliche Zustimmung, aber das Formular fragt nicht nach einer ausdrücklichen Zustimmung. Direktmarketing erfordert eine ausdrückliche Zustimmung, während das Anmeldeformular nur ein Widerspruchsrecht vorsieht. Die Bereitstellung der Fitness-App sollte von der Zustimmung zur Datenverarbeitung für Direktmarketing abhängig gemacht werden. NO.139 SCENARIOPLUSBitte beantworten Sie die nächste Frage wie folgt:ABC Hotelkette und XYZ Reisebüro sind multinationale Unternehmen mit Sitz in den USA. Sie nutzen eine gemeinsame internetbasierte Plattform für die Erfassung und den Austausch ihrer Kundendaten, um ihre Marketingaktivitäten zu integrieren. Darüber hinaus vereinbaren sie, welche Daten gespeichert werden, wie Reservierungen gebucht und bestätigt werden und wer Zugang zu den gespeicherten Daten hat.Mike, ein in der EU ansässiger Kunde, hat in der Vergangenheit über das XYZ-Reisebüro Reisen gebucht, um in den Hotels der ABC-Hotelkette zu übernachten. Das XYZ-Reisebüro bietet ein Prämienprogramm an, bei dem die Kunden Punkte sammeln können, die sie später gegen kostenlose Reisen eintauschen können. Mike hat die Vereinbarung zur Teilnahme am Prämienprogramm unterzeichnet und möchte nun wissen, welche persönlichen Daten das Unternehmen über ihn besitzt. Er schickt eine E-Mail, in der er den Zugang zu seinen Daten beantragt, um seine Rechte als Betroffener wahrzunehmen.innerhalb welcher Frist sollte Mike eine Antwort auf seinen Antrag erhalten? Nicht mehr als einen Monat nach Eingang von Mikes Antrag. Nicht mehr als zwei Monate nach Überprüfung von Mikes Identität. Wenn alle Informationen über Mike gesammelt worden sind. Nicht mehr als dreißig Tage nach Einreichung von Mikes Anfrage. Nach der Datenschutz-Grundverordnung ist das Auskunftsrecht der betroffenen Person eines der Rechte, die Personen gewährt werden, um Informationen über die Verarbeitung ihrer personenbezogenen Daten durch einen für die Verarbeitung Verantwortlichen zu erhalten1. Der für die Verarbeitung Verantwortliche muss eine Kopie der personenbezogenen Daten, die verarbeitet werden, sowie zusätzliche Informationen zur Verfügung stellen, z. B. über die Zwecke, die Kategorien, die Empfänger, die Aufbewahrungsfrist, die Rechte, die Quelle und die automatisierte Entscheidungsfindung bei der Verarbeitung1. Der für die Verarbeitung Verantwortliche muss die betroffene Person auch über das Bestehen des Auskunftsrechts und die Mittel zu dessen Ausübung informieren.2 Die Datenschutz-Grundverordnung legt auch die Frist für die Beantwortung eines Antrags auf Auskunft der betroffenen Person fest. Der für die Verarbeitung Verantwortliche muss die Informationen ohne unangemessene Verzögerung und in jedem Fall innerhalb eines Monats nach Eingang des Antrags bereitstellen1. Diese Frist kann erforderlichenfalls unter Berücksichtigung der Komplexität und der Anzahl der Anträge um zwei weitere Monate verlängert werden, doch muss der für die Verarbeitung Verantwortliche die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine solche Verlängerung unter Angabe der Gründe für die Verzögerung informieren1. Der für die Verarbeitung Verantwortliche muss auch die Identität der betroffenen Person überprüfen, bevor er die Informationen zur Verfügung stellt, aber diese Überprüfung sollte die Frist für die Beantwortung des Ersuchens nicht verlängern.3 In diesem Szenario ist Mike ein in der EU ansässiger Mann, der Reisen über das Reisebüro XYZ gebucht und in den Hotels der ABC Hotelkette übernachtet hat. Bei beiden Unternehmen handelt es sich um multinationale Unternehmen mit Sitz in den USA, die eine gemeinsame Plattform für die Erfassung und den Austausch ihrer Kundendaten nutzen. Mike hat die Vereinbarung zur Teilnahme am Prämienprogramm des XYZ-Reisebüros unterzeichnet. Unter der Annahme, dass beide Unternehmen der Datenschutz-Grundverordnung unterliegen, weil sie entweder Waren oder Dienstleistungen für Personen in der EU anbieten oder das Verhalten von Personen in der EU4 überwachen, müssen sie das Auskunftsrecht der betroffenen Person einhalten und Mike die von ihm gewünschten Informationen zur Verfügung stellen. Die Frist, innerhalb derer Mike eine Antwort auf seinen Antrag erhalten sollte, beträgt höchstens einen Monat nach Eingang seines Antrags, es sei denn, es gibt Gründe für eine Verlängerung der Frist um zwei weitere Monate. Die Unternehmen müssen auch Mikes Identität überprüfen, bevor sie die Informationen zur Verfügung stellen, aber diese Überprüfung sollte sich nicht auf die Frist für die Beantwortung der Anfrage auswirken. Daher ist die richtige Antwort A. Nicht mehr als ein Monat nach Eingang von Mikes Anfrage.NEIN.140 Welche Anforderung der Datenschutzgrundverordnung stellt Organisationen mit Bring Your Own Device (BYOD)-Programmen vor die größten Herausforderungen? Die betroffenen Personen müssen ausreichend über die Zwecke informiert werden, für die ihre personenbezogenen Daten verarbeitet werden. Die Verarbeitung besonderer Kategorien personenbezogener Daten in großem Umfang erfordert die Ernennung eines Datenschutzbeauftragten. Die personenbezogenen Daten der betroffenen Personen müssen stets korrekt sein und auf dem neuesten Stand gehalten werden. Die für die Datenverarbeitung Verantwortlichen müssen jederzeit die Kontrolle über die von ihnen gespeicherten Daten haben. Referenz https://blog.rsisecurity.com/why-byod-is-bad-for-gdpr-compliance/NO.141 Lesen Sie die folgenden Schritte:* Ermitteln Sie, welche Mitarbeiter von welchen Geräten und Apps aus auf Cloud-Dienste zugreifen* Sperren Sie die Daten in diesen Apps und Geräten* Überwachen und analysieren Sie die Apps und Geräte im Hinblick auf die Einhaltung der Vorschriften* Verwalten Sie die Lebenszyklen der Anwendungen* Überwachen Sie die gemeinsame Nutzung von DatenEine Organisation sollte diese Schritte durchführen, um welche der folgenden Aufgaben zu erfüllen? Einen GDPR-konformen Privacy-by-Design-Prozess einführen. Einen GDPR-konformen Mitarbeiterüberwachungsprozess einrichten. Ein sicheres Bring Your Own Device (BYOD)-Programm aufrechterhalten. Sicherstellen, dass Cloud-Anbieter die internen Datenverwendungsrichtlinien einhalten. Erläuterung/Referenz: https://www.itproportal.com/features/heading-off-the-spectre-of-gdpr-compliance-with-secure-byod/NO.142 Auf welche Maßnahme kann sich ein für die Datenverarbeitung Verantwortlicher bei der Beauftragung eines Datenverarbeiters NICHT verlassen, um eine Haftung im Falle einer Sicherheitsverletzung zu vermeiden? Dokumentation der in der vorvertraglichen Phase durchgeführten Due-Diligence-Maßnahmen. Durchführung einer Risikobewertung, um mögliche Outsourcing-Bedrohungen zu analysieren. Anforderung, dass der Auftragsverarbeiter die zuständige Aufsichtsbehörde direkt informiert. Aufrechterhaltung des Nachweises, dass der Auftragsverarbeiter die bestmögliche Wahl auf dem Markt war. Die Datenschutz-Grundverordnung erlegt den für die Verarbeitung Verantwortlichen mehrere Verpflichtungen auf, wenn sie Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten in ihrem Namen beauftragen. Eine dieser Verpflichtungen besteht darin, sicherzustellen, dass der Vertrag oder ein anderer Rechtsakt zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter vorsieht, dass der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen bei der Einhaltung seiner Verpflichtungen gemäß der DSGVO unterstützt, einschließlich der Verpflichtung, Verstöße gegen personenbezogene Daten der zuständigen Aufsichtsbehörde und gegebenenfalls den betroffenen Personen zu melden1. Dies bedeutet jedoch nicht, dass der Auftragsverarbeiter die Aufsichtsbehörde direkt und ohne Beteiligung des für die Verarbeitung Verantwortlichen informieren kann. In der Datenschutz-Grundverordnung ist eindeutig festgelegt, dass der für die Verarbeitung Verantwortliche die Aufsichtsbehörde unverzüglich und, soweit möglich, spätestens 72 Stunden, nachdem er von der Verletzung Kenntnis erlangt hat, benachrichtigen muss2. Der Auftragsverarbeiter muss den für die Verarbeitung Verantwortlichen nur unverzüglich nach Bekanntwerden des Verstoßes benachrichtigen3. Daher ist die Forderung, dass der Auftragsverarbeiter die zuständige Aufsichtsbehörde direkt benachrichtigt, keine Maßnahme, auf die sich ein für die Verarbeitung Verantwortlicher verlassen kann, um seine Haftung im Falle einer Sicherheitsverletzung zu vermeiden, da dies gegen die Datenschutz-Grundverordnung und die eigene Verpflichtung des für die Verarbeitung Verantwortlichen verstoßen würde. Die Optionen A, B und D sind Maßnahmen, die ein für die Verarbeitung Verantwortlicher ergreifen kann, um das Haftungsrisiko zu verringern, da sie zeigen, dass der für die Verarbeitung Verantwortliche mit der gebotenen Sorgfalt vorgegangen ist, die potenziellen Auswirkungen einer Auslagerung bewertet und einen zuverlässigen und konformen Auftragsverarbeiter ausgewählt hat. Verweis: 1: Artikel 28 Absatz 3 Buchstabe f der Datenschutz-Grundverordnung 2: Artikel 33 Absatz 1 der Datenschutz-Grundverordnung 3: Artikel 33 Absatz 2 der Datenschutz-GrundverordnungNO.143 SCENARIBitte beantworten Sie die nächste Frage anhand des folgenden Beispiels:ProStorage ist ein multinationaler Cloud-Speicheranbieter mit Hauptsitz in den Niederlanden. Sein CEO. Ruth Brown, hat eine zweigleisige Wachstumsstrategie entwickelt: 1) Ausweitung des globalen Kundenstamms von ProStorage und 2) Ausbau des Vertriebs von ProStorage durch effizientes Onboarding effektiver Teams. Die Umsetzung dieser Strategie wurde in letzter Zeit durch Ruths Gesundheitszustand erschwert, der ihre Arbeitszeiten und ihre Möglichkeiten, zu potenziellen Kunden zu reisen, einschränkte. Die Personalabteilung von ProStorage und Ruths Stabschef arbeiten nun zusammen, um ihren Zeitplan zu verwalten und sicherzustellen, dass sie alle ihre medizinischen Termine wahrnehmen kann. Letzteres wurde besonders wichtig nach Ruths letzter Reise nach Indien, wo sie einen medizinischen Notfall erlitt und in ein Krankenhaus in Neu-Delhi eingeliefert wurde: ProStorage Zur Unterstützung von Ruths strategischem Ziel, mehr Vertriebsmitarbeiter einzustellen, konzentriert sich das Team der Personalabteilung auf die Verbesserung seiner Prozesse, um sicherzustellen, dass neue Mitarbeiter effizient gesucht, interviewt, eingestellt und eingearbeitet werden. Zu diesem Zweck wählte Mary zwei Anbieter aus: HRYourWay, ein in Deutschland ansässiges Unternehmen, und InstaHR, ein in Australien ansässiges Unternehmen. Sie entschied sich, beide Anbieter dem ProStorage-Verfahren zur Risikoprüfung zu unterziehen, damit sie gemeinsam mit Ruth die endgültige Entscheidung treffen konnte. Im Rahmen des Überprüfungsprozesses überprüfte Jackie, die für die Pflege des Datenschutzprogramms von ProStorage verantwortlich ist (einschließlich der Pflege der BCRs für die für die Verarbeitung Verantwortlichen und der Durchführung von Risikobewertungen der Anbieter), beide Anbieter, führte aber nur für InstaHR eine Bewertung der Auswirkungen der Übertragung durch. Das Marketingteam von ProStorage arbeitete auch daran, die strategischen Ziele des Unternehmens zu erreichen, indem es sich auf Branchen konzentrierte, in denen es seinen Marktanteil ausbauen musste. Zu diesem Zweck wählte das Team UpFinance als Partner aus, ein in den USA ansässiges Unternehmen mit guten Verbindungen zu Kunden aus der Finanzbranche. Während des Prüfungsverfahrens von ProStorage stellte Jackie vom Datenschutzteam in der Folgenabschätzung für den Transfer fest, dass UpFinance mehrere Datenschutzmaßnahmen umsetzt, darunter eine Ende-zu-Ende-Verschlüsselung, bei der die Verschlüsselungsschlüssel im Besitz des Kunden sind, und dass UpFinance in den sieben Jahren seiner Geschäftstätigkeit keine Anfragen von Behörden erhalten hat. Dennoch empfahl Jackie, im Vertrag festzulegen, dass UpFinance ProStorage benachrichtigen muss, wenn es eine behördliche Anfrage nach personenbezogenen Daten erhält, die UpFinance in seinem Namen verarbeitet, bevor es diese Daten weitergibt. UpFinance ist ein seit 7 Jahren bestehendes Unternehmen. UpFinance ist in einer stark regulierten Finanzbranche tätig UpFinance hat seinen Sitz in einem Land ohne Überwachungsgesetze. UpFinance ergreift ausreichende Datenschutzmaßnahmen Gemäß Artikel 46 der Datenschutz-Grundverordnung darf ein für die Verarbeitung Verantwortlicher oder ein Auftragsverarbeiter in Ermangelung eines Angemessenheitsbeschlusses der Europäischen Kommission personenbezogene Daten nur dann in ein Drittland oder an eine internationale Organisation übermitteln, wenn der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und unter der Voraussetzung, dass durchsetzbare Rechte der betroffenen Person und wirksame Rechtsbehelfe für die betroffenen Personen vorhanden sind. Eine der möglichen angemessenen Garantien ist die Verwendung von Standarddatenschutzklauseln, die von der Kommission oder einer Aufsichtsbehörde angenommen werden. In Artikel 46 Absatz 5 heißt es jedoch, dass die Möglichkeit des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters, von der Kommission oder einer Aufsichtsbehörde angenommene Standarddatenschutzklauseln zu verwenden, nicht die Möglichkeit des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters berührt, sich auf andere geeignete Garantien nach Absatz 2 des vorliegenden Artikels zu stützen, sofern diese gewährleisten, dass die betroffenen Personen durchsetzbare und wirksame Rechte in Bezug auf die Verarbeitung ihrer Daten haben. Daher ist in diesem Fall die Empfehlung von Jackie, UpFinance zu verpflichten, ProStorage zu benachrichtigen, wenn es eine behördliche Anfrage nach personenbezogenen Daten erhält, die UpFinance in seinem Namen verarbeitet, bevor diese Daten offengelegt werden, eine zusätzliche Maßnahme, die als angemessene Schutzmaßnahme betrachtet werden könnte, insbesondere da UpFinance mehrere Datenschutzmaßnahmen, einschließlich einer Ende-zu-Ende-Verschlüsselung, mit Verschlüsselungsschlüsseln im Besitz des Kunden, umsetzt, die ein hohes Maß an Sicherheit und Vertraulichkeit der übermittelten personenbezogenen Daten gewährleisten würden. Referenz:Artikel 46 des GDPRIAPP CIPP/E Study Guide, Seite 67NO.144 SCENARIOPLUSBitte beantworten Sie die folgende Frage:BHealthy, ein in Italien ansässiges Unternehmen, ist bereit, eine neue Reihe von Naturprodukten auf den Markt zu bringen, wobei der Schwerpunkt auf Sonnenschutzmitteln liegt. Der letzte Schritt vor der Produkteinführung besteht für BHealthy darin, Untersuchungen durchzuführen, um zu entscheiden, wie umfangreich die neue Sonnenschutzmittellinie in Europa vermarktet werden soll. Zu diesem Zweck hat sich BHealthy mit Natural Insight zusammengetan, einem Unternehmen, das sich auf die Ermittlung der Preise für Naturprodukte spezialisiert hat. BHealthy beschloss, seine bestehenden Kundendaten - Name, Standort und frühere Käufe - mit Natural Insight zu teilen. Bevor BHealthy seine Kundenliste weitergab, prüfte das Unternehmen die Sicherheitspraktiken von Natural Insight und kam zu dem Schluss, dass das Unternehmen über ausreichende Sicherheitsmaßnahmen zum Schutz der Kontaktinformationen verfügt. Darüber hinaus sehen die Vertragsbedingungen von BHealthy mit Natural Insight für die Datenverarbeitung die fortlaufende Umsetzung von technischen und organisatorischen Maßnahmen vor. Der Vertrag enthält auch Beschränkungen für die Verwendung der von BHealthy bereitgestellten Daten für Zwecke, die über die Erbringung der Dienstleistungen hinausgehen, darunter die Verwendung der Daten für die kontinuierliche Verbesserung der maschinellen Lernalgorithmen von Natural Insight.In welchem Fall würde die Verwendung der Daten von BHealthy durch Natural Insight für die Verbesserung seiner Algorithmen als Datenverarbeitungstätigkeit angesehen? Wenn Natural Insight die Daten von BHealthy zur Verbesserung der Preispunktvorhersagen nur für BHealthy verwendet. Natural Insight erhält von BHealthy die ausdrückliche vertragliche Anweisung, dessen Daten zur Verbesserung seiner Algorithmen zu verwenden. Natural Insight erklärt sich bereit, für die Verwendung von Kundendaten von BHealthy zur Produktverbesserung in vollem Umfang zu haften. Natural Insight erfüllt die Transparenzanforderung, indem es die Kunden von BHealthy über seine Pläne zur Verwendung ihrer Daten für seine Produktverbesserungsmaßnahmen informiert. Gemäß der Allgemeinen Datenschutzverordnung (DSGVO) ist ein Datenverarbeiter eine natürliche oder juristische Person, eine Agentur, eine Behörde oder eine andere Stelle, die personenbezogene Daten im Auftrag eines für die Verarbeitung Verantwortlichen verarbeitet. Ein für die Verarbeitung Verantwortlicher ist eine natürliche oder juristische Person, eine Agentur, eine Behörde oder eine sonstige Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Die DSGVO erlegt sowohl den für die Verarbeitung Verantwortlichen als auch den Auftragsverarbeitern besondere Pflichten und Verantwortlichkeiten auf und verlangt von ihnen, einen schriftlichen Vertrag oder einen anderen Rechtsakt zu schließen, in dem Gegenstand, Dauer, Art und Zweck der Verarbeitung sowie die Pflichten und Rechte des für die Verarbeitung Verantwortlichen festgelegt sind. Natural Insight ist der Datenverarbeiter, da es die Kundeninformationen im Auftrag von BHealthy verarbeitet, um den Preis für die neuen Sonnenschutzmittel von BHealthy zu bestimmen. Natural Insight beabsichtigt jedoch auch, die Kundeninformationen für seine eigenen Zwecke zu verwenden, um seine Algorithmen zu verbessern, was möglicherweise nicht mit dem Zweck oder den Anweisungen von BHealthy übereinstimmt. Dies kann einen Verstoß gegen den Datenverarbeitungsvertrag und die DSGVO darstellen, da der Datenverarbeiter personenbezogene Daten nur auf dokumentierte Weisung des für die Verarbeitung Verantwortlichen verarbeiten darf, es sei denn, er ist nach EU-Recht oder dem Recht eines Mitgliedstaats dazu verpflichtet (Artikel 28 Absatz 3 Buchstabe a der DSGVO). Der einzige Fall, in dem die Verwendung der Daten von BHealthy durch Natural Insight zur Verbesserung seiner Algorithmen als Tätigkeit des Datenverarbeiters gelten würde, wäre daher, wenn Natural Insight von BHealthy die ausdrückliche vertragliche Anweisung erhält, seine Daten zur Verbesserung seiner Algorithmen zu verwenden. Dies würde bedeuten, dass BHealthy seine Zustimmung und Ermächtigung erteilt hat, dass Natural Insight die Daten für diesen speziellen Zweck verarbeitet, und dass Natural Insight gemäß den Anweisungen von BHealthy handelt. In diesem Fall wäre Natural Insight immer noch an den Datenverarbeitungsvertrag und die DSGVO gebunden und müsste die anderen Pflichten und Anforderungen eines Datenverarbeiters erfüllen, wie z. B. die Gewährleistung der Datensicherheit, die Einhaltung der Bedingungen für die Beauftragung eines anderen Datenverarbeiters, die Unterstützung des für die Datenverarbeitung Verantwortlichen bei der Einhaltung der DSGVO und die Löschung oder Rückgabe der Daten an den für die Datenverarbeitung Verantwortlichen nach Beendigung der Dienstleistung.Die anderen Optionen sind keine gültigen Fälle für die Tätigkeit eines Datenverarbeiters, da sie keine Anweisungen oder Zustimmung des für die Datenverarbeitung Verantwortlichen beinhalten. Wenn Natural Insight die Daten von BHealthy nur zur Verbesserung der Preispunktvorhersagen für BHealthy verwendet, verarbeitet es die Daten möglicherweise für einen anderen Zweck als den, für den sie erhoben und weitergegeben wurden, und ohne Wissen oder Zustimmung von BHealthy. Wenn Natural Insight zustimmt, in vollem Umfang für die Verwendung der Kundendaten von BHealthy im Rahmen seiner Produktverbesserungsmaßnahmen zu haften, verstößt es möglicherweise immer noch gegen den Datenverarbeitungsvertrag und die DSGVO, da es nicht im Auftrag des für die Datenverarbeitung Verantwortlichen, sondern zu seinem eigenen Nutzen handelt. Wenn Natural Insight die Transparenzanforderung erfüllt, indem es die Kunden von BHealthy über seine Pläne informiert, ihre Daten für seine Produktverbesserungsaktivitäten zu verwenden, kann es immer noch gegen die Rechte und Pflichten des für die Datenverarbeitung Verantwortlichen verstoßen, da es nicht die Aufgabe des für die Datenverarbeitung Verantwortlichen ist, die betroffenen Personen über die Verarbeitungstätigkeiten zu informieren, und er möglicherweise keine rechtmäßige Grundlage für die Verarbeitung der Daten zu seinem eigenen Zweck hat.Referenz:GDPRData Controllers and Processors - GDPR EUWho does the UK GDPR apply to? | ICOWelche Aktivitäten gelten als Verarbeitung im Sinne der GDPR?Was ist eine Datenverarbeitung? - Europäische KommissionNO.145 Was ist ein wichtiger Unterschied zwischen dem Europäischen Gerichtshof für Menschenrechte (EGMR) und dem Gerichtshof der Europäischen Union (EuGH) in Bezug auf ihre Aufgaben und Funktionen? Der EGMR kann über Fragen der Privatsphäre als Grundrecht entscheiden, der EuGH hingegen nicht. Der EuGH kann die nationalen Regierungen zwingen, EU-Recht umzusetzen und einzuhalten, während der EGMR dies nicht kann. Der EuGH kann Berufungen gegen Menschenrechtsentscheidungen nationaler Gerichte anhören, während der EGMR dies nicht kann. Der EGMR kann Menschenrechtsgesetze gegen Regierungen durchsetzen, die sie nicht umsetzen, während der EuGH dies nicht kann. Nr. 146 Welche Pflichten hat ein Auftragsverarbeiter, der einen Unterauftragsverarbeiter einsetzt? Der Auftragsverarbeiter muss den für die Verarbeitung Verantwortlichen vorher schriftlich unterrichten und eine Vorabprüfung des Unterauftragsverarbeiters durchführen. Der Auftragsverarbeiter muss die ausdrückliche schriftliche Genehmigung des für die Verarbeitung Verantwortlichen einholen und jährliche Berichte über die Leistung des Unterauftragsverarbeiters vorlegen. Der Auftragsverarbeiter muss eine schriftliche Vereinbarung darüber erhalten, dass der Unterauftragsverarbeiter gegenüber dem für die Verarbeitung Verantwortlichen in vollem Umfang für die Erfüllung seiner Pflichten in Bezug auf die betreffenden personenbezogenen Daten haftet. Der Auftragsverarbeiter muss die Zustimmung des für die Verarbeitung Verantwortlichen einholen und sicherstellen, dass der Unterauftragsverarbeiter Verpflichtungen zur Datenverarbeitung einhält, die den für den Auftragsverarbeiter geltenden gleichwertig sind. Referenz https://inplp.com/latest-news/article/gdpr-rights-and-obligations-of-sub-processors/NO.147 Das Planet 49-Urteil des EuGH gilt für? Cookies, die nur von Dritten verwendet werden. Cookies, die als technisch notwendig erachtet werden. Cookies, unabhängig davon, ob die Daten, auf die zugegriffen wird, personenbezogen sind oder nicht. Cookies, bei denen die Daten, auf die zugegriffen wird, nur als personenbezogene Daten betrachtet werden. Hinweis: Das Urteil des EuGH in der Rechtssache Planet 49 gilt für Cookies, unabhängig davon, ob die Daten, auf die zugegriffen wird, personenbezogen sind oder nicht. Der Gerichtshof der Europäischen Union ("EuGH") hat dieses Urteil am 1. Oktober 2019 auf ein Vorabentscheidungsersuchen des deutschen Bundesgerichtshofs ("BGH") hin erlassen. Der EuGH entschied, dass Artikel 5 Absatz 3 der Datenschutzrichtlinie für elektronische Kommunikation, der die Einwilligung in die Speicherung von oder den Zugriff auf Informationen, die im Endgerät des Nutzers gespeichert sind, verlangt, für alle Informationen gilt, die auf dem Gerät einer Person installiert sind oder auf die von dort aus zugegriffen wird, unabhängig davon, ob es sich um personenbezogene Daten handelt oder nicht. Der Gerichtshof begründete dies damit, dass das Ziel der Bestimmung darin besteht, den Nutzer vor Eingriffen in seine Privatsphäre zu schützen, die unabhängig von der Art der gespeicherten oder abgerufenen Informationen erfolgen können. Der EuGH stellte außerdem klar, dass die nach der Datenschutzrichtlinie für elektronische Kommunikation für Cookies erforderliche Einwilligung dem Einwilligungsstandard der Datenschutz-Grundverordnung entsprechen muss, d. h. sie muss frei, konkret, in Kenntnis der Sachlage und unmissverständlich erteilt werden und durch eine eindeutige bestätigende Handlung erteilt werden. Der Gerichtshof stellte fest, dass ein vorab angekreuztes Kästchen keine gültige Einwilligung darstellt, da es kein aktives Verhalten des Nutzers voraussetzt. Der Gerichtshof stellte außerdem fest, dass der Nutzer klare und umfassende Informationen über die Cookies erhalten muss, einschließlich ihrer Dauer und der Frage, ob Dritte Zugang zu ihnen haben werden. Referenz:Planet 49-Urteil - Erkenntnisse für Cookie-MonsterDas Planet 49-Urteil: Implikationen für Organisationen, die Cookies verwenden CURIA - ErgebnislisteNO.148 SCENARIOPLUSBitte beantworten Sie die folgende Frage:Building Block Inc. ist ein multinationales Unternehmen mit Hauptsitz in Chicago und Niederlassungen in den USA, Asien und Europa (einschließlich Deutschland, Italien, Frankreich und Portugal). Im vergangenen Jahr wurde das Unternehmen Opfer eines Phishing-Angriffs, der zu einer erheblichen Datenpanne führte. Der Vorstand beschloss in Abstimmung mit dem Geschäftsführer, dem Datenschutzbeauftragten und dem Informationssicherheitsteam, zusätzliche Sicherheitsmaßnahmen zu ergreifen. Dazu gehörten Schulungsprogramme zur Sensibilisierung der Mitarbeiter, ein Cybersicherheitsaudit und der Einsatz eines neuen Softwaretools namens SecurityScan, das die Computer der Mitarbeiter daraufhin überprüft, ob sie über Software verfügen, die nicht mehr von einem Anbieter unterstützt wird und daher keine Sicherheitsupdates erhält. Da diese Maßnahmen potenziell Auswirkungen auf die Mitarbeiter haben könnten, beschloss das Datenschutzbüro von Building Block, eine allgemeine Mitteilung an alle Mitarbeiter herauszugeben, in der darauf hingewiesen wurde, dass das Unternehmen eine Reihe von Initiativen zur Verbesserung der Informationssicherheit und zur Verhinderung künftiger Datenschutzverletzungen durchführen wird. Der Geschäftsführer wies das Sicherheitsteam in die Verwendung von SecurityScan ein, um die Computeraktivitäten der Mitarbeiter und ihren Standort zu überwachen. Während dieser Aktivitäten entdeckte das Informationssicherheitsteam, dass ein Mitarbeiter aus Italien täglich eine Verbindung zu einer Videothek mit Filmen herstellte und ein anderer aus Deutschland ohne Genehmigung aus der Ferne arbeitete. Aufgrund der Schwere dieser Verstöße beschloss das Unternehmen, gegen beide Mitarbeiter disziplinarische Maßnahmen zu ergreifen, da die Sicherheits- und Datenschutzrichtlinien des Unternehmens es den Mitarbeitern untersagten, Software auf den Computern des Unternehmens zu installieren und ohne Genehmigung aus der Ferne zu arbeiten.Was hätte Building Block als ersten Schritt vor der Implementierung der SecurityScan-Maßnahme tun müssen, um die Datenschutzgrundverordnung einzuhalten? Potenzielle Datenschutzrisiken durch eine Datenschutz-Folgenabschätzung bewerten. Rücksprache mit der zuständigen Datenschutzbehörde über mögliche Datenschutzverstöße. Eine umfassendere Mitteilung an die Mitarbeiter verteilt und ihre ausdrückliche Zustimmung erhalten. sich mit dem Informationssicherheitsteam beraten, um Sicherheitsmaßnahmen gegen mögliche Auswirkungen auf den Server abzuwägen. NEIN.149 In welchem Fall müsste ein für die Verarbeitung Verantwortlicher, der eine Datenschutzfolgenabschätzung durchgeführt hat, höchstwahrscheinlich eine Aufsichtsbehörde konsultieren? Wenn die Datenschutz-Folgenabschätzung ergibt, dass personenbezogene Daten in andere Länder außerhalb des EWR übermittelt werden müssen. Wenn die Datenschutz-Folgenabschätzung hohe Risiken für die Rechte und Freiheiten von Personen aufzeigt, die der für die Verarbeitung Verantwortliche durch entsprechende Maßnahmen verringern kann. Wenn in der Datenschutzfolgenabschätzung festgestellt wird, dass die vorgeschlagene Verarbeitung sensible Daten von EU-Bürgern erfasst. Wenn die Datenschutzfolgenabschätzung Risiken aufzeigt, die eine Versicherung zum Schutz der Geschäftsinteressen erforderlich machen. NO.150 Ein Hauseigentümer hat ein bewegungserkennendes Überwachungssystem installiert, das seinen Vorgarten und seinen Eingang filmt. Die Kamera filmt keine öffentlichen Bereiche, sondern nur Bereiche, die Eigentum des Hauseigentümers sind. Das System wurde den Behörden gemäß den Rechtsvorschriften des Landes des Hauseigentümers gemeldet, und ein Schild, das darauf hinweist, dass der Bereich videoüberwacht wird, ist beim Betreten des Grundstücks sichtbar. Warum kann sich der Hauseigentümer NICHT auf die Haushaltsfreistellung in Bezug auf die Verarbeitung der von dem Überwachungskamerasystem aufgezeichneten Videobilder berufen? Das Überwachungskamerasystem kann möglicherweise biometrische Daten der Familie des Hauseigentümers erfassen, was als Verarbeitung besonderer Kategorien personenbezogener Daten a