[Okt-2022] CIPM Free PDF von DumpsMaterials [Q67-Q88]

Oktober 18, 2022 examdumps 0 Kommentar

Schlagwörter: CIPM Prüfungsfragen Gebühr, Neueste CIPM-Testcamp-Datei, CIPM zuverlässiger Studienführer, Zuverlässiger CIPM-Test (vce), Kostenlose Dumps für CIPM herunterladen

Diesen Beitrag bewerten

Oct-2022 Neueste DumpsMaterials CIPM Exam Dumps mit PDF und Exam Engine Free Updated Today!

Nachfolgend finden Sie einige neue CIPM Real Exam Questions!

Q67. "Erhebung", "Zugang" und "Vernichtung" sind Aspekte welchen Prozesses der Datenschutzverwaltung?

Die Data-Governance-Strategie

Der Plan zur Reaktion auf Verstöße

Der Lebenszyklus der Metrik

Der Business Case

Q68. SCENARIO
Beantworten Sie bitte die nächste FRAGE anhand der folgenden Angaben:
Das ist genau das, was Sie befürchtet haben. Ohne Sie zu konsultieren, hat der Leiter der Informationstechnologie in Ihrem Unternehmen eine neue Initiative gestartet, um die Mitarbeiter zu ermutigen, persönliche Geräte für ihre Arbeit zu nutzen. Die Initiative machte die Anschaffung eines neuen, hochspezialisierten Laptops zu einer attraktiven Option, wobei die verbilligten Laptops über ein Jahr lang von der Gehaltsabrechnung abgezogen werden. Die Organisation zahlt auch die Umsatzsteuer. Es ist ein großartiges Angebot, und nach einem Monat hat mehr als die Hälfte der Mitarbeiter der Organisation unterschrieben und neue Laptops erworben. Wenn man durch die Einrichtung geht, sieht man, wie sie fröhlich ihre neuen Computer anpassen und Notizen vergleichen, und am Ende des Tages nehmen die meisten ihre Laptops mit nach Hause oder an andere unbekannte Orte, wo sie möglicherweise persönliche Daten mit sich führen. Das reicht aus, um Ihnen Alpträume in Bezug auf den Datenschutz zu bereiten, und Sie haben den Leiter der Informationstechnologie und viele andere in der Organisation auf die potenziellen Gefahren dieser neuen Praxis hingewiesen, einschließlich der Unvermeidlichkeit eines möglichen Datenverlusts oder -diebstahls.
Heute haben Sie einen Vertreter der Marketingabteilung des Unternehmens in Ihrem Büro, der Ihnen widerwillig eine Geschichte mit möglicherweise schwerwiegenden Folgen erzählt. Am Abend zuvor ging er direkt von der Arbeit mit dem Laptop in der Hand in den Bull and Horn Pub, um mit seinen Freunden Billard zu spielen. Ein schöner Abend mit Sport und geselligem Beisammensein begann, wobei der Laptop "sicher" auf einer Bank unter seiner Jacke verstaut war. Später am Abend, als es Zeit war zu gehen, holte er die Jacke zurück, aber der Laptop war weg. Er befand sich weder unter der Bank noch auf einer anderen Bank in der Nähe. Die Kellner hatten ihn nicht gesehen. Seine Freunde hatten sich keinen Scherz mit ihm erlaubt. Nach einer schlaflosen Nacht bestätigte er es heute Morgen, als er in der Kneipe vorbeikam, um mit den Reinigungskräften zu sprechen. Sie hatten ihn nicht gefunden. Der Laptop war verschwunden. Gestohlen, wie es scheint. Er sieht Sie an, verlegen und verärgert.
Sie fragen ihn, ob der Laptop persönliche Daten von Kunden enthält, und er nickt bedauernd mit dem Kopf: Ja. Er glaubt, dass er Dateien von etwa 100 Kunden enthält, darunter Namen, Adressen und staatliche Identifikationsnummern. Er seufzt und stützt seinen Kopf verzweifelt in die Hände.
Wie sollte man diesen Vorfall am produktivsten betrachten, um die beste Vorgehensweise zu bestimmen?

Der zufällige Verlust von persönlichen Gegenständen mit Daten, die wiederhergestellt werden müssen.

Als mögliche Gefährdung persönlicher Daten durch unbefugten Zugriff.

Als ein Vorfall, der die plötzliche Einleitung einer Benachrichtigungskampagne erfordert.

Als vorsätzlicher Diebstahl von Unternehmensdaten, bis zum Beweis des Gegenteils.

Q69. SCENARIO
Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben:
Sie leiten das Datenschutzbüro eines Unternehmens, das Daten von Personen aus verschiedenen Ländern Europas und Amerikas verarbeitet. Sie beginnen an diesem Morgen mit der Überprüfung des Datenschutzes, als ein Vertragsbeauftragter Ihnen eine Nachricht schickt, in der er Sie um einen Anruf bittet. Der Nachricht mangelt es an Klarheit und Details, aber Sie vermuten, dass Daten verloren gegangen sind.
Als Sie sich mit dem Vertragsbeauftragten in Verbindung setzen, teilt er Ihnen mit, dass er einen Brief von einem Anbieter erhalten hat, in dem er behauptet, dass der Anbieter unrechtmäßig Informationen über Ihre Kunden weitergegeben hat. Er rief bei dem Anbieter an und bestätigte, dass Ihr Unternehmen vor kurzem genau 2000 Personen zu ihren jüngsten Erfahrungen im Gesundheitswesen befragt und diese Umfragen an den Anbieter geschickt hat, damit dieser sie in eine Datenbank überträgt, aber der Anbieter vergaß, die Datenbank wie im Vertrag versprochen zu verschlüsseln. Infolgedessen hat der Anbieter die Kontrolle über die Daten verloren.
Der Verkäufer ist äußerst entschuldigend und bietet an, die Verantwortung für den Versand der Benachrichtigungen zu übernehmen. Er sagt Ihnen, dass er 2000 frankierte Postkarten beiseite gelegt hat, weil das die Zeit bis zum Versand der Benachrichtigung verkürzen soll. Die eine Seite ist auf das Logo des Unternehmens beschränkt, aber die andere Seite ist frei und sie akzeptieren alles, was Sie schreiben wollen. Sie stellen das Angebot zurück und beginnen, den Text unter Berücksichtigung des begrenzten Platzes zu entwickeln. Sie geben sich damit zufrieden, dass das Logo des Verkäufers mit der Mitteilung in Verbindung gebracht wird.
In der Benachrichtigung wird erklärt, dass Ihr Unternehmen vor kurzem einen Anbieter beauftragt hat, Informationen über die letzten Erfahrungen in der Klinik für Infektionskrankheiten des St. Sebastian Krankenhauses zu speichern. Der Anbieter hat die Informationen nicht verschlüsselt und hat keine Kontrolle mehr über sie. Alle 2000 betroffenen Personen werden gebeten, sich für E-Mail-Benachrichtigungen über ihre Daten anzumelden. Dazu müssen sie lediglich auf die Website Ihres Unternehmens gehen, eine kurze Werbung ansehen und dann ihren Namen, ihre E-Mail-Adresse sowie Geburtsmonat und -jahr angeben.
Sie schreiben eine E-Mail an den Krisenstab, um dessen Zustimmung vor 9 Uhr einzuholen. Wenn in dieser Situation etwas schief geht, wollen Sie die Schuld auf Ihre Kollegen verteilen. In den nächsten acht Stunden schickt jeder seine Kommentare per E-Mail hin und her. Der Berater, der das Notfallteam leitet, merkt an, dass dies sein erster Tag im Unternehmen ist, er aber schon seit 45 Jahren in anderen Branchen tätig ist und sein Bestes geben wird. Einer der drei Anwälte im Rat sorgt dafür, dass das Gespräch vom Kurs abweicht, aber schließlich kommt es wieder in Gang. Am Ende stimmen sie dafür, die von Ihnen verfasste Benachrichtigung zu verwenden und die Postkarten des Verkäufers einzusetzen.
Kurz nachdem der Verkäufer die Postkarten verschickt hat, erfahren Sie, dass die Daten auf einem Server gespeichert waren, der gestohlen wurde, und beschließen, dass Ihr Unternehmen Kreditüberwachungsdienste anbieten soll. Eine schnelle Internetrecherche findet ein Kreditüberwachungsunternehmen mit einem überzeugenden Namen: Credit Under Lock and Key (CRUDLOK). Ihr Vertriebsmitarbeiter hat noch nie einen Vertrag für 2000 Personen abgewickelt, entwickelt aber innerhalb eines Tages ein Angebot, in dem steht, dass CRUDLOK dies tun wird:
1. am Tag nach der Unterzeichnung des Vertrags eine Einladung zur Einschreibung an alle Teilnehmer zu senden.
2.jemanden nur mit seinem Vornamen und den letzten 4 seiner nationalen Kennung erfassen.
3. das Guthaben jedes Antragstellers zwei Jahre lang ab dem Datum der Einschreibung zu überwachen.
4. monatlich eine E-Mail mit ihrer Bonitätsbewertung und Angeboten für kreditbezogene Dienstleistungen zu marktüblichen Preisen zu versenden.
5. 20% der Kosten für die Wiederherstellung des Guthabens werden Ihrem Unternehmen in Rechnung gestellt.
Sie schließen den Vertrag ab, und die Einladungen zur Anmeldung werden per E-Mail an die 2000 Personen verschickt. Drei Tage später setzen Sie sich hin und dokumentieren alles, was gut gelaufen ist und was besser hätte laufen können. Sie legen es in eine Akte, um beim nächsten Vorfall darauf zurückgreifen zu können.
Welcher der folgenden Punkte würde bei der Kreditüberwachung die größten Bedenken hervorrufen?

Der Vertreter des Verkäufers hat nicht genügend Erfahrung

Unterzeichnung eines Vertrags mit CRUDLOK, der länger als ein Jahr dauert

Das Unternehmen hat nicht genügend Daten gesammelt, um die Kreditwürdigkeit einer Person zu überwachen.

Sie werden die betroffenen Personen per Brief und anschließend per E-Mail benachrichtigen

Q70. SCENARIO
Beantworten Sie bitte die nächste FRAGE anhand der folgenden Angaben:
Als Direktor für Datenschutz bei der Consolidated Records Corporation sind Sie zu Recht zufrieden mit dem, was Sie bisher erreicht haben. Anlass für Ihre Einstellung waren Warnungen von Aufsichtsbehörden nach einer Reihe von relativ geringfügigen Datenschutzverletzungen, die durchaus schlimmer hätten ausfallen können. In den drei Jahren Ihrer Tätigkeit für das Unternehmen gab es jedoch keinen einzigen meldepflichtigen Vorfall. Sie halten Ihr Programm sogar für ein Modell, an dem sich andere in der Datenspeicherbranche bei der Entwicklung ihrer eigenen Programme orientieren können.
Sie begannen das Programm bei Consolidated mit einem Wirrwarr von Richtlinien und Verfahren und arbeiteten an der Kohärenz zwischen den Abteilungen und dem gesamten Betrieb. Unterstützt wurden Sie dabei vom Sponsor des Programms, dem Vice President of Operations, sowie von einem Datenschutzteam, das von einem klaren Verständnis der Notwendigkeit von Veränderungen ausging.
Anfangs stieß Ihre Arbeit bei der "alten Garde" des Unternehmens auf wenig Vertrauen und Enthusiasmus, und zwar sowohl bei den Führungskräften als auch bei den Mitarbeitern, die an vorderster Front mit den Daten arbeiten und mit den Kunden in Kontakt stehen. Durch die Verwendung von Kennzahlen, die nicht nur die Kosten für die aufgetretenen Verstöße aufzeigten, sondern auch Prognosen über die Kosten, die angesichts des derzeitigen Betriebszustands leicht entstehen könnten, hatten Sie die Führungskräfte und wichtigen Entscheidungsträger bald weitgehend auf Ihrer Seite. Viele der anderen Mitarbeiter waren widerspenstiger, aber durch persönliche Treffen mit jeder Abteilung und die Entwicklung eines grundlegenden Schulungsprogramms zum Datenschutz wurde eine ausreichende Zustimmung erreicht, um mit der Einführung der richtigen Verfahren zu beginnen.
Der Schutz der Privatsphäre ist heute ein akzeptierter Bestandteil aller laufenden Operationen, die mit personenbezogenen oder geschützten Daten zu tun haben, und muss Teil des Endprodukts jedes technologischen Entwicklungsprozesses sein. Ihr Ansatz ist zwar nicht systematisch, aber doch recht effektiv.
Man bleibt nachdenklich zurück:
Was muss getan werden, um das Programm aufrechtzuerhalten und es über ein reines Programm zur Verhinderung von Datenschutzverletzungen hinaus zu entwickeln? Wie können Sie auf Ihrem Erfolg aufbauen?
Was sind die nächsten Aktionsschritte?
Mit welchem Verfahren kann der Direktor die Einhaltung von Gesetzen, Vorschriften und bewährten Praktiken in der Branche am genauesten überprüfen?

Rechnungsprüfung.

Überwachung.

Bewertung.

Forensik.

Q71. SCENARIO
Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben:
Edufox veranstaltet jährlich einen Kongress für die Nutzer seiner berühmten E-Learning-Softwareplattform, der sich im Laufe der Zeit zu einem großen Ereignis entwickelt hat. Sie füllt eines der großen Konferenzhotels im Stadtzentrum und fließt in die anderen Hotels über. Mehrere tausend Teilnehmer genießen drei Tage lang Präsentationen, Podiumsdiskussionen und Networking. Der Kongress ist das Herzstück der Produkteinführung des Unternehmens und eine großartige Schulungsmöglichkeit für die derzeitigen Benutzer. Die Vertriebsmitarbeiter ermutigen auch potenzielle Kunden zur Teilnahme, damit sie einen besseren Eindruck davon bekommen, wie das System an die unterschiedlichsten Bedürfnisse angepasst werden kann, und damit sie verstehen, dass sie sich mit dem Kauf dieses Systems einer Gemeinschaft anschließen, die sich wie eine Familie fühlt.
Die diesjährige Konferenz ist nur noch drei Wochen entfernt, und Sie haben soeben von einer neuen Initiative gehört, die sie unterstützt:
eine Smartphone-App für die Teilnehmerinnen und Teilnehmer. Die App unterstützt die späte Anmeldung, hebt die vorgestellten Vorträge hervor und bietet eine mobile Version des Konferenzprogramms. Außerdem ist sie mit einem Restaurant-Reservierungssystem verknüpft, das die beste Küche in den vorgestellten Bereichen anbietet. "Es wird großartig werden", sagt die Entwicklerin Deidre Hoffman, "wenn wir es tatsächlich zum Laufen bringen! Sie lacht nervös, erklärt aber, dass sie wegen des engen Zeitrahmens, der ihr für die Entwicklung der App gesetzt wurde, den Auftrag an eine lokale Firma vergeben hat. "Es sind nur drei junge Leute", sagt sie, "aber sie leisten großartige Arbeit." Sie beschreibt einige der anderen Apps, die sie entwickelt haben. Auf die Frage, wie sie für diesen Auftrag ausgewählt wurden, zuckt Deidre mit den Schultern. "Sie leisten gute Arbeit, also habe ich sie ausgewählt." Deidre ist eine großartige Mitarbeiterin mit einer starken Erfolgsbilanz. Deshalb wurde sie auch mit der Durchführung dieses eiligen Projekts beauftragt. Sie sind sicher, dass ihr das Wohl des Unternehmens am Herzen liegt, und Sie bezweifeln nicht, dass sie unter Druck steht, um eine unaufschiebbare Frist einzuhalten. Sie haben jedoch Bedenken, was den Umgang mit personenbezogenen Daten und die Sicherheitsvorkehrungen der App angeht. Beim Mittagessen im Pausenraum fangen Sie an, mit ihr darüber zu sprechen, aber sie versucht schnell, Sie zu beruhigen: "Ich bin sicher, dass wir mit Ihrer Hilfe alle Sicherheitsprobleme beheben können, wenn es nötig ist, aber ich bezweifle, dass es welche geben wird. Diese Leute entwickeln Apps für ihren Lebensunterhalt, und sie wissen, was sie tun. Du machst dir zu viele Sorgen, aber genau deshalb bist du so gut in deinem Job!" Sie möchten darauf hinweisen, dass in dieser Angelegenheit die üblichen Protokolle nicht eingehalten wurden. Welches Verfahren wurde im Einzelnen vernachlässigt?

Forensische Untersuchung

Kartierung von Daten

Prävention von Datenschutzverletzungen

Due-Diligence-Prüfung oder Überprüfung von Anbietern

Q72. Richtlinien zur Datenaufbewahrung und -vernichtung sollten alle der folgenden Anforderungen erfüllen, außer?

Die Auslöser und Methoden der Datenvernichtung sollten dokumentiert werden.

Personenbezogene Daten sollten nur so lange aufbewahrt werden, wie es zur Erfüllung des angegebenen Zwecks erforderlich ist.

Die Dokumentation zu Auditkontrollen (extern oder intern) sollte standardmäßig in einem nicht dauerhaften Format gespeichert werden.

Die Organisation sollte die Richtlinien ihrer anderen Funktionen dokumentieren und überprüfen, um eine Angleichung sicherzustellen (z. B. Personalwesen, Geschäftsentwicklung, Finanzen usw.).

Q73. SCENARIO
Beantworten Sie bitte die nächste FRAGE anhand der folgenden Angaben:
Martin Briseno ist der Leiter der Personalabteilung des Hotels Pacific Suites in Canyon City, USA. Im Jahr 1998 beschloss Briseno, das Mentoring-Modell des Hotels durch ein standardisiertes Schulungsprogramm für Mitarbeiter zu ersetzen, die von Linienpositionen in Führungspositionen aufsteigen. Er entwickelte einen Lehrplan mit einer Reihe von Lektionen, Szenarien und Beurteilungen, der in kleinen Gruppen persönlich durchgeführt wurde. Das Interesse an der Schulung nahm zu, so dass Briseno mit Personalfachleuten und Softwareentwicklern des Unternehmens zusammenarbeitete, um das Programm in einem Online-Format anzubieten. Das Online-Programm sparte die Kosten für einen Trainer und ermöglichte es den Teilnehmern, das Material in ihrem eigenen Tempo durchzuarbeiten.
Nachdem sie von dem Erfolg von Brisenos Programm gehört hatte, weitete die Vizepräsidentin von Pacific Suites, Maryanne Silva-Hayes, die Schulung aus und bot sie unternehmensweit an. Mitarbeiter, die das Programm absolvierten, erhielten die Zertifizierung als Pacific Suites Hospitality Supervisor. Im Jahr 2001 war das Programm auf ein branchenweites Schulungsangebot ausgeweitet worden. Mitarbeiter von Hotels im ganzen Land konnten sich für den Kurs anmelden und dafür bezahlen, dass sie ihn online absolvierten. Da das Programm zunehmend profitabel wurde, entwickelte Pacific Suites einen Ableger, Pacific Hospitality Training (PHT). PHT konzentrierte sich ausschließlich auf die Entwicklung und Vermarktung einer Reihe von Online-Kursen und -Verläufen, die eine Reihe von Berufszertifizierungen im Gastgewerbe ermöglichen.
Durch die Einrichtung eines Benutzerkontos bei PHT konnten die Kursteilnehmer auf eine Informationsbibliothek zugreifen, sich für Kurse anmelden und am Ende des Kurses Zertifizierungstests ablegen. Wenn ein Benutzer ein neues Konto eröffnete, wurden alle Informationen standardmäßig gespeichert, einschließlich des Namens, des Geburtsdatums, der Kontaktinformationen, der Kreditkarteninformationen, des Arbeitgebers und der Berufsbezeichnung des Benutzers. Auf der Registrierungsseite konnten die Benutzer anklicken, dass ihre Kreditkartendaten nicht gespeichert werden sollten. Sobald ein Benutzername und ein Passwort eingerichtet waren, konnten die Benutzer ihren Kursstatus überprüfen, ihre Bescheinigungen einsehen und erneut ausdrucken sowie sich für neue Kurse anmelden und bezahlen. Zwischen 2002 und 2008 hat PHT mehr als 700.000 Berufszertifikate ausgestellt.
Die Gewinne von PHT gingen in den Jahren 2009 und 2010 zurück, da die Branche verkleinert wurde und die Konkurrenz durch E-Learning-Anbieter zunahm. Im Jahr 2011 stieg Pacific Suites aus dem Online-Zertifizierungsgeschäft aus und PHT wurde aufgelöst. Die Systeme und Unterlagen des Schulungsprogramms blieben in den digitalen Archiven von Pacific Suites, unzugänglich und ungenutzt. Briseno und Silva-Hayes wechselten zu anderen Unternehmen, und es gab keinen Plan für den Umgang mit den archivierten Daten nach dem Ende des Programms. Nach der Auflösung des PHT konzentrierten sich die Verantwortlichen von Pacific Suites auf die wichtigen Tagesgeschäfte. Sie planten, sich mit dem PHT-Material zu befassen, sobald es die Ressourcen erlaubten.
Im Jahr 2012 wurde das Computernetzwerk von Pacific Suites gehackt. Eine auf dem Online-Reservierungssystem installierte Schadsoftware legte die Kreditkartendaten von Hunderten von Hotelgästen offen. Die Hacker hatten es nicht nur auf die Finanzdaten der Reservierungsseite abgesehen, sondern entdeckten auch die archivierten Kursdaten und Anmeldekonten der Kunden von Pacific Hospitality Training. Das Ergebnis des Hacks war die Exfiltration der Kreditkartennummern der letzten Hotelgäste und die Exfiltration der PHT-Datenbank mit all ihren Inhalten.
Ein Systemanalytiker von Pacific Suites entdeckte den Verstoß gegen die Informationssicherheit bei einer routinemäßigen Überprüfung der Aktivitätsberichte. Pacific Suites benachrichtigte umgehend die Kreditkartenunternehmen und die letzten Hotelgäste über den Verstoß und versuchte, ernsthaften Schaden abzuwenden. Die technischen Sicherheitsingenieure sahen sich beim Umgang mit den PHT-Daten einer Herausforderung gegenüber.
Die PHT-Kursadministratoren und die IT-Ingenieure verfügten nicht über ein System zur Verfolgung, Katalogisierung und Speicherung von Informationen. Pacific Suites verfügt zwar über Verfahren für den Datenzugriff und die Datenspeicherung, aber diese Verfahren wurden bei der Gründung von PHT nicht umgesetzt. Als die PHT-Datenbank von Pacific Suites erworben wurde, hatte sie weder einen Eigentümer noch eine Aufsichtsbehörde. Als die technischen Sicherheitsingenieure feststellten, welche privaten Informationen kompromittiert worden waren, waren mindestens 8.000 Kreditkarteninhaber potenzielle Opfer betrügerischer Aktivitäten.
Welcher entscheidende Fehler hat das Unternehmen anfällig für eine Sicherheitsverletzung gemacht?

Zu viele Informationen sammeln und sie zu lange aufbewahren

Übersehen der Notwendigkeit, Daten zu organisieren und zu kategorisieren

Versäumnis, Ausbildung und Datenverwaltung an Fachleute auszulagern

Versäumnis, eine Sicherungskopie von archivierten elektronischen Dateien zu erstellen

Q74. SCENARIO
Beantworten Sie bitte die nächste FRAGE anhand der folgenden Angaben:
Das ist genau das, was Sie befürchtet haben. Ohne Sie zu konsultieren, hat der Leiter der Informationstechnologie in Ihrem Unternehmen eine neue Initiative gestartet, um die Mitarbeiter zu ermutigen, persönliche Geräte für ihre Arbeit zu nutzen. Die Initiative machte die Anschaffung eines neuen, hochspezialisierten Laptops zu einer attraktiven Option, wobei die verbilligten Laptops über ein Jahr lang von der Gehaltsabrechnung abgezogen werden. Die Organisation zahlt auch die Umsatzsteuer. Es ist ein großartiges Angebot, und nach einem Monat hat mehr als die Hälfte der Mitarbeiter der Organisation unterschrieben und neue Laptops erworben. Wenn man durch die Einrichtung geht, sieht man, wie sie fröhlich ihre neuen Computer anpassen und Notizen vergleichen, und am Ende des Tages nehmen die meisten ihre Laptops mit nach Hause oder an andere unbekannte Orte, wo sie möglicherweise persönliche Daten mit sich führen. Das reicht aus, um Ihnen Alpträume in Bezug auf den Datenschutz zu bereiten, und Sie haben den Leiter der Informationstechnologie und viele andere in der Organisation auf die potenziellen Gefahren dieser neuen Praxis hingewiesen, einschließlich der Unvermeidlichkeit eines möglichen Datenverlusts oder -diebstahls.
Heute haben Sie einen Vertreter der Marketingabteilung des Unternehmens in Ihrem Büro, der Ihnen widerwillig eine Geschichte mit möglicherweise schwerwiegenden Folgen erzählt. Am Abend zuvor ging er direkt von der Arbeit mit dem Laptop in der Hand in den Bull and Horn Pub, um mit seinen Freunden Billard zu spielen. Ein schöner Abend mit Sport und geselligem Beisammensein begann, wobei der Laptop "sicher" auf einer Bank unter seiner Jacke verstaut war. Später am Abend, als es Zeit war zu gehen, holte er die Jacke zurück, aber der Laptop war weg. Er befand sich weder unter der Bank noch auf einer anderen Bank in der Nähe. Die Kellner hatten ihn nicht gesehen. Seine Freunde hatten sich keinen Scherz mit ihm erlaubt. Nach einer schlaflosen Nacht bestätigte er es heute Morgen, als er in der Kneipe vorbeikam, um mit den Reinigungskräften zu sprechen. Sie hatten ihn nicht gefunden. Der Laptop war verschwunden. Gestohlen, wie es scheint. Er sieht Sie an, verlegen und verärgert.
Sie fragen ihn, ob der Laptop persönliche Daten von Kunden enthält, und er nickt bedauernd mit dem Kopf: Ja. Er glaubt, dass er Dateien von etwa 100 Kunden enthält, darunter Namen, Adressen und staatliche Identifikationsnummern. Er seufzt und stützt seinen Kopf verzweifelt in die Hände.
Was ist aus Unternehmenssicht die produktivste Art und Weise, die Nutzung von persönlicher Ausrüstung durch Mitarbeiter für arbeitsbezogene Aufgaben zu betrachten?

Die Verwendung persönlicher Ausrüstung ist eine kosteneffiziente Maßnahme, die zu keinen größeren Sicherheitsrisiken führt, als sie in einem modernen Unternehmen immer vorhanden sind.

Jeder Computer und jedes andere Gerät ist Eigentum des Unternehmens, wenn es für geschäftliche Zwecke verwendet wird.

Auch wenn das Unternehmen nicht Eigentümer der Geräte ist, so ist es doch verpflichtet, die geschäftsbezogenen Daten auf den von seinen Mitarbeitern genutzten Geräten zu schützen.

Die Verwendung persönlicher Ausrüstungen muss eingeschränkt werden, da sie zu unvermeidlichen Sicherheitsrisiken führt.

Q75. Welche der folgenden Aussagen über den Prozess der Datenschutz-Folgenabschätzung (DPIA), wie er in der Allgemeinen Datenschutzverordnung (DSGVO) vorgeschrieben ist, ist WAHR?

Das Ergebnis der DPIA muss der zuständigen Aufsichtsbehörde gemeldet werden.

Der DPIA-Bericht muss veröffentlicht werden, um die Transparenz der Datenverarbeitung zu demonstrieren.

Die Datenschutzfolgenabschätzung muss eine Beschreibung des vorgeschlagenen Verarbeitungsvorgangs und seines Zwecks enthalten.

Die Datenschutzfolgenabschätzung ist erforderlich, wenn die Verarbeitungstätigkeit ein Risiko für die Rechte und Freiheiten einer EU-Person mit sich bringt.

Q76. SCENARIO
Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben:
Als Leiter der Datenschutzabteilung der Consolidated Records Corporation sind Sie zu Recht mit Ihren bisherigen Leistungen zufrieden. Anlass für Ihre Einstellung waren Warnungen von Aufsichtsbehörden nach einer Reihe von relativ geringfügigen Datenschutzverletzungen, die durchaus schlimmer hätten ausfallen können. In den drei Jahren Ihrer Tätigkeit für das Unternehmen gab es jedoch keinen einzigen meldepflichtigen Vorfall. Sie halten Ihr Programm sogar für ein Modell, an dem sich andere in der Datenspeicherbranche bei der Entwicklung ihrer eigenen Programme orientieren können.
Sie begannen das Programm bei Consolidated mit einem Wirrwarr von Richtlinien und Verfahren und arbeiteten an der Kohärenz zwischen den Abteilungen und dem gesamten Betrieb. Unterstützt wurden Sie dabei vom Sponsor des Programms, dem Vice President of Operations, sowie von einem Datenschutzteam, das von einem klaren Verständnis der Notwendigkeit von Veränderungen ausging.
Anfangs stieß Ihre Arbeit bei der "alten Garde" des Unternehmens auf wenig Vertrauen und Enthusiasmus, und zwar sowohl bei den Führungskräften als auch bei den Mitarbeitern, die an vorderster Front mit den Daten arbeiten und mit den Kunden in Kontakt stehen. Durch die Verwendung von Kennzahlen, die nicht nur die Kosten für die aufgetretenen Verstöße aufzeigten, sondern auch Prognosen über die Kosten, die angesichts des derzeitigen Betriebszustands leicht entstehen könnten, hatten Sie die Führungskräfte und wichtigen Entscheidungsträger bald weitgehend auf Ihrer Seite. Viele der anderen Mitarbeiter waren widerspenstiger, aber durch persönliche Treffen mit jeder Abteilung und die Entwicklung eines grundlegenden Schulungsprogramms zum Datenschutz wurde eine ausreichende Zustimmung erreicht, um mit der Einführung der richtigen Verfahren zu beginnen.
Der Schutz der Privatsphäre ist heute ein akzeptierter Bestandteil aller laufenden Operationen, die mit personenbezogenen oder geschützten Daten zu tun haben, und muss Teil des Endprodukts jedes technologischen Entwicklungsprozesses sein. Ihr Ansatz ist zwar nicht systematisch, aber doch recht effektiv.
Sie werden nachdenklich: Was muss getan werden, um das Programm aufrechtzuerhalten und es über ein reines Programm zur Verhinderung von Datenschutzverletzungen hinaus zu entwickeln? Wie können Sie auf Ihrem Erfolg aufbauen? Was sind die nächsten Aktionsschritte?
Welches Verfahren könnte am effektivsten eingesetzt werden, um den Schutz der Privatsphäre in ein neues, umfassendes Programm aufzunehmen, das bei Consolidated entwickelt wird?

Datenschutz durch Design

Bewertung der Datenschutzstufe

Planung der Informationssicherheit

Innovation Datenschutzstandards

Q77. Welche Funktion hat der operative Lebenszyklus des Datenschutzes?

Es werden erste Pläne für den Schutz der Privatsphäre und deren Umsetzung aufgestellt.

Sie ermöglicht es der Organisation, auf die sich ständig ändernden Datenschutzanforderungen zu reagieren.

Sie sorgt dafür, dass veraltete Datenschutzrichtlinien nach einem festgelegten Zeitplan aus dem Verkehr gezogen werden.

Sie ermöglicht es, dass die Datenschutzpolitik zu einer festen Form heranreift

Q78. Der Datenschutzbeauftragte einer Organisation wurde gerade von der Leiterin der Sozialleistungen darüber informiert, dass sie versehentlich die Rentenversicherungsmeldungen aller Mitarbeiter an einen falschen Anbieter geschickt hat.
Welche der folgenden Maßnahmen sollte der Datenschutzbeauftragte zuerst ergreifen?

Führen Sie eine Analyse des Schadensrisikos durch.

Melden Sie den Vorfall den Strafverfolgungsbehörden.

Kontaktieren Sie den Empfänger, um die E-Mail zu löschen.

Senden Sie eine unternehmensweite E-Mail-Benachrichtigung an die Mitarbeiter.

Q79. Eine Organisation ist dabei, ein Leitbild für ihr Datenschutzprogramm zu erstellen. Welche der folgenden Aussagen wäre am besten geeignet?

Dieses Datenschutzprogramm fördert die organisationsübergreifende Zusammenarbeit, die alle Datenschutzverletzungen verhindern wird.

Unsere Organisation wurde 2054 gegründet, um das Risiko einer zukünftigen Katastrophe, wie sie sich vor zehn Jahren ereignet hat, zu verringern. Alle Menschen in unserer Region sollten über eine künftige Katastrophe besorgt sein.
Dank unseres Datenschutzprogramms müssen sie sich jedoch keine Sorgen über den Missbrauch ihrer Daten machen.

Das Ziel des Datenschutzprogramms ist der Schutz der Privatsphäre aller Personen, die unsere Organisation unterstützen. Um dieses Ziel zu erreichen, müssen wir daran arbeiten, alle geltenden Datenschutzgesetze einzuhalten.

In den nächsten 20 Jahren sollte unser Datenschutzprogramm in der Lage sein, 80% unserer derzeitigen Datenschutzverletzungen zu beseitigen. Um dies zu erreichen, muss jeder in unserer Organisation unsere jährliche Datenschutzschulung absolvieren und alle personenbezogenen Daten müssen inventarisiert werden.

Q80. SCENARIO
Beantworten Sie bitte die nächste FRAGE anhand der folgenden Angaben:
Amira ist begeistert von der plötzlichen Expansion von NatGen. Als gemeinsame Geschäftsführerin mit ihrer langjährigen Geschäftspartnerin Sadie hat Amira beobachtet, wie sich das Unternehmen zu einem wichtigen Wettbewerber auf dem Markt für grüne Energie entwickelt hat. Die aktuelle Produktpalette umfasst Windturbinen, Solarzellen und Ausrüstungen für geothermische Systeme. Ein talentiertes Team von Entwicklern sorgt dafür, dass die Produktpalette von NatGen immer weiter wachsen wird.
Im Zuge der Expansion haben Amira und Sadie Ratschläge von neuen leitenden Mitarbeitern erhalten, die sie bei der Verwaltung des Unternehmenswachstums unterstützen. Einer der jüngsten Vorschläge war, die Rechts- und Sicherheitsfunktionen des Unternehmens zusammenzulegen, um die Einhaltung der Datenschutzgesetze und der unternehmenseigenen Datenschutzrichtlinien zu gewährleisten. Das klingt für Amira zu kompliziert, denn sie möchte, dass die Abteilungen die Kundendaten so verwenden, sammeln, speichern und entsorgen können, wie es ihren Bedürfnissen am besten entspricht. Sie möchte nicht, dass die verwaltungstechnische Überwachung und die komplexe Strukturierung die Mitarbeiter bei ihrer innovativen Arbeit behindern.
Sadie hat eine ähnliche Einstellung. Der neue Chief Information Officer (CIO) hat einen, wie Sadie meint, unnötig langen Zeitplan für die Entwicklung eines neuen Datenschutzprogramms vorgeschlagen. Sie hat ihm versichert, dass NatGen die bestmögliche Ausrüstung für die elektronische Speicherung von Kunden- und Mitarbeiterdaten verwenden wird. Sie braucht lediglich eine Liste der Geräte und einen Kostenvoranschlag. Der CIO besteht jedoch darauf, dass viele Fragen zu klären sind, bevor das Unternehmen so weit ist.
Ungeachtet dessen bestehen Sadie und Amira darauf, den Mitarbeitern Raum zu geben, um ihre Arbeit zu erledigen. Beide CEOs wollen die Überwachung der Einhaltung der Richtlinien durch die Mitarbeiter den unteren Führungsebenen anvertrauen. Amira und Sadie glauben, dass diese Manager die Datenschutzrichtlinien des Unternehmens so anpassen können, wie es für ihre jeweilige Abteilung am besten ist. Die CEOs von NatGen wissen, dass eine flexible Auslegung der Datenschutzrichtlinien im Namen der Förderung grüner Energie höchstwahrscheinlich keine Bedenken bei ihrem Kundenstamm hervorrufen würde, solange die Daten stets im Rahmen der normalen Geschäftsaktivitäten verwendet werden.
Was Sadie und Amira vielleicht am meisten verblüfft hat, war die Empfehlung des CIO, eine Hotline für die Einhaltung der Datenschutzbestimmungen einzurichten. Sadie und Amira haben in diesem Punkt nachgegeben, hoffen aber auf einen Kompromiss, indem sie es den Mitarbeitern gestatten, Meldungen über Verstöße gegen die Datenschutzrichtlinien abwechselnd zu bearbeiten. Die Umsetzung wird einfach sein, da die Mitarbeiter keine besondere Vorbereitung benötigen. Sie müssen lediglich alle Bedenken, die sie hören, dokumentieren.
Sadie und Amira sind sich bewusst, dass es eine Herausforderung sein wird, ihren Grundsätzen treu zu bleiben und zu verhindern, dass die Unternehmenskultur die Kreativität und die Moral der Mitarbeiter unterdrückt. Sie hoffen, dass alle leitenden Angestellten die Vorteile eines einzigartigen Ansatzes erkennen werden.
Was ist der wahrscheinlichste Grund, warum der Chief Information Officer (CIO) glaubt, dass die Erstellung einer Liste der benötigten IT-Ausrüstung NICHT angemessen ist?

Das Unternehmen muss über Richtlinien und Verfahren verfügen, um die Kaufentscheidungen zu steuern.

Der Datenschutzhinweis für Kunden und der Geschäftskontinuitätsplan (BCP) müssen noch überarbeitet werden.

Die Mitarbeiter der verschiedenen Abteilungen brauchen Zeit, um die technischen Informationen über neue Datenbanken zu prüfen.

Die leitenden Mitarbeiter müssen sich zunächst verpflichten, eine Mindestanzahl von Technologien zum Schutz der Privatsphäre einzuführen.

Q81. SCENARIO
Beantworten Sie bitte die nächste FRAGE anhand der folgenden Angaben:
Ben arbeitet in der IT-Abteilung von IgNight, Inc. einem Unternehmen, das Beleuchtungslösungen für seine Kunden entwickelt. Obwohl der Kundenstamm von IgNight hauptsächlich aus Büros in den USA besteht, waren einige Personen von der einzigartigen Ästhetik und dem energiesparenden Design der Leuchten so beeindruckt, dass sie IgNight-Installationen in ihren Häusern auf der ganzen Welt angefordert haben.
Eines Sonntagmorgens, als Ben seinen Arbeitslaptop benutzt, um Tickets für ein bevorstehendes Musikfestival zu kaufen, bemerkt er zufällig ungewöhnliche Benutzeraktivitäten in den Firmendaten. Bei einer flüchtigen Überprüfung scheinen alle Daten noch dort zu sein, wo sie sein sollen, aber er wird das Gefühl nicht los, dass etwas nicht stimmt. Er weiß, dass es sich möglicherweise um einen Kollegen handelt, der außerplanmäßige Wartungsarbeiten durchführt, aber er erinnert sich an eine E-Mail des Sicherheitsteams seines Unternehmens, in der die Mitarbeiter daran erinnert werden, dass sie vor Angriffen einer bekannten Gruppe bösartiger Akteure auf der Hut sein sollten, die es speziell auf die Branche abgesehen haben.
Ben ist ein fleißiger Mitarbeiter und möchte das Unternehmen schützen, aber er möchte seine hart arbeitenden Kollegen am Wochenende nicht belästigen. Er wird die Angelegenheit gleich morgen früh mit dem Vorgesetzten besprechen, möchte aber vorbereitet sein, damit er sein Wissen in diesem Bereich unter Beweis stellen und sich für eine Beförderung einsetzen kann.
Welcher interne Leitfaden wäre für Ben am besten geeignet, um die zu befolgenden Schritte zu bestimmen?

Plan zur Reaktion auf Zwischenfälle.

Verhaltenskodex für Unternehmen.

Handbuch für IT-Systeme und -Betrieb.

Geschäftskontinuitäts- und Katastrophenschutzplan.

Q82. SCENARIO
Beantworten Sie bitte die nächste FRAGE anhand der folgenden Angaben:
Ben arbeitet in der IT-Abteilung von IgNight, Inc. einem Unternehmen, das Beleuchtungslösungen für seine Kunden entwickelt.
Obwohl der Kundenstamm von IgNight in erster Linie aus Büros in den USA besteht, sind einige Personen von der einzigartigen Ästhetik und dem energiesparenden Design der Leuchten so beeindruckt, dass sie IgNight-Installationen in ihren Häusern auf der ganzen Welt beantragt haben.
Eines Sonntagmorgens, als Ben seinen Arbeitslaptop benutzt, um Tickets für ein bevorstehendes Musikfestival zu kaufen, bemerkt er zufällig ungewöhnliche Benutzeraktivitäten in den Firmendaten. Bei einer flüchtigen Überprüfung scheinen alle Daten noch dort zu sein, wo sie sein sollen, aber er wird das Gefühl nicht los, dass etwas nicht stimmt. Er weiß, dass es sich möglicherweise um einen Kollegen handelt, der außerplanmäßige Wartungsarbeiten durchführt, aber er erinnert sich an eine E-Mail des Sicherheitsteams seines Unternehmens, in der die Mitarbeiter daran erinnert werden, dass sie vor Angriffen einer bekannten Gruppe bösartiger Akteure auf der Hut sein sollten, die es speziell auf die Branche abgesehen haben.
Ben ist ein fleißiger Mitarbeiter und möchte das Unternehmen schützen, aber er möchte seine hart arbeitenden Kollegen am Wochenende nicht belästigen. Er wird die Angelegenheit gleich morgen früh mit dem Vorgesetzten besprechen, möchte aber vorbereitet sein, damit er sein Wissen in diesem Bereich unter Beweis stellen und sich für eine Beförderung einsetzen kann.
Welcher interne Leitfaden wäre für Ben am besten geeignet, um die zu befolgenden Schritte zu bestimmen?

Plan zur Reaktion auf Zwischenfälle.

Verhaltenskodex für Unternehmen.

Handbuch für IT-Systeme und -Betrieb.

Geschäftskontinuitäts- und Katastrophenschutzplan.

Q83. SCENARIO
Beantworten Sie bitte die nächste FRAGE anhand der folgenden Angaben:
Seit 15 Jahren arbeitet Albert bei Treasure Box, einem Versandhaus in den Vereinigten Staaten, das früher Zierkerzen in der ganzen Welt verkaufte, sich aber vor kurzem entschlossen hat, seine Lieferungen auf Kunden in den 48 zusammenhängenden Staaten zu beschränken. Trotz seiner langjährigen Erfahrung wird Albert bei der Besetzung von Führungspositionen oft übergangen. Seine Frustration darüber, nicht befördert zu werden, und sein Interesse an Fragen des Datenschutzes haben Albert dazu motiviert, sich für positive Veränderungen einzusetzen.
In Kürze wird er ein Vorstellungsgespräch für eine neu ausgeschriebene Stelle führen. Während des Gesprächs plant Albert, die Führungskräfte auf Mängel im Datenschutzprogramm des Unternehmens hinzuweisen. Er ist sich sicher, dass er mit einer Beförderung belohnt werden wird, wenn er negative Folgen der veralteten Richtlinien und Verfahren des Unternehmens verhindert.
Albert hat zum Beispiel vom AICPA (American Institute of Certified Public Accountans)/CICA (Canadian Institute of Chartered Accountants) Privacy Maturity Model (PMM) erfahren. Albert ist der Meinung, dass dieses Modell eine nützliche Methode ist, um die Fähigkeit von Treasure Box zum Schutz persönlicher Daten zu messen. Albert hat festgestellt, dass Treasure Box die Anforderungen der höchsten Reifegradstufe dieses Modells nicht erfüllt; bei seinem Vorstellungsgespräch wird Albert sich verpflichten, das Unternehmen bei der Erfüllung dieser Stufe zu unterstützen, um den Kunden die bestmögliche Sicherheit zu bieten.
Albert möchte bei seinem Vorstellungsgespräch einen positiven Ausblick geben. Er will das Engagement des Unternehmens für den Schutz der persönlichen Daten von Kunden und Mitarbeitern vor externen Bedrohungen loben. Albert macht sich jedoch Sorgen über die hohe Fluktuation im Unternehmen, insbesondere im Bereich des Telefondirektmarketings. Er sieht jeden Tag viele unbekannte Gesichter, die für das Marketing eingestellt werden, und hört in der Kantine häufig Beschwerden über lange Arbeitszeiten und niedrige Löhne sowie über eine anscheinend eklatante Missachtung der Unternehmensverfahren.
Darüber hinaus gab es bei Treasure Box in letzter Zeit zwei Sicherheitsvorfälle. Das Unternehmen hat auf die Vorfälle mit internen Audits und Aktualisierungen der Sicherheitsvorkehrungen reagiert. Die Gewinne scheinen jedoch immer noch beeinträchtigt zu sein, und anekdotische Hinweise deuten darauf hin, dass viele Menschen immer noch Misstrauen hegen. Albert möchte dem Unternehmen helfen, sich zu erholen. Er weiß, dass es mindestens einen Vorfall gibt, von dem die Öffentlichkeit nichts weiß, obwohl Albert die Einzelheiten nicht kennt. Er glaubt, dass das Beharren des Unternehmens auf der Geheimhaltung des Vorfalls dem Ruf des Unternehmens weiter schaden könnte. Eine weitere Möglichkeit, wie Albert Treasure Box helfen will, seinen Ruf wiederherzustellen, ist die Einrichtung einer gebührenfreien Telefonnummer für Kunden sowie ein effizienteres Verfahren zur Beantwortung von Kundenanliegen per Post.
Zusätzlich zu seinen Verbesserungsvorschlägen glaubt Albert, dass sein Wissen über die jüngsten Geschäftsmanöver des Unternehmens die Gesprächspartner beeindrucken wird. So weiß Albert zum Beispiel, dass das Unternehmen in den kommenden Wochen ein medizinisches Versorgungsunternehmen übernehmen will.
Mit seinem vorausschauenden Denken hofft Albert, die Manager, die mit ihm ein Vorstellungsgespräch führen werden, davon zu überzeugen, dass er der Richtige für die Stelle ist.
Auf der Grundlage von Alberts Beobachtungen sollte die Führungsebene am ehesten auf was achten?

Sensibilisierungskampagnen mit verwirrenden Informationen

Veraltete Datenverarbeitungssysteme

Veraltete Sicherheitsrahmen

Potenzielle interne Bedrohungen

Q84. SCENARIO
Beantworten Sie bitte die nächste FRAGE anhand der folgenden Angaben:
John ist der neue Datenschutzbeauftragte bei der renommierten internationalen Anwaltskanzlei A&M LLP. A&M LLP ist sehr stolz auf seinen Ruf in den Bereichen Trusts & Estates und Merger & Acquisition in den USA und Europa.
Beim Mittagessen mit einem Kollegen aus der IT-Abteilung erfuhr John, dass der IT-Leiter Derrick im Begriff ist, den E-Mail-Kontinuitätsdienst des Unternehmens an den bestehenden E-Mail-Sicherheitsanbieter MessageSafe auszulagern. MessageSafe ist ein erfolgreicher Anbieter von E-Mail-Hygiene und erweitert sein Geschäft, indem es eine Cloud-Infrastruktur von Cloud Inc. mietet, um den E-Mail-Kontinuitätsdienst für A&M LLP zu hosten.
John ist sehr besorgt über diese Initiative. Er erinnerte sich daran, dass MessageSafe vor sechs Monaten wegen eines Sicherheitsverstoßes in den Nachrichten war. John recherchierte sofort die frühere Sicherheitsverletzung bei MessageSafe und erfuhr, dass diese durch einen unbeabsichtigten Fehler eines IT-Administrators verursacht worden war. Er vereinbarte ein Treffen mit Derrick, um seine Bedenken zu äußern.
Bei dem Treffen betonte Derrick, dass die Anwälte der Kanzlei in erster Linie per E-Mail mit ihren Mandanten kommunizieren, weshalb ein E-Mail-Kontinuitätsdienst von entscheidender Bedeutung ist, um mögliche E-Mail-Ausfallzeiten zu vermeiden. Derrick nutzt den von MessageSafe angebotenen Anti-Spam-Service bereits seit fünf Jahren und ist mit der Qualität der von MessageSafe gebotenen Dienstleistung sehr zufrieden. Neben dem beträchtlichen Preisnachlass, den MessageSafe bietet, betonte Derrick, dass er auch den Einführungsprozess beschleunigen kann, da die Firma bereits einen Servicevertrag mit MessageSafe abgeschlossen hat. Die bestehende E-Mail-Continuity-Lösung vor Ort läuft bald aus, und er hat weder die Zeit noch die Ressourcen, sich nach einer anderen Lösung umzusehen. Darüber hinaus wird der externe E-Mail-Continuity-Service nur dann aktiviert, wenn sowohl der E-Mail-Service im primären als auch im sekundären Rechenzentrum von A&M LLP ausfällt, und die auf der MessageSafe-Website gespeicherten E-Mail-Nachrichten werden nach 30 Tagen automatisch gelöscht.
Welche der folgenden Aussagen über die Beziehungen zwischen den Organisationen ist zutreffend?

Cloud Inc. muss A&M LLP unverzüglich über eine Datenverletzung informieren.

MessageSafe ist haftbar, wenn Cloud Inc. es versäumt, Daten vor A&M LLP zu schützen.

Cloud Inc. sollte einen Datenverarbeitungsvertrag mit A&M LLP abschließen.

Der Dienstleistungsvertrag von A&M LLP muss geändert werden, um Cloud Inc. als Unterauftragsverarbeiter aufzuführen.

Q85. SCENARIO
Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben:
Als Direktor für Datenschutz bei der Consolidated Records Corporation sind Sie zu Recht zufrieden mit dem, was Sie bisher erreicht haben. Anlass für Ihre Einstellung waren Warnungen von Aufsichtsbehörden nach einer Reihe von relativ geringfügigen Datenschutzverletzungen, die durchaus schlimmer hätten ausfallen können. In den drei Jahren Ihrer Tätigkeit für das Unternehmen gab es jedoch keinen einzigen meldepflichtigen Vorfall. Sie halten Ihr Programm sogar für ein Modell, an dem sich andere in der Datenspeicherbranche bei der Entwicklung ihrer eigenen Programme orientieren können.
Sie begannen das Programm bei Consolidated mit einem Wirrwarr von Richtlinien und Verfahren und arbeiteten an der Kohärenz zwischen den Abteilungen und dem gesamten Betrieb. Unterstützt wurden Sie dabei vom Sponsor des Programms, dem Vice President of Operations, sowie von einem Datenschutzteam, das von einem klaren Verständnis der Notwendigkeit von Veränderungen ausging.
Anfangs stieß Ihre Arbeit bei der "alten Garde" des Unternehmens auf wenig Vertrauen und Enthusiasmus, und zwar sowohl bei den Führungskräften als auch bei den Mitarbeitern, die an vorderster Front mit den Daten arbeiten und mit den Kunden in Kontakt stehen. Durch die Verwendung von Kennzahlen, die nicht nur die Kosten für die aufgetretenen Verstöße aufzeigten, sondern auch Prognosen über die Kosten, die angesichts des derzeitigen Betriebszustands leicht entstehen könnten, hatten Sie die Führungskräfte und wichtigen Entscheidungsträger bald weitgehend auf Ihrer Seite. Viele der anderen Mitarbeiter waren widerspenstiger, aber durch persönliche Treffen mit jeder Abteilung und die Entwicklung eines grundlegenden Schulungsprogramms zum Datenschutz wurde eine ausreichende Zustimmung erreicht, um mit der Einführung der richtigen Verfahren zu beginnen.
Der Schutz der Privatsphäre ist heute ein akzeptierter Bestandteil aller laufenden Operationen, die mit personenbezogenen oder geschützten Daten zu tun haben, und muss Teil des Endprodukts jedes technologischen Entwicklungsprozesses sein. Ihr Ansatz ist zwar nicht systematisch, aber doch recht effektiv.
Man bleibt nachdenklich zurück:
Was muss getan werden, um das Programm aufrechtzuerhalten und es über ein reines Programm zur Verhinderung von Datenschutzverletzungen hinaus zu entwickeln?
Wie können Sie auf Ihrem Erfolg aufbauen?
Was sind die nächsten Aktionsschritte?
Welcher der folgenden Punkte kann am besten als Leitfaden für einen Systemansatz zur Umsetzung des Datenschutzes verwendet werden?

Standards für die Verwaltung des Datenlebenszyklus.

Standards der Datenschutzbehörde der Vereinten Nationen.

Internationale Organisation für Normung, Reihe 9000.

Internationale Organisation für Normung, Reihe 27000.

Q86. SCENARIO
Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben:
Henry Home Furnishings stellt seit fast vierzig Jahren hochwertige Möbel her. Der neue Eigentümer Anton hat jedoch bei einer Besichtigung des Firmensitzes ein gewisses Maß an Desorganisation festgestellt. Sein Onkel Henry hat sich immer auf die Produktion konzentriert - nicht auf die Datenverarbeitung - und Anton ist besorgt. In mehreren Lagerräumen hat er Papierakten, Disketten und alte Computer gefunden, die persönliche Daten von aktuellen und ehemaligen Mitarbeitern und Kunden zu enthalten scheinen. Anton weiß, dass ein einziger Einbruch die Beziehung des Unternehmens zu seinen treuen Kunden unwiderruflich schädigen könnte. Er will sich das Ziel setzen, dass garantiert keine persönlichen Daten verloren gehen.
Zu diesem Zweck plante Anton ursprünglich, den Zutritt zu den Räumlichkeiten des Unternehmens einzuschränken. Kenneth - der Vizepräsident und langjährige Vertraute seines Onkels - will jedoch von Antons Idee Abstand nehmen und stattdessen alle im Unternehmen vorhandenen Papierunterlagen auf elektronische Speicherung umstellen. Kenneth glaubt, dass dieser Prozess nur ein oder zwei Jahre dauern würde. Anton gefällt diese Idee; er stellt sich ein passwortgeschütztes System vor, auf das nur er und Kenneth zugreifen können.
Anton plant außerdem, das Unternehmen von den meisten seiner Tochtergesellschaften zu trennen. Dies wird nicht nur seine Arbeit erleichtern, sondern auch die Verwaltung der gespeicherten Daten vereinfachen. Die Leiter von Tochtergesellschaften wie der Kunstgalerie und dem Küchengeschäft am Ende der Straße werden für ihr eigenes Informationsmanagement verantwortlich sein. Alle nicht mehr benötigten Daten der Tochtergesellschaften, die sich noch in Antons Besitz befinden, können dann in den nächsten Jahren vernichtet werden.
Nachdem er von einem kürzlichen Sicherheitsvorfall erfahren hat, wird Anton klar, dass ein weiterer wichtiger Schritt die Benachrichtigung der Kunden sein wird. Kenneth besteht darauf, dass die beiden verlorenen Festplatten kein Grund zur Sorge sind; alle Daten waren verschlüsselt und nicht sensibel. Anton will jedoch kein Risiko eingehen. Er beabsichtigt, sicherheitshalber alle Mitarbeiter und Kunden zu benachrichtigen.
Anton muss auch prüfen, ob alle gesetzlichen, behördlichen und marktüblichen Anforderungen in Bezug auf den Schutz der Privatsphäre eingehalten werden. Kenneth beaufsichtigte die Entwicklung der Online-Präsenz des Unternehmens vor etwa zehn Jahren, aber Anton ist sich nicht sicher, ob er die aktuellen Gesetze zum Online-Marketing kennt. Anton beauftragt einen anderen vertrauenswürdigen Mitarbeiter mit juristischem Hintergrund mit der Bewertung der Einhaltung der Vorschriften. Nach einer gründlichen Analyse weiß Anton, dass das Unternehmen noch fünf Jahre lang sicher sein sollte, bis er eine weitere Prüfung in Auftrag geben kann.
Die Dokumentation dieser Analyse dient den Prüfern als Nachweis für ihre Sorgfaltspflicht.
Anton hat sich auf einen langen Weg begeben, um das Management des Unternehmens zu verbessern, aber er weiß, dass sich die Mühe lohnt. Anton möchte, dass das Erbe seines Onkels noch viele Jahre lang fortbesteht.
Um die Datensicherheit in der Einrichtung zu verbessern, sollte Anton erwägen, den Plan für eine der folgenden Maßnahmen zu befolgen?

Kundenkommunikation

Zugang der Mitarbeiter zur elektronischen Speicherung

Beratung der Mitarbeiter in rechtlichen Fragen

Kontrollierter Zugang am Firmensitz

Q87. SCENARIO
Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben:
Sie leiten das Datenschutzbüro eines Unternehmens, das Daten von Personen aus verschiedenen Ländern Europas und Amerikas verarbeitet. Sie beginnen an diesem Morgen mit der Überprüfung des Datenschutzes, als ein Vertragsbeauftragter Ihnen eine Nachricht schickt, in der er Sie um einen Anruf bittet. Der Nachricht mangelt es an Klarheit und Details, aber Sie vermuten, dass Daten verloren gegangen sind.
Als Sie sich mit dem Vertragsbeauftragten in Verbindung setzen, teilt er Ihnen mit, dass er einen Brief von einem Anbieter erhalten hat, in dem er behauptet, dass der Anbieter unrechtmäßig Informationen über Ihre Kunden weitergegeben hat. Er rief bei dem Anbieter an und bestätigte, dass Ihr Unternehmen vor kurzem genau 2000 Personen zu ihren jüngsten Erfahrungen im Gesundheitswesen befragt und diese Umfragen an den Anbieter geschickt hat, damit dieser sie in eine Datenbank überträgt, aber der Anbieter vergaß, die Datenbank wie im Vertrag versprochen zu verschlüsseln. Infolgedessen hat der Anbieter die Kontrolle über die Daten verloren.
Der Verkäufer ist äußerst entschuldigend und bietet an, die Verantwortung für den Versand der Benachrichtigungen zu übernehmen. Er sagt Ihnen, dass er 2000 frankierte Postkarten beiseite gelegt hat, weil das die Zeit bis zum Versand der Benachrichtigung verkürzen soll. Die eine Seite ist auf das Logo des Unternehmens beschränkt, aber die andere Seite ist frei und sie akzeptieren alles, was Sie schreiben wollen. Sie stellen das Angebot zurück und beginnen, den Text unter Berücksichtigung des begrenzten Platzes zu entwickeln. Sie geben sich damit zufrieden, dass das Logo des Verkäufers mit der Mitteilung in Verbindung gebracht wird.
In der Benachrichtigung wird erklärt, dass Ihr Unternehmen vor kurzem einen Anbieter beauftragt hat, Informationen über die letzten Erfahrungen in der Klinik für Infektionskrankheiten des St. Sebastian Krankenhauses zu speichern. Der Anbieter hat die Informationen nicht verschlüsselt und hat keine Kontrolle mehr über sie. Alle 2000 betroffenen Personen werden gebeten, sich für E-Mail-Benachrichtigungen über ihre Daten anzumelden. Dazu müssen sie lediglich auf die Website Ihres Unternehmens gehen, eine kurze Werbung ansehen und dann ihren Namen, ihre E-Mail-Adresse sowie Geburtsmonat und -jahr angeben.
Sie schreiben eine E-Mail an den Krisenstab, um dessen Zustimmung vor 9 Uhr einzuholen. Wenn in dieser Situation etwas schief geht, wollen Sie die Schuld auf Ihre Kollegen verteilen. In den nächsten acht Stunden schickt jeder seine Kommentare per E-Mail hin und her. Der Berater, der das Notfallteam leitet, merkt an, dass dies sein erster Tag im Unternehmen ist, er aber schon seit 45 Jahren in anderen Branchen tätig ist und sein Bestes geben wird. Einer der drei Anwälte im Rat sorgt dafür, dass das Gespräch vom Kurs abweicht, aber schließlich kommt es wieder in Gang. Am Ende stimmen sie dafür, die von Ihnen verfasste Benachrichtigung zu verwenden und die Postkarten des Verkäufers einzusetzen.
Kurz nachdem der Verkäufer die Postkarten verschickt hat, erfahren Sie, dass die Daten auf einem Server gespeichert waren, der gestohlen wurde, und beschließen, dass Ihr Unternehmen Kreditüberwachungsdienste anbieten soll. Eine schnelle Internetrecherche findet ein Kreditüberwachungsunternehmen mit einem überzeugenden Namen: Credit Under Lock and Key (CRUDLOK). Ihr Vertriebsmitarbeiter hat noch nie einen Vertrag für 2000 Personen abgewickelt, entwickelt aber innerhalb eines Tages ein Angebot, in dem steht, dass CRUDLOK dies tun wird:
1. am Tag nach der Unterzeichnung des Vertrags eine Einladung zur Einschreibung an alle Teilnehmer zu senden.
2.jemanden nur mit seinem Vornamen und den letzten 4 seiner nationalen Kennung erfassen.
3. das Guthaben jedes Antragstellers zwei Jahre lang ab dem Datum der Einschreibung zu überwachen.
4. monatlich eine E-Mail mit ihrer Bonitätsbewertung und Angeboten für kreditbezogene Dienstleistungen zu marktüblichen Preisen zu versenden.
5. 20% der Kosten für die Wiederherstellung des Guthabens werden Ihrem Unternehmen in Rechnung gestellt.
Sie schließen den Vertrag ab, und die Einladungen zur Anmeldung werden per E-Mail an die 2000 Personen verschickt. Drei Tage später setzen Sie sich hin und dokumentieren alles, was gut gelaufen ist und was besser hätte laufen können. Sie legen es in eine Akte, um beim nächsten Vorfall darauf zurückgreifen zu können.
Welche der folgenden Elemente des Vorfalls haben Sie angemessen ermittelt?

Die Art der betroffenen Datenelemente

Die Wahrscheinlichkeit, dass der Vorfall zu einem Schaden führen kann

Die Wahrscheinlichkeit, dass die Informationen zugänglich und nutzbar sind

Die Anzahl der Personen, deren Daten betroffen waren

Q88. SCENARIO
Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben:
John ist der neue Datenschutzbeauftragte bei der renommierten internationalen Anwaltskanzlei A&M LLP. A&M LLP ist sehr stolz auf seinen Ruf in den Bereichen Trusts & Estates und Merger & Acquisition in den USA und Europa. Beim Mittagessen mit einem Kollegen aus der IT-Abteilung erfuhr John, dass der IT-Leiter Derrick im Begriff ist, den E-Mail-Kontinuitätsdienst der Kanzlei an den bestehenden E-Mail-Sicherheitsanbieter MessageSafe auszulagern.
Als erfolgreicher Anbieter von E-Mail-Hygiene erweitert MessageSafe sein Geschäft, indem es eine Cloud-Infrastruktur von Cloud Inc. mietet, um einen E-Mail-Continuity-Service für A&M LLP zu hosten.
John ist sehr besorgt über diese Initiative. Er erinnerte sich daran, dass MessageSafe vor sechs Monaten wegen eines Sicherheitsverstoßes in den Nachrichten war. John recherchierte sofort die frühere Sicherheitsverletzung bei MessageSafe und erfuhr, dass diese durch einen unbeabsichtigten Fehler eines IT-Administrators verursacht worden war. Er vereinbarte ein Treffen mit Derrick, um seine Bedenken zu äußern.
Bei dem Treffen betonte Derrick, dass die Anwälte der Kanzlei in erster Linie per E-Mail mit ihren Mandanten kommunizieren, weshalb ein E-Mail-Kontinuitätsdienst von entscheidender Bedeutung ist, um mögliche E-Mail-Ausfallzeiten zu vermeiden. Derrick nutzt den von MessageSafe angebotenen Anti-Spam-Service bereits seit fünf Jahren und ist mit der Qualität der von MessageSafe gebotenen Dienstleistung sehr zufrieden. Neben dem beträchtlichen Preisnachlass, den MessageSafe bietet, betonte Derrick, dass er auch den Einführungsprozess beschleunigen kann, da die Firma bereits einen Servicevertrag mit MessageSafe abgeschlossen hat. Die bestehende E-Mail-Continuity-Lösung vor Ort läuft bald aus, und er hat weder die Zeit noch die Ressourcen, sich nach einer anderen Lösung umzusehen. Darüber hinaus wird der externe E-Mail-Continuity-Service nur dann aktiviert, wenn sowohl der E-Mail-Service im primären als auch im sekundären Rechenzentrum von A&M LLP ausfällt, und die auf der MessageSafe-Website gespeicherten E-Mail-Nachrichten werden nach 30 Tagen automatisch gelöscht.
Welche der folgenden Verpflichtungen hat MessageSafe als E-Mail-Continuity-Dienstleister für A&M LLP NICHT?

Einhaltung des Datenschutzes.

Verpflichtung zur Sicherheit.

Zertifizierungen nach einschlägigen Rahmenwerken.

Benachrichtigung von A&M LLP über eine Datenschutzverletzung.