Datenschutz: Grundlagen und Prinzipien

Questions and Answers

Welches der folgenden Prinzipien ist kein Grundprinzip des Datenschutzes gemäß der allgemeinen Definition?

• Zweckbindung
• Datenmaximierung (correct)
• Datenminimierung
• Integrität und Vertraulichkeit

Ein Unternehmen speichert Kundendaten (Namen, Adressen, Kaufhistorie) für Marketingzwecke. Nach zwei Jahren werden die Daten nicht mehr für das Marketing benötigt. Was sollte das Unternehmen datenschutzrechtlich tun?

• Die Daten weiterhin speichern, da sie in Zukunft eventuell wieder für Marketingzwecke genutzt werden könnten.
• Die Daten anonymisieren, sodass kein Rückschluss auf einzelne Kunden mehr möglich ist.
• Die Daten an ein anderes Unternehmen verkaufen, das Interesse an Marketingdaten hat.
• Die Daten löschen, da die Speicherbegrenzung erreicht ist und der ursprüngliche Zweck entfallen ist. (correct)

Welche der folgenden Datenkategorien fällt nicht unter die besonderen Kategorien personenbezogener Daten (sensible Daten)?

• E-Mail-Adresse (correct)
• Daten über die rassische Herkunft
• Gesundheitsdaten
• Daten über die sexuelle Orientierung

Ein Cloud-Service-Anbieter verarbeitet im Auftrag eines Online-Shops die Kundendaten. Wer ist in diesem Fall der Verantwortliche im Sinne des Datenschutzes?

Der Online-Shop, da er über die Zwecke und Mittel der Verarbeitung entscheidet. (D)

Eine Person möchte wissen, welche Daten ein Unternehmen über sie gespeichert hat. Auf welches Recht beruft sie sich dabei?

Recht auf Auskunft (C)

Ein Unternehmen hat versehentlich eine E-Mail mit den Adressen aller Newsletter-Abonnenten an alle Abonnenten gleichzeitig verschickt (statt als BCC). Was sollte das Unternehmen datenschutzrechtlich tun?

Den Vorfall der Aufsichtsbehörde melden, da es sich um eine Datenschutzverletzung handelt. (B)

Ein Webshop möchte personalisierte Werbung basierend auf dem Surfverhalten der Nutzer anzeigen. Welche datenschutzrechtliche Maßnahme ist hierfür erforderlich?

Die Nutzer müssen explizit in die Verarbeitung ihrer Daten für personalisierte Werbung einwilligen. (B)

Ein Unternehmen möchte die Daten seiner Mitarbeiter (z.B. Anwesenheitszeiten, Projektbeteiligungen) nutzen, um die Effizienz der Arbeitsabläufe zu analysieren und zu optimieren. Welches Datenschutzprinzip ist hierbei besonders relevant?

Zweckbindung (C)

Welche Aussage beschreibt am besten das Ziel der Datenschutz-Grundverordnung (DSGVO)?

Die Harmonisierung des Datenschutzrechts innerhalb der EU und die Stärkung der Rechte betroffener Personen. (D)

Was ist der Hauptzweck des Bundesdatenschutzgesetzes (BDSG) im Kontext der DSGVO?

Die Ergänzung und Präzisierung der DSGVO sowie die Anpassung des deutschen Rechts an die Vorgaben der DSGVO. (D)

In welchem Fall ist die Bestellung eines Datenschutzbeauftragten NICHT zwingend erforderlich?

Wenn das Unternehmen weniger als 10 Mitarbeiter hat und keine besonderen Kategorien personenbezogener Daten verarbeitet. (B)

Welche der folgenden Maßnahmen ist ein Beispiel für eine organisatorische Maßnahme im Bereich der Datensicherheit?

Die Schulung der Mitarbeiter bezüglich Datenschutzrichtlinien. (B)

Was bedeutet der Grundsatz 'Datenschutz durch Technikgestaltung' (Privacy by Design)?

Die Berücksichtigung von Datenschutzaspekten bereits bei der Entwicklung neuer Produkte oder Dienstleistungen. (B)

Was bedeutet der Grundsatz 'Datenschutzfreundliche Voreinstellungen' (Privacy by Default)?

Die datenschutzfreundlichsten Einstellungen sind standardmäßig aktiviert. (D)

Welches der genannten Rechte steht Betroffenen NICHT gemäß der DSGVO zu?

Recht auf freie Meinungsäußerung über den Verantwortlichen. (D)

Unter welcher Rechtsgrundlage ist die Verarbeitung personenbezogener Daten zulässig, wenn sie für die Erfüllung eines Vertrages erforderlich ist?

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). (B)

Wann ist die Verarbeitung personenbezogener Daten aufgrund 'Lebenswichtiger Interessen' (Art. 6 Abs. 1 lit. d DSGVO) gerechtfertigt?

Wenn es erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen. (D)

In welchem Fall könnte die Verarbeitung personenbezogener Daten auf 'Berechtigte Interessen' (Art. 6 Abs. 1 lit. f DSGVO) gestützt werden?

Wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und die Interessen der betroffenen Person nicht überwiegen. (D)

Welche Aussage über die Gültigkeit der DSGVO ist korrekt?

Die DSGVO gilt für alle Unternehmen und Organisationen, die personenbezogene Daten von EU-Bürgern verarbeiten, unabhängig vom Standort des Unternehmens. (A)

Was ist das Hauptziel von Datensicherheitsmaßnahmen im Sinne der DSGVO?

Der Schutz personenbezogener Daten vor Verlust, Zerstörung, unbefugtem Zugriff, Veränderung oder Verbreitung. (B)

Ein Unternehmen möchte Kundendaten für Direktwerbung nutzen. Welche Rechtsgrundlage ist hierfür erforderlich?

Einwilligung des Kunden zur Nutzung seiner Daten für Werbezwecke. (B)

Ein Kunde bittet ein Unternehmen, seine personenbezogenen Daten zu löschen. Unter welcher Bedingung muss das Unternehmen diesem Antrag NICHT nachkommen?

Wenn die Daten für die Erfüllung eines Vertrags noch benötigt werden. (A)

Was kann die Folge eines Verstoßes gegen die DSGVO sein?

Hohe Geldbußen, die sich nach der Schwere des Verstoßes und dem Umsatz des Unternehmens richten. (C)

Flashcards

Datenschutz

Schutz von Personendaten vor Missbrauch und unbefugter Verarbeitung.

Zweckbindung

Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden.

Datenminimierung

Nur die Daten erheben und verarbeiten, die für den Zweck unbedingt nötig sind.

Besondere Kategorien personenbezogener Daten

Daten über sensible Bereiche wie ethnische Herkunft, politische Meinung, Gesundheit.

Personenbezogene Daten

Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen.

Verantwortlicher

Bestimmt die Zwecke und Mittel der Verarbeitung von Personendaten.

Auftragsverarbeiter

Verarbeitet Personendaten im Auftrag des Verantwortlichen.

Recht auf Auskunft

Das Recht, Auskunft darüber zu verlangen, welche Daten verarbeitet werden.

Auskunftsrecht (DSGVO)

Das Recht, Auskunft über die Verarbeitung der eigenen Daten zu erhalten.

Recht auf Berichtigung (DSGVO)

Das Recht, unrichtige Daten berichtigen zu lassen.

Recht auf Löschung (DSGVO)

Das Recht, die Löschung der eigenen Daten zu verlangen, wenn diese nicht mehr benötigt werden.

Recht auf Einschränkung der Verarbeitung (DSGVO)

Das Recht, die Verarbeitung der Daten einzuschränken, z.B. bei strittiger Richtigkeit.

Recht auf Datenübertragbarkeit (DSGVO)

Das Recht, Daten in einem gängigen Format zu erhalten und an andere zu übertragen.

Widerspruchsrecht (DSGVO)

Das Recht, Widerspruch gegen die Verarbeitung der eigenen Daten einzulegen, besonders bei Direktwerbung.

Einwilligung (DSGVO)

Die betroffene Person willigt in die Verarbeitung ihrer Daten für bestimmte Zwecke ein.

Vertragserfüllung (DSGVO)

Die Verarbeitung ist notwendig, um einen Vertrag mit der betroffenen Person zu erfüllen.

Rechtliche Verpflichtung (DSGVO)

Die Verarbeitung ist notwendig, um einer gesetzlichen Pflicht nachzukommen.

Lebenswichtige Interessen (DSGVO)

Die Verarbeitung ist notwendig, um lebenswichtige Interessen zu schützen.

DSGVO

EU-Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten.

BDSG

Deutsches Gesetz, das die DSGVO ergänzt und spezifische Bereiche regelt.

Datenschutzbeauftragter

Person im Unternehmen, die für die Einhaltung der Datenschutzbestimmungen verantwortlich ist.

Datensicherheit

Technische und organisatorische Maßnahmen zum Schutz von Daten vor Verlust, Zugriff, etc.

Privacy by Design

Datenschutz wird bereits bei der Entwicklung neuer Produkte berücksichtigt.

Study Notes

Datenschutz

• Datenschutz bezieht sich auf den Schutz personenbezogener Daten vor Missbrauch und unbefugter Verarbeitung.

Grundprinzipien des Datenschutzes

• Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben und verarbeitet werden (Zweckbindung).
• Es dürfen nur Daten erhoben und verarbeitet werden, die für den Zweck erforderlich sind (Datenminimierung).
• Daten müssen sachlich richtig und auf dem neuesten Stand sein (Richtigkeit).
• Daten dürfen nicht länger gespeichert werden, als für den Zweck erforderlich (Speicherbegrenzung).
• Daten müssen vor unbefugter oder unrechtmäßiger Verarbeitung sowie vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung geschützt werden (Integrität und Vertraulichkeit).
• Verantwortliche müssen die Einhaltung der Datenschutzgrundsätze nachweisen können (Rechenschaftspflicht).

Personenbezogene Daten

• Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
• Beispiele sind Name, Adresse, Geburtsdatum, E-Mail-Adresse, IP-Adresse, Bankverbindung und Fotos.
• Besondere Kategorien personenbezogener Daten (sensible Daten) umfassen Daten über rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung.

Verantwortlicher und Auftragsverarbeiter

• Verantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
• Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
• Der Verantwortliche ist für die Einhaltung der Datenschutzbestimmungen verantwortlich.
• Der Auftragsverarbeiter darf Daten nur gemäß den Weisungen des Verantwortlichen verarbeiten.

Rechte der betroffenen Personen

• Betroffene haben das Recht auf Auskunft darüber, ob und welche Daten über sie verarbeitet werden (Art. 15 DSGVO).
• Betroffene haben das Recht, unrichtige Daten berichtigen zu lassen (Art. 16 DSGVO).
• Betroffene haben das Recht, die Löschung ihrer Daten zu verlangen, sofern bestimmte Gründe vorliegen (z.B. Daten nicht mehr erforderlich, "Recht auf Vergessenwerden", Art. 17 DSGVO).
• Betroffene haben das Recht, die Verarbeitung ihrer Daten einzuschränken, z.B. wenn die Richtigkeit der Daten bestritten wird (Art. 18 DSGVO).
• Betroffene haben das Recht, ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und an einen anderen Verantwortlichen zu übertragen (Art. 20 DSGVO).
• Betroffene haben das Recht, gegen die Verarbeitung ihrer Daten Widerspruch einzulegen, insbesondere bei Direktwerbung (Art. 21 DSGVO).
• Betroffene haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren, wenn sie der Ansicht sind, dass die Verarbeitung ihrer Daten gegen die DSGVO verstößt (Art. 77 DSGVO).

Rechtsgrundlagen für die Verarbeitung personenbezogener Daten

• Die betroffene Person hat ihre Einwilligung zu der Verarbeitung ihrer personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben (Art. 6 Abs. 1 lit. a DSGVO).
• Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich (Art. 6 Abs. 1 lit. b DSGVO).
• Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt (Art. 6 Abs. 1 lit. c DSGVO).
• Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen (Art. 6 Abs. 1 lit. d DSGVO).
• Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde (Art. 6 Abs. 1 lit. e DSGVO).
• Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen (Art. 6 Abs. 1 lit. f DSGVO).

Datenschutz-Grundverordnung (DSGVO)

• Die DSGVO ist eine Verordnung der Europäischen Union, die den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten regelt.
• Sie gilt seit dem 25. Mai 2018 in allen EU-Mitgliedstaaten.
• Ziel der DSGVO ist die Harmonisierung des Datenschutzrechts innerhalb der EU und die Stärkung der Rechte der betroffenen Personen.
• Die DSGVO gilt für alle Unternehmen und Organisationen, die personenbezogene Daten von EU-Bürgern verarbeiten, unabhängig davon, wo sich das Unternehmen oder die Organisation befindet.
• Verstöße gegen die DSGVO können mit hohen Geldbußen geahndet werden.

Bundesdatenschutzgesetz (BDSG)

• Das BDSG ist ein deutsches Gesetz, das die DSGVO ergänzt und präzisiert.
• Es enthält Regelungen zu spezifischen Bereichen wie z.B. den Beschäftigtendatenschutz.
• Das BDSG passt das deutsche Recht an die Vorgaben der DSGVO an.

Datenschutzbeauftragter

• Ein Datenschutzbeauftragter ist eine Person, die innerhalb eines Unternehmens oder einer Organisation für die Einhaltung der Datenschutzbestimmungen verantwortlich ist.
• Die Bestellung eines Datenschutzbeauftragten ist in bestimmten Fällen gesetzlich vorgeschrieben, z.B. wenn die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten besteht.
• Der Datenschutzbeauftragte berät das Unternehmen in Datenschutzfragen, überwacht die Einhaltung der Datenschutzbestimmungen und ist Ansprechpartner für die Aufsichtsbehörde und die betroffenen Personen.

Datensicherheit

• Datensicherheit umfasst alle technischen und organisatorischen Maßnahmen, die dazu dienen, personenbezogene Daten vor Verlust, Zerstörung, unbefugtem Zugriff, Veränderung oder Verbreitung zu schützen.
• Beispiele für technische Maßnahmen sind Verschlüsselung, Firewalls, Zugriffskontrollen und Virenschutz.
• Beispiele für organisatorische Maßnahmen sind Schulungen der Mitarbeiter, Erstellung von Datenschutzrichtlinien und Durchführung von Risikobewertungen.

Datenschutz durch Technikgestaltung (Privacy by Design)

• Datenschutz durch Technikgestaltung bedeutet, dass Datenschutzaspekte bereits bei der Entwicklung neuer Produkte oder Dienstleistungen berücksichtigt werden.
• Ziel ist es, datenschutzfreundliche Voreinstellungen zu implementieren und die Verarbeitung personenbezogener Daten auf ein Minimum zu reduzieren.

Datenschutzfreundliche Voreinstellungen (Privacy by Default)

• Datenschutzfreundliche Voreinstellungen bedeuten, dass die datenschutzfreundlichsten Einstellungen standardmäßig aktiviert sind.
• Zum Beispiel sollten bei Online-Diensten die Privatsphäre-Einstellungen standardmäßig so konfiguriert sein, dass möglichst wenige Daten erfasst und verarbeitet werden.

Description

Dieser Abschnitt behandelt die Definition von Datenschutz und seine Bedeutung. Es werden die Grundprinzipien wie Zweckbindung, Datenminimierung und Richtigkeit erläutert. Zudem wird der Begriff der personenbezogenen Daten im Kontext des Datenschutzes erklärt.