Rechtsfragen zur EU und Bundesrepublik Deutschland

Questions and Answers

Welche der folgenden Aussagen über die Europäische Union ist falsch?

• Die Europäische Union hat eine Exekutive, eine Legislative und eine Judikative.
• Die Europäische Union ist ein supranationaler politischer und wirtschaftlicher Zusammenschluss von 27 Mitgliedstaaten.
• Der Europäische Rat wird von den Staatsregierungen der Mitgliedstaaten vertreten.
• Das Europäische Parlament ist die Exekutive der Europäischen Union. (correct)

Welches Organ hat die primäre Gesetzesgewalt in der Bundesrepublik Deutschland?

• Der Bundestag
• Der Bundesrat
• Die Bundesregierung
• Das Bundesverfassungsgericht (correct)

Welche der folgenden Aussagen über das Bundesrecht in Deutschland ist richtig?

• Bundesgesetze haben Vorrang vor Landesgesetzen. (correct)
• Landesverordnungen haben Vorrang vor Bundesgesetzen.
• Landesgesetze haben Vorrang vor Bundesgesetzen.
• Bundesgesetze und Landesgesetze haben gleiche Priorität.

Welche der folgenden Aussagen über die Beziehung zwischen EU-Recht und deutschem Recht ist richtig?

EU-Recht hat Vorrang vor deutschem Recht. (B)

Welche der folgenden Rechtsquellen steht nicht in der Hierarchie des deutschen Rechts?

EU-Verordnungen (B)

Was versteht man unter der 'Transformation' von EU-Recht in deutsches Recht?

Die Umsetzung von EU-Recht in deutsches Recht durch Gesetze oder Verordnungen. (D)

Welches Organ ist in Deutschland für die Gesetzgebung auf Landesebene zuständig?

Der Landtag (A)

Was macht die Bundesrepublik Deutschland zu einem föderalen Staat?

Die Machtteilung zwischen Bund und Ländern. (B)

Welches Risiko wird im Zusammenhang mit einem angemessenen Sicherheitsniveau bei der Datenverarbeitung nicht erwähnt?

Falsche Darstellung von Unternehmensinformationen (C)

Was ist der Zweck eines Penetrationstests (Pentesting)?

Um die Schwachstellen eines Systems zu identifizieren und zu beheben (A)

Welches Element spielt eine entscheidende Rolle bei der Bestimmung des Sicherheitsniveaus für Datenverarbeitung?

Die Art der Daten, die verarbeitet werden (A)

Welche der folgenden Optionen sind Beispiele für „Data Protection by Design“?

Verwendung von Verschlüsselungstechnologien (C), Implementierung von Zwei-Faktor-Authentifizierung (D)

Warum ist eine Risikobewertung im Kontext der Datensicherheit wichtig?

Alle genannten Punkte (A)

Welche Faktoren beeinflussen die Wahrscheinlichkeit, dass ein bestimmtes Sicherheitsrisiko eintritt?

Alle genannten Punkte (C)

Welche beiden Elemente spielen eine entscheidende Rolle bei der Einhaltung der Datenschutzbestimmungen?

Die Verwendung eines zertifizierten Mechanismus für die Datenverarbeitung (B), Die Einhaltung von Verhaltensregeln für Mitarbeiter (D)

Was bedeutet „Data Protection Impact Assessment“ (DPIA)?

Eine Analyse der potenziellen Risiken durch die Verarbeitung von Daten (A)

Welche Aussage ist korrekt?

Pseudonymisierung ist nicht identisch mit Anonymisierung. (C)

Welche Aussage zu Anonymisierung ist falsch?

Es gibt kein Interesse an der De-Anonymisierung von Daten. (C)

Welcher Grundsatz sollte bei der Anonymisierung von Daten berücksichtigt werden?

Die Anonymisierung sollte risikobasiert durchgeführt werden. (B)

Wie kann man die Sicherheit von anonymisierten Daten erhöhen?

Durch eine Kombination aus verschiedenen Sicherheitsmaßnahmen. (C)

Welche der folgenden Maßnahmen ist KEINE Sicherheitsmaßnahme für anonymisierte Daten?

Datenlöschung (C)

Welche der folgenden Aussagen über die Übertragbarkeit von Anonymisierungsprozeduren ist korrekt?

Anonymisierungsprozeduren müssen für jeden Datensatz individuell angepasst werden. (D)

Was trifft NICHT auf Sicherheitsmaßnahmen für anonymisierte Daten zu?

Sie müssen jederzeit angepasst werden. (B)

Welche der folgenden Optionen werden in Bezug auf die Datenminimierung im GDPR erwähnt?

Das GDPR bietet nur Beispiele für geeignete Sicherheitsmaßnahmen. (D)

Welches Land wird im Text als Beispiel für ein Land genannt, das keine Standarddatenübertragungen zulässt?

Argentinien (D)

Welches der folgenden Prinzipien ist nicht direkt im Text erwähnt als zentrales Element des Datenschutzes gemäß GDPR?

Rechenschaftspflicht (D)

Was ist kein Aspekt des Datenschutzes, der im Text im Zusammenhang mit dem GDPR erwähnt wird?

Recht auf Vergessenwerden (C)

Welche der folgenden Bedingungen muss erfüllt sein, damit eine Rechtfertigung der Datenverarbeitung nach Art. 6 (1) GDPR greift?

Eine Einwilligung des Betroffenen wurde eingeholt. (A)

Welche Art von Datenverarbeitung ist mit besonderen Anforderungen an die Datenverarbeitung gemäß GDPR verbunden?

Daten, die die rassische oder ethnische Herkunft offenbaren. (C)

Welche Bedingung ist nicht notwendig, um eine Datenverarbeitung gemäß GDPR zu rechtfertigen, wenn die Verarbeitung nicht auf einer Einwilligung des Betroffenen basiert?

Die Verarbeitung muss für die Erfüllung eines öffentlichen Interesses oder einer Aufgabe, die im öffentlichen Interesse liegt, erforderlich sein. (B)

Welche Aussage über den GDPR ist falsch?

Der GDPR gilt nur für natürliche Personen, die in der EU ansässig sind. (A)

Welche der folgenden Maßnahmen ist nicht im Text erwähnt als notwendige Maßnahme zur Einhaltung des GDPR?

Einholung einer expliziten Einwilligung für alle Datenverarbeitungsaktivitäten (C)

Welche der folgenden Aussage trifft am besten auf die RCE-Richtlinie (Directive EU 2022/2557) zu?

Die RCE-Richtlinie konzentriert sich auf die Erfassung und Bewertung von Risiken in Bezug auf die Bereitstellung essentieller Dienste. (A)

Welche der folgenden Aussagen beschreibt die NIS-2-Richtlinie (Directive EU 2022/2555) korrekt?

Die NIS-2-Richtlinie konzentriert sich auf die Regulierung der Cybersecurity für Unternehmen, die sogenannte 'essentielle Dienste' wie Energieversorgung oder Gesundheitswesen anbieten. (D)

Welche Aussage über die 'Essential Entities' im Kontext der NIS-2-Richtlinie ist korrekt?

Essential Entities sind Unternehmen, die für die Aufrechterhaltung von wichtigen gesellschaftlichen Funktionen und der Wirtschaft unerlässlich sind und somit strengere Aufsichts- und Sanktionsmassnahmen unterliegen. (C)

Was ist der Unterschied zwischen den Aufsichts- und Durchsetzungsmaßnahmen für 'Essential Entities' und 'Important Entities' in der NIS-2-Richtlinie?

Essential Entities unterliegen strengeren Überwachungs- und Sanktionsmassnahmen als Important Entities. (D)

Welche der folgenden Aussagen über die Cybersecurity Risk-Management-Massnahmen in der NIS-2-Richtlinie ist korrekt?

Unternehmen müssen einen angemessenen und verhältnismässigen Ansatz zur Verwaltung von Cybersecurity-Risiken wählen, der sich an der Grösse und Komplexität des Unternehmens orientiert. (D)

Welche der folgenden Aussagen über die RCE-Richtlinie ist korrekt?

Die RCE-Richtlinie zielt darauf ab, die Widerstandsfähigkeit kritischer Einrichtungen zu stärken, indem sie die Bewertung und Bewältigung von Risiken fördert, die die Bereitstellung essentieller Dienste beeinträchtigen könnten. (B)

Welche der folgenden Massnahmen wird im Rahmen der RCE-Richtlinie zur Unterstützung der Mitgliedstaaten bei der Risikominderung und -bewältigung in Bezug auf die Bereitstellung essentieller Dienste empfohlen?

Die Organisation von gemeinsamen Übungen, um die Reaktion auf grenzüberschreitende Sicherheitsvorfälle zu koordinieren. (C)

Welche der folgenden Aussagen über die Aufgaben von ENISA, der Europäischen Agentur für Cybersicherheit, im Rahmen des Cybersecurity Act ist korrekt?

ENISA bietet Mitgliedstaaten und anderen Akteuren Unterstützung und Beratung in Fragen der Cybersicherheit. (D)

Welche der folgenden Aussagen über die Sicherheitsstufen des EU-Zertifizierungsschemas im Rahmen des Cybersecurity Act ist korrekt?

Die Sicherheitsstufen „basic“, „substantial“ und „high“ beziehen sich auf das Niveau der Sicherheit, das ein Produkt oder eine Dienstleistung bietet. (C)

Welche der folgenden Aussagen über die 'Resilience Measures' im Rahmen der RCE-Richtlinie ist korrekt?

Resilience Measures sind Massnahmen, die Unternehmen ergreifen müssen, um ihre Fähigkeit zu verbessern, auf Sicherheitsvorfälle zu reagieren und sich von ihnen zu erholen. (C)

Was ist der Zweck der 'Background Checks' im Rahmen der RCE-Richtlinie?

Die Bewertung des Sicherheitsrisikos, das von Personen ausgeht, die einen Zugang zu sensiblen Daten in einem kritischen Unternehmen haben. (A)

Welches der folgenden Themen wird in der NIS-2-Richtlinie nicht explizit behandelt?

Die Regulierung von Datenübertragungen zwischen Unternehmen. (D)

Flashcards

Pseudonymisierung

Verfahren, bei dem der Identitätsbezug einer Person durch ein Pseudonym ersetzt wird.

Anonymisierung

Der Prozess, bei dem Daten so angepasst werden, dass die Identifizierbarkeit von Individuen unmöglich ist.

100%ige Re-Identifikationsrisiken

Anonymisierung sollte das Risiko einer Wiederherstellung der Identität minimieren, aber nicht auf null reduzieren.

Automatisierung der Anonymisierung

Die Annahme, dass Anonymisierungsprozesse vollständig automatisiert werden können.

Nützlichkeit anonymisierter Daten

Anonymisierte Daten können wertvoll sein, trotz ihrer Unkenntlichkeit.

Interesse an De-Anonymisierung

Die Überzeugung, dass niemand an der Wiederherstellung anonymisierter Daten interessiert ist.

Risiko-gestützter Ansatz

Sicherheitsmaßnahmen sollten auf den tatsächlichen oder potenziellen Risiken basieren.

Sicherheitsmaßnahmen Beispiele

Maßnahmen wie Pseudonymisierung und Verschlüsselung verbessern die Sicherheit.

Europäische Union

Ein supranationaler politischer und wirtschaftlicher Zusammenschluss von 27 Mitgliedsstaaten.

Exekutive der EU

Für die Umsetzung von EU-Rechtsvorschriften verantwortliche Institutionen, einschließlich des Rates der Europäischen Union und der Europäischen Kommission.

Legislative der EU

Das gesetzgebende Organ der EU, das aus dem Europäischen Parlament besteht.

Judikative der EU

Die gerichtliche Institution, die die Einhaltung von EU-Recht überwacht: der Gerichtshof der Europäischen Union.

Bundesrepublik Deutschland

Ein föderaler Staat mit einer Trennung der Gewalten in Exekutive, Legislative und Judikative.

Trennung der Gewalten

Das Prinzip, dass die Exekutive, Legislative und Judikative unabhängig voneinander sind.

Hierarchie des Rechts

Rechtsnormen werden nach ihrer Gültigkeit und Anwendung eingestuft, wobei EU-Recht Vorrang hat.

EU-Rechtsvorschriften

Beeinhalten Primärrecht (EU-Verträge) und Sekundärrecht (Verordnungen und Richtlinien).

Pentesting

Ein Verfahren zur Bewertung der Sicherheit, indem Schwachstellen getestet werden.

Risikobewertung

Prozess zur Bewertung der Wahrscheinlichkeit und Schwere von Sicherheitsrisiken.

Datenschutz durch Technikgestaltung

Integration von Datenschutzprinzipien in den technischen Designprozess.

Sicherheitslevel

Das erforderliche Maß an Sicherheit, das basierend auf Risiken festgelegt wird.

Datenschutz-Folgenabschätzung

Evaluierung der Risiken für den Datenschutz bei bestimmten Verarbeitungen.

Zuverlässigkeit von Daten

Schutz der Daten vor unbefugtem Zugriff, Verlust oder Veränderung.

Compliance-Demonstration

Nachweis der Einhaltung rechtlicher und ethischer Vorgaben für den Datenschutz.

Autorität des Verantwortlichen

Die Person oder Organisation, die die Datenverarbeitung anordnet und kontrolliert.

GDPR

Allgemeine Datenschutzverordnung der EU, die den Schutz personenbezogener Daten regelt.

Verantwortlicher

Die Person oder Institution, die über die Verarbeitung von Daten entscheidet.

Auftragsverarbeiter

Jemand, der im Auftrag des Verantwortlichen personenbezogene Daten verarbeitet.

Rechtmäßigkeit der Verarbeitung

Die Notwendigkeit, eine rechtliche Grundlage für die Datenverarbeitung zu haben.

Zweck der Verarbeitung

Der spezifische Grund, warum personenbezogene Daten verarbeitet werden müssen.

Technische und organisatorische Maßnahmen

Strategien zum Schutz von Daten, einschließlich Sicherheitsprotokolle und Richtlinien.

Besondere Kategorien personenbezogener Daten

Daten, die besonders sensibel sind, wie Gesundheitsdaten oder ethnische Herkunft.

Rechtsgrundlagen der Verarbeitung

Die spezifischen Gründe, die eine Datenverarbeitung nach der GDPR rechtfertigen.

Datenminimierung

Verarbeitung nur der für einen Zweck notwendigen personenbezogenen Daten.

Datenschutz durch Voreinstellung

Standardmäßig nur notwendige personenbezogene Daten verarbeiten.

Drittland

Länder außerhalb der EU und EWR.

Angemessenheitsentscheidung

EU-Kommission erkennt an, dass ein Drittland Datenschutzstandard hat.

Übertragungsschutzmaßnahmen

Vorschriften, die in unsicheren Drittstaaten angewendet werden müssen.

Standardvertragsklauseln

Vordefinierte Vertragsbedingungen für den Datentransfer.

Genehmigte Verhaltensregeln

Regeln zur Sicherstellung des Datenschutzes in Organisationen.

NIS-2 Richtlinie

EU-Richtlinie zur Stärkung der Cybersicherheit von wesentlichen und wichtigen Entitäten.

Wesentliche Entitäten

Entitäten, deren Ausfall erhebliche Auswirkungen auf wesentliche Dienstleistungen hat.

Wichtige Entitäten

Entitäten, die ebenfalls wichtig sind, aber weniger Aufsicht haben als wesentliche.

Cybersicherheitsrisikomanagement

Prozeduren zur Identifizierung und Minderung von Cyberrisiken.

Berichtspflichten

Verpflichtung zur Meldung von Sicherheitsvorfällen an zuständige Behörden.

Aufsicht und Durchsetzung

Maßnahmen zur Sicherstellung der Einhaltung der Vorschriften durch gesammelte Behörden.

RCE-Richtlinie

Richtlinie zur Definition kritischer Entitäten und deren Resilienzmaßnahmen.

Resilienzmaßnahmen

Technische und organisatorische Maßnahmen zur Sicherstellung der Resilienz.

Cybersecurity Act

Regulierung zur Verbesserung der Cybersicherheit in der EU.

ENISA

Europäische Union Agentur für Cybersicherheit, bietet Expertise.

Zertifizierungsschema

Rahmenwerk zur Beurteilung der Cybersicherheit von Produkten.

Kritische Entitäten

Entitäten, die wesentliche Dienste bereitstellen und signifikanten Einfluss haben.

Vorfallsbenachrichtigung

Meldung von Sicherheitsvorfällen an die zuständige Behörde.

Study Notes

Exam Review - Preparation

• The exam covers a range of topics related to EU law, fundamental rights, data protection law (including GDPR, BDSG, ePrivacy/TTDSG), cybersecurity law (NIS-2 Directive, RCE-Directive, Cybersecurity Act, BSIG), cyberresilience (Cyberresilience Act), cybersecurity in consumer protection law and civil law, the organisation of the exam, and how laws are made.

Exam Structure

• Select correct answers with a cross or similar marking.
• Clearly indicate any answer changes (e.g., additional arrows, underlining).
• Use a visible pen; avoid pencils and erasers.
• Ensure only one answer is correct unless specified otherwise.
• If multiple answers are correct, answer the question completely by selecting all correct options.

Topics for Review

• Introduction to EU law
• Fundamental Rights
• Data Protection Law: GDPR, BDSG, ePrivacy/TTDSG
• Cybersecurity Law: NIS-2 Directive, RCE-Directive, Cybersecurity Act, BSIG
• Cyberresilience: Cyberresilience Act
• Cybersecurity in consumer protection law and civil law
• How laws are made (process)
• Separation of powers (EU and German levels)
• Hierarchy of law (EU primary law, secondary law, regulations, directives)
• Legislative procedure (ordinary legislative procedure, roles of EU Commission, Parliament, and Council)
• Interpretation of legal texts (wording, historical interpretation, systematic interpretation, teleological interpretation, conformity with constitutional and Union law)
• Catalogues of fundamental rights in Europe (German Constitution, European Convention on Human Rights, European Union Charter of Fundamental Rights)
• Violation of fundamental rights: scope of protection, justification, proportionality
• Three functions of fundamental rights: right of defense against state actions, the state's duty to protect against interference, basic rights to participation
• Right to private life / data protection / informational self-determination (German Constitution, EU Charter, ECHR)
• Data Protection Law (overview, implementation, update by GDPR)
• Applicability: GDPR: personal data, processing (definitions)
• Identified or Identifiable: all means reasonably likely, the controller's use of data
• Typical mistakes in anonymization
• Roles and persons (controller(s), processor(s), joint controllers, European Data Protection Board)
• Territorial scope (domicile principle, market place principle, legal exclave)
• Privacy Principles (legal basis, lawfulness, fairness and transparency, data security, integrity and confidentiality, accountability, data minimization, accuracy, storage limitation, right to erasure, right to restriction of processing)
• Legal basis for processing personal data (consent, contract, vital interest, legitimate interest, legal obligation, public duties, electronic communication, employment, collective agreements, research purposes, social law, trade law, tax law, public law, special categories of personal data).
• Consent (freely given, specific, informed, unambiguous, active, revocable)
• Privacy by Design: Risk-based approach (risks, costs, state-of-the-art, and implementation) Technical Measures: anonymization, pseudonymisation.
• Data Protection by default, Security of processing, protection impact assessment
• Data Processing in & outside EU (adequacy decisions, transfer safeguards, derogation rules), Checklist.
• Cybersecurity Law: NIS-2 Directive, goals, content, changes to previous Directive, applicability (critical sectors, annexes)
• Cybersecurity Act: ENISA mandate, EU certification scheme
• Cyberresilience Act: objective, applicability, products with digital elements, concept of criticality, levels, modules, obligations of manufacturers, importers, and distributors
• Consumer Protection & Civil Law: Contract Law (B2C vs. B2B, product defects, cumulative defects, obligations to update, expected periods of availability, relevant legal directives (specific directives and year of enactment))
• Applicability of Consumer Protection Law: contract between consumer and trader/seller (payment, provision of digital product, personal data, digital content/service, good with digital element), legal requirements.
• Training & Practice Cases (handwritten notes case, dynamic IP case, European General Court case)