Datenschutz 5

Questions and Answers

Welcher Vorteil ergibt sich aus der Bestellung eines externen Datenschutzbeauftragten hinsichtlich der Einarbeitungszeit?

• Externe Datenschutzbeauftragte benötigen keine fachliche Einarbeitung, da sie über zertifiziertes Fachwissen verfügen, was Vorlaufzeiten reduziert. (correct)
• Externe Datenschutzbeauftragte benötigen eine längere Einarbeitungszeit aufgrund fehlender interner Kenntnisse.
• Die Einarbeitungszeit ist bei internen und externen Datenschutzbeauftragten identisch.
• Externe Datenschutzbeauftragte benötigen eine umfassendere Einarbeitung in die Unternehmenskultur.

Welche Aussage trifft im Kontext der Haftung von Datenschutzbeauftragten zu?

• Sowohl interne als auch externe Datenschutzbeauftragte haften stets unbeschränkt.
• Interne Datenschutzbeauftragte haften eingeschränkt, während für externe Datenschutzbeauftragte keine gesetzliche Haftungsbeschränkung gegenüber dem Unternehmen besteht. (correct)
• Externe Datenschutzbeauftragte übernehmen keine Haftung für fahrlässiges Verhalten.
• Interne Datenschutzbeauftragte haften unbeschränkt, während für externe Datenschutzbeauftragte eine gesetzliche Haftungsbeschränkung gilt.

Unter welchen Umständen kann eine Unternehmensgruppe einen gemeinsamen Datenschutzbeauftragten ernennen?

• Wenn die Unternehmensgruppe eine Holdingstruktur aufweist.
• Nur wenn die Unternehmensgruppe aus maximal drei Niederlassungen besteht.
• Wenn der Datenschutzbeauftragte von jeder Niederlassung aus leicht erreicht werden kann. (correct)
• Ausschließlich, wenn alle Niederlassungen im selben Bundesland ansässig sind.

Wer trägt die letztendliche Verantwortung für die Einhaltung der datenschutzrechtlichen Vorgaben?

Der Verantwortliche, auch wenn ein Datenschutzbeauftragter bestellt wurde. (D)

Welche der folgenden Institutionen ist nicht verpflichtet, einen Datenschutzbeauftragten zu bestellen?

Eine private Universität. (C)

Weshalb kann ein externer Datenschutzbeauftragter einen Vorteil durch den 'Blick über den Tellerrand' bieten?

Weil er durch seine Tätigkeit in verschiedenen Unternehmen über breitere Erfahrungen und Kenntnisse der gängigen Auslegungen von Verordnungen verfügt. (C)

Warum ist es unzulässig, dass der Verantwortliche und der Datenschutzbeauftragte ein und dieselbe Person sind?

Weil der Datenschutzbeauftragte ein unabhängiges Kontrollorgan sein muss und Interessenskonflikte vermieden werden sollen. (C)

Welche der folgenden Aussagen beschreibt am besten einen Nachteil eines externen Datenschutzbeauftragten?

Er verfügt in der Regel nur über wenig Wissen bei organisationspolitischen Fragen oder organisationsinternen Entscheidungsprozessen. (B)

Welche der folgenden Informationen müssen Verantwortliche nicht auf Anweisung der Aufsichtsbehörde zur Verfügung stellen?

Eine Liste der privaten Hobbys der Geschäftsführung (B)

Welche Befugnis hat eine Aufsichtsbehörde nicht im Rahmen ihrer Untersuchungsarbeit?

Die Beschlagnahmung von Privatvermögen von Verantwortlichen (C)

In welchem Umfang können Aufsichtsbehörden Maßnahmen bei Verstößen gegen die DSGVO verhängen?

Maßnahmen bis hin zu Bußgeldern, Einschränkungen oder dem Verbot der Verarbeitung (B)

Unter welchen Bedingungen können Mitglieder oder Bedienstete einer unterstützenden Aufsichtsbehörde Untersuchungsbefugnisse im Mitgliedstaat der einladenden Behörde ausüben?

Gemäß dem Recht des Mitgliedstaats und mit Genehmigung der unterstützenden Aufsichtsbehörde (C)

Welche Aussage trifft auf die Ausübung von Untersuchungsbefugnissen durch Mitglieder oder Bedienstete der unterstützenden Aufsichtsbehörde zu?

Sie müssen unter der Leitung und in Gegenwart der Mitglieder oder Bediensteten der einladenden Aufsichtsbehörde ausgeübt werden. (C)

Wie ist das Verhältnis zwischen den Mitgliedern oder Bediensteten der unterstützenden Aufsichtsbehörde und dem Recht des Mitgliedstaats der einladenden Aufsichtsbehörde?

Sie unterliegen dem Recht des Mitgliedstaats der einladenden Aufsichtsbehörde. (A)

Welche der genannten Punkte sind Inhalte, die Verantwortliche auf Anordnung einer Aufsichtsbehörde zur Verfügung stellen müssen?

Eine Beschreibung der zum Schutz betroffener Personen vorgesehenen Maßnahmen und Garantien (B)

Welche Voraussetzung muss erfüllt sein, damit eine Aufsichtsbehörde Mitgliedern einer unterstützenden Aufsichtsbehörde Untersuchungsbefugnisse übertragen kann?

Das Recht des Mitgliedstaats muss dies zulassen und die unterstützende Aufsichtsbehörde muss zustimmen. (D)

Welche Aussage trifft nicht auf die Rolle eines Datenschutzbeauftragten gemäß DSGVO zu?

Unternehmen sind verpflichtet, einen externen Datenschutzbeauftragten zu ernennen, wenn interne Ressourcen fehlen. (D)

Was kennzeichnet das One-Stop-Shop-Prinzip im Kontext der DSGVO bei grenzüberschreitender Datenverarbeitung?

Die federführende Aufsichtsbehörde im Mitgliedstaat der Hauptniederlassung ist der alleinige Ansprechpartner für den Verantwortlichen. (A)

Welche der folgenden Handlungen ist keine Pflicht im Rahmen der Zusammenarbeit mit der Aufsichtsbehörde?

Der Aufsichtsbehörde ungefragt detaillierte Marketingstrategien des Unternehmens offenzulegen. (C)

In welchem Fall muss ein Verantwortlicher die Aufsichtsbehörde vorab konsultieren?

Wenn sich aus der Datenschutz-Folgeabschätzung ein hohes Risiko ergibt und keine entsprechenden Maßnahmen erfolgen. (C)

Angenommen, ein Unternehmen hat seinen Hauptsitz in Frankreich, unterhält aber auch eine Niederlassung in Deutschland. Bei einer Datenpanne, die beide Standorte betrifft, welche Aufsichtsbehörde ist primär zuständig?

Die französische Aufsichtsbehörde als federführende Aufsichtsbehörde. (C)

Ein Auftragsverarbeiter stellt fest, dass es zu einer unbefugten Offenlegung von personenbezogenen Daten gekommen ist. Welche Maßnahme muss er unverzüglich ergreifen?

Die Datenpanne unverzüglich dem Verantwortlichen melden. (B)

Ein Unternehmen plant die Einführung eines neuen KI-basierten Systems zur Profilerstellung von Kunden. Die Datenschutz-Folgeabschätzung ergibt ein hohes Risiko. Welche Schritte sind notwendig?

Das Unternehmen muss die Aufsichtsbehörde vorab konsultieren, wenn keine Maßnahmen zur Risikominimierung ergriffen werden können. (C)

Welche Aussage beschreibt am besten die Beziehung zwischen der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) und den Landesdatenschutzbehörden?

Die BfDI und die Landesdatenschutzbehörden arbeiten zusammen, wobei die BfDI insbesondere für grenzüberschreitende Fälle zuständig ist. (B)

Welche der folgenden Maßnahmen kann die Geschäftsführung eines Unternehmens ergreifen, um sich gegen hohe persönliche Geldbußen bei Datenschutzverstößen abzusichern?

Einrichtung einer gut strukturierten innerbetrieblichen Datenschutzkontrolle und klare Anweisungen an die Mitarbeiter. (C)

Welche der folgenden Aussagen trifft NICHT auf mögliche Sanktionen bei Datenschutzverstößen zu?

Es können ausschließlich Geldbußen, aber keine Anordnungen zur Anpassung von Verarbeitungsvorgängen erteilt werden. (D)

In welchen Fällen kann die Datenschutzbehörde Geldbußen verhängen?

Auch bei nicht rechtzeitiger, falscher oder unvollständiger Auskunft im Falle eines Auskunftsbegehrens. (B)

Welche der folgenden Abhilfemaßnahmen kann die Datenschutzbehörde NICHT aussprechen?

Die sofortige und vollständige Schließung des Unternehmens ohne vorherige Warnung oder Verwarnung. (B)

Bei besonders schwerwiegenden datenschutzrechtlichen Verstößen drohen strafrechtliche Konsequenzen. Welche Aussage trifft auf die möglichen Strafen zu?

Es drohen Freiheitsstrafen bis zu einem Jahr oder Geldstrafen bis zu 720 Tagessätzen. (B)

Welche der folgenden Aspekte sind bei der Klassifizierung des Schutzbedarfs von IT-Werten im Rahmen des Risikomanagements nicht relevant?

Die Anzahl der Kaffeemaschinen im Büro. (C)

Ein Unternehmen stellt fest, dass seine Kundendatenbank durch einen Hackerangriff kompromittiert wurde. Welche Phase des Risikomanagements sollte jetzt primär im Vordergrund stehen?

Risikosteuerung, um unmittelbare Schäden zu begrenzen und die Datenintegrität wiederherzustellen. (C)

Welche der folgenden Elemente sind keine typischen Unternehmenswerte, die im Rahmen des IT-Risikomanagements erfasst werden sollten?

Die persönlichen Hobbys der Mitarbeiter. (A)

Warum ist es wichtig, die Unternehmenswerte im IT-Bereich nach ihrem Schutzbedarf zu klassifizieren?

Um Ressourcen effizient zu verteilen und die wichtigsten Werte angemessen zu schützen. (A)

Ein Unternehmen plant Schutzmaßnahmen für seine IT-Werte. Was ist ein wesentlicher Schritt, bevor diese Maßnahmen umgesetzt werden?

Die Erfassung und realistische Einschätzung der möglichen Bedrohungen. (C)

Das Risikomanagement besteht aus vier Phasen, die sich zyklisch wiederholen. Welche der folgenden Handlungen würde nicht zur Risikosteuerung gehören?

Identifikation von Schwachstellen in der IT-Infrastruktur. (C)

Warum wird das IT-Risikomanagement oft jährlich im Zuge der Budgetplanung durchgeführt?

Um sicherzustellen, dass ausreichend finanzielle Mittel für IT-Sicherheitsmaßnahmen bereitgestellt werden. (B)

Ein Unternehmen stellt fest, dass wichtige Kundendaten aufgrund eines Systemfehlers verloren gegangen sind, obwohl ein umfassendes Datensicherungskonzept existiert. Welche Schlussfolgerung ist am wahrscheinlichsten?

Die Risikostrategie war unzureichend umgesetzt oder das Datensicherungskonzept wurde nicht korrekt angewendet. (B)

Welche Aussage beschreibt am besten den Zweck von technischen und organisatorischen Maßnahmen im Datenschutz?

Die Eigenverantwortlichkeit der Verantwortlichen im Umgang mit Datenschutz zu fördern. (B)

Welche der folgenden Aspekte sollten bei der konkreten Umsetzung von technischen und organisatorischen Maßnahmen nicht berücksichtigt werden?

Der Fokus auf möglichst niedrige Implementierungskosten, unabhängig vom praktischen Nutzen. (C)

Warum sieht die DSGVO keine genaue Ausgestaltung der technischen und organisatorischen Maßnahmen vor?

Um den Verantwortlichen die Möglichkeit zu geben, die Maßnahmen an ihre spezifischen Bedürfnisse und Herausforderungen anzupassen. (B)

Welche der folgenden Aufgaben gehört nicht zu den Verantwortlichkeiten im Rahmen der technischen und organisatorischen Maßnahmen?

Die vollständige Verlagerung der Verantwortung auf die IT-Abteilung. (C)

Was ist ein wichtiger Aspekt bei der Schulung von Mitarbeitern im Hinblick auf eine sichere IT-Nutzung?

Die Vermittlung von Kenntnissen über die sichere Nutzung von Browsern und sozialen Netzwerken. (B)

Was beinhaltet die Klassifizierung von Dokumenten mit personenbezogenen Daten?

Die Einteilung der Dokumente in Kategorien wie 'vertraulich', 'nicht vertraulich' oder 'öffentlich bekannt'. (B)

Was versteht man unter der 'Clean Desk Policy'?

Die Verpflichtung, Dokumente und Unterlagen vor Verlassen des Arbeitsplatzes sicher zu verstauen. (B)

Welche Sicherheitsvorkehrungen sind bei einer Homeoffice-Vereinbarung besonders wichtig?

Die Nutzung ausschließlich vom Verantwortlichen bereitgestellter Systeme und die Geheimhaltung der Zugangsdaten. (D)

Flashcards

Zweck technischer und organisatorischer Maßnahmen

Technische und organisatorische Maßnahmen sollen Verantwortliche zur Eigenverantwortung im Datenschutz erziehen.

Berücksichtigung bei der Umsetzung

Kosten der Implementierung und der Stand der Technik sollen berücksichtigt werden.

Wichtiger Bestandteil von technischen und organisatorischen Maßnahmen

Sensibilisierung und Schulung der Mitarbeiter im Hinblick auf eine sichere IT-Nutzung.

Inhalte einer Datenschutzschulung

Sichere Nutzung von Browsern, sozialen Netzwerken und Kommunikationsmedien.

Klassifizierung von Dokumenten

Dokumente mit personenbezogenen Daten werden nach Vertraulichkeitsstufe klassifiziert.

Umgang mit Datenträgern und Dokumenten

Geeigneter Umgang mit externen Datenträgern und sichere Aufbewahrung von Dokumenten.

"Clean Desk Policy"

Dokumente und Unterlagen vor Verlassen des Arbeitsplatzes entsprechend verstauen und einschließen.

Regeln bei Homeoffice-Vereinbarung

Ausschließliche Nutzung der vom Verantwortlichen bereitgestellten Systeme und Geheimhaltung der Zugangsdaten.

Vorteile eines externen Datenschutzbeauftragter?

Objektive Sicht, kein Einarbeitungsaufwand, Erfahrung in anderen Firmen.

Nachteile eines externen Datenschutzbeauftragter?

Geringere Integration, weniger Wissen über interne Abläufe.

Haftung interner Datenschutzbeauftragter?

Ist in der Regel beschränkt, im Gegensatz zum externen DSB.

Gemeinsamer Datenschutzbeauftragter für Unternehmensgruppe?

Ja, wenn er von jeder Niederlassung leicht erreichbar ist.

Wer muss einen Datenschutzbeauftragten stellen?

Gebietskörperschaften, Unis, etc.

Aufgaben des Datenschutzbeauftragten?

Beratung und Kontrolle, Einhaltung liegt beim Verantwortlichen.

Darf Verantwortlicher und DSB dieselbe Person sein?

Nein, das ist unzulässig.

Haftungsübernahme externer Datenschutzbeauftragter?

Bietet Vorteil durch Haftungsübernahme bei Fahrlässigkeit.

Datenschutzbeauftragte

Unterstützen Verantwortliche und Auftragsverarbeiter bei der Einhaltung der DSGVO.

Aufsichtsbehörde

Mindestens eine Behörde pro EU-Mitgliedstaat, die die DSGVO durchsetzt.

BfDI (Deutschland)

Bundesbeauftragte für den Datenschutz und die Informationsfreiheit.

Federführende Aufsichtsbehörde

Bei grenzüberschreitender Datenverarbeitung der alleinige Ansprechpartner.

Zusammenarbeitspflicht

Unterstützung der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben.

Nachweis der DSGVO-Konformität

Nachweis, dass geeignete technische und organisatorische Maßnahmen getroffen wurden.

Meldepflicht bei Datenpanne

Meldung von Datenschutzverletzungen innerhalb einer bestimmten Frist.

Meldepflicht des Auftragsverarbeiters

Auftragsverarbeiter müssen Datenpannen unverzüglich dem Verantwortlichen melden.

Folgen fehlerhafter Auskunft

Nicht rechtzeitige, falsche oder unvollständige Auskünfte auf Auskunftsbegehren können zu Geldbußen führen.

Absicherung der Geschäftsführung

Eine gut strukturierte innerbetriebliche Datenschutzkontrolle und klare Anweisungen an Mitarbeiter.

Strafrechtliche Folgen

Freiheitsstrafen bis zu einem Jahr oder Geldstrafen bis zu 720 Tagessätzen.

Abhilfemaßnahmen der Datenschutzbehörde

Warnung, Verwarnung, Anweisung zur Anpassung der Verarbeitung, Anweisung zur Benachrichtigung Betroffener, Beschränkung der Verarbeitung.

Beschränkung der Verarbeitung

Die Verarbeitung von Daten wird vorläufig oder endgültig eingeschränkt.

Bereitzustellende Informationen (DSGVO)

Informationen, die Verantwortliche bereitstellen müssen, z.B. Zuständigkeiten, Zwecke der Verarbeitung, Schutzmaßnahmen, Kontaktdaten des Datenschutzbeauftragten.

Informationspflicht gegenüber Aufsichtsbehörde

Die Aufsichtsbehörde kann Verantwortliche und Auftragsverarbeiter anweisen, alle erforderlichen Informationen zur Verfügung zu stellen.

Zugangsrecht der Aufsichtsbehörde

Verantwortliche und Auftragsverarbeiter müssen der Aufsichtsbehörde Zugang zu Geschäftsräumen und Datenverarbeitungsanlagen gewähren.

Überprüfung von Zertifizierungen

Die Aufsichtsbehörde ist berechtigt, Daten von durchgeführten Zertifizierungen zu überprüfen.

Befugnisse der Aufsichtsbehörde

Aufsichtsbehörden können bei Verstößen gegen die DSGVO Maßnahmen bis hin zu Bußgeldern, Einschränkungen oder Verboten verhängen.

Gemeinsame Maßnahmen der Aufsichtsbehörden

Aufsichtsbehörden können gemeinsame Untersuchungen und Durchsetzungsmaßnahmen mit anderen Mitgliedstaaten durchführen.

Übertragung von Untersuchungsbefugnissen

Eine Aufsichtsbehörde kann Mitgliedern anderer Aufsichtsbehörden Untersuchungsbefugnisse übertragen.

Anwendbares Recht bei Unterstützung

Bedienstete der unterstützenden Aufsichtsbehörde unterliegen dem Recht des einladenden Mitgliedstaats.

IT-Risikomanagement

Ein Prozess zur Behandlung von Risiken, die durch IT-Systeme entstehen.

Unternehmenswerte im IT-Bereich

IT-Systeme, Software, Lizenzen, Infrastruktur, Daten (Kunden, Verträge), Personal.

Klassifizierung nach Schutzbedarf

Einstufung von Werten nach ihrer Bedeutung für das Unternehmen.

Fragestellungen zur Schutzbedarfsanalyse

Wie lange kann das Unternehmen ohne den Wert überleben? Welcher Schaden entsteht bei Verlust oder Kompromittierung?

Phasen des Risikomanagements

Identifikation, Bewertung, Strategieentwicklung und Steuerung.

Risikoidentifikation (IT)

Erkennen und Auflisten potenzieller Bedrohungen für IT-Systeme und Daten.

Risikobewertung (IT)

Realistische Einschätzung der Wahrscheinlichkeit und des Schadenspotenzials von Bedrohungen.

Risikostrategie (IT)

Entwicklung von Maßnahmen zur Minimierung oder Vermeidung von identifizierten Risiken.

Study Notes

Technische und organisatorische Maßnahmen

• Die DSGVO fordert von Verantwortlichen und Auftragsverarbeitern geeignete technische und organisatorische Maßnahmen (TOMs), um ein dem Risiko entsprechendes Schutzniveau bei der Verarbeitung von personenbezogenen Daten zu gewährleisten.
• Dies soll unter Berücksichtigung des jeweiligen Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen etabliert werden.
• Die Fähigkeit die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung von personenbezogenen Daten sicherzustellen ist gefordert
• Unternehmen und Behörden müssen ein Risikomanagement etablieren um Schwachstellen und Gefährdungen identifizieren zu können.
• Entsprechende Maßnahmen zur Risikoreduktion sollten nachweislich und dokumentiert durchgeführt werden.
• Maßnahmen müssen die Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten von natürlichen Personen berücksichtigen
• Als essenzielle Schutzziele der Informationssicherheit können Vertraulichkeit, Verfügbarkeit und die Integrität der Daten definiert werden.
• Belastbarkeit der Systeme kann als viertes Schutzziel hinzugefügt werden, die auf die Angreifbarkeit von Systemen abzielt (etwa DDOS-Attacken).
• Es bedarf der schriftlichen Festlegung von klaren Regeln im Umgang mit personenbezogenen Daten, damit die Vorgaben der DSGVO eingehalten werden.
• In kleineren Unternehmen können die entsprechenden Vorgaben in einem zentralen Dokument zusammengefasst werden.
• In größeren Unternehmen macht es Sinn, die Richtlinien nach dem „Need-to-know"-Prinzip zielgruppenspezifisch zu gestalten

Aufgaben und Verantwortlichkeiten der Mitarbeiter

• Mitarbeiter müssen nur auf die Informationen zugreifen dürfen, die sie für die Ausübung ihrer Tätigkeit benötigen.
• Technische und organisatorische Maßnahmen sollen Verantwortliche zu Eigenverantwortlichkeit erziehen.
• Technische und organisatorische Maßnahmen bilden ein zentrales Element für den Verantwortlichen.
• Die Implementierungskosten und der Stand der Technik sollen berücksichtigt werden.
• Die Verantwortlichen sind gefordert, dass einerseits die jeweiligen technischen Herausforderungen möglichst sorgfältig umzusetzen und andererseits klare Vorgaben für die Mitarbeiterinnen zu erstellen.
• Zu den technischen und organisatorischen Maßnahmen gehört auch die Sensibilisierung und Schulung von Mitarbeitern.
• Die sichere Nutzung von Browsern, sozialen Netzwerken und Kommunikationsmedien sollte geschult werden.
• Die Klassifizierung von Dokumenten mit personenbezogenen Daten nach der jeweiligen Vertraulichkeitsstufe kann geschult werden
• Die Mitarbeiter sollen über den geeigneten Umgang mit externen Datenträgern vertraut gemacht werden
• Die Verpflichtung, Dokumente vor Verlassen des Arbeitsplatzes zu verstauen und einzuschließen, damit unbefugte Dritte keine Kenntnis über deren Inhalte erhalten geschieht mittels einer „clean desk policy"
• Bei einer aktiven Homeoffice-Vereinbarung verpflichtet der Verantwortliche die Mitarbeiter, ausschließlich durch vom Verantwortlichen bereitgestellte Systeme zu nutzen.
• eine sichere Datenverbindung (Beispiel „virtual private network") wird vom Arbeitgeber gewährleistet.
• Die Nutzung von eigenen Endgeräten sollte über Richtlinien geregelt werden.
• Die Mitarbeiter sollten dahingehend geschult werden, dass sie sichere Passwörter möglichst inklusive Groß- und Kleinbuchstaben, Sonderzeichen und Zahlen verwenden.
• Für jede Anwendung sollte ein eigenes Passwort zur Anwendung kommen.
• Passwörter dürfen nicht weitergegeben werden
• Der Verantwortliche stellt sicher, dass physische Dokumente der Kategorie „vertraulich“ in verschlossenen Aktenordnern verwahrt wieder eingeschlossen werden
• Nicht mehr benötigte Dokumente müssen vor der Entsorgung geschreddert werden.
• Mitarbeiter sollten auch über die Kernaspekte der DSGVO informiert werden wie Definitionen von personenbezogenen/sensiblen Daten oder Awareness im Arbeitsalltag

Weiter Massnahmen

• Es empfiehlt sich, mit Mitarbeitern eine Geheimhaltungsvereinbarung abzuschließen.
• Die Computer der IT-Infrastruktur sollen vor unbefugtem Zugriff und Nutzung geschützt sein.
• Die Speicher von Mobile Devices wie Smartphones und Laptops sollten defaultmäßig verschlüsselt werden.
• Daten auf Smartphones sollten darüber hinaus aus der Ferne gelöscht werden können.
• Der Einsatz einer Device Management-Software, soll die Zugänge zu Apps auf Smartphones zentral steuern können.
• Der Verlust oder Diebstahl eines mobilen IT-Gerätes muss zeitnah gemeldet werden, damit eine Fernlöschung durchgeführt werden kann.
• Mitarbeiter dürfen die Zugangsdaten des lokalen Internetnetzwerkes nicht an Dritte weitergeben
• Für sensible Einsatzzwecke ist eine Zwei-Faktor-Authentifizierung empfehlenswert.
• Sichergestellt werden muss, dass der Zutritt zu Räumlichkeiten nur für berechtigte Personen möglich ist.
• Die IT-Infrastruktur muss vor unberechtigtem Zutritt geschützt sein
• Die Infrastruktur vor Feuer/Wasser muss bewahrt werden
• Backup-/Restore-Maßnahmen wird bis hin zur Wiederherstellung des Betriebes im Notfall empfohlen..
• Firewalls müssen richtig installiert und konfiguriert werden.
• Prozesse zur Auskunft, Löschung und Richtigstellung von Daten muss definiert werden.
• Die Wirksamkeit der Maßnahmen muss gewährleistet werden
• Die Verarbeitung von Daten muss regelmäßig überprüft, bewertet und evaluiert werden.
• Ein Bündel an Maßnahmen zur Gewährleistung von Vertraulichkeit, Integrität und Verfügbarkeit von Daten sind erforderlich
• Maßnahmen zur Gewährleistung der Rechtmäßigkeit der Verarbeitung sind wichtig

Benennung eines Datenschutzbeauftragten

• Es besteht keine allgemeine Pflicht zur Bestellung.
• Datenschutzbeauftragter ist zu benennen, wenn die Verarbeitung von einer Behörde/öffentlichen Stelle durchgeführt wird (mit Ausnahme von Gerichten)
• Datenschutzbeauftragter ist zu benennen, wenn die Kerntätigkeit des Verantwortlichen/Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen und die Überwachung von betroffenen Personen besteht
• Datenschutzbeauftragter wenn die Kerntätigkeit des Verantwortlichen/Auftragsverarbeiters in der umfangreichen Verarbeitung besonders schützenswerter Daten besteht
• Die Kerntätigkeit bezieht sich auf die Haupttätigkeiten des Unternehmens
• Datenverarbeitungsvorgänge, die untrennbar mit der Schlüsseltätigkeit verbunden sind, können ebenfalls zur Kerntätigkeit gezählt werden
• Was als umfangreich zu verstehen ist, wird in der DSGVO nicht näher erläutert; etwa ein Krankenhaus oder ein IT-Dienstleister

Aufgaben und Stellung des Datenschutzbeauftragten

• Die Kontaktdaten des Datenschutzbeauftragten müssen veröffentlicht und der Datenschutzbehörde mitgeteilt werden.
• Ein Datenschutzbeauftragter unterrichtet und berät im Datenschutzrecht
• Er überwacht und überprüft die Einhaltung der Datenschutzvorschriften und Strategien.
• Er führt Beratungen im Zusammenhang mit der Datenschutz-Folgenabschätzung und arbeitet direkt mit der Aufsichtsbehörde zusammen.
• Er muss Fachwissen auf dem Gebiet des Datenschutzrechtes und der Datenschutzpraxis besitzen.
• Er ist ordnungsgemäß und frühzeitig in alle Fragen einzubinden.
• Jeder Unternehmer muss den Datenschutzbeauftragten unterstützen und ihm Ressourcen zur Verfügung stellen.
• Der Datenschutzbeauftragte darf keine Anweisungen bezüglich der Aufgaben erhalten oder benachteiligt werden.
• Er berichtet immer unmittelbar an die höchste Managementebene, kann aber andere Aufgaben übernehmen, sofern kein Interessenkonflikt besteht.

Pflichten des Datenschutzbeauftragten

• Betroffene Personen können mit ihm zu allen mit der Verarbeitung ihrer Daten in Kontakt treten
• Er ist der primäre Ansprechpartner für betroffene Personen
• Datenschutzbeauftragte sind zur Geheimhaltung und Vertraulichkeit verpflichtet.
• Der Datenschutzbeauftragte kann sowohl ein Dienstnehmer als auch ein Selbstständiger sein.
• Ein externer Datenschutzbeauftragter ist zu Beginn seiner Tätigkeit mit dem beauftragenden Unternehmen zwar nicht sehr vertraut, ist aber objektiver.
• Ein interner Datenschutzbeauftragter haftet immer nur eingeschränkt
• Behörden und öffentliche Stellen sind immer dazu verpflichtet, einen Datenschutzbeauftragten zu stellen.
• Es ist nicht zulässig, dass ein Verantwortlicher und Datenschutzbeauftragter ein und dieselbe Person sind.
• Datenschutzbeauftragte werden von Verantwortlichen und Auftragsverarbeitern nominiert
• Haftungsübernahme des externen Datenschutzbeauftragten bietet einen gewissen Vorteil aber diese sind nur lose in die Organisation integriert

Zusammenarbeit mit der Aufsichtsbehörde in Deutschland

• In jedem EU-Mitgliedstaat ist eine Aufsichtsbehörde eingerichtet.
• In Deutschland ist dies die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), wobei zusätzlich in jedem Bundesland eine Landesdatenschutzbehörde existiert.
• Die Behörden sind für die Kontrolle der Einhaltung der Datenschutzvorschriften zuständig
• Es besteht auf Verlangen der Aufsichtsbehörde eine Pflicht zur Zusammenarbeit
• Jedes Unternehmen muss den Nachweis erbringen, dass geeignete Massnahmen eingesetzt werden um die Vorgaben der DSGVO zu erfüllen.
• Auf Anfrage muss der Aufsichtsbehörde auch das Verzeichnis der Verarbeitungstätigkeiten zur Verfügung gestellt werden.
• Datenschutz-Folgeabschätzung muss wenn nötig erfolgen

Risiko-Management

• Durch IT-Systeme und Daten entstehen Risiken.
• Voraussetzung für ein IT-Risiko-Management ist eine Erhebung und Auflistung aller Unternehmenswerte im IT-Bereich.
• Die Werte müssen nach ihrem Schutzbedarf klassifiziert werden
• Es muss festgelegt werden, welche Werte eine hohe bzw. die höchste Priorität haben.
• Bevor Schutzmaßnahmen geplant werden können müssen die möglichen Bedrohungen erfasst und realistisch eingeschätzt werden.
• Das Risikomanagement besteht aus vier Phasen: Risikoidentifikation, Risikobewertung, Risikostrategie und Risikosteuerung.
• Typische Bedrohungen sind unter anderem technische Probleme, wie Hardware-/Netzwerkausfälle, Fehlfunktionen der Software, Störungen der Stromversorgung oder fehlende Klimatisierung

Risikobewertung

• Ungenügende Dokumentation, fehlende Schulungen oder fehlende Richtlinien können organisatorische Mängel verursachen.
• Ein fahrlässiges Benutzerverhalten kann zu Bedienungs-/Wartungsmängel, Nichtbeachtung von Sicherheitsmaßnahmen oder zu fehlendem Sicherheitsbewusstsein führen
• Vorsätzliche Handlungen können zu Computermissbrauch, Datendiebstahl, Verbreitung von Schadsoftware, Social Engineering oder Phishing führen.
• Gefahren durch höhere Gewalt, wie Brand-/Wasserschäden, Blitzschlag oder Sturmschäden
• Für die einzelnen Unternehmenswerte muss eingeschätzt werden, welche dieser Bedrohungen eintreten könnten oder wie wahrscheinlich deren Eintreten ist.
• Durch geeignete Sicherheitsmaßnahmen lassen sich die daraus abgeleiteten Schwachstellen beheben
• Angemessene Maßnahmen müssen geplant und umgesetzt werden
• Maßnahmen müssen auf ihre Wirksamkeit, Zweckmäßigkeit und Aktualität geprüft und gegebenenfalls angepasst.
• Bei neuen Bedrohungen/größeren Änderungen der IT kann eine erneute Risikoanalyse erforderlich sein

Datenschutz-Managementsystems

• Unter einem Datenschutz-Managementsystem wird die Gesamtheit aller dokumentierten und implementierten Regelungen, Prozesse und Maßnahmen verstanden, mit denen der datenschutzkonforme Umgang mit Daten gesteuert kontrolliert werden kann.
• Die Umsetzung eines Systems empfiehlt sich vor allem in größeren Unternehmen.
• Eine System kann in verschiedenen Modellen implementiert werden, das gängigste ist der PDCA-Zyklus („plan“, „do“, „check“ und „act")
• Die Datenschutzkultur sollte ein „Mission Statement" und eine richtungsweisende Strategie enthalten.
• Die Anforderungen der DSGVO können als Chance gesehen werden.
• Die Datenschutzziele sollten sich einerseits auf die Grundsätze der DSGVO beziehen, andererseits aber auch künftige Ziele aufnehmen.
• Der operative Kern besteht in einem Datenschutzprogramm, das eine Datenschutzrichtlinie und weitere Richtlinien enthält.
• Ziel einer Datenschutzrichtlinie ist es, einen verbindlichen Mindeststandard festzulegen.
• Wesentlich ist die Festlegung der Datenschutzorganisation, wobei zum Beispiel geklärt wird, ob ein Datenschutzbeauftragter bestellt wird
• Ein ausgerolltes System sollte stets intern proaktiv kommuniziert werden.

Verstöße gegen das Datenschutzrecht

• Verstöße können straf-, verwaltungs-/zivilrechtliche Folgen haben.
• Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) und die Landesdatenschutzbehörden sind dazu befugt, Geldbußen auch unmittelbar gegenüber Mitgliedern der Geschäftsführung zu verhängen
• Eine Datenschtuzkontolle kann die Geschäftsführung absichern, um nicht persönlich zu belasten
• Ein interner Datenschutzbeauftragter haftet nur dann, wenn er eine Verletzung massiv begünstigt und dabei grob fahrlässig gehandelt hat.
• Der Datenschutzbeauftragte steht also erst dann im Fokus, wenn der Verantwortliche nach einer Schadenersatzleistung eine Rückforderung geltend macht.
• Für einen externen Datenschutzbeauftragten kommt die genannte Haftungsbeschränkung nicht zum Tragen
• Bei einer gemeinsamen Verantwortlichkeit kann im Fall von Schadenersatzansprüchen einer betroffenen Person jeder Verantwortliche für den gesamten Schaden haften
• Im Falle einer rechtswidrigen Datenverarbeitung durch die Hoheitsverwaltung richtet sich der Schadenersatzanspruch gemäß dem Amtshaftungsgesetz gegen den jeweiligen Rechtsträger.

Haftung

• Datenschutzbehörden haben neben einer Verwarnung auch schon bei erstmaligen Verstößen die Möglichkeit, eine Geldbuße zu verhängen.
• Im Falle des Verstoßes darf der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß übersteigen.
• Die Behörde kann nicht nur im Falle einer datenschutzwidrigen Verarbeitung Strafen verhängen, sondern bei nicht rechtzeitiger, falscher oder einer unvollständigen Auskunft kann dies auch geschehen.
• In besonders schwer liegenden Fällen besteht die Möglichkeit, strafrechtlich belangt zu werden
• Die Sanktionen können entweder allein/gemeinsam mit einer Geldbuße verhängt werden.
• Abhilfemaßnahmen sind: Warnung/Verwarnung/Anweisung zur Entsprechung von Anträgen Betroffener
• Eine Anweisung kann zur Anpassung von Verarbeitungsvorgängen erteilt werden
• Datenschutzbehörden können entweder von Amts wegen oder aufgrund einer Beschwerde eines Betroffenen tätig werden
• Strafbescheide der Datenschutzbehörde können mittels Beschwerde angefochten werden
• Mandate können innerhalb von zwei Wochen ab Zustellung angefochten werden.
• Betroffene können Schadenersatzansprüche gerichtlich geltend machen und auch Strafen können gegenüber juristischen und natürlichen Personen verhängt werden.
• Zur Sicherung eines geltend gemachten Anspruchs kann eine einstweilige Verfügung zur Abwendung eines drohenden Schadens verbunden werden.