Nov 27, 2024 Aktualisierte CIPP-E Dumps Fragen für IAPP Prüfung [Q134-Q151]

27. November 2024 CIPP-E, IAPP 0 Kommentare

Nov 27, 2024 Aktualisierte CIPP-E Dumps Fragen für IAPP Prüfung [Q134-Q151]

Diesen Beitrag bewerten

Nov 27, 2024 Aktualisierte CIPP-E Dumps Fragen für IAPP Prüfung

Der beste verfügbare Vorbereitungsleitfaden für die CIPP-E-Prüfung

Die IAPP CIPP-E Zertifizierung ist eine wesentliche Qualifikation für Fachleute, die mit personenbezogenen Daten arbeiten und für die Einhaltung der europäischen Datenschutzgesetze und -vorschriften verantwortlich sind. Es handelt sich um eine weltweit anerkannte Zertifizierung, die die Kompetenz einer Fachkraft im Bereich des Datenschutzes nachweist und ihre Glaubwürdigkeit in der Branche stärkt. Die Zertifizierung Certified Information Privacy Professional/Europe (CIPP/E) wird von der IAPP vergeben und von Datenschutzbehörden weltweit anerkannt.

NR. 134 SCENARIO
Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben:
Jack arbeitete als Pharmacovigiliance Operations Specialist in der irischen Niederlassung eines multinationalen Pharmaunternehmens an einer klinischen Studie zu COVID-19. Als Teil seines Einarbeitungsprozesses erhielt Jack eine Datenschutzschulung. Er wurde ausdrücklich darauf hingewiesen, dass er im Rahmen seiner Arbeit zwar vertrauliche Patientendaten verarbeiten muss, diese Daten aber unter keinen Umständen für andere Zwecke als die Durchführung arbeitsbezogener Aufgaben verwenden darf (fragt Dies wurde auch in der Datenschutzrichtlinie festgelegt, die Jack nach Abschluss der Schulung unterzeichnete.
Nach einigen Monaten der Beschäftigung geriet Jack am Telefon in einen Streit mit einem Patienten. Aus Wut postete er später den Namen und die Herddaten des Patienten zusammen mit abfälligen Kommentaren auf einer Social-Media-Website. Als dies von seinen Pharmakovigilanz-Vorgesetzten entdeckt wurde. Jack wurde sofort entlassen. Jacks Anwalt schickte ein Schreiben an das Unternehmen, in dem er erklärte, dass die Entlassung eine unverhältnismäßige Sanktion sei und dass seine Kanzlei keine andere Wahl habe, als gerichtlich gegen das Unternehmen vorzugehen, wenn Jack nicht innerhalb von 14 Tagen wieder eingestellt würde. Diesem Schreiben war ein Antrag auf Datenzugang von Jack beigefügt, in dem er eine Kopie "aller personenbezogenen Daten, einschließlich interner E-Mails, die von Jack gesendet/empfangen wurden oder bei denen Jack direkt oder indirekt durch den Inhalt identifizierbar ist" verlangte.
Das Unternehmen führte eine erste Suche in seinen IT-Systemen durch, die eine große Menge an Informationen ergab. Daraufhin wandte sich das Unternehmen an Jack und bat ihn um genauere Angaben zu den benötigten Informationen, um eine gezielte Suche durchführen zu können.
Welche Partei haftet gemäß Artikel 82 der Datenschutz-Grundverordnung ("Recht auf Schadenersatz und Haftung") für den durch die Datenschutzverletzung verursachten Schaden?

Beide Parteien sind von der Steuer befreit, da das Unternehmen an der Forschung im Bereich der menschlichen Gesundheit beteiligt ist.

Jack und das Pharmaunternehmen haften gemeinsam.

Das Pharmaunternehmen ist haftbar.

Jack ist haftbar

NR. 135

Sie überlegt zunächst, ob Unternehmen A im Zusammenhang mit dem neuen Zeiterfassungssystem eine Datenschutz-Folgenabschätzung durchführen muss, ist sich aber nicht sicher, ob dies erforderlich ist oder nicht.
Jenny weiß jedoch, dass es nach der Datenschutz-Grundverordnung eine formelle schriftliche Vereinbarung geben muss, die Unternehmen B verpflichtet, die Zeit- und Anwesenheitsdaten nur zum Zweck der Erbringung der Lohn- und Gehaltsabrechnung zu verwenden und angemessene technische und organisatorische Sicherheitsmaßnahmen zum Schutz der Daten anzuwenden. Jenny schlägt vor, dass Unternehmen B sich von seinem Datenschutzbeauftragten beraten lässt. Das Unternehmen hat keinen Datenschutzbeauftragten, erklärt sich aber im Interesse des Vertragsabschlusses bereit, die Bestimmungen in vollem Umfang zu unterzeichnen. Unternehmen A schließt den Vertrag ab.
Wochen später, noch immer unter Vertrag mit Unternehmen A, beginnt Unternehmen B mit einem separaten Projekt, das die Funktionalität seines Gehaltsabrechnungsdienstes verbessern soll, und beauftragt Unternehmen C mit der Unterstützung. Unternehmen C erklärt sich bereit, alle personenbezogenen Daten aus den Live-Systemen von Unternehmen B zu extrahieren, um eine neue Datenbank für Unternehmen B zu erstellen.

Diese Datenbank wird in einer Testumgebung gespeichert, die auf dem Server von Unternehmen C in den USA gehostet wird. Die beiden Unternehmen vereinbaren, keine Bestimmungen über die Datenverarbeitung in ihren Dienstleistungsvertrag aufzunehmen, da die Daten nur für IT-Testzwecke verwendet werden.
Leider ist der Server von Unternehmen C in den USA nur durch ein veraltetes IT-Sicherheitssystem geschützt, und kurz nach Beginn der Projektarbeit von Unternehmen C kommt es zu einem Cybersicherheitsvorfall. Dies hat zur Folge, dass die Daten der Mitarbeiter von Unternehmen A für jeden sichtbar sind, der die Website von Unternehmen C besucht. Unternehmen A ist sich dessen nicht bewusst, bis Jenny ein Schreiben der Aufsichtsbehörde im Zusammenhang mit der daraufhin eingeleiteten Untersuchung erhält. Sobald Jenny von dem Verstoß erfährt, benachrichtigt sie alle betroffenen Mitarbeiter.
Die Datenschutz-Grundverordnung verlangt ausreichende Garantien dafür, dass ein Unternehmen in der Lage ist, angemessene technische und organisatorische Maßnahmen umzusetzen. Was wäre der realistischste Weg, wie Unternehmen B diese Anforderung hätte erfüllen können?

Einstellung von Unternehmen, deren Maßnahmen mit den Empfehlungen der Akkreditierungsstellen übereinstimmen.

Anforderung von Beratung und technischer Unterstützung durch das IT-Team von Unternehmen A.

Vermeidung der Verwendung der Daten eines anderen Unternehmens zur Verbesserung der eigenen Dienste.

Überprüfung der Maßnahmen der Unternehmen durch die zuständige Aufsichtsbehörde.

NR. 136 Wen muss das betroffene Unternehmen nach der Entdeckung eines Einbruchs, bei dem unverschlüsselte personenbezogene Daten gestohlen wurden, gemäß den Anforderungen der DSGVO zuerst benachrichtigen?

Alle Eltern von Kindern, deren persönliche Daten kompromittiert wurden.

Alle betroffenen Kunden, deren Daten kompromittiert wurden.

Eine zuständige Aufsichtsbehörde.

Eine örtliche Vollzugsbehörde

NR. 137 Was trifft zu, wenn ein Arbeitnehmer bei seinem Arbeitgeber einen Antrag auf Zugang zu den über ihn gespeicherten personenbezogenen Daten stellt?

Der Arbeitgeber kann die Anfrage automatisch ablehnen, wenn sie personenbezogene Daten über eine dritte Person enthält.

Der Arbeitgeber kann den Antrag ablehnen, wenn die Informationen nur elektronisch gespeichert sind.

Der Arbeitgeber muss alle über den Arbeitnehmer gespeicherten Informationen zur Verfügung stellen.

Der Arbeitgeber muss alle Informationen über einen Arbeitnehmer weitergeben, es sei denn, es gilt eine Ausnahmeregelung.

NR. 138 SCENARIO
Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben:
Das Fitnessunternehmen Vigotron hat kürzlich eine neue App namens M-Health entwickelt, die es auf seiner Website als kostenlosen Download anbieten möchte. Der Marketingleiter von Vigotron bittet seine Assistentin Emily, eine Webseite zu erstellen, die die App beschreibt und die Nutzungsbedingungen festlegt. Emily, die neu bei Vigotron ist, ist begeistert von dieser Aufgabe. Bei ihrer vorherigen Arbeitsstelle hat sie einen Datenschutzkurs besucht, und obwohl die Details etwas verschwommen sind, erkennt sie, dass Vigotron in einigen Fällen die Zustimmung der Benutzer für die Nutzung der App einholen muss. Emily skizziert den folgenden Entwurf und versucht, so viel wie möglich abzudecken, bevor sie ihn an die Rechtsabteilung von Vigotron schickt.
Anmeldeformular
Die neue M-Health-App von Vigotron macht es Ihnen leicht, eine Vielzahl von gesundheitsbezogenen Aktivitäten zu überwachen, einschließlich Ernährung, Bewegung und Schlafverhalten. M-Health stützt sich auf Ihre Smartphone-Einstellungen (zusammen mit anderen Apps von Drittanbietern, die Sie möglicherweise bereits haben), um Daten über all diese wichtigen Lebensstilelemente zu sammeln und die Informationen bereitzustellen, die Sie benötigen, um Ihre Lebensqualität zu verbessern. (Bitte klicken Sie hier, um eine vollständige Beschreibung der von M-Health angebotenen Dienste zu lesen). Vigotron schätzt Ihre Privatsphäre. Mit der M-Heaith-App können Sie entscheiden, welche Informationen in ihr gespeichert werden und welche Apps auf Ihre Daten zugreifen können. Wenn Ihr Gerät mit einem Passcode gesperrt ist, werden alle Ihre Gesundheits- und Fitnessdaten mit Ihrem Passcode verschlüsselt. Sie können die in der Health-App gespeicherten Daten bei Vigotrons Cloud-Anbieter Stratculous sichern. (Lesen Sie hier mehr über Stratculous.) Vigotron wird niemals persönliche Informationen, die von der M-Health-App gesammelt wurden, tauschen, vermieten oder verkaufen. Darüber hinaus werden wir den Namen eines Kunden, seine E-Mail-Adresse oder andere über die App gesammelte Informationen nicht ohne die Zustimmung des Kunden an Dritte weitergeben, es sei denn, dies wird von einem Gericht angeordnet, durch eine Vorladung angewiesen oder um die gesetzlichen Rechte des Herstellers durchzusetzen oder sein Geschäft oder Eigentum zu schützen.
Wir freuen uns, die M-Health-App kostenlos anbieten zu können. Wenn Sie sie herunterladen und nutzen möchten, bitten wir Sie, zunächst dieses Registrierungsformular auszufüllen. (Bitte beachten Sie, dass die M-Health-App nur von Erwachsenen ab 16 Jahren genutzt werden darf, es sei denn, Minderjährige haben die Zustimmung ihrer Eltern). Name und Vorname:
Nachname:
Geburtsjahr:
E-Mail:
Physische Adresse (fakultativ*):
Gesundheitszustand:
*Wenn Sie an der Zusendung von Newslettern über unsere Produkte und Dienstleistungen interessiert sind, die für Sie von Interesse sein könnten, geben Sie bitte Ihre physische Adresse an. Wenn Sie später entscheiden, dass Sie diese Newsletter nicht mehr erhalten möchten, können Sie sich per E-Mail an [email protected] abmelden oder einen Brief mit Ihrer Anfrage an die unten auf dieser Seite angegebene Adresse senden.
Bedingungen und Konditionen
1. Zuständigkeit. [...]
2. Anwendbares Recht. [...]
3. Begrenzung der Haftung. [...]
Zustimmung
Mit dem Ausfüllen dieses Registrierungsformulars bestätigen Sie, dass Sie mindestens 16 Jahre alt sind und dass Sie der Verarbeitung Ihrer personenbezogenen Daten durch Vigotron zum Zwecke der Nutzung der M-Health-App zustimmen. Obwohl Sie das Recht haben, Werbung oder Marketing abzulehnen, erklären Sie sich damit einverstanden, dass Vigotron Sie per E-Mail oder auf anderem elektronischem Wege kontaktiert oder Ihnen alle erforderlichen Mitteilungen, Vereinbarungen oder sonstigen Informationen zu den Dienstleistungen zukommen lässt. Sie erklären sich auch damit einverstanden, dass das Unternehmen automatisierte E-Mails mit Warnhinweisen zu Problemen mit der M-Health-App, die Ihr Wohlbefinden beeinträchtigen könnten, versenden darf.
Emily schickt den Entwurf an Sam zur Überprüfung. Welchen der folgenden Punkte wird Sam am ehesten als das größte Problem in Emilys Einwilligungserklärung bezeichnen?

Die Aufnahme von Feldern, die Angaben zum Gesundheitszustand erfordern, ist ohne Zustimmung nicht zulässig.

Die Verarbeitung von Gesundheitsdaten erfordert eine ausdrückliche Zustimmung, aber das Formular fragt nicht nach einer ausdrücklichen Zustimmung.

Direktmarketing erfordert die ausdrückliche Zustimmung, während das Anmeldeformular nur ein Widerspruchsrecht vorsieht

Die Bereitstellung der Fitness-App sollte von der Zustimmung zur Datenverarbeitung für Direktmarketing abhängig gemacht werden.

NR. 139 SCENARIO
Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben:
Die Hotelkette ABC und das Reisebüro XYZ sind multinationale Unternehmen mit Sitz in den USA. Sie nutzen eine gemeinsame internetbasierte Plattform für die Erfassung und den Austausch ihrer Kundendaten, um ihre Marketingaktivitäten zu integrieren. Darüber hinaus vereinbaren sie, welche Daten gespeichert werden sollen, wie Reservierungen gebucht und bestätigt werden und wer Zugriff auf die gespeicherten Daten hat.
Mike, der in der EU wohnt, hat in der Vergangenheit über das Reisebüro XYZ Reisen gebucht, um in den Hotels der ABC Hotelkette zu übernachten. Das XYZ-Reisebüro bietet ein Prämienprogramm an, bei dem Kunden Punkte sammeln können, die später für kostenlose Reisen eingelöst werden können. Mike hat die Vereinbarung zur Teilnahme am Rewards-Programm unterzeichnet.
Nun möchte Mike wissen, welche persönlichen Daten das Unternehmen über ihn besitzt. Er schickt eine E-Mail, in der er Zugang zu seinen Daten beantragt, um seine Rechte als Betroffener wahrzunehmen.
Innerhalb welcher Zeitspanne sollte Mike eine Antwort auf seine Anfrage erhalten?

Nicht mehr als einen Monat nach Eingang von Mikes Antrag.

Nicht mehr als zwei Monate nach der Überprüfung von Mikes Identität.

Wenn alle Informationen über Mike gesammelt worden sind.

Spätestens dreißig Tage nach Einreichung von Mikes Antrag.

Nach der Datenschutz-Grundverordnung ist das Auskunftsrecht der betroffenen Person eines der Rechte, die natürlichen Personen gewährt werden, um Informationen über die Verarbeitung ihrer personenbezogenen Daten durch einen für die Verarbeitung Verantwortlichen zu erhalten1. Der für die Verarbeitung Verantwortliche muss eine Kopie der personenbezogenen Daten, die verarbeitet werden, sowie zusätzliche Informationen wie die Zwecke, die Kategorien, die Empfänger, die Aufbewahrungsfrist, die Rechte, die Quelle und die automatisierte Entscheidungsfindung der Verarbeitung zur Verfügung stellen1. Der für die Verarbeitung Verantwortliche muss die betroffene Person auch über das Bestehen des Auskunftsrechts und die Mittel zur Ausübung dieses Rechts informieren2.
Die Datenschutz-Grundverordnung legt auch die Frist für die Beantwortung eines Antrags auf Zugang zu den Daten fest. Der für die Verarbeitung Verantwortliche muss die Informationen ohne unangemessene Verzögerung und in jedem Fall innerhalb eines Monats nach Eingang des Antrags bereitstellen1. Diese Frist kann erforderlichenfalls unter Berücksichtigung der Komplexität und der Anzahl der Anträge um zwei weitere Monate verlängert werden, doch muss der für die Verarbeitung Verantwortliche die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine solche Verlängerung unter Angabe der Gründe für die Verzögerung informieren1. Der für die Verarbeitung Verantwortliche muss auch die Identität der betroffenen Person überprüfen, bevor er die Informationen bereitstellt, aber diese Überprüfung sollte die Frist für die Beantwortung des Antrags nicht verlängern3.
In diesem Szenario ist Mike ein in der EU ansässiger Kunde, der seine Reise über das Reisebüro XYZ gebucht und in den Hotels der Hotelkette ABC übernachtet hat. Bei beiden Unternehmen handelt es sich um multinationale Unternehmen mit Sitz in den USA, die eine gemeinsame Plattform für die Erfassung und den Austausch ihrer Kundendaten nutzen. Mike hat die Vereinbarung zur Teilnahme am Prämienprogramm des XYZ-Reisebüros unterzeichnet. Mike möchte wissen, welche persönlichen Informationen das Unternehmen über ihn besitzt, und sendet eine E-Mail, in der er um Zugang zu seinen Daten bittet.
Unter der Annahme, dass beide Unternehmen der Datenschutz-Grundverordnung unterliegen, weil sie entweder Waren oder Dienstleistungen für Personen in der EU anbieten oder das Verhalten von Personen in der EU4 überwachen, müssen sie dem Auskunftsrecht der betroffenen Person nachkommen und Mike die von ihm gewünschten Informationen zur Verfügung stellen. Die Frist, innerhalb derer Mike eine Antwort auf seinen Antrag erhalten sollte, beträgt höchstens einen Monat nach Eingang seines Antrags, es sei denn, es gibt Gründe für eine Verlängerung der Frist um zwei weitere Monate. Die Unternehmen müssen auch Mikes Identität überprüfen, bevor sie die Informationen bereitstellen, aber diese Überprüfung sollte die Frist für die Beantwortung des Antrags nicht beeinflussen.
Die richtige Antwort lautet daher A. Nicht mehr als einen Monat nach Eingang von Mikes Antrag.

NR. 140 Welche GDPR-Anforderung wird die größten Herausforderungen für Unternehmen mit Bring Your Own Device (BYOD)-Programmen darstellen?

Die betroffenen Personen müssen ausreichend über die Zwecke informiert werden, für die ihre personenbezogenen Daten verarbeitet werden.

Die Verarbeitung besonderer Kategorien personenbezogener Daten in großem Umfang erfordert die Ernennung eines DSB.

Die personenbezogenen Daten der betroffenen Personen müssen stets richtig sein und auf dem neuesten Stand gehalten werden.

Die für die Datenverarbeitung Verantwortlichen müssen jederzeit die Kontrolle über die von ihnen gespeicherten Daten haben.

NR. 141 Lesen Sie die folgenden Schritte:
* Entdecken Sie, welche Mitarbeiter von welchen Geräten und Anwendungen aus auf Cloud-Dienste zugreifen.
* Sperren Sie die Daten in diesen Anwendungen und Geräten
* Überwachen und Analysieren der Anwendungen und Geräte auf Konformität
* Verwaltung der Lebenszyklen von Anwendungen
* Überwachung der gemeinsamen Nutzung von Daten
Welche der folgenden Schritte sollte eine Organisation durchführen?

Verfolgen Sie einen GDPR-konformen Privacy-by-Design-Prozess.

Einführung eines GDPR-konformen Mitarbeiterüberwachungsprozesses.

Führen Sie ein sicheres Bring Your Own Device (BYOD)-Programm ein.

Sicherstellen, dass die Cloud-Anbieter die internen Richtlinien zur Datennutzung einhalten.

NO.142 Auf welche Maßnahme könnte sich ein für die Verarbeitung Verantwortlicher bei der Beauftragung eines Datenverarbeiters NICHT verlassen, um im Falle einer Sicherheitsverletzung nicht haftbar gemacht zu werden?

Dokumentation der in der vorvertraglichen Phase durchgeführten Due-Diligence-Maßnahmen.

Durchführung einer Risikobewertung, um mögliche Outsourcing-Bedrohungen zu analysieren.

Anforderung, dass der Auftragsverarbeiter die zuständige Aufsichtsbehörde direkt informiert.

Aufrechterhaltung des Nachweises, dass der Verarbeiter die bestmögliche Wahl auf dem Markt war.

Die Datenschutz-Grundverordnung erlegt den für die Verarbeitung Verantwortlichen mehrere Verpflichtungen auf, wenn sie Datenverarbeiter mit der Verarbeitung personenbezogener Daten in ihrem Namen beauftragen. Eine dieser Verpflichtungen besteht darin, sicherzustellen, dass der Vertrag oder ein anderer Rechtsakt zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter vorsieht, dass der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen bei der Erfüllung seiner Verpflichtungen gemäß der DSGVO unterstützt, einschließlich der Verpflichtung, Verletzungen des Schutzes personenbezogener Daten bei der zuständigen Aufsichtsbehörde und gegebenenfalls bei den betroffenen Personen zu melden1. Dies bedeutet jedoch nicht, dass der Auftragsverarbeiter die Aufsichtsbehörde direkt und ohne Mitwirkung des für die Verarbeitung Verantwortlichen benachrichtigen kann. In der Datenschutz-Grundverordnung ist eindeutig festgelegt, dass der für die Verarbeitung Verantwortliche die Aufsichtsbehörde unverzüglich und, soweit möglich, spätestens 72 Stunden, nachdem er von der Verletzung Kenntnis erlangt hat, benachrichtigen muss2. Der Auftragsverarbeiter muss den für die Verarbeitung Verantwortlichen nur unverzüglich nach Bekanntwerden des Verstoßes benachrichtigen3. Daher ist die Forderung, dass der Auftragsverarbeiter die zuständige Aufsichtsbehörde direkt benachrichtigt, keine Maßnahme, auf die sich ein für die Verarbeitung Verantwortlicher verlassen kann, um seine Haftung im Falle einer Sicherheitsverletzung zu vermeiden, da dies gegen die Datenschutz-Grundverordnung und die eigene Verpflichtung des für die Verarbeitung Verantwortlichen verstoßen würde. Die Optionen A, B und D sind Maßnahmen, die ein für die Verarbeitung Verantwortlicher ergreifen kann, um das Haftungsrisiko zu verringern, da sie zeigen, dass der für die Verarbeitung Verantwortliche mit der gebotenen Sorgfalt vorgegangen ist, die potenziellen Auswirkungen einer Auslagerung bewertet und einen zuverlässigen und konformen Auftragsverarbeiter ausgewählt hat. Verweis: 1: Artikel 28 Absatz 3 Buchstabe f der Datenschutz-Grundverordnung 2: Artikel 33 Absatz 1 der Datenschutz-Grundverordnung 3: Artikel 33 Absatz 2 der Datenschutz-Grundverordnung

NR. 143 SCENARIO
Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben:
ProStorage ist ein multinationaler Cloud-Speicheranbieter mit Hauptsitz in den Niederlanden. Sein CEO. Ruth Brown, hat eine zweigleisige Wachstumsstrategie entwickelt: 1) Ausweitung des weltweiten Kundenstamms von ProStorage und 2) Vergrößerung des ProStorage-Vertriebsteams durch effizientes Onboarding effektiver Teams. Die Umsetzung dieser Strategie wurde in letzter Zeit durch Ruths Gesundheitszustand erschwert, der ihre Arbeitszeiten und ihre Möglichkeiten, zu potenziellen Kunden zu reisen, einschränkte. Die Personalabteilung von ProStorage und Ruths Stabschef arbeiten nun zusammen, um ihren Zeitplan zu verwalten und sicherzustellen, dass sie alle ihre medizinischen Termine wahrnehmen kann. Letzteres wurde besonders wichtig nach Ruths letzter Reise nach Indien, wo sie einen medizinischen Notfall erlitt und in ein Krankenhaus in Neu-Delhi eingeliefert wurde: ProStorage Zur Unterstützung von Ruths strategischem Ziel, mehr Vertriebsmitarbeiter einzustellen, konzentriert sich das Team der Personalabteilung auf die Verbesserung seiner Prozesse, um sicherzustellen, dass neue Mitarbeiter effizient gesucht, interviewt, eingestellt und eingearbeitet werden. Zu diesem Zweck wählte Mary zwei Anbieter aus: HRYourWay, ein in Deutschland ansässiges Unternehmen, und InstaHR, ein in Australien ansässiges Unternehmen. Sie entschied sich, beide Anbieter dem ProStorage-Verfahren zur Risikoprüfung zu unterziehen, damit sie gemeinsam mit Ruth die endgültige Entscheidung treffen konnte. Im Rahmen des Überprüfungsprozesses überprüfte Jackie, die für die Pflege des Datenschutzprogramms von ProStorage verantwortlich ist (einschließlich der Pflege der BCRs für die für die Verarbeitung Verantwortlichen und der Durchführung von Risikobewertungen der Anbieter), beide Anbieter, führte aber nur für InstaHR eine Bewertung der Auswirkungen der Übertragung durch. Nach ihrer Prüfung rühmten sich beide mit einem etablierteren Datenschutzprogramm und legten Bescheinigungen Dritter vor, während HRYourWay ein kleiner Anbieter mit minimalen Datenschutzmaßnahmen war.
Daher empfahl sie InstaHR.
Das Marketingteam von ProStorage arbeitete auch daran, die strategischen Ziele des Unternehmens zu erreichen, indem es sich auf Branchen konzentrierte, in denen es seinen Marktanteil vergrößern musste. Zu diesem Zweck wählte das Team UpFinance als Partner aus, ein in den USA ansässiges Unternehmen mit guten Verbindungen zu Kunden aus der Finanzbranche. Während des Prüfungsverfahrens von ProStorage stellte Jackie vom Datenschutzteam in der Folgenabschätzung für den Transfer fest, dass UpFinance mehrere Datenschutzmaßnahmen umsetzt, darunter eine Ende-zu-Ende-Verschlüsselung, wobei die Verschlüsselungsschlüssel im Besitz des Kunden sind.
Bemerkenswert ist, dass UpFinance in den 7 Jahren seiner Geschäftstätigkeit keine Anfragen von Behörden erhalten hat. Dennoch empfahl Jackie, im Vertrag festzulegen, dass UpFinance ProStorage benachrichtigen muss, wenn es eine staatliche Anfrage zu personenbezogenen Daten erhält, die UpFinance in seinem Namen verarbeitet, bevor es diese Daten offenlegt.
Warum ist die von Jackie empfohlene zusätzliche Maßnahme ausreichend für die Nutzung von UpFinance?

UpFinance ist ein seit 7 Jahren bestehendes Unternehmen.

UpFinance ist in einer stark regulierten Finanzbranche tätig

UpFinance hat seinen Sitz in einem Land ohne Überwachungsgesetze.

UpFinance ergreift ausreichende Maßnahmen zum Schutz der Daten

Gemäß Artikel 46 der Datenschutz-Grundverordnung darf ein für die Verarbeitung Verantwortlicher oder ein Auftragsverarbeiter in Ermangelung eines Angemessenheitsbeschlusses der Europäischen Kommission personenbezogene Daten nur dann an ein Drittland oder eine internationale Organisation übermitteln, wenn der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und unter der Voraussetzung, dass durchsetzbare Rechte der betroffenen Person und wirksame Rechtsbehelfe für die betroffenen Personen zur Verfügung stehen. Eine der möglichen angemessenen Garantien ist die Verwendung von Standarddatenschutzklauseln, die von der Kommission oder einer Aufsichtsbehörde angenommen werden. In Artikel 46 Absatz 5 heißt es jedoch, dass die Möglichkeit des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters, von der Kommission oder einer Aufsichtsbehörde angenommene Standarddatenschutzklauseln zu verwenden, nicht die Möglichkeit des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters berührt, sich auf andere geeignete Garantien nach Absatz 2 des vorliegenden Artikels zu stützen, sofern diese gewährleisten, dass die betroffenen Personen durchsetzbare und wirksame Rechte in Bezug auf die Verarbeitung ihrer Daten haben. Daher ist in diesem Fall die Empfehlung von Jackie, UpFinance zu verpflichten, ProStorage zu benachrichtigen, wenn es eine behördliche Anfrage zu personenbezogenen Daten erhält, die UpFinance in seinem Namen verarbeitet, bevor diese Daten offengelegt werden, eine zusätzliche Maßnahme, die als angemessene Schutzmaßnahme angesehen werden könnte, insbesondere da UpFinance mehrere Datenschutzmaßnahmen, einschließlich einer Ende-zu-Ende-Verschlüsselung, mit Verschlüsselungsschlüsseln im Besitz des Kunden, umsetzt, die ein hohes Maß an Sicherheit und Vertraulichkeit der übermittelten personenbezogenen Daten gewährleisten würden. Referenz:
Artikel 46 der Datenschutz-Grundverordnung
IAPP CIPP/E Studienführer, Seite 67

NR. 144 SCENARIO
Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben:
BHealthy, ein in Italien ansässiges Unternehmen, ist bereit, eine neue Reihe von Naturprodukten auf den Markt zu bringen, wobei der Schwerpunkt auf Sonnenschutzmitteln liegt. Der letzte Schritt vor der Produkteinführung besteht für BHealthy darin, Untersuchungen durchzuführen, um zu entscheiden, wie umfangreich die neue Sonnenschutzmittellinie in Europa vermarktet werden soll. Zu diesem Zweck hat sich BHealthy mit Natural Insight zusammengetan, einem Unternehmen, das sich auf die Ermittlung der Preise für Naturprodukte spezialisiert hat. BHealthy beschloss, seine bestehenden Kundendaten - Name, Standort und frühere Einkäufe - mit Natural Insight zu teilen. Natural Insight beabsichtigt, diese Informationen zu nutzen, um seinen Algorithmus zu trainieren, der dabei helfen soll, den Preispunkt zu bestimmen, zu dem BHealthy seine neuen Sonnenschutzmittel verkaufen kann.
Vor der Weitergabe seiner Kundenliste hat BHealthy die Sicherheitspraktiken von Natural Insight überprüft und ist zu dem Schluss gekommen, dass das Unternehmen über ausreichende Sicherheitsmaßnahmen zum Schutz der Kontaktinformationen verfügt. Darüber hinaus sehen die Vertragsbedingungen von BHealthy mit Natural Insight für die Datenverarbeitung die fortlaufende Umsetzung von technischen und organisatorischen Maßnahmen vor. Der Vertrag enthält auch Beschränkungen für die Verwendung der von BHealthy bereitgestellten Daten für Zwecke, die über die Erbringung der Dienstleistungen hinausgehen, einschließlich der Verwendung der Daten zur weiteren Verbesserung der maschinellen Lernalgorithmen von Natural Insight.
In welchem Fall würde die Verwendung der Daten von BHealthy durch Natural Insight zur Verbesserung seiner Algorithmen als Tätigkeit des Datenverarbeiters gelten?

Wenn Natural Insight die Daten von BHealthy zur Verbesserung der Preispunktvorhersagen nur für BHealthy verwendet.

Wenn Natural Insight ausdrückliche vertragliche Anweisungen von BHealthy erhält, seine Daten zur Verbesserung seiner Algorithmen zu verwenden.

Wenn Natural Insight zustimmt, für die Verwendung der Kundeninformationen von BHealthy im Rahmen seiner Produktverbesserungsaktivitäten voll zu haften.

Wenn Natural Insight die Transparenzanforderung erfüllt, indem es die Kunden von BHealthy über seine Pläne informiert, ihre Daten für seine Produktverbesserungsmaßnahmen zu verwenden.

Nach der Datenschutz-Grundverordnung (DSGVO) ist ein Datenverarbeiter eine natürliche oder juristische Person, eine Agentur, eine Behörde oder eine sonstige Stelle, die personenbezogene Daten im Auftrag eines für die Verarbeitung Verantwortlichen verarbeitet. Ein für die Verarbeitung Verantwortlicher ist eine natürliche oder juristische Person, eine Agentur, eine Behörde oder eine sonstige Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Die DSGVO erlegt sowohl den für die Verarbeitung Verantwortlichen als auch den Auftragsverarbeitern besondere Pflichten und Verantwortlichkeiten auf und verlangt von ihnen den Abschluss eines schriftlichen Vertrags oder eines anderen Rechtsakts, in dem Gegenstand, Dauer, Art und Zweck der Verarbeitung sowie die Pflichten und Rechte des für die Verarbeitung Verantwortlichen festgelegt sind.
In diesem Szenario ist BHealthy der für die Datenverarbeitung Verantwortliche, da es den Zweck und die Mittel für die Erhebung und Weitergabe seiner Kundeninformationen an Natural Insight festlegt. Natural Insight ist der Datenverarbeiter, da es die Kundeninformationen im Auftrag von BHealthy verarbeitet, um den Preis für die neuen Sonnenschutzmittel von BHealthy zu bestimmen. Natural Insight beabsichtigt jedoch auch, die Kundeninformationen für seine eigenen Zwecke zu verwenden, um seine Algorithmen zu verbessern, was möglicherweise nicht mit dem Zweck oder den Anweisungen von BHealthy übereinstimmt. Dies kann einen Verstoß gegen den Datenverarbeitungsvertrag und die DSGVO darstellen, da der Datenverarbeiter personenbezogene Daten nur auf dokumentierte Weisung des für die Verarbeitung Verantwortlichen verarbeiten darf, es sei denn, er ist nach dem Recht der EU oder eines Mitgliedstaats dazu verpflichtet (Artikel 28 Absatz 3 Buchstabe a der DSGVO).
Der einzige Fall, in dem die Verwendung der Daten von BHealthy durch Natural Insight zur Verbesserung seiner Algorithmen als Tätigkeit des Datenverarbeiters angesehen werden könnte, wäre daher, wenn Natural Insight von BHealthy die ausdrückliche vertragliche Anweisung erhält, seine Daten zur Verbesserung seiner Algorithmen zu verwenden. Dies würde bedeuten, dass BHealthy seine Zustimmung und Ermächtigung erteilt hat, dass Natural Insight die Daten zu diesem speziellen Zweck verarbeitet, und dass Natural Insight gemäß den Anweisungen von BHealthy handelt. In diesem Fall wäre Natural Insight immer noch an den Datenverarbeitungsvertrag und die DSGVO gebunden und müsste die anderen Pflichten und Anforderungen eines Datenverarbeiters erfüllen, z. B. die Sicherheit der Daten gewährleisten, die Bedingungen für die Beauftragung eines anderen Auftragsverarbeiters einhalten, den für die Datenverarbeitung Verantwortlichen bei der Einhaltung der DSGVO unterstützen und die Daten nach Beendigung der Dienstleistung löschen oder an den für die Datenverarbeitung Verantwortlichen zurückgeben.
Die anderen Optionen sind keine zulässigen Fälle für die Tätigkeit des Datenverarbeiters, da sie nicht die Anweisungen oder die Zustimmung des für die Verarbeitung Verantwortlichen beinhalten. Wenn Natural Insight die Daten von BHealthy nur zur Verbesserung der Preispunktvorhersagen für BHealthy verwendet, verarbeitet es die Daten möglicherweise für einen anderen Zweck als den, für den sie erhoben und weitergegeben wurden, und ohne Wissen oder Zustimmung von BHealthy. Wenn Natural Insight zustimmt, in vollem Umfang für die Verwendung der Kundendaten von BHealthy im Rahmen seiner Produktverbesserungsmaßnahmen zu haften, verstößt es möglicherweise immer noch gegen den Datenverarbeitungsvertrag und die DSGVO, da es nicht im Namen des für die Verarbeitung Verantwortlichen, sondern zu seinem eigenen Vorteil handelt. Wenn Natural Insight die Transparenzanforderung erfüllt, indem es die Kunden von BHealthy über seine Pläne informiert, ihre Daten für seine Produktverbesserungsaktivitäten zu verwenden, kann es immer noch gegen die Rechte und Pflichten des für die Verarbeitung Verantwortlichen verstoßen, da es nicht die Aufgabe des für die Verarbeitung Verantwortlichen ist, die betroffenen Personen über die Verarbeitungstätigkeiten zu informieren, und es möglicherweise keine rechtmäßige Grundlage für die Verarbeitung der Daten für seine eigenen Zwecke hat.
Referenz:
GDPR
Für die Datenverarbeitung Verantwortliche und Auftragsverarbeiter - GDPR EU
Für wen gilt die britische Datenschutzverordnung? | ICO
Welche Tätigkeiten gelten als Verarbeitung im Sinne der Datenschutz-Grundverordnung?
Was ist eine Datenverarbeitung? - Europäische Kommission

NR. 145 Was ist ein wichtiger Unterschied zwischen dem Europäischen Gerichtshof für Menschenrechte (EGMR) und dem Gerichtshof der Europäischen Union (EuGH) in Bezug auf ihre Aufgaben und Funktionen?

Der EGMR kann sich zu Fragen der Privatsphäre als Grundrecht äußern, der EuGH hingegen nicht.

Der EuGH kann die nationalen Regierungen zwingen, EU-Recht umzusetzen und einzuhalten, während der EGMR dies nicht kann.

Der EuGH kann Rechtsmittel gegen Menschenrechtsentscheidungen der nationalen Gerichte einlegen, der EGMR hingegen nicht.

Der EGMR kann Menschenrechtsgesetze gegen Regierungen durchsetzen, die sie nicht umsetzen, während der EuGH dies nicht kann.

NR. 146 Welche Pflichten hat ein Auftragsverarbeiter, der einen Unterauftragsverarbeiter einsetzt?

Der Auftragsverarbeiter muss den für die Verarbeitung Verantwortlichen vorher schriftlich benachrichtigen und eine Vorprüfung des Unterauftragsverarbeiters durchführen.

Der Auftragsverarbeiter muss die ausdrückliche schriftliche Genehmigung des für die Verarbeitung Verantwortlichen einholen und jährliche Berichte über die Leistung des Unterauftragsverarbeiters vorlegen.

Der Auftragsverarbeiter muss eine schriftliche Zusage erhalten, dass der Unterauftragsverarbeiter gegenüber dem für die Verarbeitung Verantwortlichen in vollem Umfang für die Erfüllung seiner Pflichten in Bezug auf die betreffenden personenbezogenen Daten haftet.

Der Auftragsverarbeiter muss die Zustimmung des für die Verarbeitung Verantwortlichen einholen und sicherstellen, dass der Unterauftragsverarbeiter die gleichen Verpflichtungen bei der Datenverarbeitung einhält wie der Auftragsverarbeiter.

NR. 147 Das Planet 49-Urteil des EuGH gilt für?

Cookies, die nur von Dritten verwendet werden.

Cookies, die als technisch notwendig erachtet werden.

Cookies, unabhängig davon, ob die abgerufenen Daten personenbezogen sind oder nicht.

Cookies, bei denen die Daten, auf die zugegriffen wird, ausschließlich als personenbezogene Daten betrachtet werden.

Referenz:
Das Urteil des EuGH in der Rechtssache Planet 49 gilt für Cookies unabhängig davon, ob die Daten, auf die zugegriffen wird, personenbezogen sind oder nicht. Der Gerichtshof der Europäischen Union ("EuGH") hat dieses Urteil am 1. Oktober 2019 auf ein Vorabentscheidungsersuchen des deutschen Bundesgerichtshofs ("BGH") gefällt. In der Rechtssache ging es um die Gültigkeit der Einwilligung in die Verwendung von Cookies und ähnlichen Technologien gemäß der Datenschutzrichtlinie für elektronische Kommunikation und der Datenschutz-Grundverordnung.
Der EuGH entschied, dass Artikel 5 Absatz 3 der Datenschutzrichtlinie für elektronische Kommunikation, der die Einwilligung in die Speicherung von oder den Zugang zu Informationen, die im Endgerät des Nutzers gespeichert sind, verlangt, für alle Informationen gilt, die auf dem Gerät einer Person installiert sind oder auf die von dort aus zugegriffen wird, unabhängig davon, ob es sich um personenbezogene Daten handelt oder nicht. Der Gerichtshof begründete dies damit, dass das Ziel der Bestimmung darin besteht, den Nutzer vor Eingriffen in seine Privatsphäre zu schützen, die unabhängig von der Art der gespeicherten oder abgerufenen Informationen erfolgen können. Daher gilt das Zustimmungserfordernis für alle Cookies und ähnliche Technologien, mit Ausnahme derjenigen, die für die Erbringung einer vom Nutzer ausdrücklich gewünschten Dienstleistung unbedingt erforderlich sind.
Der EuGH stellte außerdem klar, dass die nach der Datenschutzrichtlinie für elektronische Kommunikation erforderliche Einwilligung in die Verwendung von Cookies dem Standard für die Einwilligung nach der Datenschutz-Grundverordnung entsprechen muss, d. h. sie muss frei, konkret, in Kenntnis der Sachlage und unmissverständlich erteilt werden und durch eine eindeutige bestätigende Handlung erfolgen. Der Gerichtshof stellte fest, dass ein vorab angekreuztes Kästchen keine gültige Einwilligung darstellt, da es kein aktives Verhalten des Nutzers voraussetzt. Der Gerichtshof stellte außerdem fest, dass der Nutzer klare und umfassende Informationen über die Cookies erhalten muss, einschließlich ihrer Dauer und der Frage, ob Dritte Zugang zu ihnen haben. Verweis:
Planet 49 Urteil - Mitbringsel für Keksmonster
Die Entscheidung zu Planet 49: Auswirkungen auf Organisationen, die Cookies verwenden CURIA - Liste der Ergebnisse

NR. 148 SCENARIO
Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben:
Building Block Inc. ist ein multinationales Unternehmen mit Hauptsitz in Chicago und Niederlassungen in den Vereinigten Staaten, Asien und Europa (einschließlich Deutschland, Italien, Frankreich und Portugal). Im vergangenen Jahr wurde das Unternehmen Opfer eines Phishing-Angriffs, der zu einem erheblichen Datenverlust führte. Der Vorstand beschloss daraufhin in Abstimmung mit dem Geschäftsführer, dem Datenschutzbeauftragten und dem Informationssicherheitsteam, zusätzliche Sicherheitsmaßnahmen zu ergreifen. Dazu gehörten Schulungsprogramme zur Sensibilisierung der Mitarbeiter, ein Cybersicherheitsaudit und der Einsatz eines neuen Softwaretools namens SecurityScan, das die Computer der Mitarbeiter daraufhin überprüft, ob sie über Software verfügen, die nicht mehr von einem Anbieter unterstützt wird und daher keine Sicherheitsupdates erhält. Diese Software bietet jedoch auch andere Funktionen, darunter die Überwachung der Computer der Mitarbeiter.
Da diese Maßnahmen möglicherweise Auswirkungen auf die Mitarbeiter haben würden, beschloss das Datenschutzbüro von Building Block, eine allgemeine Mitteilung an alle Mitarbeiter herauszugeben, in der darauf hingewiesen wird, dass das Unternehmen eine Reihe von Initiativen zur Verbesserung der Informationssicherheit und zur Verhinderung künftiger Datenschutzverletzungen durchführen wird.
Nach der Umsetzung dieser Maßnahmen nahm die Serverleistung ab. Der Geschäftsführer wies das Sicherheitsteam in die Verwendung von SecurityScan ein, um die Computeraktivitäten der Mitarbeiter und deren Standort zu überwachen.
Dabei entdeckte das Informationssicherheitsteam, dass ein Mitarbeiter aus Italien täglich eine Verbindung zu einer Videothek mit Filmen herstellte und ein anderer Mitarbeiter aus Deutschland ohne Genehmigung per Fernzugriff arbeitete.
Das Sicherheitsteam meldete diese Vorfälle dem Datenschutzbüro und dem Generaldirektor. In seinem Bericht kam das Team zu dem Schluss, dass der Mitarbeiter aus Italien der Grund für den Rückgang der Serverleistung war.
Aufgrund der Schwere dieser Verstöße beschloss das Unternehmen, gegen beide Mitarbeiter disziplinarische Maßnahmen zu ergreifen, da die Sicherheits- und Datenschutzpolitik des Unternehmens es den Mitarbeitern untersagte, Software auf den Computern des Unternehmens zu installieren und ohne Genehmigung aus der Ferne zu arbeiten.
Was hätte Building Block als ersten Schritt vor der Implementierung der SecurityScan-Maßnahme tun müssen, um die GDPR einzuhalten?

Bewertung potenzieller Risiken für den Schutz der Privatsphäre durch Durchführung einer Datenschutz-Folgenabschätzung.

Rücksprache mit der zuständigen Datenschutzbehörde über mögliche Verstöße gegen den Datenschutz.

eine umfassendere Mitteilung an die Mitarbeiter verteilt und deren ausdrückliche Zustimmung erhalten.

Absprache mit dem Informationssicherheitsteam, um Sicherheitsmaßnahmen gegen mögliche Auswirkungen auf den Server abzuwägen.

NR. 149 In welchem Fall müsste ein für die Verarbeitung Verantwortlicher, der eine DPA durchgeführt hat, höchstwahrscheinlich eine Aufsichtsbehörde konsultieren?

Wenn die Datenschutzfolgenabschätzung ergibt, dass personenbezogene Daten in andere Länder außerhalb des EWR übermittelt werden müssen.

Wenn die Datenschutzfolgenabschätzung hohe Risiken für die Rechte und Freiheiten von Personen aufzeigt, kann der für die Verarbeitung Verantwortliche Maßnahmen ergreifen, um diese zu verringern.

Wenn in der Datenschutzfolgenabschätzung festgestellt wird, dass bei der vorgeschlagenen Verarbeitung sensible Daten von EU-Bürgern erhoben werden.

Wenn die Folgenabschätzung Risiken aufzeigt, die eine Versicherung zum Schutz der Geschäftsinteressen erforderlich machen.

NR. 150 Ein Hauseigentümer hat ein bewegungserkennendes Überwachungssystem installiert, das seinen Hauseingang und die Eingangstür filmt. Die Kamera filmt keine öffentlichen Bereiche, sondern nur Bereiche, die Eigentum des Hauseigentümers sind. Das System wurde den Behörden gemäß den Rechtsvorschriften des Landes des Hauseigentümers gemeldet, und ein Schild, das darauf hinweist, dass der Bereich videoüberwacht wird, ist beim Betreten des Grundstücks sichtbar. Warum kann sich der Hauseigentümer NICHT auf die Haushaltsfreistellung hinsichtlich der Verarbeitung der von der Überwachungskamera aufgezeichneten Videobilder berufen?

Das Überwachungskamerasystem kann möglicherweise biometrische Daten der Familie des Hausbesitzers erfassen, was als Verarbeitung besonderer Kategorien personenbezogener Daten anzusehen wäre.

Der Hauseigentümer hat nicht angegeben, welche Sicherheitsmaßnahmen im Rahmen des Überwachungskamerasystems getroffen wurden.

Die DSGVO schließt Bilder von Überwachungskameras ausdrücklich von der Ausnahme für Haushalte aus

Das Überwachungskamerasystem kann potenziell Personen filmen, die in den Aufnahmebereich eindringen.

NR. 151 Welche der folgenden Aussagen zum "One-Stop-Shop"-Mechanismus der Datenschutz-Grundverordnung ist richtig?

Dies kann dazu führen, dass mehrere federführende Aufsichtsbehörden in der EU für dieselben Datenverarbeitungstätigkeiten einer Organisation zuständig sind.

Sie gilt nur für die direkte Durchsetzung der Datenschutzaufsichtsbehörden (z. B. Feststellung eines Verstoßes), nicht aber für die Einleitung oder Durchführung von Gerichtsverfahren.

Sie überträgt der federführenden Aufsichtsbehörde die Zuständigkeit für die Behandlung von Fragen des Datenschutzes, die sich aus Verfahren ergeben, die von in verschiedenen Ländern ansässigen Behörden durchgeführt werden.

Sie erlaubt es den betroffenen Aufsichtsbehörden (mit Ausnahme der federführenden Aufsichtsbehörde), in Ausnahmefällen auch dann gegen Organisationen vorzugehen, wenn diese keine Niederlassung in dem Mitgliedstaat der jeweiligen Behörde haben.

Der "One-Stop-Shop"-Mechanismus der DSGVO ist ein System von Kooperations- und Kohärenzverfahren, mit dem sichergestellt werden soll, dass die Datenschutzverordnung in allen Mitgliedstaaten einheitlich durchgesetzt wird, und fordert die Datenschutzbehörden der Mitgliedstaaten auf, untereinander und mit der Kommission zusammenzuarbeiten, um eine einheitliche Anwendung der DSGVO zu gewährleisten1. Der Mechanismus der einzigen Anlaufstelle gilt für Organisationen, die grenzüberschreitende Datenverarbeitung betreiben, was bedeutet, dass sie personenbezogene Daten im Rahmen der Tätigkeiten ihrer Niederlassungen in mehr als einem Mitgliedstaat verarbeiten oder dass sie betroffene Personen in mehr als einem Mitgliedstaat ansprechen oder überwachen1. Im Rahmen des "One-Stop-Shop"-Mechanismus müssen sich diese Organisationen in erster Linie an die Datenschutzbehörde des Mitgliedstaates wenden, in dem sie ihre Hauptniederlassung oder ihre einzige Niederlassung in der EU haben, die als federführende Aufsichtsbehörde für alle Angelegenheiten im Zusammenhang mit ihrer grenzüberschreitenden Datenverarbeitung fungieren wird1. Die federführende Aufsichtsbehörde koordiniert sich mit anderen betroffenen Aufsichtsbehörden, d. h. den Datenschutzbehörden der Mitgliedstaaten, in denen die betroffenen Personen von der Datenverarbeitung betroffen sind1. Die federführende Aufsichtsbehörde ist befugt, verbindliche Entscheidungen über Maßnahmen zu treffen, die die Einhaltung der DSGVO gewährleisten sollen, wie etwa die Verhängung von Bußgeldern oder die Anordnung der Aussetzung des Datenverkehrs1. Der "One-Stop-Shop"-Mechanismus hindert die betroffenen Aufsichtsbehörden jedoch nicht daran, in Ausnahmefällen gegen Organisationen vorzugehen, auch wenn diese keine Niederlassung in dem Mitgliedstaat der jeweiligen Behörde haben1. Zu diesen Ausnahmefällen gehören die folgenden Situationen2:
Wenn eine Beschwerde bei einer Aufsichtsbehörde eingereicht wird, der Gegenstand sich nur auf eine Niederlassung in ihrem Mitgliedstaat bezieht oder im Wesentlichen nur betroffene Personen in ihrem Mitgliedstaat betrifft; wenn eine Aufsichtsbehörde sich mit einem möglichen Verstoß im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen an betroffene Personen in ihrem Mitgliedstaat oder mit der Überwachung ihres Verhaltens in ihrem Mitgliedstaat befasst; wenn eine Aufsichtsbehörde vorläufige Maßnahmen ergreift, die Rechtswirkungen in ihrem eigenen Mitgliedstaat entfalten sollen; wenn dringender Handlungsbedarf besteht, um die Rechte und Freiheiten betroffener Personen zu schützen. In diesen Fällen unterrichtet die betroffene Aufsichtsbehörde die federführende Aufsichtsbehörde und die anderen betroffenen Aufsichtsbehörden und versucht, einen Konsens über die zu treffenden Maßnahmen zu erzielen2. Wird kein Konsens erzielt, kommt das Kohärenzverfahren zur Anwendung, bei dem der Europäische Datenschutzausschuss (EDSB) eingeschaltet wird, um eine verbindliche Entscheidung in dieser Angelegenheit zu treffen2. Daher ist Option D die richtige Antwort. Verweis: Art. 60 DSGVO - Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und den anderen betroffenen Aufsichtsbehörden, Leitlinien 3/2018 zum territorialen Anwendungsbereich der Datenschutz-Grundverordnung (Artikel 3)