[Q139-Q163] CIPP-E Certification Exam Dumps Fragen hier [Sep-2024] : Free Exams Dumps Materialien : http://exams.dumpsmaterials.com

Diese Seite wurde exportiert von Free Exams Dumps Materials [ http://exams.dumpsmaterials.com ]
Export date: Wed Feb 5 14:45:44 2025 / +0000 GMT

[Q139-Q163] CIPP-E Zertifizierungsprüfung Dumps Fragen hier [Sep-2024]

CIPP-E Zertifizierungsprüfung Dumps Fragen hier [Sep-2024]

Aktualisierte CIPP-E-Prüfung Praxis-Test-Fragen

Die CIPP-E-Zertifizierung ist besonders relevant für Fachleute, die mit personenbezogenen Daten arbeiten und für die Einhaltung der Datenschutzgrundverordnung (GDPR) verantwortlich sind. Die GDPR ist eine Verordnung, die im Mai 2018 in Kraft getreten ist und für alle Organisationen gilt, die personenbezogene Daten von EU-Bürgern verarbeiten, unabhängig davon, wo sich die Organisation befindet. Die Verordnung hat erhebliche Auswirkungen darauf, wie personenbezogene Daten erfasst, verarbeitet, gespeichert und gesichert werden, und die Nichteinhaltung der GDPR kann zu schweren Strafen führen.

Was ist die IAPP CIPP/E Prüfung

Die IAPP hat das Zertifikat Certified Information Privacy Professionals (CIPP) für Datenschutzbeauftragte eingeführt. Der CIPP ist der weltweite Standard für Datenschutzbeauftragte, die Daten verwalten, bearbeiten und darauf zugreifen. Sicherheitsfachleute erhalten durch die europäische Ausgabe des CIPP (CIPP/E) einen tiefen Einblick in Sicherheitsüberlegungen im europäischen Kontext.

CIPP/E ist eine einzigartige Bezeichnung, die einzige ihrer Art, so die International Association of Privacy Professionals (IAPP), die sie geschaffen hat. Als Reaktion auf die steigende Nachfrage nach sicherem Datenschutz wurde die IAPP 2014 eingeführt. In allen Phasen und über alle Lebenszyklen hinweg sind diese Sicherheitsprotokolle ein Muss. Daher wächst der Bedarf an autorisierten und zertifizierten Fachleuten. Die Fachleute/Kandidaten fühlen sich nach dem Erwerb globaler Zertifizierungen sehr sicher, da sie in der Lage sind, ihre Fähigkeiten und Fertigkeiten zu bestätigen.

Die CIPP/E-Prüfung ist eine Zertifizierungsprüfung, die von der IAPP durchgeführt wird, um das Wissen der Kandidaten zu validieren und Technologieexperten zu identifizieren, die wissen, wie man eine Datenschutzarchitektur auf der Grundlage der IT-Industrie aufbaut.

Der Certified Information Privacy Professional (CIPP) hilft Organisationen auf der ganzen Welt bei der Einhaltung von Vorschriften und bei der Risikominderung und vermittelt Fachleuten das nötige Wissen, um den Wert ihres Unternehmens zu steigern.

Nach bestandener Prüfung erhalten die Kandidaten ein Zertifikat von IAPP, mit dem sie ihren Kunden und Arbeitgebern ihre Kompetenz im Datenschutz nachweisen können.

Q139. SCENARIO
Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben:
Sie wurden gerade von einem Spielzeughersteller mit Sitz in Hongkong eingestellt. Das Unternehmen vertreibt eine breite Palette von Puppen, Actionfiguren und Plüschtieren, die international in einer Vielzahl von Einzelhandelsgeschäften zu finden sind. Obwohl der Hersteller keine Niederlassungen außerhalb Hongkongs unterhält und auch kein Personal außerhalb Hongkongs beschäftigt, hat er eine Reihe von lokalen Vertriebsverträgen abgeschlossen. Die von dem Unternehmen hergestellten Spielzeuge sind in allen gängigen Spielwarengeschäften in Europa, den Vereinigten Staaten und Asien zu finden. Ein großer Teil der Einnahmen des Unternehmens stammt aus dem internationalen Verkauf.
Das Unternehmen möchte nun eine neue Reihe von vernetzten Spielzeugen auf den Markt bringen, die mit Kindern sprechen und interagieren können. Der CEO des Unternehmens preist diese Spielzeuge als das nächste große Ding an, da sie mehr Möglichkeiten bieten: Die Figuren können die Fragen der Kinder beantworten: zu verschiedenen Themen, wie mathematische Berechnungen oder das Wetter. Jede Figur ist mit einem Mikrofon und einem Lautsprecher ausgestattet und kann über Bluetooth mit jedem Smartphone oder Tablet verbunden werden. Jedes mobile Gerät in einem Umkreis von 10 Metern kann sich ebenfalls über Bluetooth mit den Spielzeugen verbinden. Die Figuren können auch mit anderen Figuren (desselben Herstellers) verbunden werden und miteinander interagieren, um das Spielerlebnis zu verbessern.
Wenn ein Kind dem Spielzeug eine FRAGE stellt, wird die Anfrage zur Analyse an die Cloud gesendet, und die Antwort wird auf Cloud-Servern generiert und an die Figur zurückgesendet. Die Antwort wird über die integrierten Lautsprecher der Figur gegeben, so dass es den Anschein hat, dass das Spielzeug tatsächlich auf die FRAGE des Kindes antwortet. Die Verpackung des Spielzeugs enthält weder technische Details zur Funktionsweise noch einen Hinweis darauf, dass für diese Funktion eine Internetverbindung erforderlich ist. Die dafür notwendige Datenverarbeitung wurde in ein Rechenzentrum in Südafrika ausgelagert. Ihr Unternehmen hat jedoch seine für den Verbraucher sichtbaren Datenschutzrichtlinien noch nicht dahingehend geändert.
Parallel dazu plant das Unternehmen die Einführung einer neuen Reihe von Spielsystemen, mit denen die Verbraucher die Figuren spielen können, die sie im Laufe des Spiels erwerben. Das System wird mit einem Portal ausgeliefert, das ein NFC-Lesegerät (Near-Field Communications) enthält. Dieses Gerät liest ein RFID-Etikett in der Actionfigur und erweckt diese auf dem Bildschirm zum Leben. Jede Figur hat ihre eigenen Standardfunktionen und -fähigkeiten, aber es ist auch möglich, durch das Erreichen von Spielzielen zusätzliche Fähigkeiten zu erwerben. Die einzigen Informationen, die auf dem Tag gespeichert sind, beziehen sich auf die Fähigkeiten der Figuren. Es ist einfach, während des Spiels zwischen den Figuren zu wechseln, und es ist möglich, die Figur an Orte außerhalb des Hauses zu bringen, ohne dass die Fähigkeiten der Figur verloren gehen.
Welche Praxis sollte das Unternehmen angesichts der Anforderungen von Artikel 32 der Datenschutz-Grundverordnung (in Bezug auf die Sicherheit der Verarbeitung) einführen?

Verschlüsseln Sie die Daten während der Übertragung über die drahtlose Bluetooth-Verbindung.

Fügen Sie vor jeder Nutzung durch ein Kind eine Zwei-Faktor-Authentifizierung ein, um ein Mindestmaß an Sicherheit zu gewährleisten.

Führen Sie vor jeder Nutzung durch ein Kind eine Drei-Faktor-Authentifizierung durch, um die bestmögliche Sicherheit zu gewährleisten.

Aufnahme von Vertragsklauseln in den Vertrag zwischen dem Spielzeughersteller und dem Cloud-Service-Anbieter, da Südafrika außerhalb der Europäischen Union liegt.

Gemäß Artikel 32 der DSGVO müssen der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen ergreifen, um ein Sicherheitsniveau zu gewährleisten, das dem Risiko der Verarbeitung personenbezogener Daten angemessen ist, wobei der Stand der Technik, die Kosten der Durchführung, die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedliche Wahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen sind. Die DSGVO enthält auch einige Beispiele für solche Maßnahmen, darunter die Pseudonymisierung und Verschlüsselung personenbezogener Daten, die Fähigkeit, die kontinuierliche Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit von Verarbeitungssystemen und -diensten zu gewährleisten, die Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Vorfalls zeitnah wiederherzustellen, sowie ein Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
In diesem Szenario verarbeitet das Unternehmen personenbezogene Daten von Kindern, wie z. B. ihre Stimme, Fragen, Vorlieben und ihren Standort, über das angeschlossene Spielzeug, das über eine drahtlose Bluetooth-Verbindung mit Smartphones, Tablets, Cloud-Servern und anderem Spielzeug kommuniziert. Dies birgt ein hohes Risiko für die Sicherheit der Daten, da Bluetooth eine drahtlose Technologie mit kurzer Reichweite ist, die leicht von böswilligen Akteuren abgefangen, gehackt oder kompromittiert werden kann. Daher sollte das Unternehmen die Daten während der Übertragung über die Bluetooth-Verbindung verschlüsseln, um einen unbefugten Zugriff, eine Offenlegung oder Veränderung der Daten zu verhindern. Bei der Verschlüsselung werden Daten mithilfe eines geheimen Schlüssels oder Algorithmus in eine unlesbare Form umgewandelt, die nur von autorisierten Parteien, die über den entsprechenden Schlüssel oder Algorithmus verfügen, rückgängig gemacht werden kann. Durch die Verschlüsselung können die Daten vor dem Zugriff oder der Veränderung durch Personen geschützt werden, die nicht über den Schlüssel oder Algorithmus verfügen, wodurch die Vertraulichkeit und Integrität der Daten gewährleistet wird.
Die anderen Optionen sind falsch, weil:
B) Die Einführung einer Zwei-Faktor-Authentifizierung vor jeder Nutzung durch ein Kind, um ein Mindestmaß an Sicherheit zu gewährleisten, ist keine ausreichende Maßnahme zum Schutz der über die Bluetooth-Verbindung übertragenen Daten. Bei der Zwei-Faktor-Authentifizierung wird die Identität eines Benutzers überprüft, indem zwei Nachweise verlangt werden, z. B. ein Passwort und ein Code, der an ein Telefon oder eine E-Mail gesendet wird. Dies kann zwar die Sicherheit des Benutzerkontos oder des Geräts erhöhen, schützt aber nicht die Daten, die über die drahtlose Verbindung übertragen werden, die immer noch von böswilligen Akteuren abgefangen, gehackt oder gefährdet werden können. Außerdem ist die Zwei-Faktor-Authentifizierung für Kinder, die keinen Zugang zu einem Telefon oder einer E-Mail haben oder ihre Passwörter oder Codes vergessen könnten, möglicherweise nicht geeignet oder bequem.
C) Die Einbeziehung der Drei-Faktor-Authentifizierung vor jeder Nutzung durch ein Kind, um das bestmögliche Sicherheitsniveau zu gewährleisten, ist keine notwendige oder verhältnismäßige Maßnahme zum Schutz der Daten, die über die Bluetooth-Verbindung übertragen werden. Bei der Drei-Faktoren-Authentifizierung wird die Identität eines Benutzers anhand von drei Beweismitteln überprüft, z. B. einem Passwort, einem an ein Telefon oder eine E-Mail gesendeten Code und einem biometrischen Merkmal, wie einem Fingerabdruck oder einem Gesichtsscan. Dies kann zwar ein hohes Maß an Sicherheit für das Konto oder das Gerät des Benutzers bieten, schützt aber nicht die Daten, die über die drahtlose Verbindung übertragen werden, die immer noch von böswilligen Akteuren abgefangen, gehackt oder kompromittiert werden können. Darüber hinaus ist die Drei-Faktor-Authentifizierung für Kinder, die möglicherweise keinen Zugang zu einem Telefon oder einer E-Mail haben, keine zuverlässigen biometrischen Merkmale besitzen oder das Verfahren als zu komplex oder umständlich empfinden, möglicherweise nicht geeignet oder nicht durchführbar.
D) Die Aufnahme von Vertragsklauseln in den Vertrag zwischen dem Spielzeughersteller und dem Cloud-Service-Anbieter ist keine relevante Maßnahme zum Schutz der Daten, die über die Bluetooth-Verbindung übertragen werden, da Südafrika außerhalb der Europäischen Union liegt. Bei Vertragsklauseln handelt es sich um rechtliche Vereinbarungen, in denen die Pflichten und Verantwortlichkeiten der an einer Datenübermittlung beteiligten Parteien festgelegt sind, z. B. das Datenschutzniveau, die Rechte der betroffenen Personen und die Rechtsmittel bei Verstößen. Vertragsklauseln können zwar notwendig sein, um die Einhaltung der Vorschriften bei der Datenübermittlung nach Südafrika zu gewährleisten, da es sich um ein Nicht-EU-Land handelt, das nicht über einen Angemessenheitsbeschluss der Europäischen Kommission verfügt, doch gehen sie nicht auf die Sicherheit der Daten ein, die über eine drahtlose Verbindung übertragen werden, die immer noch von böswilligen Akteuren abgefangen, gehackt oder kompromittiert werden kann. Außerdem sind Vertragsklauseln keine technische oder organisatorische Maßnahme, sondern eine rechtliche Maßnahme, die unter eine andere Bestimmung der Datenschutz-Grundverordnung fällt, nämlich Artikel 46.

Q140. SCENARIO
Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben:
WonderkKids bietet einen Online-Buchungsservice für Kinderbetreuung. Wonderkids hat seinen Sitz in Frankreich, betreibt seine Website aber über ein Unternehmen in der Schweiz. Im Rahmen seiner Dienstleistung gibt Wonderkids alle ihm zur Verfügung gestellten personenbezogenen Daten an den über sein System gebuchten Kinderbetreuungsanbieter weiter. Zu den auf der Website erfassten personenbezogenen Daten gehören der Name der Person, die die Kinderbetreuung bucht, Adresse und Kontaktdaten sowie Informationen über die zu betreuenden Kinder wie Name, Alter, Geschlecht und Gesundheitsdaten. Die Datenschutzerklärung auf der Wonderkids-Website besagt Folgendes:
"WonderkKids stellt die Informationen, die Sie uns über diese Website zur Verfügung stellen, Ihrem Kinderbetreuer aus Gründen der Terminplanung und der Gesundheit und Sicherheit zur Verfügung. Wir können Ihre persönlichen Daten und die Ihres Kindes auch für unsere eigenen legitimen Geschäftszwecke verwenden, und wir beauftragen einen Drittanbieter mit Sitz in der Schweiz mit der Speicherung der Daten. Wir werden Ihre persönlichen Daten und die Ihres Kindes nur an Unternehmen weitergeben, die unserer Meinung nach einen echten Mehrwert für Sie darstellen. Indem Sie uns personenbezogene Daten zur Verfügung stellen, erklären Sie sich damit einverstanden, dass diese an verbundene Unternehmen weitergegeben werden und wir Ihnen Werbeangebote zusenden dürfen.
"Wir dürfen Ihre persönlichen Daten und die Ihres Kindes nicht länger als 28 Tage aufbewahren, danach werden die Daten entpersonalisiert, es sei denn, Ihre persönlichen Daten werden für einen legitimen Geschäftszweck über die 28 Tage hinaus verwendet, dann dürfen sie bis zu zwei Jahre aufbewahrt werden."
"Wir verarbeiten die personenbezogenen Daten von Ihnen und Ihrem Kind mit Ihrer Zustimmung. Wenn Sie sich dafür entscheiden, uns bestimmte Informationen nicht zur Verfügung zu stellen, können Sie unsere Dienste möglicherweise nicht nutzen. Sie haben das Recht: Zugang zu Ihren personenbezogenen Daten und denen Ihres Kindes zu verlangen; Ihre personenbezogenen Daten oder die Ihres Kindes zu berichtigen oder zu löschen; das Recht auf Berichtigung oder Löschung Ihrer und/oder der personenbezogenen Daten Ihres Kindes; Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten und der Ihres Kindes. Sie haben auch das Recht, sich bei der Aufsichtsbehörde über unsere Datenverarbeitungsaktivitäten zu beschweren". Welche zusätzlichen Informationen muss Wonderkids in seiner Datenschutzerklärung bereitstellen?

Wie oft Werbe-E-Mails verschickt werden sollen.

Kontaktinformationen des Hosting-Unternehmens.

Technische und organisatorische Maßnahmen zum Schutz der Daten.

Die Kategorien von Empfängern, an die die Daten weitergegeben werden sollen.

Gemäß Artikel 13 der Datenschutz-Grundverordnung muss der für die Verarbeitung Verantwortliche bei der Erhebung personenbezogener Daten bei der betroffenen Person unter anderem die folgenden Informationen bereitstellen1:
Die Identität und die Kontaktdaten des für die Verarbeitung Verantwortlichen und gegebenenfalls des Vertreters des für die Verarbeitung Verantwortlichen; die Kontaktdaten des Datenschutzbeauftragten, falls zutreffend; die Zwecke der Verarbeitung, für die die personenbezogenen Daten bestimmt sind, sowie die Rechtsgrundlage für die Verarbeitung; die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten, falls vorhanden; gegebenenfalls die Tatsache, dass der für die Verarbeitung Verantwortliche beabsichtigt, personenbezogene Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorliegen oder Nichtvorliegen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen nach Artikel 46 oder 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Hinweis auf die geeigneten oder angemessenen Garantien und die Mittel, mit denen eine Kopie dieser Garantien erlangt werden kann oder mit denen sie zur Verfügung gestellt wurden.
In diesem Szenario stellt Wonderkids einige dieser Informationen in seiner Datenschutzerklärung zur Verfügung, aber nicht alle. Sie geben nicht an, an welche Kategorien von Empfängern sie die personenbezogenen Daten ihrer Kunden und deren Kinder weitergeben werden. Sie geben lediglich an, dass sie die Daten an Unternehmen weitergeben, die ihrer Meinung nach einen echten Mehrwert für die Kunden darstellen, was vage und zweideutig ist. Dies entspricht nicht der Anforderung der Datenschutz-Grundverordnung, die betroffenen Personen über die Empfänger oder Kategorien von Empfängern ihrer personenbezogenen Daten zu informieren, wenn überhaupt. Daher muss Wonderkids diese zusätzlichen Informationen in seiner Datenschutzerklärung angeben.
Referenz:
1: Art. 13 GDPR Zu erteilende Informationen, wenn personenbezogene Daten bei der betroffenen Person erhoben werden

Q141. In welchem der folgenden Fälle, die in einem Leitfaden der WP29 als Beispiel angeführt werden, wäre die Durchführung einer einzigen Datenschutz-Folgenabschätzung für mehrere Verarbeitungen zulässig?

Eine medizinische Organisation, die mit Gentests beginnen möchte, um frühere Forschungen zu unterstützen, für die sie eine DPIA durchgeführt hat.

Ein für die Datenverarbeitung Verantwortlicher, der den Einsatz eines neuen Technologieprodukts plant, das bereits einer Datenschutzprüfung durch den Produktanbieter unterzogen wurde.

Ein Marketingteam, das Adressen von Kunden sammeln möchte, von denen es bereits E-Mail-Adressen hat.

Ein Bahnbetreiber, der plant, in allen Bahnhöfen seines Unternehmens die gleiche Videoüberwachung zu evaluieren.

Q142. SCENARIO
Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben:
Joe ist der neue Datenschutzbeauftragte von Who-R-U, einem kanadischen Unternehmen, das DNA-Analysen anbietet. Der Hauptsitz des Unternehmens befindet sich in Montreal, und alle seine Mitarbeiter sind dort beschäftigt. Das Unternehmen bietet seine Dienste nur Kanadiern an: Seine Website ist auf Englisch und Französisch, es akzeptiert nur kanadische Währungen und blockiert den Internetverkehr von außerhalb Kanadas (obwohl diese Lösung nicht den gesamten nicht-kanadischen Verkehr verhindert). Außerdem lehnt es die Bearbeitung von Bestellungen ab, bei denen die Zusendung des DNA-Gutachtens außerhalb Kanadas verlangt wird, und schickt Bestellungen zurück, die eine nicht-kanadische Absenderadresse aufweisen.
Bob, der Präsident von Who-R-U, ist der Meinung, dass das Produkt in der EU auf großes Interesse stößt, und das Unternehmen prüft eine Reihe von Plänen zur Erweiterung seines Kundenstamms.
Der erste Plan, kollegial We-Track-U genannt, wird eine App nutzen, um Informationen über den derzeitigen kanadischen Kundenstamm zu sammeln. Die Erweiterung wird es den kanadischen Kunden ermöglichen, die App auf Reisen im Ausland zu nutzen. Er schlägt vor, dass das Unternehmen diese App nutzt, um Standortinformationen zu sammeln. Wenn der Plan Erfolg verspricht, schlägt Bob vor, Push-Benachrichtigungen und Textnachrichten zu verwenden, um bestehende Kunden zu ermutigen, sich für eine EU-Version des Dienstes zu registrieren. Bob nennt diesen Arbeitsplan "We-Text-U". Sobald das Unternehmen genügend Vorregistrierungen gesammelt hat, wird es EU-spezifische Inhalte und Dienste entwickeln.
Ein weiterer Plan heißt "Customer for Life". Die Idee ist, über die App des Unternehmens zusätzliche Dienste anzubieten, wie die Speicherung und Weitergabe von DNA-Informationen an andere Anwendungen und medizinische Anbieter. Der Vertrag des Unternehmens besagt, dass es die DNA der Kunden auf unbestimmte Zeit speichern und für das Angebot neuer Dienste und deren Vermarktung an die Kunden verwenden kann. Er besagt auch, dass die Kunden ihre Zustimmung zu Direktmarketing nicht zurückziehen können. Paul, der Marketing-Direktor, schlägt vor, dass das Unternehmen diese Bestimmungen voll ausschöpfen sollte und dass es die Versuche der Kunden, ihre Zustimmung zu widerrufen, umgehen kann, weil der Vertrag sie ungültig macht.
Der endgültige Plan ist, eine Markenpräsenz in der EU zu entwickeln. Das Unternehmen hat mit diesem Prozess bereits begonnen. Es ist dabei, die Namensrechte für ein Gebäude in Deutschland zu erwerben, in dem einige Büros untergebracht werden sollen, die die Who-R-U-Führungskräfte auf ihren internationalen Reisen nutzen können. Das Büro umfasst keine Technologie oder Infrastruktur, sondern ist lediglich ein Raum mit einem Schreibtisch und einigen Stühlen.
Auf einer Reise, bei der es um das Geschäft mit den Namensrechten ging, wurde Bobs Laptop gestohlen. Auf dem Laptop befanden sich unverschlüsselte DNA-Berichte über 5.000 Who-R-U-Kunden, die alle in Kanada ansässig sind. Die Berichte enthalten den Namen des Kunden, sein Geburtsdatum, seine ethnische Zugehörigkeit, seinen rassischen Hintergrund, die Namen von Verwandten, sein Geschlecht und gelegentlich auch Gesundheitsinformationen.
Who-R-U ist NICHT verpflichtet, die örtliche deutsche Datenschutzbehörde über den Laptop-Diebstahl zu informieren, weil?

Bei dem Unternehmen handelt es sich nicht um einen in der Union niedergelassenen Kontrolleur.

Der Laptop gehörte einem Unternehmen mit Sitz in Kanada.

Die Daten werden nicht als persönlich identifizierbare Finanzinformationen betrachtet.

Es gibt keine Hinweise darauf, dass die Diebe auf die Daten des Laptops zugegriffen haben.

Q143. In Artikel 9 der Datenschutz-Grundverordnung sind Ausnahmen vom allgemeinen Verbot der Verarbeitung biometrischer Daten aufgeführt. Welche der folgenden Ausnahmen gehört NICHT dazu?

Die Verarbeitung erfolgt durch eine Non-Profit-Organisation, und die Ergebnisse werden außerhalb der Organisation offengelegt.

Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person zu schützen, wenn diese nicht in der Lage ist, ihre Einwilligung zu geben.

Die Verarbeitung ist für die Begründung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich, wenn Gerichte in gerichtlicher Eigenschaft handeln.

Die betroffene Person hat in die Verarbeitung ausdrücklich eingewilligt, und das Unionsrecht oder das Recht der Mitgliedstaaten erlaubt ihr, das Verbot aufzuheben.

Q144. Welche Art von Datenschutzhinweis, der ursprünglich von der Artikel-29-Datenschutzgruppe befürwortet wurde, wird allgemein für KI-gestützte Technologien empfohlen, da er Informationen über die Verarbeitung an bestimmten Punkten der Datenerhebung enthält?

Hinweis zum Datenschutz auf dem Armaturenbrett

Hinweis zur Visualisierung.

Just-in-Lime-Benachrichtigung.

Mehrschichtiger Hinweis.

Q145. Welche der folgenden Angaben würde am ehesten die extraterritoriale Wirkung der Datenschutz-Grundverordnung auslösen, wie sie in Artikel
3?

Das Verhalten mutmaßlicher Terroristen wird von den Strafverfolgungsbehörden der EU überwacht.

Personenbezogene Daten von EU-Bürgern, die von einem für die Verarbeitung Verantwortlichen oder einem Auftragsverarbeiter mit Sitz außerhalb der EU verarbeitet werden.

Das Verhalten von EU-Bürgern außerhalb der EU wird von Strafverfolgungsbehörden außerhalb der EU überwacht.

Personenbezogene Daten von in der EU ansässigen Personen werden von einem Nicht-EU-Unternehmen verarbeitet, das sich an EU-Kunden wendet.

Q146. Nach Ansicht des Europäischen Datenschutzausschusses sollten die betroffenen Personen über eine Videoüberwachung informiert werden. Wie sollte der Betreiber eines Einzelhandelsgeschäfts sicherstellen, dass die betroffenen Personen die Informationen erhalten, die nach dem EU-Datenschutzrecht für einen solchen Zweck erforderlich sind?

Der Shopbetreiber sollte eine Kopie des Handbuchs des Videoüberwachungssystems im Shop und auf seinen Social-Media-Kanälen veröffentlichen.

Der Ladenbetreiber sollte auf die geplante Videoüberwachung außerhalb des Ladens hinweisen, z. B. durch ein Schild oder einen Aufsteller.

Der Shopbetreiber sollte den Datenschutzbeauftragten anweisen, den betroffenen Personen bei jedem Betreten des Shops einen umfassenden Hinweis auszuhändigen.

Der Shop-Betreiber sollte den betroffenen Personen die wichtigsten Informationen auf einem deutlich lesbaren Warnschild mitteilen, bevor sie den überwachten Bereich betreten, und zusätzliche obligatorische Angaben auf andere Weise machen.

Q147. Viele Unternehmen drucken die Fotos ihrer Mitarbeiter auf Gebäudeausweise, damit die Mitarbeiter vom Sicherheitspersonal identifiziert werden können. Dies gilt ungeachtet der Tatsache, dass Gesichtsbilder nach der Datenschutz-Grundverordnung potenziell als biometrische Daten gelten. Warum sollte eine solche Praxis zulässig sein?

Denn für die Verwendung biometrischer Daten zur Bestätigung der eindeutigen Identifizierung der betroffenen Personen gilt eine Ausnahmeregelung.

Denn Fotos gelten nur dann als biometrische Daten, wenn sie einer "spezifischen technischen Verarbeitung" unterzogen werden.

Denn es wird davon ausgegangen, dass die Arbeitnehmer ihre ausdrückliche Zustimmung geben, wenn sie sich von ihrem Arbeitgeber fotografieren lassen.

Denn der Lichtbildausweis ist eine physische Sicherheitsmaßnahme, die "aus Gründen eines wesentlichen öffentlichen Interesses erforderlich" ist.

Q148. Was ist ein wichtiger Unterschied zwischen dem Europäischen Gerichtshof für Menschenrechte (EGMR) und dem Gerichtshof der Europäischen Union (EuGH) in Bezug auf ihre Aufgaben und Funktionen?

Der EGMR kann über Fragen der Privatsphäre als Grundrecht entscheiden, der EuGH nicht.

Der EuGH kann die nationalen Regierungen zwingen, EU-Recht umzusetzen und einzuhalten, während der EGMR dies nicht kann.

Der EuGH kann Rechtsmittel gegen Menschenrechtsentscheidungen der nationalen Gerichte einlegen, der EGMR hingegen nicht.

Der EGMR kann Menschenrechtsgesetze gegen Regierungen durchsetzen, die sie nicht umsetzen, während der EuGH dies nicht kann.

Q149. Ein Unternehmen hat seinen Sitz in einem Land, das von der Europäischen Union (EU) NICHT als Land mit angemessenem Datenschutzniveau angesehen wird. Welche der folgenden Verpflichtungen hat das Unternehmen, wenn es personenbezogene Daten von einer anderen Organisation im Europäischen Wirtschaftsraum (EWR) gemäß Standardvertragsklauseln importiert?

Vorlage des Vertrags bei der eigenen Regierungsbehörde.

Sicherstellen, dass die betroffenen Personen benachrichtigt werden und ihre Zustimmung erteilt wird.

Bereitstellung aller von einer Datenschutzbehörde angeforderten Informationen innerhalb von 30 Tagen.

Sicherstellen, dass die örtlichen Gesetze das Unternehmen nicht an der Erfüllung seiner vertraglichen Verpflichtungen hindern.

Die Datenschutz-Grundverordnung erlaubt die Übermittlung personenbezogener Daten in Länder außerhalb des EWR, die kein angemessenes Datenschutzniveau bieten, wenn der Datenexporteur und der Datenimporteur angemessene Garantien vorsehen1. Eine dieser Garantien sind die von der Europäischen Kommission angenommenen Standardvertragsklauseln (SCC), bei denen es sich um Musterklauseln handelt, die beiden Parteien Verpflichtungen auferlegen, um sicherzustellen, dass die Übermittlung den Anforderungen der DSGVO entspricht2. Die SCC enthalten auch Klauseln über die Rechte der betroffenen Personen, die Pflichten der Datenschutzbehörden sowie die Haftung und Entschädigung der Parteien3. Eine der Verpflichtungen des Datenimporteurs im Rahmen der SCC besteht darin, zu gewährleisten, dass er keinen Grund zu der Annahme hat, dass die auf ihn anwendbaren Rechtsvorschriften ihn daran hindern, die vom Datenexporteur erhaltenen Anweisungen und seine Verpflichtungen aus dem Vertrag zu erfüllen, und dass er im Falle einer Änderung dieser Rechtsvorschriften, die erhebliche nachteilige Auswirkungen auf die in den SCC vorgesehenen Garantien und Verpflichtungen haben könnte, dem Datenexporteur die Änderung unverzüglich mitteilen wird, sobald er davon Kenntnis hat; in diesem Fall ist der Datenexporteur berechtigt, die Datenübermittlung auszusetzen und/oder den Vertrag zu kündigen4. Daher ist Option D die richtige Antwort, da sie die Verpflichtung des Datenimporteurs nach den SCC widerspiegelt, dafür zu sorgen, dass die lokalen Gesetze das Unternehmen nicht an der Erfüllung seiner vertraglichen Verpflichtungen hindern. Die Optionen A, B und C sind falsch, da sie nicht die Verpflichtungen des Datenimporteurs nach den SCC widerspiegeln. Option A wird weder von der Datenschutz-Grundverordnung noch von den SCC verlangt, da der Datenimporteur den Vertrag nicht seiner eigenen Regierungsbehörde vorlegen muss, es sei denn, das Recht des Landes, in dem der Datenimporteur niedergelassen ist, verlangt dies vor der Übermittlung oder Offenlegung personenbezogener Daten5. Bei Option B ist nicht der Datenimporteur, sondern der Datenexporteur verpflichtet, den betroffenen Personen die in den Artikeln 13 und 14 der Datenschutz-Grundverordnung geforderten Informationen zur Verfügung zu stellen, einschließlich der Tatsache, dass die Daten in ein Drittland übermittelt werden, und der entsprechenden Garantien6. Option C ist nicht spezifisch für die SCC, sondern eine allgemeine Verpflichtung für jeden für die Verarbeitung Verantwortlichen oder Auftragsverarbeiter im Rahmen der DSGVO, der mit der Aufsichtsbehörde zusammenarbeiten und alle Informationen zur Verfügung stellen muss, die für den Nachweis der Einhaltung seiner Verpflichtungen erforderlich sind7. Verweis: 1: Artikel 46 Absatz 1 der DSGVO 2: Standardvertragsklauseln (SCC) - Europäische Kommission 3: EU-Standardvertragsklauseln (Word-Dokumente) 4: Klausel 5(a) der SCC für die Übermittlung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679 5: Klausel 5(b) der SCCs für die Übermittlung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679 6: Klausel 9 der SCCs für die Übermittlung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679 7: Artikel 31 der Datenschutzgrundverordnung

Q150. SCENARIO
Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben:
Die Hotelkette ABC und das Reisebüro XYZ sind multinationale Unternehmen mit Sitz in den USA. Sie nutzen eine gemeinsame internetbasierte Plattform für die Erfassung und den Austausch ihrer Kundendaten, um ihre Marketingaktivitäten zu integrieren. Darüber hinaus vereinbaren sie, welche Daten gespeichert werden sollen, wie Reservierungen gebucht und bestätigt werden und wer Zugriff auf die gespeicherten Daten hat.
Mike, der in der EU wohnt, hat in der Vergangenheit über das Reisebüro XYZ Reisen gebucht, um in den Hotels der ABC Hotelkette zu übernachten. Das XYZ-Reisebüro bietet ein Prämienprogramm an, bei dem Kunden Punkte sammeln können, die später für kostenlose Reisen eingelöst werden können. Mike hat die Vereinbarung zur Teilnahme am Rewards-Programm unterzeichnet.
Nun möchte Mike wissen, welche persönlichen Daten das Unternehmen über ihn besitzt. Er schickt eine E-Mail, in der er Zugang zu seinen Daten beantragt, um seine Rechte als Betroffener wahrzunehmen.
Welche Rolle spielen die Hotelkette ABC und das Reisebüro XYZ in dieser Beziehung?

ABC Hotelkette ist der für die Verarbeitung Verantwortliche und XYZ Reisebüro ist der Auftragsverarbeiter.

Das Reisebüro XYZ ist der für die Verarbeitung Verantwortliche und die Hotelkette ABC ist der Auftragsverarbeiter.

Die Hotelkette ABC und das Reisebüro XYZ sind unabhängige für die Verarbeitung Verantwortliche.

Die Hotelkette ABC und das Reisebüro XYZ sind gemeinsam für die Verarbeitung verantwortlich.

Q151. Gemäß Artikel 21 der DSGVO muss ein für die Verarbeitung Verantwortlicher das Profiling auf Antrag einer betroffenen Person einstellen, es sei denn, er kann zwingende berechtigte Gründe nachweisen, die die Interessen der betroffenen Person überwiegen. In den Leitlinien zur automatisierten Entscheidungsfindung und zum Profiling heißt es in der Arbeitsgruppe 29, dass der für die Verarbeitung Verantwortliche alle folgenden Maßnahmen ergreifen muss, um nachzuweisen, dass er solche berechtigten Gründe hat, AUSSER?

eine Abwägung zwischen den Interessen des für die Verarbeitung Verantwortlichen und der Grundlage für den Widerspruch der betroffenen Person vorzunehmen.

Berücksichtigung der Auswirkungen des Profilings auf die Interessen, Rechte und Freiheiten der betroffenen Person.

Nachweis, dass das Profiling für Zwecke der Direktwerbung erfolgt.

Überlegen Sie, wie wichtig die Profilerstellung für ihr jeweiliges Ziel ist.

Q152. Was die Frage der Zustimmung betrifft, so lässt die DSGVO den Mitgliedstaaten eine gewisse Wahlmöglichkeit, was?

Die Mechanismen, über die die Zustimmung mitgeteilt werden kann

Die Umstände, unter denen Schweigen oder Untätigkeit als Zustimmung gelten können

Das Alter, in dem die elterliche Zustimmung eingeholt werden muss

Die Frist, innerhalb derer die betroffenen Personen ihre Einwilligung zurückziehen können

Q153. Welcher der folgenden Punkte muss NICHT in die Aufzeichnungen aufgenommen werden, die die meisten Auftragsverarbeiter in Bezug auf ihre Datenverarbeitungstätigkeiten führen müssen?

Name und Kontaktangaben jedes für die Verarbeitung Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter handelt.

Kategorien von Verarbeitungen, die im Auftrag eines jeden für die Verarbeitung Verantwortlichen durchgeführt werden, für den der Auftragsverarbeiter tätig ist.

Einzelheiten zu den Übermittlungen personenbezogener Daten in ein Drittland, die im Auftrag jedes für die Verarbeitung Verantwortlichen, für den der Auftragsverarbeiter tätig ist, erfolgen.

Einzelheiten zu jeder Datenschutz-Folgenabschätzung, die in Bezug auf die vom Auftragsverarbeiter im Auftrag jedes für die Verarbeitung Verantwortlichen, für den der Auftragsverarbeiter tätig ist, durchgeführten Verarbeitungstätigkeiten durchgeführt wurde.

Q154. SCENARIO
Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben:
T-Craze, ein in Deutschland ansässiges Unternehmen für Spezial-T-Shirts, verkaufte erfolgreich in großen deutschen Metropolen. Nach einer kürzlich erfolgten Fusion mit einem anderen in Deutschland ansässigen Unternehmen, das auf einem breiteren europäischen Markt tätig ist, hat T-Craze seine Marketingbemühungen überarbeitet, um ein breiteres Publikum anzusprechen. Zu diesen Bemühungen gehörte eine komplette Neugestaltung des Logos, um die kürzliche Fusion widerzuspiegeln, sowie Verbesserungen der Website, um durch die Verwendung von Cookies mehr Informationen über die Besucher zu erfassen.
T-Craze eröffnete außerdem verschiedene Niederlassungen in ganz Europa, um sein Geschäft zu erweitern. Während der Hauptsitz von T-Craze und das Hauptbüro für Produktdesign weiterhin in Deutschland angesiedelt sind, ist die französische Tochtergesellschaft für alle Marketing- und Vertriebsaktivitäten zuständig. Vor kurzem beauftragte die französische Tochtergesellschaft Right Target, ein renommiertes Marketingunternehmen mit Sitz auf den Philippinen, mit der Durchführung ihrer jüngsten Marketingkampagne. Nach gründlichen Untersuchungen stellte Right Target fest, dass T-Craze bei Kunden im Alter zwischen 18 und 22 Jahren am erfolgreichsten ist. Daher richtete sich die erste Kampagne an Universitätsstudenten in mehreren europäischen Hauptstädten, was T-Craze in einem Quartal fast 40% neue Kunden einbrachte. Right Target führte auch spätere Kampagnen für T-Craze durch, allerdings mit deutlich geringerem Erfolg.
Die letzten beiden Kampagnen bezogen sich auf eine breitere demografische Gruppe und führten zu unzähligen Abmeldeanfragen, darunter auch eine große Anzahl in Spanien. Die spanische Datenschutzbehörde erhielt sogar eine Beschwerde von Sofia, einer Investmentbankerin in der Mitte ihrer Laufbahn. Sofia war verärgert, nachdem sie eine Marketingmitteilung erhalten hatte, obwohl sie solche Mitteilungen von Right Target im Namen von T-Craze abbestellt hatte.
Welche der folgenden Stellen ist die federführende Aufsichtsbehörde von T-Craze?

Deutschland, denn dort hat T-Craze seinen Hauptsitz.

Frankreich, da T-Craze dort die Verarbeitung personenbezogener Daten durchführt.

Spanien, denn das ist der Hauptmarkt von T-Craze, wie die Marketingkampagnen zeigen.

T-Craze kann seine federführende Aufsichtsbehörde dort wählen, wo eine seiner Tochtergesellschaften ihren Sitz hat, da das Unternehmen in mehreren europäischen Ländern vertreten ist.

Q155. Unternehmen X hat Anbieter Y mit der Verarbeitung seiner Gehaltsabrechnungsdaten betraut.
Anbieter Y speichert diese verschlüsselten Daten auf seinem Server. Die IT-Abteilung von Anbieter Y stellt fest, dass es jemandem gelungen ist, sich in das System einzuhacken und eine Kopie der Daten von seinem Server zu nehmen. Wen hat Anbieter Y in diesem Fall zu benachrichtigen?

Die Öffentlichkeit

Unternehmen X

Strafverfolgung

Die Aufsichtsbehörde

Q156. SCENARIO
Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben:
Joe gründete die Gummy Bear Company im Jahr 2000 von seinem Haus in Vermont, USA aus.
Heute ist es ein milliardenschweres Süßwarenunternehmen, das auf allen Kontinenten tätig ist. Die gesamten IT-Server des Unternehmens befinden sich in Vermont. In diesem Jahr stellt Joe seinen Sohn Ben ein, der in das Unternehmen eintritt und das "Project Big" leitet, eine umfassende Marketingstrategie zur Verdreifachung des Bruttoumsatzes in nur fünf Jahren. Ben hat einen Doktortitel in Computersoftware von einer Spitzenuniversität erhalten. Ben beschließt, in das Unternehmen seines Vaters einzusteigen, arbeitet aber insgeheim auch an der Gründung einer neuen globalen Online-Dating-Website namens Ben Knows Best.
Ben weiß, dass die Gummy Bear Company Millionen von Kunden hat und glaubt, dass viele von ihnen auch daran interessiert sein könnten, ihren perfekten Partner zu finden. Für das Projekt Big gestaltet Ben das Online-Webportal des Unternehmens um und verlangt von Kunden in der Europäischen Union und anderswo zusätzliche persönliche Informationen, um Kunde zu bleiben. Projekt Ben beginnt mit der Sammlung von Daten über die philosophischen Überzeugungen, politischen Meinungen und den Familienstand der Kunden.
Wenn ein Kunde sich als Single ausweist, kopiert Ben alle persönlichen Daten dieses Kunden in eine separate Datenbank für Ben Knows Best. Ben glaubt, dass er nichts Falsches tut, weil er jeden Kunden ausdrücklich um seine Zustimmung bittet, indem er ihn auffordert, ein Kästchen anzukreuzen, bevor er seine Daten akzeptiert. Da es sich bei Project Big um ein wichtiges Projekt handelt, stellt das Unternehmen auch einen Studenten im ersten Jahr seines Informatikstudiums namens Sam ein, der Ben helfen soll.
Ben ruft aus und Sam stößt auf die Datenbank von Ben Knows Best. Sam plant, mit 10 seiner Freunde über den Frühlingsanfang nach Irland zu fahren, also kopiert er alle Kundeninformationen von Leuten, die in Irland wohnen, damit er und seine Freunde die Leute kontaktieren können, wenn sie in Irland sind.
Joe stellt auch die Tochter seines besten Freundes, Alice, ein, die gerade ihr Jurastudium in den USA abgeschlossen hat, um die neue Rechtsabteilung des Unternehmens zu leiten. Alice hat von der Datenschutz-Grundverordnung gehört und recherchiert deshalb darüber. Alice wendet sich an Joe und teilt ihm mit, dass sie verbindliche Unternehmensregeln ausgearbeitet hat, an die sich alle im Unternehmen halten müssen, da es für das Unternehmen wichtig ist, über einen rechtlichen Mechanismus für die interne Datenübermittlung von den Betrieben des Unternehmens in der Europäischen Union in die USA zu verfügen.
Joe ist der Meinung, dass Alice großartige Arbeit leistet, und teilt ihr mit, dass sie auch für die Bearbeitung einer großen Klage zuständig sein wird, die gegen das Unternehmen vor einem Bundesgericht in den USA eingereicht wurde. Um sich auf die Klage vorzubereiten, weist Alice die IT-Abteilung des Unternehmens an, Kopien der Computerfestplatten des gesamten weltweiten Vertriebsteams, einschließlich der Europäischen Union, anzufertigen und alles an sie zu schicken, damit sie die Informationen aller Mitarbeiter überprüfen kann. Alice ist davon überzeugt, dass Joe froh sein wird, dass sie die Überprüfung auf der ersten Ebene vorgenommen hat, da das Unternehmen dadurch viel Geld sparen kann, das es sonst an eine externe Anwaltskanzlei zahlen müsste.
Bei der Vorbereitung des Unternehmens auf die bevorstehende Klage verstieß die Anweisung von Alice an die IT-Abteilung des Unternehmens gegen Artikel 5 der Datenschutz-Grundverordnung, denn was hat das Unternehmen nicht zuerst getan?

Versendung von Einverständniserklärungen an alle Mitarbeiter.

Minimieren Sie die Menge der für die Klage gesammelten Daten.

alle Mitarbeiter über die Klage zu informieren.

Verschlüsseln Sie die Daten aller Ihrer Mitarbeiter.

Q157. Wie wird die Vorratsspeicherung von Kommunikationsverkehrsdaten zu Strafverfolgungszwecken im europäischen Datenschutzrecht behandelt?

Die Datenschutzrichtlinie für elektronische Kommunikation erlaubt es den einzelnen EU-Mitgliedstaaten, eine solche Datenspeicherung vorzunehmen.

Die Datenschutzrichtlinie für elektronische Kommunikation harmonisiert die Vorschriften der EU-Mitgliedstaaten zur Vorratsdatenspeicherung.

Durch die Aufhebung der Richtlinie über die Vorratsdatenspeicherung ist eine solche Datenspeicherung nun zulässig.

Die Datenschutz-Grundverordnung erlaubt die Speicherung solcher Daten nur zur Verhütung, Ermittlung, Feststellung oder Verfolgung von Straftaten.

Q158. Wie lautete das Haupturteil des Gerichtshofs der Europäischen Union (EuGH) in der Rechtssache Planet 49 zur Frage der Cookies?

Wenn die Cookies keine personenbezogenen Daten aufzeichnen, sind vorab angekreuzte Kästchen akzeptabel.

Wenn die Datenschutzrichtlinie für elektronische Kommunikation die Zustimmung zu Cookies vorschreibt, gelten die Zustimmungsanforderungen der Datenschutz-Grundverordnung.

Wenn aus dem Cookie-Hinweis einer Website klar hervorgeht, welche Informationen gesammelt werden und wie lange das Cookie gültig ist, dann sind vorab angekreuzte Kästchen akzeptabel.

Wenn eine betroffene Person nach dem Lesen eines Cookie-Banners weiter durch eine Website scrollt, stellt dies eine gültige Zustimmung zu dem im Cookie-Banner beschriebenen Tracking dar.

Q159. SCENARIO
Beantworten Sie bitte die nächste Frage anhand der folgenden Angaben:
Jack arbeitete als Pharmacovigiliance Operations Specialist in der irischen Niederlassung eines multinationalen Pharmaunternehmens an einer klinischen Studie zu COVID-19. Als Teil seines Einarbeitungsprozesses erhielt Jack eine Datenschutzschulung. Er wurde ausdrücklich darauf hingewiesen, dass er im Rahmen seiner Arbeit zwar vertrauliche Patientendaten verarbeiten muss, diese Daten aber unter keinen Umständen für andere Zwecke als die Durchführung arbeitsbezogener Aufgaben verwenden darf (fragt Dies wurde auch in der Datenschutzrichtlinie festgelegt, die Jack nach Abschluss der Schulung unterzeichnete.
Nach einigen Monaten der Beschäftigung geriet Jack am Telefon in einen Streit mit einem Patienten. Aus Wut postete er später den Namen und die Herddaten des Patienten zusammen mit abfälligen Kommentaren auf einer Social-Media-Website. Als dies von seinen Pharmakovigilanz-Vorgesetzten entdeckt wurde. Jack wurde sofort entlassen. Jacks Anwalt schickte ein Schreiben an das Unternehmen, in dem er erklärte, dass die Entlassung eine unverhältnismäßige Sanktion sei und dass seine Kanzlei keine andere Wahl hätte, als gerichtlich gegen das Unternehmen vorzugehen, wenn Jack nicht innerhalb von 14 Tagen wieder eingestellt würde. Diesem Schreiben war ein Antrag auf Datenzugang von Jack beigefügt, in dem er um eine Kopie "aller personenbezogenen Daten, einschließlich interner E-Mails, die von Jack gesendet/empfangen wurden oder deren Inhalt Jack direkt oder indirekt identifizierbar macht" bat. In Bezug auf die E-Mails nannte Jack sechs Mitglieder des Managementteams, auf deren Posteingänge er Zugriff begehrte.
Wie sollte das Unternehmen auf Jacks Antrag auf Vergessenwerden reagieren?

Das Unternehmen sollte die Daten zu diesem Zeitpunkt nicht löschen, da dies zur Abwehr einer Klage wegen ungerechtfertigter Entlassung erforderlich sein könnte.

Das Unternehmen sollte alle Daten über Jack unverzüglich löschen, da das Recht auf Vergessenwerden ein absolutes Recht ist.

Das Unternehmen sollte geltend machen, dass das Recht auf Vergessenwerden für sie nicht gilt, da nur ein Bruchteil ihrer weltweiten Belegschaft in der Europäischen Union ansässig ist.

Das Unternehmen sollte sicherstellen, dass die Daten außerhalb der Europäischen Union gespeichert werden, damit das Recht auf Vergessenwerden gemäß der Datenschutz-Grundverordnung nicht zur Anwendung kommt.

Q160. Was muss eine schriftliche Vereinbarung zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter in Bezug auf die Verarbeitung im Auftrag des für die Verarbeitung Verantwortlichen enthalten?

Verpflichtung des Auftragsverarbeiters, dem für die Verarbeitung Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten innerhalb von 72 Stunden zu melden.

Die Verpflichtung beider Parteien, jede schwerwiegende Verletzung des Schutzes personenbezogener Daten der Aufsichtsbehörde zu melden.

Die Verpflichtung beider Parteien, einer Beendigung des Vertrags zuzustimmen, wenn die andere Partei für eine Verletzung des Schutzes personenbezogener Daten verantwortlich ist.

Verpflichtung des Auftragsverarbeiters, den für die Verarbeitung Verantwortlichen bei der Erfüllung seiner Pflichten zur Benachrichtigung der Aufsichtsbehörde über Verletzungen des Schutzes personenbezogener Daten zu unterstützen.

Q161. Wer außer der Europäischen Kommission kann Standardvertragsklauseln annehmen, sofern alle erforderlichen Bedingungen erfüllt sind?

Zugelassene für die Datenverarbeitung Verantwortliche.

Der Rat der Europäischen Union.

Nationale Datenschutzbehörden.