Q139. SCENARIO Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben: Sie wurden gerade von einem Spielzeughersteller mit Sitz in Hongkong eingestellt. Das Unternehmen vertreibt eine breite Palette von Puppen, Actionfiguren und Plüschtieren, die international in einer Vielzahl von Einzelhandelsgeschäften zu finden sind. Obwohl der Hersteller keine Niederlassungen außerhalb Hongkongs unterhält und auch kein Personal außerhalb Hongkongs beschäftigt, hat er eine Reihe von lokalen Vertriebsverträgen abgeschlossen. Die von dem Unternehmen hergestellten Spielzeuge sind in allen gängigen Spielwarengeschäften in Europa, den Vereinigten Staaten und Asien zu finden. Ein großer Teil der Einnahmen des Unternehmens stammt aus dem internationalen Verkauf. Das Unternehmen möchte nun eine neue Reihe von vernetzten Spielzeugen auf den Markt bringen, die mit Kindern sprechen und interagieren können. Der CEO des Unternehmens preist diese Spielzeuge als das nächste große Ding an, da sie mehr Möglichkeiten bieten: Die Figuren können die Fragen der Kinder beantworten: zu verschiedenen Themen, wie mathematische Berechnungen oder das Wetter. Jede Figur ist mit einem Mikrofon und einem Lautsprecher ausgestattet und kann über Bluetooth mit jedem Smartphone oder Tablet verbunden werden. Jedes mobile Gerät in einem Umkreis von 10 Metern kann sich ebenfalls über Bluetooth mit den Spielzeugen verbinden. Die Figuren können auch mit anderen Figuren (desselben Herstellers) verbunden werden und miteinander interagieren, um das Spielerlebnis zu verbessern. Wenn ein Kind dem Spielzeug eine FRAGE stellt, wird die Anfrage zur Analyse an die Cloud gesendet, und die Antwort wird auf Cloud-Servern generiert und an die Figur zurückgesendet. Die Antwort wird über die integrierten Lautsprecher der Figur gegeben, so dass es den Anschein hat, dass das Spielzeug tatsächlich auf die FRAGE des Kindes antwortet. Die Verpackung des Spielzeugs enthält weder technische Details zur Funktionsweise noch einen Hinweis darauf, dass für diese Funktion eine Internetverbindung erforderlich ist. Die dafür notwendige Datenverarbeitung wurde in ein Rechenzentrum in Südafrika ausgelagert. Ihr Unternehmen hat jedoch seine für den Verbraucher sichtbaren Datenschutzrichtlinien noch nicht dahingehend geändert. Parallel dazu plant das Unternehmen die Einführung einer neuen Reihe von Spielsystemen, mit denen die Verbraucher die Figuren spielen können, die sie im Laufe des Spiels erwerben. Das System wird mit einem Portal ausgeliefert, das ein NFC-Lesegerät (Near-Field Communications) enthält. Dieses Gerät liest ein RFID-Etikett in der Actionfigur und erweckt diese auf dem Bildschirm zum Leben. Jede Figur hat ihre eigenen Standardfunktionen und -fähigkeiten, aber es ist auch möglich, durch das Erreichen von Spielzielen zusätzliche Fähigkeiten zu erwerben. Die einzigen Informationen, die auf dem Tag gespeichert sind, beziehen sich auf die Fähigkeiten der Figuren. Es ist einfach, während des Spiels zwischen den Figuren zu wechseln, und es ist möglich, die Figur an Orte außerhalb des Hauses zu bringen, ohne dass die Fähigkeiten der Figur verloren gehen. Welche Praxis sollte das Unternehmen angesichts der Anforderungen von Artikel 32 der Datenschutz-Grundverordnung (in Bezug auf die Sicherheit der Verarbeitung) einführen?
Gemäß Artikel 32 der DSGVO müssen der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen ergreifen, um ein Sicherheitsniveau zu gewährleisten, das dem Risiko der Verarbeitung personenbezogener Daten angemessen ist, wobei der Stand der Technik, die Kosten der Durchführung, die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedliche Wahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen sind. Die DSGVO enthält auch einige Beispiele für solche Maßnahmen, darunter die Pseudonymisierung und Verschlüsselung personenbezogener Daten, die Fähigkeit, die kontinuierliche Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit von Verarbeitungssystemen und -diensten zu gewährleisten, die Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Vorfalls zeitnah wiederherzustellen, sowie ein Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. In diesem Szenario verarbeitet das Unternehmen personenbezogene Daten von Kindern, wie z. B. ihre Stimme, Fragen, Vorlieben und ihren Standort, über das angeschlossene Spielzeug, das über eine drahtlose Bluetooth-Verbindung mit Smartphones, Tablets, Cloud-Servern und anderem Spielzeug kommuniziert. Dies birgt ein hohes Risiko für die Sicherheit der Daten, da Bluetooth eine drahtlose Technologie mit kurzer Reichweite ist, die leicht von böswilligen Akteuren abgefangen, gehackt oder kompromittiert werden kann. Daher sollte das Unternehmen die Daten während der Übertragung über die Bluetooth-Verbindung verschlüsseln, um einen unbefugten Zugriff, eine Offenlegung oder Veränderung der Daten zu verhindern. Bei der Verschlüsselung werden Daten mithilfe eines geheimen Schlüssels oder Algorithmus in eine unlesbare Form umgewandelt, die nur von autorisierten Parteien, die über den entsprechenden Schlüssel oder Algorithmus verfügen, rückgängig gemacht werden kann. Durch die Verschlüsselung können die Daten vor dem Zugriff oder der Veränderung durch Personen geschützt werden, die nicht über den Schlüssel oder Algorithmus verfügen, wodurch die Vertraulichkeit und Integrität der Daten gewährleistet wird. Die anderen Optionen sind falsch, weil: B) Die Einführung einer Zwei-Faktor-Authentifizierung vor jeder Nutzung durch ein Kind, um ein Mindestmaß an Sicherheit zu gewährleisten, ist keine ausreichende Maßnahme zum Schutz der über die Bluetooth-Verbindung übertragenen Daten. Bei der Zwei-Faktor-Authentifizierung wird die Identität eines Benutzers überprüft, indem zwei Nachweise verlangt werden, z. B. ein Passwort und ein Code, der an ein Telefon oder eine E-Mail gesendet wird. Dies kann zwar die Sicherheit des Benutzerkontos oder des Geräts erhöhen, schützt aber nicht die Daten, die über die drahtlose Verbindung übertragen werden, die immer noch von böswilligen Akteuren abgefangen, gehackt oder gefährdet werden können. Außerdem ist die Zwei-Faktor-Authentifizierung für Kinder, die keinen Zugang zu einem Telefon oder einer E-Mail haben oder ihre Passwörter oder Codes vergessen könnten, möglicherweise nicht geeignet oder bequem. C) Die Einbeziehung der Drei-Faktor-Authentifizierung vor jeder Nutzung durch ein Kind, um das bestmögliche Sicherheitsniveau zu gewährleisten, ist keine notwendige oder verhältnismäßige Maßnahme zum Schutz der Daten, die über die Bluetooth-Verbindung übertragen werden. Bei der Drei-Faktoren-Authentifizierung wird die Identität eines Benutzers anhand von drei Beweismitteln überprüft, z. B. einem Passwort, einem an ein Telefon oder eine E-Mail gesendeten Code und einem biometrischen Merkmal, wie einem Fingerabdruck oder einem Gesichtsscan. Dies kann zwar ein hohes Maß an Sicherheit für das Konto oder das Gerät des Benutzers bieten, schützt aber nicht die Daten, die über die drahtlose Verbindung übertragen werden, die immer noch von böswilligen Akteuren abgefangen, gehackt oder kompromittiert werden können. Darüber hinaus ist die Drei-Faktor-Authentifizierung für Kinder, die möglicherweise keinen Zugang zu einem Telefon oder einer E-Mail haben, keine zuverlässigen biometrischen Merkmale besitzen oder das Verfahren als zu komplex oder umständlich empfinden, möglicherweise nicht geeignet oder nicht durchführbar. D) Die Aufnahme von Vertragsklauseln in den Vertrag zwischen dem Spielzeughersteller und dem Cloud-Service-Anbieter ist keine relevante Maßnahme zum Schutz der Daten, die über die Bluetooth-Verbindung übertragen werden, da Südafrika außerhalb der Europäischen Union liegt. Bei Vertragsklauseln handelt es sich um rechtliche Vereinbarungen, in denen die Pflichten und Verantwortlichkeiten der an einer Datenübermittlung beteiligten Parteien festgelegt sind, z. B. das Datenschutzniveau, die Rechte der betroffenen Personen und die Rechtsmittel bei Verstößen. Vertragsklauseln können zwar notwendig sein, um die Einhaltung der Vorschriften bei der Datenübermittlung nach Südafrika zu gewährleisten, da es sich um ein Nicht-EU-Land handelt, das nicht über einen Angemessenheitsbeschluss der Europäischen Kommission verfügt, doch gehen sie nicht auf die Sicherheit der Daten ein, die über eine drahtlose Verbindung übertragen werden, die immer noch von böswilligen Akteuren abgefangen, gehackt oder kompromittiert werden kann. Außerdem sind Vertragsklauseln keine technische oder organisatorische Maßnahme, sondern eine rechtliche Maßnahme, die unter eine andere Bestimmung der Datenschutz-Grundverordnung fällt, nämlich Artikel 46.
Q140. SCENARIO Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben: WonderkKids bietet einen Online-Buchungsservice für Kinderbetreuung. Wonderkids hat seinen Sitz in Frankreich, betreibt seine Website aber über ein Unternehmen in der Schweiz. Im Rahmen seiner Dienstleistung gibt Wonderkids alle ihm zur Verfügung gestellten personenbezogenen Daten an den über sein System gebuchten Kinderbetreuungsanbieter weiter. Zu den auf der Website erfassten personenbezogenen Daten gehören der Name der Person, die die Kinderbetreuung bucht, Adresse und Kontaktdaten sowie Informationen über die zu betreuenden Kinder wie Name, Alter, Geschlecht und Gesundheitsdaten. Die Datenschutzerklärung auf der Wonderkids-Website besagt Folgendes: "WonderkKids stellt die Informationen, die Sie uns über diese Website zur Verfügung stellen, Ihrem Kinderbetreuer aus Gründen der Terminplanung und der Gesundheit und Sicherheit zur Verfügung. Wir können Ihre persönlichen Daten und die Ihres Kindes auch für unsere eigenen legitimen Geschäftszwecke verwenden, und wir beauftragen einen Drittanbieter mit Sitz in der Schweiz mit der Speicherung der Daten. Wir werden Ihre persönlichen Daten und die Ihres Kindes nur an Unternehmen weitergeben, die unserer Meinung nach einen echten Mehrwert für Sie darstellen. Indem Sie uns personenbezogene Daten zur Verfügung stellen, erklären Sie sich damit einverstanden, dass diese an verbundene Unternehmen weitergegeben werden und wir Ihnen Werbeangebote zusenden dürfen. "Wir dürfen Ihre persönlichen Daten und die Ihres Kindes nicht länger als 28 Tage aufbewahren, danach werden die Daten entpersonalisiert, es sei denn, Ihre persönlichen Daten werden für einen legitimen Geschäftszweck über die 28 Tage hinaus verwendet, dann dürfen sie bis zu zwei Jahre aufbewahrt werden." "Wir verarbeiten die personenbezogenen Daten von Ihnen und Ihrem Kind mit Ihrer Zustimmung. Wenn Sie sich dafür entscheiden, uns bestimmte Informationen nicht zur Verfügung zu stellen, können Sie unsere Dienste möglicherweise nicht nutzen. Sie haben das Recht: Zugang zu Ihren personenbezogenen Daten und denen Ihres Kindes zu verlangen; Ihre personenbezogenen Daten oder die Ihres Kindes zu berichtigen oder zu löschen; das Recht auf Berichtigung oder Löschung Ihrer und/oder der personenbezogenen Daten Ihres Kindes; Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten und der Ihres Kindes. Sie haben auch das Recht, sich bei der Aufsichtsbehörde über unsere Datenverarbeitungsaktivitäten zu beschweren". Welche zusätzlichen Informationen muss Wonderkids in seiner Datenschutzerklärung bereitstellen?
Gemäß Artikel 13 der Datenschutz-Grundverordnung muss der für die Verarbeitung Verantwortliche bei der Erhebung personenbezogener Daten bei der betroffenen Person unter anderem die folgenden Informationen bereitstellen1: Die Identität und die Kontaktdaten des für die Verarbeitung Verantwortlichen und gegebenenfalls des Vertreters des für die Verarbeitung Verantwortlichen; die Kontaktdaten des Datenschutzbeauftragten, falls zutreffend; die Zwecke der Verarbeitung, für die die personenbezogenen Daten bestimmt sind, sowie die Rechtsgrundlage für die Verarbeitung; die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten, falls vorhanden; gegebenenfalls die Tatsache, dass der für die Verarbeitung Verantwortliche beabsichtigt, personenbezogene Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorliegen oder Nichtvorliegen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen nach Artikel 46 oder 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Hinweis auf die geeigneten oder angemessenen Garantien und die Mittel, mit denen eine Kopie dieser Garantien erlangt werden kann oder mit denen sie zur Verfügung gestellt wurden. In diesem Szenario stellt Wonderkids einige dieser Informationen in seiner Datenschutzerklärung zur Verfügung, aber nicht alle. Sie geben nicht an, an welche Kategorien von Empfängern sie die personenbezogenen Daten ihrer Kunden und deren Kinder weitergeben werden. Sie geben lediglich an, dass sie die Daten an Unternehmen weitergeben, die ihrer Meinung nach einen echten Mehrwert für die Kunden darstellen, was vage und zweideutig ist. Dies entspricht nicht der Anforderung der Datenschutz-Grundverordnung, die betroffenen Personen über die Empfänger oder Kategorien von Empfängern ihrer personenbezogenen Daten zu informieren, wenn überhaupt. Daher muss Wonderkids diese zusätzlichen Informationen in seiner Datenschutzerklärung angeben. Referenz: 1: Art. 13 GDPR Zu erteilende Informationen, wenn personenbezogene Daten bei der betroffenen Person erhoben werden
Q142. SCENARIO Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben: Joe ist der neue Datenschutzbeauftragte von Who-R-U, einem kanadischen Unternehmen, das DNA-Analysen anbietet. Der Hauptsitz des Unternehmens befindet sich in Montreal, und alle seine Mitarbeiter sind dort beschäftigt. Das Unternehmen bietet seine Dienste nur Kanadiern an: Seine Website ist auf Englisch und Französisch, es akzeptiert nur kanadische Währungen und blockiert den Internetverkehr von außerhalb Kanadas (obwohl diese Lösung nicht den gesamten nicht-kanadischen Verkehr verhindert). Außerdem lehnt es die Bearbeitung von Bestellungen ab, bei denen die Zusendung des DNA-Gutachtens außerhalb Kanadas verlangt wird, und schickt Bestellungen zurück, die eine nicht-kanadische Absenderadresse aufweisen. Bob, der Präsident von Who-R-U, ist der Meinung, dass das Produkt in der EU auf großes Interesse stößt, und das Unternehmen prüft eine Reihe von Plänen zur Erweiterung seines Kundenstamms. Der erste Plan, kollegial We-Track-U genannt, wird eine App nutzen, um Informationen über den derzeitigen kanadischen Kundenstamm zu sammeln. Die Erweiterung wird es den kanadischen Kunden ermöglichen, die App auf Reisen im Ausland zu nutzen. Er schlägt vor, dass das Unternehmen diese App nutzt, um Standortinformationen zu sammeln. Wenn der Plan Erfolg verspricht, schlägt Bob vor, Push-Benachrichtigungen und Textnachrichten zu verwenden, um bestehende Kunden zu ermutigen, sich für eine EU-Version des Dienstes zu registrieren. Bob nennt diesen Arbeitsplan "We-Text-U". Sobald das Unternehmen genügend Vorregistrierungen gesammelt hat, wird es EU-spezifische Inhalte und Dienste entwickeln. Ein weiterer Plan heißt "Customer for Life". Die Idee ist, über die App des Unternehmens zusätzliche Dienste anzubieten, wie die Speicherung und Weitergabe von DNA-Informationen an andere Anwendungen und medizinische Anbieter. Der Vertrag des Unternehmens besagt, dass es die DNA der Kunden auf unbestimmte Zeit speichern und für das Angebot neuer Dienste und deren Vermarktung an die Kunden verwenden kann. Er besagt auch, dass die Kunden ihre Zustimmung zu Direktmarketing nicht zurückziehen können. Paul, der Marketing-Direktor, schlägt vor, dass das Unternehmen diese Bestimmungen voll ausschöpfen sollte und dass es die Versuche der Kunden, ihre Zustimmung zu widerrufen, umgehen kann, weil der Vertrag sie ungültig macht. Der endgültige Plan ist, eine Markenpräsenz in der EU zu entwickeln. Das Unternehmen hat mit diesem Prozess bereits begonnen. Es ist dabei, die Namensrechte für ein Gebäude in Deutschland zu erwerben, in dem einige Büros untergebracht werden sollen, die die Who-R-U-Führungskräfte auf ihren internationalen Reisen nutzen können. Das Büro umfasst keine Technologie oder Infrastruktur, sondern ist lediglich ein Raum mit einem Schreibtisch und einigen Stühlen. Auf einer Reise, bei der es um das Geschäft mit den Namensrechten ging, wurde Bobs Laptop gestohlen. Auf dem Laptop befanden sich unverschlüsselte DNA-Berichte über 5.000 Who-R-U-Kunden, die alle in Kanada ansässig sind. Die Berichte enthalten den Namen des Kunden, sein Geburtsdatum, seine ethnische Zugehörigkeit, seinen rassischen Hintergrund, die Namen von Verwandten, sein Geschlecht und gelegentlich auch Gesundheitsinformationen. Who-R-U ist NICHT verpflichtet, die örtliche deutsche Datenschutzbehörde über den Laptop-Diebstahl zu informieren, weil?
Q144. Welche Art von Datenschutzhinweis, der ursprünglich von der Artikel-29-Datenschutzgruppe befürwortet wurde, wird allgemein für KI-gestützte Technologien empfohlen, da er Informationen über die Verarbeitung an bestimmten Punkten der Datenerhebung enthält?
Laut der Artikel-29-Datenschutzgruppe ist ein "Just-in-Time"-Hinweis eine Art von Datenschutzhinweis, der Informationen über die Verarbeitung zu bestimmten Zeitpunkten der Datenerhebung bereitstellt, etwa wenn der Nutzer auf eine bestimmte Funktion klickt oder personenbezogene Daten eingibt1. Diese Art von Hinweis wird üblicherweise für KI-basierte Technologien empfohlen, da sie es dem Nutzer ermöglicht, relevante und rechtzeitige Informationen über die Verarbeitung seiner Daten zu erhalten, ohne von langen und komplexen Datenschutzerklärungen erdrückt zu werden1. Ein Just-in-Time-Hinweis kann auch mit anderen Arten von Hinweisen kombiniert werden, z. B. mit mehrschichtigen Hinweisen oder Datenschutz-Dashboards, um einen umfassenderen und benutzerfreundlicheren Transparenzrahmen zu schaffen1. Daher ist Option C die richtige Antwort. Option A ist falsch, da ein Datenschutzhinweis eine Art von Hinweis ist, der dem Nutzer einen zentralen und interaktiven Überblick über die Verarbeitung seiner Daten bietet und es ihm ermöglicht, seine Datenschutzeinstellungen und -präferenzen zu verwalten1. Option B ist falsch, da ein Visualisierungshinweis eine Art von Hinweis ist, der grafische Elemente wie Icons, Symbole, Farben oder Animationen verwendet, um die Verarbeitungsinformationen auf eine intuitivere und ansprechendere Weise zu vermitteln1. Option D ist falsch, da ein mehrschichtiger Hinweis eine Art von Hinweis ist, der die Verarbeitungsinformationen in hierarchischer und modularer Weise bereitstellt, wobei mit den wichtigsten Informationen begonnen wird und der Benutzer auf Wunsch auf weitere Details zugreifen kann1. Verweis: Was ist neu an den endgültigen Leitlinien der WP29 zur Transparenz?
Q149. Ein Unternehmen hat seinen Sitz in einem Land, das von der Europäischen Union (EU) NICHT als Land mit angemessenem Datenschutzniveau angesehen wird. Welche der folgenden Verpflichtungen hat das Unternehmen, wenn es personenbezogene Daten von einer anderen Organisation im Europäischen Wirtschaftsraum (EWR) gemäß Standardvertragsklauseln importiert?
Die Datenschutz-Grundverordnung erlaubt die Übermittlung personenbezogener Daten in Länder außerhalb des EWR, die kein angemessenes Datenschutzniveau bieten, wenn der Datenexporteur und der Datenimporteur angemessene Garantien vorsehen1. Eine dieser Garantien sind die von der Europäischen Kommission angenommenen Standardvertragsklauseln (SCC), bei denen es sich um Musterklauseln handelt, die beiden Parteien Verpflichtungen auferlegen, um sicherzustellen, dass die Übermittlung den Anforderungen der DSGVO entspricht2. Die SCC enthalten auch Klauseln über die Rechte der betroffenen Personen, die Pflichten der Datenschutzbehörden sowie die Haftung und Entschädigung der Parteien3. Eine der Verpflichtungen des Datenimporteurs im Rahmen der SCC besteht darin, zu gewährleisten, dass er keinen Grund zu der Annahme hat, dass die auf ihn anwendbaren Rechtsvorschriften ihn daran hindern, die vom Datenexporteur erhaltenen Anweisungen und seine Verpflichtungen aus dem Vertrag zu erfüllen, und dass er im Falle einer Änderung dieser Rechtsvorschriften, die erhebliche nachteilige Auswirkungen auf die in den SCC vorgesehenen Garantien und Verpflichtungen haben könnte, dem Datenexporteur die Änderung unverzüglich mitteilen wird, sobald er davon Kenntnis hat; in diesem Fall ist der Datenexporteur berechtigt, die Datenübermittlung auszusetzen und/oder den Vertrag zu kündigen4. Daher ist Option D die richtige Antwort, da sie die Verpflichtung des Datenimporteurs nach den SCC widerspiegelt, dafür zu sorgen, dass die lokalen Gesetze das Unternehmen nicht an der Erfüllung seiner vertraglichen Verpflichtungen hindern. Die Optionen A, B und C sind falsch, da sie nicht die Verpflichtungen des Datenimporteurs nach den SCC widerspiegeln. Option A wird weder von der Datenschutz-Grundverordnung noch von den SCC verlangt, da der Datenimporteur den Vertrag nicht seiner eigenen Regierungsbehörde vorlegen muss, es sei denn, das Recht des Landes, in dem der Datenimporteur niedergelassen ist, verlangt dies vor der Übermittlung oder Offenlegung personenbezogener Daten5. Bei Option B ist nicht der Datenimporteur, sondern der Datenexporteur verpflichtet, den betroffenen Personen die in den Artikeln 13 und 14 der Datenschutz-Grundverordnung geforderten Informationen zur Verfügung zu stellen, einschließlich der Tatsache, dass die Daten in ein Drittland übermittelt werden, und der entsprechenden Garantien6. Option C ist nicht spezifisch für die SCC, sondern eine allgemeine Verpflichtung für jeden für die Verarbeitung Verantwortlichen oder Auftragsverarbeiter im Rahmen der DSGVO, der mit der Aufsichtsbehörde zusammenarbeiten und alle Informationen zur Verfügung stellen muss, die für den Nachweis der Einhaltung seiner Verpflichtungen erforderlich sind7. Verweis: 1: Artikel 46 Absatz 1 der DSGVO 2: Standardvertragsklauseln (SCC) - Europäische Kommission 3: EU-Standardvertragsklauseln (Word-Dokumente) 4: Klausel 5(a) der SCC für die Übermittlung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679 5: Klausel 5(b) der SCCs für die Übermittlung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679 6: Klausel 9 der SCCs für die Übermittlung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679 7: Artikel 31 der Datenschutzgrundverordnung
Q154. SCENARIO Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben: T-Craze, ein in Deutschland ansässiges Unternehmen für Spezial-T-Shirts, verkaufte erfolgreich in großen deutschen Metropolen. Nach einer kürzlich erfolgten Fusion mit einem anderen in Deutschland ansässigen Unternehmen, das auf einem breiteren europäischen Markt tätig ist, hat T-Craze seine Marketingbemühungen überarbeitet, um ein breiteres Publikum anzusprechen. Zu diesen Bemühungen gehörte eine komplette Neugestaltung des Logos, um die kürzliche Fusion widerzuspiegeln, sowie Verbesserungen der Website, um durch die Verwendung von Cookies mehr Informationen über die Besucher zu erfassen. T-Craze eröffnete außerdem verschiedene Niederlassungen in ganz Europa, um sein Geschäft zu erweitern. Während der Hauptsitz von T-Craze und das Hauptbüro für Produktdesign weiterhin in Deutschland angesiedelt sind, ist die französische Tochtergesellschaft für alle Marketing- und Vertriebsaktivitäten zuständig. Vor kurzem beauftragte die französische Tochtergesellschaft Right Target, ein renommiertes Marketingunternehmen mit Sitz auf den Philippinen, mit der Durchführung ihrer jüngsten Marketingkampagne. Nach gründlichen Untersuchungen stellte Right Target fest, dass T-Craze bei Kunden im Alter zwischen 18 und 22 Jahren am erfolgreichsten ist. Daher richtete sich die erste Kampagne an Universitätsstudenten in mehreren europäischen Hauptstädten, was T-Craze in einem Quartal fast 40% neue Kunden einbrachte. Right Target führte auch spätere Kampagnen für T-Craze durch, allerdings mit deutlich geringerem Erfolg. Die letzten beiden Kampagnen bezogen sich auf eine breitere demografische Gruppe und führten zu unzähligen Abmeldeanfragen, darunter auch eine große Anzahl in Spanien. Die spanische Datenschutzbehörde erhielt sogar eine Beschwerde von Sofia, einer Investmentbankerin in der Mitte ihrer Laufbahn. Sofia war verärgert, nachdem sie eine Marketingmitteilung erhalten hatte, obwohl sie solche Mitteilungen von Right Target im Namen von T-Craze abbestellt hatte. Welche der folgenden Stellen ist die federführende Aufsichtsbehörde von T-Craze?
Q156. SCENARIO Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben: Joe gründete die Gummy Bear Company im Jahr 2000 von seinem Haus in Vermont, USA aus. Heute ist es ein milliardenschweres Süßwarenunternehmen, das auf allen Kontinenten tätig ist. Die gesamten IT-Server des Unternehmens befinden sich in Vermont. In diesem Jahr stellt Joe seinen Sohn Ben ein, der in das Unternehmen eintritt und das "Project Big" leitet, eine umfassende Marketingstrategie zur Verdreifachung des Bruttoumsatzes in nur fünf Jahren. Ben hat einen Doktortitel in Computersoftware von einer Spitzenuniversität erhalten. Ben beschließt, in das Unternehmen seines Vaters einzusteigen, arbeitet aber insgeheim auch an der Gründung einer neuen globalen Online-Dating-Website namens Ben Knows Best. Ben weiß, dass die Gummy Bear Company Millionen von Kunden hat und glaubt, dass viele von ihnen auch daran interessiert sein könnten, ihren perfekten Partner zu finden. Für das Projekt Big gestaltet Ben das Online-Webportal des Unternehmens um und verlangt von Kunden in der Europäischen Union und anderswo zusätzliche persönliche Informationen, um Kunde zu bleiben. Projekt Ben beginnt mit der Sammlung von Daten über die philosophischen Überzeugungen, politischen Meinungen und den Familienstand der Kunden. Wenn ein Kunde sich als Single ausweist, kopiert Ben alle persönlichen Daten dieses Kunden in eine separate Datenbank für Ben Knows Best. Ben glaubt, dass er nichts Falsches tut, weil er jeden Kunden ausdrücklich um seine Zustimmung bittet, indem er ihn auffordert, ein Kästchen anzukreuzen, bevor er seine Daten akzeptiert. Da es sich bei Project Big um ein wichtiges Projekt handelt, stellt das Unternehmen auch einen Studenten im ersten Jahr seines Informatikstudiums namens Sam ein, der Ben helfen soll. Ben ruft aus und Sam stößt auf die Datenbank von Ben Knows Best. Sam plant, mit 10 seiner Freunde über den Frühlingsanfang nach Irland zu fahren, also kopiert er alle Kundeninformationen von Leuten, die in Irland wohnen, damit er und seine Freunde die Leute kontaktieren können, wenn sie in Irland sind. Joe stellt auch die Tochter seines besten Freundes, Alice, ein, die gerade ihr Jurastudium in den USA abgeschlossen hat, um die neue Rechtsabteilung des Unternehmens zu leiten. Alice hat von der Datenschutz-Grundverordnung gehört und recherchiert deshalb darüber. Alice wendet sich an Joe und teilt ihm mit, dass sie verbindliche Unternehmensregeln ausgearbeitet hat, an die sich alle im Unternehmen halten müssen, da es für das Unternehmen wichtig ist, über einen rechtlichen Mechanismus für die interne Datenübermittlung von den Betrieben des Unternehmens in der Europäischen Union in die USA zu verfügen. Joe ist der Meinung, dass Alice großartige Arbeit leistet, und teilt ihr mit, dass sie auch für die Bearbeitung einer großen Klage zuständig sein wird, die gegen das Unternehmen vor einem Bundesgericht in den USA eingereicht wurde. Um sich auf die Klage vorzubereiten, weist Alice die IT-Abteilung des Unternehmens an, Kopien der Computerfestplatten des gesamten weltweiten Vertriebsteams, einschließlich der Europäischen Union, anzufertigen und alles an sie zu schicken, damit sie die Informationen aller Mitarbeiter überprüfen kann. Alice ist davon überzeugt, dass Joe froh sein wird, dass sie die Überprüfung auf der ersten Ebene vorgenommen hat, da das Unternehmen dadurch viel Geld sparen kann, das es sonst an eine externe Anwaltskanzlei zahlen müsste. Bei der Vorbereitung des Unternehmens auf die bevorstehende Klage verstieß die Anweisung von Alice an die IT-Abteilung des Unternehmens gegen Artikel 5 der Datenschutz-Grundverordnung, denn was hat das Unternehmen nicht zuerst getan?
Q158. Wie lautete das Haupturteil des Gerichtshofs der Europäischen Union (EuGH) in der Rechtssache Planet 49 zur Frage der Cookies?
Der EuGH entschied, dass die in der Datenschutzrichtlinie für elektronische Kommunikation geforderte Einwilligung in die Verwendung von Cookies den Bedingungen der Datenschutz-Grundverordnung entsprechen muss, d. h. sie muss spezifisch, in Kenntnis der Sachlage, unmissverständlich und freiwillig erteilt werden. Das bedeutet, dass sie spezifisch, in Kenntnis der Sachlage, unzweideutig und freiwillig erteilt werden muss. Daher sind vormarkierte Kästchen oder eine stillschweigende Zustimmung durch Scrollen keine gültigen Formen der Zustimmung zu Cookies. Der EuGH stellte außerdem klar, dass die Datenschutzrichtlinie für elektronische Kommunikation für alle Informationen gilt, die auf dem Gerät eines Nutzers gespeichert oder abgerufen werden, unabhängig davon, ob es sich um personenbezogene Daten handelt oder nicht. Darüber hinaus stellte der EuGH fest, dass die Informationen, die den Nutzern über Cookies zur Verfügung gestellt werden, auch die Dauer des Betriebs von Cookies und die Möglichkeit des Zugriffs Dritter auf sie umfassen müssen.
Q159. SCENARIO Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben: Jack arbeitete als Pharmacovigiliance Operations Specialist in der irischen Niederlassung eines multinationalen Pharmaunternehmens an einer klinischen Studie zu COVID-19. Als Teil seines Einarbeitungsprozesses erhielt Jack eine Datenschutzschulung. Er wurde ausdrücklich darauf hingewiesen, dass er im Rahmen seiner Arbeit zwar vertrauliche Patientendaten verarbeiten muss, diese Daten aber unter keinen Umständen für andere Zwecke als die Durchführung arbeitsbezogener Aufgaben verwenden darf (fragt Dies wurde auch in der Datenschutzrichtlinie festgelegt, die Jack nach Abschluss der Schulung unterzeichnete. Nach einigen Monaten der Beschäftigung geriet Jack am Telefon in einen Streit mit einem Patienten. Aus Wut postete er später den Namen und die Herddaten des Patienten zusammen mit abfälligen Kommentaren auf einer Social-Media-Website. Als dies von seinen Pharmakovigilanz-Vorgesetzten entdeckt wurde. Jack wurde sofort entlassen. Jacks Anwalt schickte ein Schreiben an das Unternehmen, in dem er erklärte, dass die Entlassung eine unverhältnismäßige Sanktion sei und dass seine Kanzlei keine andere Wahl hätte, als gerichtlich gegen das Unternehmen vorzugehen, wenn Jack nicht innerhalb von 14 Tagen wieder eingestellt würde. Diesem Schreiben war ein Antrag auf Datenzugang von Jack beigefügt, in dem er um eine Kopie "aller personenbezogenen Daten, einschließlich interner E-Mails, die von Jack gesendet/empfangen wurden oder deren Inhalt Jack direkt oder indirekt identifizierbar macht" bat. In Bezug auf die E-Mails nannte Jack sechs Mitglieder des Managementteams, auf deren Posteingänge er Zugriff begehrte. Wie sollte das Unternehmen auf Jacks Antrag auf Vergessenwerden reagieren?
Nach der DSGVO ist das Recht auf Vergessenwerden, auch bekannt als das Recht auf Löschung, kein absolutes Recht und gilt nur unter bestimmten Umständen1. Eine der Ausnahmen von diesem Recht ist, wenn die Verarbeitung personenbezogener Daten für die Feststellung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist2. In diesem Szenario muss das Unternehmen möglicherweise die personenbezogenen Daten von Jack aufbewahren, z. B. seine Beschäftigungsunterlagen, Leistungsbeurteilungen und internen E-Mails, um sich gegen eine mögliche Klage wegen ungerechtfertigter Entlassung zu verteidigen. Daher sollte das Unternehmen die Daten zu diesem Zeitpunkt nicht löschen, es sei denn, es ist sicher, dass es keine Rechtsgrundlage für die Aufbewahrung hat. Das Unternehmen sollte Jack auch über die Gründe für die Nichtbeachtung seines Ersuchens und über sein Recht informieren, eine Beschwerde bei einer Aufsichtsbehörde oder einen gerichtlichen Rechtsbehelf einzulegen3. Referenz: 1: Alles, was Sie über das "Recht auf Vergessenwerden" wissen müssen2: Artikel 17 Absatz 3 Buchstabe e der Datenschutz-Grundverordnung3: Artikel 12 Absatz 4 der Datenschutz-Grundverordnung.
Q161. Wer außer der Europäischen Kommission kann Standardvertragsklauseln annehmen, sofern alle erforderlichen Bedingungen erfüllt sind?
Gemäß Artikel 46 Absatz 2 der Datenschutz-Grundverordnung können Standardvertragsklauseln, die von einer Aufsichtsbehörde angenommen und von der Kommission im Rahmen des in Artikel 93 Absatz 2 genannten Prüfverfahrens genehmigt wurden, als Rechtsgrundlage für Datenübermittlungen in Drittländer verwendet werden12. Dies bedeutet, dass neben der Europäischen Kommission auch die nationalen Datenschutzbehörden Standardvertragsklauseln annehmen können, sofern sie die in der Datenschutz-Grundverordnung festgelegten Bedingungen und Anforderungen erfüllen und von der Kommission genehmigt werden. Die anderen Optionen sind nicht korrekt, da zugelassene für die Verarbeitung Verantwortliche, der Rat der Europäischen Union und der Europäische Datenschutzbeauftragte nicht befugt sind, Standardvertragsklauseln im Rahmen der Datenschutz-Grundverordnung anzunehmen. Referenz: CIPP/E-Zertifizierung - International Association of Privacy Professionals, Kostenloser CIPP/E-Studienleitfaden - International Association of Privacy Professionals, GDPR - EUR-Lex, Standardvertragsklauseln (SCC) - Europäische Kommission Ich hoffe, dies hilft Ihnen. Wenn Sie weitere Fragen haben, lassen Sie es mich bitte wissen.