Datenschutz 4

Questions and Answers

Wann kann die Informationspflicht gegenüber einer betroffenen Person im Datenschutzrecht entfallen?

• Wenn die Verarbeitung der Daten im öffentlichen Interesse liegt und keine andere Möglichkeit besteht.
• Wenn die Daten ausschließlich für interne Zwecke des Verantwortlichen verarbeitet werden.
• Wenn die betroffene Person bereits über die relevanten Informationen verfügt. (correct)
• Wenn der Verantwortliche ein berechtigtes Interesse an der Verarbeitung hat, das die Interessen der betroffenen Person überwiegt.

Welche der folgenden Situationen würde nicht dazu führen, dass die Informationspflicht entfällt?

• Die betroffene Person hat der Datenerhebung explizit zugestimmt. (correct)
• Die Datenerlangung ist durch anwendbare Rechtsvorschriften geregelt.
• Die Erteilung der Information würde die Ziele der Verarbeitung ernsthaft beeinträchtigen.
• Die verarbeiteten Daten unterliegen einer satzungsmäßigen Geheimhaltungspflicht.

In welcher Form sollen Informationen und Mitteilungen im Rahmen der Betroffenenrechte grundsätzlich zur Verfügung gestellt werden?

• Ausschließlich auf dem Postweg, um die Vertraulichkeit zu gewährleisten.
• In einer komplexen Sprache, um alle rechtlichen Aspekte abzudecken.
• Nur in der Form, die der Verantwortliche für am effizientesten hält.
• In einer präzisen, transparenten, verständlichen und leicht zugänglichen Form in einer klaren und einfachen Sprache. (correct)

Ein Unternehmen erhält wiederholt Anfragen von einer Person bezüglich ihrer gespeicherten Daten, die offenkundig unbegründet und exzessiv sind. Welche Möglichkeit hat das Unternehmen?

Ein angemessenes Entgelt für die Bearbeitung verlangen oder sich sogar weigern, die Anfragen zu bearbeiten. (B)

Eine betroffene Person stellt einen Antrag auf Auskunft über ihre personenbezogenen Daten elektronisch. Wie sollte der Verantwortliche idealerweise antworten?

Nach Möglichkeit ebenfalls auf elektronischem Weg. (A)

Warum ist die Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten notwendig?

Um die Rechtmäßigkeit der durchgeführten Datenverarbeitungen zu überprüfen und nachzuweisen. (A)

Was ist das primäre Ziel der Informationspflicht im Datenschutz?

Die Transparenz der Datenverarbeitung gegenüber der betroffenen Person zu gewährleisten. (A)

In welchem Fall kann die Information an die betroffene Person auch mündlich erteilt werden?

Wenn die betroffene Person es wünscht. (C)

Ein Unternehmen möchte aus seinen personenbezogenen Daten einen wirtschaftlichen Wert erzielen. Inwiefern unterstützt das Verzeichnis von Verarbeitungstätigkeiten diesen Prozess?

Es bietet eine Grundlage zur Ermittlung der notwendigen Informationen und Prozesse für die wirtschaftliche Nutzung der Daten. (C)

Welche Aussage trifft im Kontext der DSGVO auf den internationalen Datenverkehr nicht zu?

Der internationale Datenverkehr ist generell genehmigungspflichtig. (A)

Welchen Vorteil bietet es einem Unternehmen, im Verzeichnis der Verarbeitungstätigkeiten mehr als das rechtliche Minimum zu dokumentieren?

Es erhöht die Effizienz des Datenschutzmanagements. (A)

In welchen Fällen ist eine Information der Aufsichtsbehörde und der betroffenen Personen im internationalen Datenverkehr notwendig (Sonderfall)?

Wenn die Übermittlung der Daten für die Wahrung zwingender Interessen des Verantwortlichen erforderlich ist, die Zahl der betroffenen Personen begrenzt ist und die Übermittlung einmalig erfolgt. (A)

Wie wirkt sich die DSGVO auf die Datenübermittlung von der EU in Drittländer aus?

Sie stellt sicher, dass das in der EU gewährleistete Schutzniveau für natürliche Personen bei der Übermittlung personenbezogener Daten nicht untergraben wird. (C)

Ein Unternehmen plant, seine Datenschutzdokumentation zu verbessern. Welche der folgenden Maßnahmen ist im Kontext des Verzeichnisses von Verarbeitungstätigkeiten am sinnvollsten?

Das Verzeichnis mit anderen Dokumenten, wie der Datenschutzmitteilung oder einem Muster für die Einwilligungserklärung, verknüpfen. (B)

Ein Unternehmen übermittelt routinemäßig Daten an ein Tochterunternehmen in den USA. Welche Maßnahme ist unbedingt erforderlich, um die Konformität mit der DSGVO zu gewährleisten?

Die Datenübermittlung im Verarbeitungsverzeichnis dokumentieren. (A)

Eine Organisation stellt fest, dass eine geplante Datenverarbeitungstätigkeit ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt. Was sollte im Verzeichnis der Verarbeitungstätigkeiten zusätzlich dokumentiert werden?

Ob für die Verarbeitungstätigkeit eine Datenschutz-Folgenabschätzung erforderlich ist oder nicht. (A)

Welche der folgenden Aussagen beschreibt am besten die Rolle der ISO/IEC 27001 im Kontext der DSGVO?

ISO/IEC 27001 bietet detaillierte Empfehlungen zu Informationssicherheitsmanagementsystemen und kann als Richtschnur dienen, ist aber keine zwingende Voraussetzung für die DSGVO. (A)

Was sollten Unternehmen berücksichtigen, wenn sie Sicherheitsmaßnahmen gemäß der DSGVO implementieren?

Sicherheitsmaßnahmen sollten sowohl technische, administrative als auch physische Aspekte umfassen. (A)

Was ist die primäre Verpflichtung eines Verantwortlichen oder Auftragsverarbeiters gemäß der DSGVO in Bezug auf Datensicherheit?

Die Implementierung angemessener Sicherheitsmaßnahmen, um die Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten sicherzustellen. (C)

Wie können potenzielle Sicherheitslücken bei der Softwareentwicklung minimiert werden?

Durch gezielte Qualitätsmanagementmaßnahmen, um bereits bei der Softwareentwicklung die größten Fehler zu vermeiden. (C)

Welche Aussage trifft im Kontext der Informationspflicht bei der Datenübermittlung in Drittländer nicht zu?

Die Informationspflicht entfällt, wenn der Betroffene der Übermittlung ausdrücklich zugestimmt hat. (D)

Warum ist es wichtig, die Sicherheit personenbezogener Daten nicht nur als ein Problem der IT-Sicherheit zu behandeln?

Weil personenbezogene Daten auch dann geschützt werden müssen, wenn sie nicht in elektronischer Form vorliegen. (C)

Was ist kein geeigneter Ansatz, um Sicherheitslücken in Verträgen mit externen Dienstleistern abzudecken?

Durch die Annahme, dass der Dienstleister automatisch die erforderlichen Sicherheitsstandards einhält. (A)

Was ist die unzutreffendste Schlussfolgerung bezüglich des Sicherheitsniveaus eines Unternehmens?

Die Tatsache, dass andere vergleichbare Unternehmen ebenfalls keine bessere Sicherheit bieten, deutet zwingend auf ein ausreichendes Sicherheitsniveau hin. (D)

Welche der folgenden Aussagen beschreibt am besten die Rolle von Datensicherheitsmaßnahmen im Kontext des Datenschutzes?

Datensicherheitsmaßnahmen sind ein integraler Bestandteil des Datenschutzes und umfassen technische und organisatorische Aspekte. (D)

Was ist die Hauptverpflichtung des Datengeheimnisses gemäß Datenschutzgesetz?

Die Verpflichtung, personenbezogene Daten geheim zu halten, die im Rahmen der beruflichen Tätigkeit anvertraut wurden. (A)

Welche Aussage trifft am besten zu, wenn ein Mitarbeiter gegen das Datengeheimnis verstößt?

Der Arbeitgeber muss seine Mitarbeiter über die Folgen eines Verstoßes aufklären und entsprechende vertragliche Verpflichtungen eingehen. (B)

Wie sollten Unternehmen mit kritischen Sicherheitslücken in ihrer IT-Infrastruktur umgehen, die hochriskante Datenverarbeitungstätigkeiten betreffen?

Es sind umgehende Reaktionen innerhalb weniger Stunden erforderlich, um Sicherheitsupdates oder Workarounds zu installieren. (D)

Warum wird empfohlen, die Sicherheit der IT-Infrastruktur regelmäßig zu überprüfen, auch wenn Penetrationstests laut DSGVO nicht zwingend erforderlich sind?

Um frühzeitig Schwachstellen zu identifizieren und Maßnahmen zur Verbesserung der Sicherheit zu ergreifen. (C)

Ein Unternehmen plant, die Datenverarbeitung an einen externen Dienstleister (Auftragsverarbeiter) auszulagern. Was muss der Verantwortliche im Hinblick auf das Datengeheimnis beachten?

Der Verantwortliche muss sicherstellen, dass auch die Mitarbeiter des Auftragsverarbeiters zur Geheimhaltung verpflichtet werden. (C)

In welcher Form können die notwendigen vertraglichen Verpflichtungen und Belehrungen zum Datengeheimnis in der Praxis umgesetzt werden?

Durch eine entsprechende Klausel im Arbeitsvertrag. (D)

Welche der folgenden Handlungen stellt einen Verstoß gegen das Datengeheimnis dar?

Die unbefugte Weitergabe von Kundendaten an Dritte durch einen Mitarbeiter. (D)

Welche der folgenden Situationen begründen nicht das Recht auf Löschung personenbezogener Daten gemäß DSGVO?

Die Daten wurden für den festgelegten Zweck erhoben. (A)

Unter welcher Bedingung kann eine Anonymisierung von personenbezogenen Daten als Mittel zur Löschung gelten?

Wenn weder der Verantwortliche selbst noch ein Dritter ohne unverhältnismäßigen Aufwand einen Personenbezug wiederherstellen kann. (D)

In welchem Fall besteht keine Ausnahme von der Löschpflicht personenbezogener Daten?

Wenn ein Löschbegehren eines Betroffenen vorliegt. (C)

Welche Aussage trifft auf das 'Recht auf Vergessenwerden' im Kontext der DSGVO am ehesten zu?

Es verpflichtet Verantwortliche zur regelmäßigen Überprüfung, ob Daten gelöscht werden müssen. (D)

Was muss ein Verantwortlicher tun, wenn er einem Löschbegehren eines Betroffenen nicht nachkommt?

Er muss der betroffenen Person innerhalb der vorgesehenen Bearbeitungsfrist die Gründe für die Ablehnung mitteilen. (D)

Viktor Mayer-Schönberger forderte bezüglich elektronisch gespeicherter Informationen was?

Sie sollten generell mit einem Verfallsdatum ausgestattet sein. (C)

Welchen Vergleich zog Viktor Mayer-Schönberger, um die Notwendigkeit des 'Rechts auf Vergessenwerden' in der digitalen Welt zu verdeutlichen?

Er verglich die digitale Welt mit der analogen Welt, in der das Erinnern die Ausnahme und das Vergessen die Regel ist. (C)

Welche Aussage beschreibt am besten die Beziehung zwischen Löschpflicht und 'Recht auf Vergessenwerden'?

Das 'Recht auf Vergessenwerden' ist ein Konzept, das die Grundlage für die Löschpflicht bildet. (C)

Welche der folgenden Methoden gewährleistet eine vollständige Löschung personenbezogener Daten gemäß den Datenschutzbestimmungen?

Das Überschreiben des Datenträgers mit zufälligen Daten oder die physische Zerstörung des Datenträgers. (B)

Unter welchen Umständen sind Suchmaschinen laut Europäischem Gerichtshof (EuGH) verpflichtet, Daten aus ihren Suchindizes zu entfernen?

Auch wenn die verarbeiteten Daten weder unvollständig noch falsch sind, aber die betroffene Person ein berechtigtes Interesse an der Entfernung hat. (B)

Welche der folgenden Aussagen beschreibt am besten das Verhältnis zwischen dem Recht auf Löschung und der Löschpflicht?

Betroffene haben unter bestimmten Umständen ein Recht auf Löschung, und Verantwortliche haben ebenfalls eine Löschpflicht. (D)

Ein Unternehmen speichert personenbezogene Daten seiner Kunden. Welche Maßnahme muss das Unternehmen ergreifen, um sicherzustellen, dass gelöschte Daten nicht durch Backups wiederhergestellt werden?

Sicherstellen, dass beim Einspielen von Daten aus einem Backup keine bereits gelöschten Daten wiederhergestellt werden. (B)

Eine Organisation plant, Kundendaten zu löschen, die für den ursprünglichen Zweck nicht mehr benötigt werden. Welche der folgenden Optionen beschreibt den korrekten Ansatz zur Umsetzung der Löschpflicht?

Die Daten werden vollständig und restlos von allen Systemen und Datenträgern entfernt. (C)

Ein Unternehmen digitalisiert Akten mit sensiblen Personendaten. Nach Ablauf der Aufbewahrungsfrist sollen diese gelöscht werden. Was ist der effektivste Weg, um sicherzustellen, dass die Daten unwiederbringlich gelöscht sind und den Datenschutzbestimmungen entsprechen?

Das sichere Überschreiben der Festplatte mit spezieller Löschsoftware oder die physische Zerstörung der Datenträger. (D)

Welche Überlegung ist bei der Löschung personenbezogener Daten besonders wichtig, um den Datenschutz sicherzustellen?

Die Löschung muss vollständig und restlos erfolgen, sodass die Daten nicht wiederhergestellt werden können. (B)

Flashcards

Wegfall der Informationspflicht?

Die Informationspflicht kann entfallen, wenn die betroffene Person bereits über die Informationen verfügt.

Unmöglichkeit/unverhältnismäßiger Aufwand?

Die Informationspflicht entfällt, wenn die Erteilung der Informationen unmöglich ist oder einen unverhältnismäßig hohen Aufwand erfordert.

Form der Informationsübermittlung?

Der Verantwortliche muss Informationen präzise, transparent, verständlich und leicht zugänglich in klarer Sprache übermitteln.

Arten der Informationsübermittlung?

Die Übermittlung von Informationen kann schriftlich, elektronisch oder in anderer Form erfolgen.

Elektronische Antwort?

Bei elektronischer Antragstellung sollte die Antwort nach Möglichkeit elektronisch erfolgen.

Kosten der Information?

Informationen und Maßnahmen sind unentgeltlich, außer bei offenkundig unbegründeten oder exzessiven Anträgen.

Verarbeitungsverzeichnis Pflicht?

Die Erstellung eines Verarbeitungsverzeichnisses ist eine rechtliche Verpflichtung.

Zweck des Verarbeitungsverzeichnisses?

Ein Verarbeitungsverzeichnis ist notwendig, um die Rechtmäßigkeit der Datenverarbeitungen zu überprüfen.

Verzeichnis der Verarbeitungstätigkeiten

Ein Instrument zur Erfassung von Datenverarbeitungsvorgängen innerhalb eines Unternehmens.

Datenschutz-Folgenabschätzung

Die Bestimmung, ob eine detaillierte Bewertung der Datenschutzrisiken erforderlich ist.

Datenschutzmitteilung

Dokument, das Informationen darüber liefert, wie ein Unternehmen personenbezogene Daten verarbeitet.

Einwilligungserklärung

Erklärung, mit der eine Person ihre Zustimmung zur Verarbeitung ihrer personenbezogenen Daten gibt.

Internationaler Datenverkehr

Die Übertragung personenbezogener Daten über Landesgrenzen hinweg.

Datenverkehr innerhalb der EU

Datenverkehr innerhalb der EU unterliegt keinen Beschränkungen, da die DSGVO ein einheitliches Datenschutzniveau gewährleistet.

Datenübermittlung an Drittländer

Datenübermittlungen in Länder außerhalb der EU, die nicht das gleiche Datenschutzniveau haben.

Schutzniveau bei Datenübermittlung

Sicherstellen, dass das Schutzniveau der DSGVO nicht untergraben wird, wenn Daten aus der EU in Drittländer übermittelt werden.

Informationspflicht bei Drittländern

Pflicht, betroffene Personen über Datenübermittlung in Drittländer zu informieren.

DSGVO Datensicherheitsmaßnahmen

Verantwortliche müssen angemessene Maßnahmen ergreifen, um Vertraulichkeit, Integrität und Verfügbarkeit von Daten zu gewährleisten.

Arten von Sicherheitsmaßnahmen

Technische, administrative und physische Maßnahmen zum Schutz von Daten.

ISO/IEC 27001

Gibt detaillierte Empfehlungen für Informationssicherheitsmanagementsysteme.

ISO/IEC 27001 Zertifizierung

Ein Hinweis darauf, dass ein Unternehmen geeignete Sicherheitsvorkehrungen getroffen hat.

Sicherheitslücken vermeiden

Durch Qualitätsmanagement in der Softwareentwicklung können Fehler reduziert werden.

Sicherheitslücken absichern (Verträge)

Durch Gewährleistungs- und Haftungsklauseln können Sicherheitslücken abgedeckt werden.

Datensicherheit umfassend

Sicherstellen, dass Daten auch in nicht-elektronischer Form geschützt sind.

Umgang mit Sicherheitslücken

Schnelle Behebung bekannter Schwachstellen durch Sicherheitsupdates oder Workarounds.

Sicherheitsüberprüfungen

Regelmäßige Überprüfung der IT-Sicherheit zur frühzeitigen Erkennung und Behebung von Schwachstellen.

Datensicherheitsmaßnahmen

Technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten gemäß DSGVO.

Penetrationstests

Freiwillige Versuche, die eigenen Systeme zu hacken, um Schwachstellen aufzudecken.

Datengeheimnis

Pflicht zur Geheimhaltung personenbezogener Daten durch Verantwortliche, Auftragsverarbeiter und Mitarbeiter.

Datenübermittlung

Arbeitnehmer dürfen personenbezogene Daten nur auf Anordnung des Arbeitgebers übermitteln.

Mitarbeiterschulung

Vertragliche Verpflichtung und Aufklärung der Mitarbeiter über die Folgen von Verstößen gegen das Datengeheimnis.

Datengeheimnis nach Ausscheiden

Die Geheimhaltungspflicht gilt auch nach Beendigung des Arbeitsverhältnisses.

Löschpflicht (DSGVO)

Das Recht einer Person, von einem Verantwortlichen die Löschung ihrer personenbezogenen Daten zu verlangen, wenn bestimmte Gründe vorliegen.

Regelmäßige Datenüberprüfung

Die regelmäßige Überprüfung durch den Verantwortlichen, ob die verarbeiteten Daten gelöscht werden müssen, unabhängig von einem Antrag der betroffenen Person.

Recht auf Vergessenwerden

Der Grundsatz, dass elektronisch gespeicherte Informationen ein Verfallsdatum haben sollten.

Gründe für die Löschung

Wenn die Daten ohne festgelegten Zweck erhoben wurden, für den festgelegten Zweck nicht erforderlich sind oder ohne Rechtsgrundlage verarbeitet werden.

Anonymisierung

Ein Mittel zur Löschung von Daten, bei dem der Personenbezug unwiderruflich entfernt wird.

Ausnahmen von der Löschpflicht

Meinungs- und Informationsfreiheit, rechtliche Verpflichtung, öffentliche Gesundheit, Archiv-, Wissenschaftliche- oder statistische Zwecke, Geltendmachung von Rechtsansprüchen.

Ablehnung eines Löschbegehrens

Innerhalb der vorgesehenen Bearbeitungsfrist muss mitgeteilt werden, warum das Löschbegehren abgelehnt wurde.

Information bei Ablehnung

Die betroffene Person muss über die Ablehnung des Löschbegehrens informiert werden. Andernfalls muss die Löschung durchgeführt werden.

Löschpflicht

Daten müssen vollständig und restlos entfernt werden.

Recht auf Löschung (Suchmaschinen)

Ein Recht, die Entfernung von Informationen in Suchmaschinen zu fordern, auch wenn diese korrekt sind.

Datenlöschung Methoden

Daten überschreiben oder physisch zerstören. Ausgenommen sind sichere Backups.

Backup-Problematik bei Löschung

Sicherstellen, dass gelöschte Daten nicht durch Backups wiederhergestellt werden.

EuGH und Suchmaschinen

Der Europäische Gerichtshof kann Suchmaschinen verpflichten, Daten aus ihren Suchindizes zu entfernen.

Interessenabwägung (Suchmaschinen)

Wirtschaftliche Interessen des Suchmaschinenbetreibers rechtfertigen nicht immer die Verarbeitung von Daten.

Recht auf Löschung

Betroffene haben unter bestimmten Umständen das Recht auf Löschung ihrer personenbezogenen Daten.

Löschpflicht für Verantwortliche

Verantwortliche haben die Pflicht, personenbezogene Daten vollständig und restlos zu löschen, wenn die Voraussetzungen dafür gegeben sind.

Study Notes

Datenverarbeitung

• Die DSGVO definiert Datenverarbeitung als alle Vorgänge im Zusammenhang mit personenbezogenen Daten, unabhängig von der Automatisierung.
• Beispiele für Datenverarbeitung sind Erhebung, Erfassen, Organisation, Speicherung, Anpassung, Auslesen, Abfragen, Verwendung, Offenlegung, Verbreitung, Abgleich, Verknüpfung, Einschränkung, Löschung und Vernichtung.
• Es gibt keine zulässige Verwendung von personenbezogenen Daten ohne vorherige Verarbeitung.
• Die Verarbeitung personenbezogener Daten muss rechtmäßig, nach Treu und Glauben erfolgen und den Prinzipien der Datenminimierung, Richtigkeit, Speicherbegrenzung sowie Integrität und Vertraulichkeit entsprechen.
• Verantwortliche unterliegen einer Rechenschaftspflicht.
• Rechtmäßigkeit ist gegeben, wenn eine Rechtsgrundlage vorliegt, wie Einwilligung, Vertragserfüllung, rechtliche Verpflichtung, oder berechtigtes Interesse.

Informationspflichten und Betroffenenrechte

• Die DSGVO verpflichtet zur Bereitstellung bestimmter Informationen über die Datenverarbeitung an Betroffene.
• Es wird unterschieden, ob die Daten direkt oder indirekt erhoben werden.
• Werden Daten direkt bei der betroffenen Person erhoben, sind folgende Informationen erforderlich:
• Name und Kontaktdaten des Verantwortlichen
• Kontaktdaten des Datenschutzbeauftragten (falls vorhanden)
• Verarbeitungszwecke und Rechtsgrundlagen der Verarbeitung
• Berechtigte Interessen des Verantwortlichen oder Dritter (falls zutreffend)
• Empfänger oder Kategorien von Empfängern der Daten (falls zutreffend)
• Absicht der Datenübermittlung an Drittländer oder internationale Organisationen (falls zutreffend), inklusive Informationen über Angemessenheitsbeschlüsse
• Dauer der Datenspeicherung oder Kriterien zur Festlegung der Dauer
• Betroffenenrechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch
• Möglichkeit des Widerrufs der Einwilligung, ohne die Rechtmäßigkeit der bisherigen Datenverarbeitung zu beeinträchtigen
• Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
• Ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben ist und welche Folgen eine Nichtbereitstellung hätte
• Informationen über automatisierte Entscheidungsfindung, inklusive Tragweite

Zeitpunkt und Form der Information

• Die Informationen müssen Betroffenen zum Zeitpunkt der Datenerhebung zur Verfügung stehen.
• Bei Weiterverarbeitung für einen anderen Zweck sind zusätzliche Informationen erforderlich.
• Werden Daten nicht direkt bei der betroffenen Person erhoben, muss zusätzlich die Quelle der Daten angegeben werden.
• Die Informationen müssen innerhalb einer angemessenen Frist, spätestens jedoch innerhalb eines Monats, erteilt werden.
• Bei Verwendung der Daten zur Kommunikation muss die Information spätestens bei der ersten Mitteilung erfolgen.
• Bei Offenlegung gegenüber anderen Empfängern muss die Information spätestens zum Zeitpunkt der ersten Offenlegung erfolgen.

Ausnahmen von der Informationspflicht

• Die Informationspflicht entfällt, wenn die betroffene Person bereits über die Informationen verfügt
• wenn die Erteilung unmöglich ist oder einen unverhältnismäßigen Aufwand erfordert
• wenn die Ziele der Verarbeitung dadurch beeinträchtigt würden
• wenn die Erlangung oder Offenlegung durch EU- oder nationale Rechtsvorschriften geregelt ist
• wenn die Daten dem Berufsgeheimnis oder einer satzungsmäßigen Geheimhaltungspflicht unterliegen.

Gestaltung der Information

• Informationen müssen in präziser, transparenter, verständlicher und leicht zugänglicher Form in klarer und verständlicher Sprache übermittelt werden.
• Die Übermittlung kann schriftlich, elektronisch oder in anderer Form erfolgen.
• Für öffentliche Informationen kann eine Website genutzt werden.
• Auch Informationen zu Betroffenenrechten müssen in präziser, transparenter, verständlicher und leicht zugänglicher Form erfolgen.
• Die Beantwortung eines elektronischen Antrags sollte möglichst elektronisch erfolgen.
• Informationen können auf Wunsch auch mündlich erteilt werden.

Kosten und Einschränkungen

• Informationen und Mitteilungen sind unentgeltlich bereitzustellen.
• Bei offenkundig unbegründeten oder exzessiven Anträgen kann ein angemessenes Entgelt verlangt oder die Bearbeitung verweigert werden.

Verzeichnis der Verarbeitungstätigkeiten

• Das Erstellen eines Verzeichnisses ist eine rechtliche Pflicht und dient der Überprüfung der Rechtmäßigkeit
• Es kann für ein Unternehmen auch eine gute Möglichkeit sein, die entsprechenden Grundlagen zu ermitteln.
• Informationen, die enthalten sein müssen, werden im Kapitel 2.10 Verzeichnis der Datenverarbeitungstätigkeiten aufgeführt.
• Die meisten enthaltenen Informationen müssen auch im Rahmen der Datenschutzerklärung offengelegt werden.
• Es ist es nicht erforderlich, dass mehr als das Minimum dokumentiert wird.
• Die Effizienz des Datenschutzmanagements kann erhöht werden, wenn weitere Aspekte dokumentiert werden.
• Das Verzeichnis kann auch mit anderen Dokumenten, wie z. B. der Datenschutzmitteilung oder einem Muster für die Einwilligungserklärung, verknüpft werden.

Regeln zum internationalen Datenverkehr

• Der internationale Datenverkehr ist bis auf wenige Sonderfälle genehmigungsfrei.
• In wenigen Fällen ist eine Information der Aufsichtsbehörde sowie an die Betroffenen notwendig, wenn zum Beispiel die Übermittlung der Daten für die Wahrung zwingender Interessen des Verantwortlichen erforderlich ist.
• Datenverkehr innerhalb der EU unterliegt keinen Beschränkungen besteht aufgrund des geltenden Recht.
• Das Schutzniveau darf bei der Übermittlung personenbezogener Daten aus der Union an Drittländer aber nicht untergraben werden.
• Kapitel 2.13 Datenübermittlung an Drittländer wird näher ausgeführt, mit welchen Ländern von Seiten der Europäischen Union Sonderregelungen getroffen wurden.
• Datenübermittlungen in ein Drittland müssen im Verarbeitungsverzeichnis dokumentiert werden.
• Zusätzlich besteht eine Informationspflicht gegenüber den Betroffenen, sobald Daten in ein Drittland übermittelt werden sollen.

Datensicherheitsmaßnahmen

• Verantwortliche und Auftragsverarbeiter müssen angemessene Sicherheitsmaßnahmen implementieren, um die Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten zu gewährleisten.
• Die Sicherheit personenbezogener Daten sollte nicht nur als IT-Sicherheit behandelt werden.
• Angemessene Sicherheitsmaßnahmen umfassen technische, administrative und physische Maßnahmen.
• Die Tatsache, dass vergleichbare Unternehmen keine bessere Sicherheit bieten, deutet nicht zwingend auf ausreichende hin.
• Als Richtschnur für die Sicherheitsstandards können allgemeine Standards zur IT- und Informationssicherheit als Vorbild dienen.
• Die ISO/IEC 27001 ist weit verbreitet, ist aber gemäß der DSGVO nicht erforderlich.
• Potentielle Sicherheitslücken können Qualitätsmanagementmassnahmen vermieden werden.
• Wenn Verträge mit externen Dienstleistern abgeschlossen werden, können potentielle Sicherheitslücken durch Gewährleistungs- und Haftungsklauseln abgedeckt werden.
• Sichergestellt werden, dass kritische Sicherheitslücken innerhalb kürzester Zeit geschlossen werden können.
• Eigene Penetrationstests sind nicht zwingend erforderlich.
• Es wird empfohlen, regelmäßig die Sicherheit der IT-Infrastruktur zu überprüfen und Schwachstellen zu identifizieren

Umsetzung des Datengeheimnisses

• Das Datengeheimnis ist im Datenschutzgesetz geregelt und verpflichtet den Verantwortlichen, dessen Auftragsverarbeiter und Mitarbeiter zur Geheimhaltung
• Arbeitnehmer dürfen personenbezogene Daten nur aufgrund einer Anordnung ihres Arbeitgebers übermitteln.
• Der Verantwortliche muss die Mitarbeiter über die Folgen einer Verletzung des Datengeheimnisses aufklären.
• Der Arbeitgeber muss außerdem dafür Sorge tragen, dass seine Arbeitnehmer das Datengeheimnis auch nach Beendigung des Arbeitsverhältnisses einhalten.

Löschpflicht

• Die DSGVO räumt betroffenen Personen das Recht ein, die Löschung ihrer personenbezogenen Daten zu verlangen.
• Verantwortliche sind verpflichtet, regelmäßig zu überprüfen, ob die von ihnen verarbeiteten Daten gelöscht werden müssen.
• Der Begriff des Rechts auf Vergessenwerden wurde eingeführt.
• Das Recht auf Löschung besteht insbesondere, wenn die Datenverarbeitung niemals rechtmäßig war.

Weitere Aspekte der Löschung

• Eine Anonymisierung von personenbezogenen Daten kann grundsätzlich ein Mittel zur Löschung sein.
• Ausnahmen von der Löschpflicht können nur erfolgen, wenn die Meinungs-und Informationsfreiheit betroffen ist.
• Wird einem Löschbegehren eines Betroffenen nicht entsprochen, müssen ihm innerhalb der vorgesehenen Bearbeitungsfrist die Gründe für die Ablehnung mitgeteilt werden.
• Die Entwicklung eines Löschkonzepts ist empfehlenswert, um den rechtlichen Verpflichtungen nachzukommen.
• Unterschiedliche Daten können auf unterschiedlichen Datenträgern gespeichert werden.
• Nach einer entsprechenden Abwägung sollte für jeden Datenverarbeitungszweck eine eigene Löschfrist festgelegt werden.
• Während Bewerbungsunterlagen nach sechs Monaten gelöscht werden müssen, wenn es zu keiner Anstellung gekommen ist, beträgt die übliche Aufbewahrungsfrist für Buchhaltungsunterlagen sieben Jahre.
• Eine Löschung bedeutet grundsätzlich eine physische Löschung und nicht nur eine Entfernung aus einem Verzeichnis.
• Davon ausgenommen sind Sicherungskopien.
• Außerdem hat der Europäische Gerichtshof entschieden, dass Suchmaschinen verpflichtet werden können, Daten aus ihren Suchindizes zu entfernen.