Datenschutz und Sicherheit: DSGVO Grundlagen

Questions and Answers

Welche der folgenden Aussagen beschreibt am besten den Unterschied zwischen Datenschutz und IT-Sicherheit?

• Datenschutz und IT-Sicherheit sind synonym und beschreiben dasselbe Konzept.
• Datenschutz konzentriert sich ausschließlich auf den Schutz von Hardware, während IT-Sicherheit sich auf den Schutz personenbezogener Daten konzentriert.
• IT-Sicherheit umfasst alle Aspekte des Datenschutzes, da ohne IT-Sicherheit kein effektiver Datenschutz möglich ist.
• Datenschutz ist ein rechtlicher Rahmen zum Schutz personenbezogener Daten, während IT-Sicherheit die technischen und organisatorischen Maßnahmen zur Umsetzung dieses Schutzes umfasst. (correct)

Was sind die Hauptziele der Datenvermeidung und Datensparsamkeit im Kontext des Datenschutzes?

• Die Minimierung der Erhebung und Speicherung von personenbezogenen Daten auf das notwendige Maß sowie die Pseudonymisierung von Daten, wo immer möglich. (correct)
• Die Maximierung der Datensammlung, um umfassende Analysen zu ermöglichen und neue Geschäftsmodelle zu entwickeln.
• Die Zentralisierung aller Daten in einem einzigen System, um die Datenverwaltung zu vereinfachen und die Effizienz zu steigern.
• Die Verlagerung der Datenverarbeitung in die Cloud, um von den fortschrittlichen Sicherheitsmaßnahmen der Cloud-Anbieter zu profitieren.

Welche der folgenden Handlungen fällt nicht unter den Begriff 'Verarbeitung' personenbezogener Daten gemäß Artikel 4 Absatz 1 DSGVO?

• Die Veränderung einer E-Mail-Adresse in einem Kontaktsystem.
• Die Löschung alter Kundendaten nach Ablauf der Aufbewahrungsfrist.
• Das Erfassen von Namen und Adressen in einer Kundendatenbank.
• Das zufällige Betrachten eines Namens auf einer Liste, ohne weitere Verarbeitung. (correct)

Artikel 9 Absatz 1 DSGVO behandelt besondere Kategorien personenbezogener Daten. Welches der folgenden Beispiele fällt nicht unter diese Kategorie?

Die Postleitzahl des Wohnortes. (A)

Ein Unternehmen plant, Kundendaten für Marketingzwecke zu nutzen. Welche der folgenden Grundsätze der Verarbeitung personenbezogener Daten sind hierbei besonders relevant?

Alle oben genannten Grundsätze sind gleichermaßen relevant. (B)

Ein Mitarbeiter speichert unverschlüsselt sensible Kundendaten auf einem USB-Stick und verliert diesen. Welche datenschutzrechtlichen Konsequenzen sind zu erwarten?

Das Unternehmen muss den Vorfall der zuständigen Aufsichtsbehörde melden und mit Bußgeldern rechnen, da technische und organisatorische Maßnahmen zur Datensicherheit verletzt wurden. (D)

Ein Unternehmen möchte ein neues System zur Verarbeitung personenbezogener Daten einführen. Welche Maßnahme ist im Vorfeld unbedingt erforderlich?

Die Durchführung einer Datenschutz-Folgenabschätzung, um die Risiken für die betroffenen Personen zu bewerten. (B)

Wie wirkt sich die DSGVO auf die Verarbeitung personenbezogener Daten durch Unternehmen mit Sitz außerhalb der EU aus?

Die DSGVO gilt, wenn das Unternehmen Waren oder Dienstleistungen in der EU anbietet oder das Verhalten von Personen in der EU beobachtet. (C)

Welche der folgenden Daten gelten gemäß Art. 9 Abs. 1 DSGVO als 'besondere Kategorien personenbezogener Daten'?

Politische Meinungen (B)

Was bedeutet der Grundsatz der 'Datenminimierung' gemäß Art. 5 DSGVO im Kontext der Verarbeitung personenbezogener Daten?

Personenbezogene Daten müssen dem Zweck angemessen, erheblich und auf das notwendige Maß beschränkt sein. (D)

Welche Anforderung stellt die DSGVO hinsichtlich der Speicherung personenbezogener Daten auf?

Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. (C)

Was umfasst der Grundsatz der 'Rechenschaftspflicht' gemäß Art. 5 DSGVO?

Die Verantwortlichkeit für die Einhaltung aller Grundsätze der Datenverarbeitung und den Nachweis dieser Einhaltung. (D)

Welcher der folgenden Aspekte ist bei der Bewertung des Risikos für die Rechte und Freiheiten natürlicher Personen im Rahmen von Art. 32 DSGVO (Technische und organisatorische Maßnahmen) zu berücksichtigen?

Der Stand der Technik, die Implementierungskosten sowie die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung. (D)

Welche der folgenden Handlungen würde nicht gegen den Grundsatz der 'Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz' gemäß Art. 5 DSGVO verstoßen?

Die klare und verständliche Information der betroffenen Person über die Zwecke der Datenverarbeitung. (C)

Ein Unternehmen sammelt sensible Gesundheitsdaten seiner Kunden. Welche Maßnahme ist unbedingt erforderlich, um die Anforderungen der DSGVO zu erfüllen?

Die Kunden müssen ausdrücklich in die Verarbeitung ihrer Gesundheitsdaten einwilligen. (B)

Ein Verantwortlicher verarbeitet personenbezogene Daten für verschiedene Zwecke. Welches Prinzip der DSGVO verlangt, dass für jeden dieser Zwecke eine klare Rechtsgrundlage vorliegen muss?

Zweckbindung (B)

Welche der folgenden Kennungen ermöglicht nicht die direkte Identifizierung einer natürlichen Person im Sinne der DSGVO?

Eine anonymisierte IP-Adresse, die nicht mit anderen Daten verknüpft ist (A)

Ein Unternehmen möchte Kundendaten für Marktforschungszwecke verwenden, die nicht ursprünglich bei der Datenerhebung angegeben wurden. Was ist erforderlich, um die DSGVO einzuhalten?

Eine erneute Einwilligung der betroffenen Personen für den neuen Zweck. (D)

Welche der folgenden Anforderungen werden gemäß Art. 32 DSGVO an technische und organisatorische Maßnahmen (TOM) gestellt?

Die Wirksamkeit der Maßnahmen muss regelmäßig überprüft, bewertet und evaluiert werden. (D)

Was ist das primäre Ziel von technischen und organisatorischen Maßnahmen (TOM) im Sinne des Datenschutzes?

Die Gewährleistung eines dem Risiko angemessenen Schutzniveaus für personenbezogene Daten. (D)

Welche Gemeinsamkeit besteht zwischen Datenschutz und Datensicherheit im Kontext von Art. 32 DSGVO?

Beide Bereiche verfolgen das Ziel, ein angemessenes Schutzniveau gemäß Art. 32 DSGVO zu gewährleisten. (D)

Ein Unternehmen plant die Einführung eines neuen CRM-Systems. Welche der folgenden Maßnahmen sollte nicht als Teil der technischen und organisatorischen Maßnahmen (TOM) gemäß DSGVO berücksichtigt werden?

Die Festlegung einer Standard-Passwortrichtlinie ohne regelmäßige Überprüfung. (A)

Ein Unternehmen wird Opfer eines Cyberangriffs, bei dem personenbezogene Daten kompromittiert werden. Welche der folgenden Maßnahmen sollte nicht ergriffen werden?

Das Ignorieren des Vorfalls, um den Ruf des Unternehmens nicht zu schädigen. (B)

Welche der folgenden Optionen beschreibt am besten das Konzept der 'Pseudonymisierung' im Kontext von Art. 32 DSGVO?

Die Ersetzung von identifizierenden Merkmalen durch ein Pseudonym, sodass die Daten ohne zusätzliche Informationen nicht mehr einer spezifischen Person zugeordnet werden können. (D)

Wie beeinflussen 'Stand der Technik' und 'Implementierungskosten' die Auswahl geeigneter technischer und organisatorischer Maßnahmen (TOM) gemäß Art. 32 DSGVO?

Beide Faktoren müssen berücksichtigt werden, um ein angemessenes Schutzniveau zu gewährleisten, wobei ein vernünftiges Verhältnis zwischen Kosten und Sicherheit angestrebt werden muss. (C)

Warum ist die regelmäßige Überprüfung und Bewertung der Wirksamkeit von technischen und organisatorischen Maßnahmen (TOM) so wichtig?

Um sicherzustellen, dass die Maßnahmen den sich ändernden Risiken und Bedrohungen weiterhin gerecht werden. (D)

Warum ist die Implementierung von Richtlinien und Regelungen für den technischen Datenschutz wichtig?

Um die Einhaltung gesetzlicher und technischer Anforderungen zu gewährleisten. (B)

Wie können Regelungen für den Umgang mit Beschäftigtendaten festgelegt werden?

Durch Betriebs- oder Dienstvereinbarungen. (B)

In welcher Beziehung stehen Datenschutz und IT-Sicherheit zueinander?

Sie sind eng miteinander verbunden, da IT-Sicherheitsmaßnahmen dazu beitragen, den Datenschutz zu gewährleisten. (C)

Was ist das Hauptziel des Datenschutzes im Gegensatz zur IT-Sicherheit?

Die Wahrung der Rechte von Individuen in Bezug auf ihre personenbezogenen Daten. (C)

Ein Unternehmen plant die Einführung eines neuen CRM-Systems, in dem sensible Kundendaten gespeichert werden. Welche Maßnahme sollte vorrangig ergriffen werden, um sowohl Datenschutz als auch IT-Sicherheit zu gewährleisten?

Die Erstellung eines umfassenden Sicherheitskonzepts, das sowohl Datenschutz- als auch Sicherheitsaspekte berücksichtigt. (B)

Ein Mitarbeiter lädt regelmäßig private Dateien auf den Firmenserver hoch. Dies stellt aus Unternehmenssicht ein Problem dar. Welche der folgenden Optionen adressiert sowohl Datenschutz- als auch Sicherheitsbedenken am besten?

Eine Richtlinie für die Nutzung von Firmenservern erstellen und diese klar kommunizieren. (A)

Welche Aussage beschreibt am besten die Beziehung zwischen Datenschutz, IT-Sicherheit und der Einhaltung gesetzlicher Vorschriften?

Datenschutz und IT-Sicherheit sind separate Bereiche, die beide dazu beitragen, die Einhaltung gesetzlicher Vorschriften zu gewährleisten, aber mit unterschiedlichen Schwerpunkten. (B)

Flashcards

Datenschutz vs. IT-Sicherheit

Datenschutz ist der Schutz persönlicher Daten; IT-Sicherheit schützt Systeme, die diese Daten verarbeiten.

DSGVO

DSGVO ist eine EU-Verordnung, die den Datenschutz innerhalb der EU regelt.

BDSG n.F.

Das BDSG n.F. ist ein deutsches Gesetz, das die DSGVO ergänzt und präzisiert.

Verarbeitung personenbezogener Daten

Jeder Vorgang im Zusammenhang mit personenbezogenen Daten, wie Erheben, Speichern, Verwenden.

(Besondere Arten) personenbezogene(r) Daten

Daten, die besonders schutzbedürftig sind (z.B. Gesundheit, Religion).

Grundsätze der Verarbeitung

Prinzipien wie Rechtmäßigkeit, Transparenz, Zweckbindung bei der Datenverarbeitung.

Datenvermeidung und Datensparsamkeit

So wenig Daten wie möglich erheben und nur für den notwendigen Zweck.

Technische und organisatorische Maßnahmen

Maßnahmen zum Schutz von Daten (z.B. Verschlüsselung, Zugriffskontrollen).

Art. 32 DSGVO: TOMs

Geeignete technische und organisatorische Maßnahmen (TOMs) müssen implementiert werden, um ein angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten.

Regelmäßige TOM-Überprüfung

Regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen.

Zweck des Datenschutzes

Schutz natürlicher Personen und ihrer Persönlichkeitsrechte.

Zweck der Datensicherheit

Schutz von Hard- und Software sowie Daten vor Verlust, Zerstörung und Missbrauch.

Beispiele für TOMs

Pseudonymisierung und Verschlüsselung personenbezogener Daten.

Ziele der Datensicherheit

Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Systemen und Diensten.

Disaster Recovery

Schnelle Wiederherstellung der Verfügbarkeit von Daten und des Zugangs zu ihnen nach einem Zwischenfall.

Wer ist verantwortlich für TOMs?

Der Verantwortliche und der Auftragsverarbeiter sind verpflichtet, TOMs umzusetzen.

Identifizierbare Person (DSGVO)

Direkte oder indirekte Identifizierung durch Merkmale (physisch, genetisch, etc.) oder Kennungen (Namen, Nummern, Online-Daten).

Besondere Arten personenbezogener Daten

Besonders sensible Datenkategorien, deren Verarbeitung grundsätzlich untersagt ist (z.B. ethnische Herkunft, politische Meinung, Gesundheitsdaten).

Grundsätze der Datenverarbeitung (DSGVO)

Rechtmäßigkeit, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit.

Rechenschaftspflicht (DSGVO)

Sicherstellen der Einhaltung der Datenschutzgrundsätze und dies auch nachweisen können.

Datenminimierung

Daten müssen dem Zweck angemessen und auf das notwendige Maß beschränkt sein.

Speicherbegrenzung

Daten dürfen nur so lange gespeichert werden, wie es für den Zweck erforderlich ist.

Technische und organisatorische Maßnahmen (TOM)

Geeignete Maßnahmen zum Schutz der Daten, unter Berücksichtigung von Technik, Kosten und Risiko.

Datenvermeidung

Der Grundsatz, personenbezogene Daten so weit wie möglich zu vermeiden.

Datensparsamkeit

Nur die unbedingt notwendigen Daten für den jeweiligen Zweck erheben.

Integrität und Vertraulichkeit (DSGVO)

Daten sollen Integrität (Unversehrtheit) und Vertraulichkeit (Schutz vor unbefugtem Zugriff) aufweisen.

Datenschutz

Schutz personenbezogener Daten vor unbefugtem Zugriff und Missbrauch.

IT-Sicherheit

Schutz von IT-Systemen und Daten vor Bedrohungen aller Art.

Beschäftigtendaten-Regelungen

Regelungen für den Umgang mit Beschäftigtendaten.

Technische Datenschutzrichtlinien

Richtlinien zur Umsetzung technischer Schutzmaßnahmen.

Ziele der IT-Sicherheit

Sicherstellung der Verfügbarkeit, Integrität und Vertraulichkeit von Daten.

Datenschutzorganisation

Eine Organisationseinheit, die sich dem Datenschutz widmet.

Datenschutzmanagement

Ein System zur Planung, Umsetzung und Kontrolle von Datenschutzmaßnahmen.

Betriebs-/Dienstvereinbarungen (Datenschutz)

Vereinbarungen zwischen Arbeitgeber und Betriebsrat zum Datenschutz.