1.Welche Daten werden von der DSGVO und dem BDSG geschützt? —> 1
a) Daten aller natürlichen Personen
b) Personenbezogene Daten
2.Was trifft auf das Recht auf informationelle Selbstbestimmung zu? —> Art. 1
a) Jede Person kann selbst entscheiden, welche Daten sie von sich in welchem Umfang preisgibt.
3.Was soll in erster Linie mit der DSGVO erreicht werden? —> Art. 1
a) Schutz von Daten gegen missbräuchliche Verwendung
b) Schutz der Persönlichkeitsrechte wie z.B. Recht auf informationelle Selbstbestimmung
c) Stärkung der Rechte der Betroffenen
d) Vereinheitlichung des DS in der gesamten EU bei der Verarbeitung personenbezogener Daten durch die DSGVO
4.Öffnungsklauseln…
a) ermöglichen es den Mitgliedsstaaten der EU, die DSGVO um eigene erlassene Datenschutzvorschriften zu ergänzen
5.Die DSGVO…
a) enthält Öffnungsklauseln, die es den Mitgliedsstaaten möglich machen, die DSGVO um eigene erlassene Datenschutzvorschriften zu ergänzen
b) gilt in den Mitgliedsstaaten unmittelbar
c) gilt auch für Unternehmen außerhalb der EU und auch ohne Niederlassung in der EU, wenn sie Daten von EU-Bürgern verarbeiten
6.Die DSGVO.. —> Art. 3, 37, § 38
a) gilt in allen EU-Mitgliedsstaaten
b) gilt für alle Unternehmen mit Sitz in der EU. Und wenn dort mehr als 20 Personen mit automatisierter Verarbeitung personenbezogener Daten zu tun haben, muss sogar ein DSB bestellt werden
7.Gilt für ein Unternehmen mit Sitz in Texas - ohne Niederlassung in der EU - auch die DSGVO, wenn es Daten von EU-Bürgern erhebt? —> Art. 3, 10
a) Nur, wenn der Verantwortliche oder Auftragsverarbeiter in seiner Kerntätigkeit umfangreich besondere Kategorien von Daten oder personenbezogene Daten über strafrechtliche Verurteilung/Straftaten verarbeitet, dann trifft das auch auf ein US-Unternehmen zu
8.Für welche Stellen gilt die DSGVO nicht, obwohl sie personenbezogene Daten verarbeiten? —> Art. 2,3
a) Die Beiträge einer Bloggerin im Internet, wobei sie über private Grillpartys berichtet
9.Die DSGVO gilt ebenfalls … —> Art. 2,3,6
a) für Unternehmen außerhalb der EU, sofern sie EU-Bürgern ihre Dienstleistungen anbieten
b) für sämtliche Vereine
c) wenn das Leben des Betroffenen gefährdet ist, siehe Art. 6
10.Versteht man unter dem Marktortprinzip die Erweiterung des räumlichen Anwendungsbereiches des DV-Rechts in der Weise, dass Stellen, die personenbezogene Daten verarbeiten, auch dann an die DSGVO gebunden sind, wenn sie nicht in der EU anlässig/vertreten sind, sofern sich ihr Angebot an den europäischen Markt richtet? —> Art. 3
a) Ja
11.Welche Prinzipien werden in Art. 3 geregelt? —> Art. 3
a) Das Niederlassungsprinzip
b) Das Marktortprinzip
12.Anonymisierte Daten … —> EG 26
a) fallen nicht in den Schutzbereich der DSGVO
13.Was ist Anonymisieren von Daten? —> EG 26
a) Daten werden so verändert, dass sie nur mit hohem Aufwand einer natürlichen Person zugeordnet werden können. Es besteht dann kein Personenbezug mehr
14.Wer kann Betroffener im Sinne der DSGVO und des BDSG sein? —> Art. 4
a) Eine identifizierte oder identifzierbare natürliche Person
15.Was sind personenbezogene Daten? —> Art. 4
a) Angaben einer Person wie z.B. Name, Muttermale, Narben, Bankverbindung etc.
b) Angaben über eine identifizierte /identifizierbare natürliche Person
c) Informationen, auf deren Grundlage man auf eine identifizierbare Person schließen könnte
16.Was ist automatisierte Verarbeitung? —> Art. 4
a) Erhebung, Verarbeitung und Verwendung personenbezogener Daten unter Einsatz einer Datenverarbeitungsanlage
17.Was beinhaltet der Begriff “Verarbeitung” von personenbezogenen Daten? —> Art. 4
a) Erheben von personenbezogenen Daten
b) Erfassen von personenbezogenen Daten
c) Ordnen von pD
d) Speichern von pD
e) Anpassen oder Verändern von pD
f) Auslesen und Abfragen von pD
g) Offenlegung von pD
h) Einschränkung von pD
i) Löschen von pD
18.Was bedeutet Pseudonymisieren? —> Art. 4
a) Es werden nicht Vor- und Nachname angezeigt, dafür aber ein nickname
b) Name oder andere Identifikationsmerkmale werden durch Kennzeichen ersetzt
c) Der Betroffene beurteilt seine schlechte Hautärztin online und gibt seinen nickname an
d) Verarbeitung der Daten in der Weise, dass sie ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer bestimmten Person zugeordnet werden können
19.Ein gutes Beispiel für Pseudonymisierung wäre z.B. .. —> Art. 4
a) die Emailadresse 0815@gmx.de
b) die Personalnummer 8763
20.Um welche Art Zwischenfall handelt es sich, wenn bei einer Datensicherung zwar personenbezogene, aber keine besonders sensible Daten verlustig gehen? —> Art. 4
a) Hier wurde der Schutz personenbezogener Daten verletzt
21.In einem Unternehmen trägt die DS-Verantwortung? … —> Art. 4, 5
a) der Verantwortliche
b) der Geschäftsführer, er ist der Veranwortliche, weil er die umfangreichsten Befugnisse hat
22.Welche Gesetze/Verträge zum Datenschutz müssen Sicherheitsunternehmen und ihre Mitarbeiter beachten?
a) DSVO und BDSG
b) Bewachungsvertrag
c) Mitarbeiter eines Security-Unternehmens müssen sich an DS-Bestimmungen halten wie alle anderen Personen auch, die Umgang mit personenbezogenen Daten haben
23.Welche Aussage sind im folgenden Fall korrekt? Ein von einem Online-Händler verwendeter Cookie sammelt alle erdenklichen technischen Daten ohne dabei die Zustimmung der Kunden zu besitzen? —> Art. 2,7
a) Auch hier haben die Betroffenen das Recht auf Transparenz und Widerruf der gespeicherten Daten des Cookies
b) Die DSGVo gilt im Online- und Offline-Bereich
24.Das “White-List-Verfahren” besagt, dass..
a) alles verboten ist, was nicht ausdrücklich erlaubt ist
25.Das “Black-List-Verfahren” besagt, dass.
a) Alles erlaubt ist, was nicht ausdrücklich verboten ist
26.Was ist eine nicht-öffentliche Stelle?
a) Natürliche Personen
b) Juristische Personen wie AGs und GmbHs
27.Was sind öffentliche Stellen?
a) Sämtliche Behörden und Ämter
b) Gerichte, Polizeidienststellen
28.Was trifft auf juristische Personen zu?
a) Sie sind weder durch die DSGVO noch das BDSG geschützt, müssen aber die DS-Bestimmungen einhalten
b) Es handelt sich meist um juristische Personen wie AGs und GmbHs etc.
29.Die Verarbeitung personenbezogener Daten erfolgt nach den Grundsätzen .. —> Art. 5
a) von Treu und Glauben
b) von Zweckbindung, Richtigkeit, Integrität und Vertraulichkeit
c) von Rechtmäßigkeit, Transparenz und Speicherbegrenzung
30.Datenminimierung bedeutet, dass … —> Art. 5
a) nur so viele Daten erhoben werden wie es für den Zweck nötig ist
b) die erhobenen Daten dann im Weiteren möglichst reduziert bzw. anonymisiert / pseudonymisiert werden sollen
c) die zu verarbeitenden Daten auf ein notwendiges Maß beschränkt werden sollten
31.Unter Transparenz versteht die DSVGO, dass .. —> Art. 5
a) die Verarbeitung der personenbezogenen Daten für den Betroffenen nachvollziehbar ist
32.Was hat sich in Bezug auf die Rechenschaftspflicht nach Art. 5 geändert? —> Art. 5
a) Die Beweislast liegt jetzt beim Verantwortlichen
b) der Verantwortliche muss die Bestimmungen der DSGVO nicht nur einhalten, sondern auch deren Befolgung nachweisen können, was mit zusätzlichem Dokumentationsaufwand verbunden ist
33.Was trifft auf natürliche Personen zu? —> Art. 5
a) Durch die Geburt wird man eine natürliche Person
b) Die DSGVO schützt auch das Recht auf informationelle Selbstbestimmung natürlicher Personen
34.Wie müssen personenbezogene Daten gesichert werden ? —> Art. 5, 32
a) Nach den Vorschriften der DSGVO und des BDSG
b) Gegen den unbefugten Zugriff Dritter
35.Unter Datenschutz versteht man … —> Art. 5
a) alle Maßnahmen zum Schutz von Daten vor missbräuchlicher Verwendung
b) auch das Beinhalten des Schutzes des Rechts auf informationelle Selbstbestimmung
36.Unter dem Datengeheimnis versteht man, dass… —> Art. 5 § 53
a) Personen, die Umgang mit personenbezogenen Daten haben, diese nicht unbefugt verwenden dürfen
37.Die Rechtmäßigkeit der Verarbeitung nach Art. 6 ist nicht gegeben in folgenden Fällen: —> Art. 6
a) Interesse an einer Werbeaktion durch direktes Anschreiben
b) Ohne Einwilligung des Betroffenen
38.Datenerhebung unter Erlaubnisvorbehalt bedeutet, dass… —> Art. 6,9
a) Das Erheben von personenbezogenen Daten im Prinzip verboten ist
b) die Verarbeitung nur rechtmäßig ist, wenn der Betroffene eingewilligt hat oder das Gesetz die Verarbeitung ausdrücklich erlaubt
39.Was ist bei Videoüberwachung in der Öffentluchkeit zu beachten? —> Art. 6, § 4
a) Betroffene müssen auf die Kameraüberwachung hingewiesen werden
b) Die Überwachung der Eingangstür einer öffentlichen Toilette ist statthaft, sofern dies von außen geschieht
40.Bei welcher Situtation ist eine Kameraüberwachung erlaubt? —> Art. 6, § 4
a) Überwachung eigene Wohnungseingangstür
b) Einfahrt Betriebsgelände
c) die Verwendung so gewonnener Daten ist dann erlaubt, wenn dies der Verfolgung von Straftaten oder der Abwehr von Gefahren für die öffentliche Sicherheit dient
41.Was ist bei einer systematischen Videoüberwachung zu beachten? —> Art. 6, 35
a) Vorher muss eine Datenschutz-Folgeabschätzung erfolgen
b) Ein vorhandener BR/Personalrat muss vorher angehört werden
c) Eine Videoüberwachung von Toiletten und deren Vorräumen ist nicht zulässig
42.Dürfen alte Einwilligungen vor Inkraftreten der DSGVO noch verwendet werden? —> Art. 7
a) Es muss untersucht werden, ob die alten Einwilligungen den neuen Anforderungen der DSGVO entsprechen. Wenn sie das tun, haben sie weiterhin Gültigkeit
43.Was trifft auf das Double-Opt-In-Verfahren zu? —> Art. 7
a) Für das Beziehen z.B. eines Newsletters darf die Einwilligung zur Datenspeicherung nicht an andere Angebote oder Verträge gekoppelt werden (sog. Kopplungsverbot)
b) Beim Double-Opt-In-Verfahren erhält der Betroffene vom Anbieter nach Eingabe seiner Daten (bis dahin: Single-Opt-In) einen Bestätigungslink an seine von ihm angegebene Emailadresse. Erst durch das weitere aktive Bestätigen der Angabe aus dem Link wird aus dem Single-Opt-In-Verfahren das Double-Opt-In-Verfahren
c) Die Einwilligung zur Verarbeitung muss freiwillig und transparent sein und ist durch die Mehrfach-Aktion des Einwilligenden als ausdrückliches Handeln zu verstehen
44.Wie ist der Betroffene über die Verarbeitung seiner personenbezogenen Daten zu informieren? —> Art. 7, 12
a) In verständlicher und leicht zugänglicher Form
b) In klarer und einfacher Sprache
c) Schriftlich oder in anderer Form, auch elektronisch, auf Verlangen auch mündlich
d) Präzise und transparent
45.Wie regelt die DSGVO die Einwilligung eines Kindes? —> Art. 8
a) Die Einwilligung durch die Erziehungsberechtigten ist nötig, wenn das Kind unter 16 Jahre alt ist
b) Die Einwilligung von Kindern über 16 Jahren ist dann gültig, wenn sie Dienste nutzen, die ihnen als Kind direkt angeboten werden
46.Was sind besondere Kategorien personenbezogener Daten? —> Art. 9
a) Krankheiten
b) Religionszugehörigkeit
c) Gewerkschaftszugehörigkeit
d) biometrische und genetische Daten
47.Welche Aussagen treffen auf besondere Kategorien personenbezogener Daten zu? —> Art. 9
a) Es gibt dafür einen eigenen Erlaubnistatbestand in Art. 9
48.Ein Mitarbeiter darf nach Verlassen des Unternehmens Geschäftsgeheimnisse verraten… —> § 53
a) niemals
49.Die Einwilligung der betroffenen Person für die Verarbeitung personenbezogener Daten muss eingeholt werden… —> Art. 12,13,14
a) vor der DV
b) nachdem der Zweck dargelegt und bevor die Daten verarbeitet werden
c) spätestens innerhalb eines Monats bei nicht direkter Datenerhebung beim Betroffenen
50.Der Betroffene muss benachrichtigt oder gefragt werden… —> Art. 12 ff.
a) wenn es zur weiteren Verwendung der Daten diese an einen Subunternehmer weitergeleitet werden sollen
b) Bei der Aufnahme der Bankverbindung des Bestellers zum Lastschrifteinzug bei einer Online-Bestellung
51.Welche Rechte haben Betroffene? —> Art. 12 ff
a) ggf. Schadensersatz bei Verletzung ihrer Rechte
b) Recht auf Benachrichtung bei erstmaliger Datenspeicherung
c) Recht auf Auskunft
d) Recht auf Datenübertragbarkeit
e) Recht auf Einschränkung der Verarbeitung
f) Berichtigung von nachweislich unrichtigen personenenbezogenen Daten
g) Recht auf Auskunft darüber, an welche Personen(kategorien) die Daten weitergegeben wurden
h) Recht auf Vergessenwerden
i) Widerspruchsrecht
52.Ihnen liegt die schriftliche Einwilligung des Betroffenen zur Datenerhebung gem. Art. 13 vor. Was ist nötig, damit die Einwilligung auch formal-juristisch nicht zu beanstanden ist? —> Art. 13
a) der Betroffene ist schriftlich darauf hinzuweisen, dass er jederzeit widerrufen darf
b) Der Betroffene ist auf die Zwecke der personenbezogenen DV sowie auf die Rechtsgrundlage für die Verarbrietung hinzuweisen
53.Dem Betroffenen müssen bei seiner Einwilligung nach Art. 7 mitgeteilt werden … —> Art. 13
a) der Name und die Kontaktdaten des Verantwortlichen
b) Der Zweck der Verarbeitung der Daten und die Rechtsgrundlage der Verarbeitung
c) seine Betroffenenrechte und Informationen über die Speicherungsdauer
54.Dem Betroffenen gegenüber müssen bei seiner Einwilligung nach Art. 7 zusätzlicher Informationspflichten eingehalten werden, … —> Art. 13
a) wenn die Verarbeitung aufgrund des berechtigten Interesses des Verantwortlichen/Dritten nach Art. 6 f erfolgt
b) bei einer Zweckänderung
c) bei einer automatisierten Entscheidungsfindung incl. Profiling
55.Es ist nicht notwendig, den Betroffenen über die Datenerhebung explizit zu informieren, … —> Art. 13
a) Sofern der Betroffene bereits über die Information der Erhebung seiner Daten verfügt
56.Was trifft auf den DSB zu? —> Art. 13,14,37
a) Sofern ein DSB bestellt wurden, müssen seine Kontaktdaten veröffentlicht werden
57.Dem Betroffenen muss bei der Erhebung seiner Daten über Dritte mitgeteilt werden … —> Art. 14
a) aus welcher Quelle die Daten stammen und ob sie ggf. öffentlich zugänglich waren
58.Wenn der Verantwortliche von jemandem keine personenbezogene Daten besitzt und die betroffene Person von ihm Auskunft darüber verlangt, ob er Daten von ihr gespeichert hat, ist er dann verpflichtet, quasi eine Nullmeldung zu machen? —> Art. 15
a) Der Verantwortliche ist dazu verpflichtet, Auskunft darüber zu geben - selbst wenn er keine Daten von der betroffenen Person vorhält
59.Wie sollte mit Daten verfahren werden, wenn ihre Richtigkeit strittig ist? —> Ar.t 18
a) Die Verarbeitung muss eingeschränkt werden. Das heißt im Klartext: DIe Daten sind zu sperren
60.Welche Aussagen treffen auf die Einschränkung der Verarbeitung (Sperren) von personenbezogenen Daten zu? —> Art. 18
a) Gesperrte Daten dürfen nur in besonderen Situationen übermittelt werden
b) Gesperrte Daten dürfen gespeichert werden
61.Ist es erforderlich, ein Datenschutz-Managementsystem einzuführen, um der Rechenschaftspflicht des Unternehmens nachzukommen? —> Art. 24
62.Was bedeutet “data protection by default? —> Art. 25
a) Der Verantwortliche muss interne Strategien bestimmen und Maßnahmen ergreifen, um den Datenschutzgrundsätzen durch datenschutzfreundliche Voreinstellungen zu entsprechen
63.Was bedeutet “data protection by design? —> Art. 25
a) Der Verantwortliche muss interne Strategien bestimmen und Maßnahmen ergreifen, um den Datenschutzgrundsätzen durch Technik zu entsprechen
64.Können innerhalb eines Unternehmens zwei Niederlassungen als gemeinsam Verantwortliche aktiv sein? —> Art. 26
a) Ja, aber nur dann, wenn die Vereinbarung transparent darlegt, welche Niederlassung welche Verpflichtungen erfüllt
65.Verantwortlich für die Rechtmäßigkeit einer im Auftrag durchgeführten Verarbeitung personenbezogener Daten ist .. —> Art. 28
66.Wo liegt der Unterschied zwischen Auftragsverarbeitung und Auftragsdatenverarbeitung? —> Art. 28
a) Auftragsverarbeitung wird aufgrund schriftlicher vertraglicher Vereinbarungen von einem Auftragsverarbeiter für einen Verantwortlichen im Auftrag nach Maßgabe des DS-Rechts durchgeführt
b) Es gibt keinen, früher hieß es Auftragsdatenverarbeitung
67.Gibt es einen Unterschied zwischen den Begriffen “Dritter” und “Auftragverarbeiter”?
a) Ein Auftragsverarbeiter ist immer weisungsgebunden. Und ein Dritter könnte z.B. eine Bank oder ein Postamt sein, das für die Zustellung oder die Bearbeitung irgendwelcher Unterlagen personenbezogener Daten benötigt, weshalb hier eine Weiterleitung der Daten an den Dritten nötig sit
68.Bei welcher Datenpanne müssen unbedingt die Betroffenen benachrichtigt werden? —> Art. 28, 34
a) Der AV hatte personenbezogene Daten auf einem Server verarbeitet, jedoch vergessen, einen Vertrag über die Auftragsverarbeitung mit dem Verantwortlichen abzuschließen
69.Ein Auftragsverarbeiter nach Art. 28 —> Art. 28, 82
a) muss einen AV-Vertrag unterzeichnen
b) haftet für seine AV ggf. gegenüber dem Betroffenen, denn es gelten Art. 28 und 82
c) darf seinerseits einen Subunternehmer als Unter-Auftragsverarbeiter im Zustimmung des Verantwortlichen verpflichten
70.Wenn die Daten durch einen Auftagsverarbeiter verarbeitet wurden, kann der Betroffene seine Rechte geltend machen gegenüber .. —> Art. 28,82
a) Dem Verantwortlichen
b) dem Auftragsverarbeiter
71.Das Verzeichnis der Verarbeitungstätigkeiten wird erstellt … —> Art. 30
a) vom Verantwortlichen
72.Unter Datensicherheit versteht man .. —> Art. 32
a) alle Maßnahmen zum Schutz von Daten vor Verlust, Zerstörung und Verfälschung
b) Auch Maßnahmen zur Verhinderung von Datenverlust durch Staub und Alterung
73.Daten werden optimal gesichert …—> Art. 32
a) durch das Abspeichern verschlüssselter Sicherheitskopien
b) durch das Verschließen in einen Datenschutztresor
74.Welche Schutzziele der DSGVO werden mit technischen Maßnahmen verfolgt? —> Arrt. 32
a) Vertraulichkeit
b) Integrität
c) Verfügbarkeit
75.Was ist der technisch-organisatorischen Maßnahmen unter dem Aspekt der Risiko-Angemessenheit zu berücksichtigen? —> Art. 32, §71
a) Stand der Technik und Implementierungskosten
b) Der risikobasierte Ansatz ( Eintrittswahrscheinlichkeit und Schwere des Risikos für den Betroffenen)
76.Was bedeuten Zugangs- und Zutrittskontrolle? —> Art. 32
a) Unbefugten keinen Zutritt zu DV-Anlagen zu gewähren, mit denen personenbezogene Daten verarbeitet werden
78.Durch den Fehler einer Arzthelferin sind Patientendaten (Name, Adresse, Geburtsdatum) einer Beratungsstelle für Geschlechtskrankheiten im Internet für alle Internetnutzer sichtbar. Wie muss sich der Verantwortliche verhalten? —> Art. 33
a) Er meldet den Vorfall der Aufsichtsbehörde unverzüglich innerhalb von 24 Stunden nach Kenntnis
b) Er kann den Vorfall auch nach 72 Stunden der Aufsichtsbehörde melden, wenn es dafür einen triftigen Grund gibt und eine Begründung beigefügt wird
77.In welchem der beiden Fällen haben wir es mit einer Verletzung des Schutzes personenbezogener Daten zu tun? —-> Art. 32
a) Die unbeabsichtigte oder unrechtmäßige Vernichtung, Veränderung oder unbefugte Offenlegung von personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden, ist eindeutig eine Verletzung des Schutzes personenbezogener Daten
79.In welchem Zeitraum ist die Aufsichtsbehörde über die Verletzung des Schutzes von personenbezogenen Daten zu informieren? —> Art. 33, § 65
a) die Meldung hat möglichst innerhalb von 72 Stunden nach der Kenntnis der Schutzverletzung zu erfolgen, sofern dadurch wahrscheinlich ein Risiko für die Rechte /Freiheiten der Betroffenen besteht
b) Die Meldung kann auch nach Ablauf der 72 Stunden erfolgen, wenn es für die Verzögerung bei der Meldung eine beigefügte Begründung gibt
80.Ein IT-MA nimmt einen USB-Stick mit sensiblen Daten mit ins Home-Office. Es muss über diesen Vorfall informiert werden … —> Art. 34
a) jede betroffene Person
81.Bei Datenpannen mit sensiblen personenbezogenen Daten muss dies gemeldet werden … —> Art. 33
a) der Aufsichtsbehörde
82.Welche Angaben müssen nach Art. 33 gemeldet werden ? —> Art. 33
a) Name und Kontaktdaten des DSB / einer anderen Anlaufstelle für weitere Infos
b) Beschreibung der möglichen Folgen der Schutzverletzung personenbezogener Daten
c) Beschreibung der Art der Schutzverletzung, nach Möglichkeit mit Angabe der Kategorien und ca. Anzahl der Betroffenen sowie Angaben der Kategorien und ca. Anzahl der betroffenen personenbezogenen Datensätze
d) Beschreibung der vom Verantwortlichen ergriffenen / vorgeschlagenen Behebungsmaßnahmen und ggf. Auswirkungsabmilderungsmaßnahmen
83.Der Betroffene ist bei einer Datenpanne unverzüglich zu informieren .. —> Ar.t 34
a) wenn die Datenpanne ein hohes Risiko für den Betroffenen birgt
84.Wenn ein Dienstleistungsunternehmen eine neue organisatorische Maßnahme mit Bezug auf die Verarbeitung personenbezogener Daten plant, die mit einer neuen Technologie verbunden ist, was verlangt dann die DSGVO ? —> Art. 35
a) Es ist eine DS-Folgeabschätzung zur Bewertung der Risiken durchzuführen, die mit dem neuen Verfahren verbunden sein können
85.Was ist laut DSGVO eine Datenschutzfolgeabschätzung? —> Art. 35
a) Der Verantwortliche muss vor Beginn einer DV die möglichen Folgen abschätzen und dies auch dokumentieren
b) Ein Prozess, um mögliche Risiken für die Rechte und die Freiheit betroffener Personen zu identifizieren und zu bewerten
86.Ist es möglich, dass aus Erleichterungsgründen ein Unternehmen für seine Filialen einen gemeinsamen DSB bestimmt, sofern dieser von jeder Niederlassung aus leicht erreicht werden kann ? —> Art. 37
87.Wenn bei einer Datenschutzfolgeabschätzung herauskommt, dass ein erhebliches - vom Verantwortlichen nicht lösbarer - Risiko für den Betroffenen besteht, was muss dann auf jeden Fall unternommen werden? —> Art. 35, 36
a) Der Verantwortliche muss unbedingt die Aufsichtsbehörde konsultieren
88.Gibt es weiterhin nach der DSGVO gewisse Qualifikationsanforderungen für den DSB ? —> Art. 37, 38
a) Nach Art. 37 wird der DSB aufgrund seiner beruflichen Qualifikation bzw. seines Fachwissens benannt, das er sich auf dem Gebiet des DS ( auch durch die Praxis) aneignen konnte sowie aufgrund seiner Fähigkeiten zur Erfüllung seiner Aufgaben, die sich wiederum aus Art. 39 ergeben
b) Jeder geeignete MA kann zum DSB ernannt werden, solange keine Interessenkonflikte bestehen
89.Gemäß DSGVO ist ein DSB zu benennnen … —> Art. 37
a) wenn der Verantwortliche oder Auftragsverarbeiter in seiner Kerntätigkeit umfangreich besondere Kategorien von Daten oder personenbezogene Daten über strafrechtluche Verurteilungen /Straftraten verarbeitet
b) wenn der Verantwortliche oder Auftragsverarbeiter in seiner Kerntätigkeit Verarbeitungsvorgänge durchgeführt, die von Art, Umfangs und / oder Zweck eine umfangreiche und systematische Überwachung von betroffenen Person notwendig machen
90.Gemäß BDSG ist ein DSB zu benennen, … —-> § 38
a) bei nicht-öffentlichen Stellen mindestens 20 Personen personenbezogene Daten automatisiert verarbeiten
b) generell bei öffentlichen Stellen, die personenbezogene Daten verarbeiten
c) beim Jobcenter mit 40 Mitarbeitern, von denen nur 5 MA personenbezogene Daten automatisiert verarbeiten
91.Welche Stellen müssen einen DSB bennen? —> § 38
a) Eine Ingenieurbüro mit 20 Mitarbeitern, die alle Umgang mit automatisierter Verarbeitung von personenbezogenen Daten haben
b) Das Planfeststellungsamt mit 40 Mitarbeitern, bei dem nur 5 MA Umgang mit der automatisierten Verarbeitung von personenbezogenen Daten haen
92.Wie ist der Kündigungsschutz des betrieblichen DSB geregelt? —> § 6, 38
a) Er ist weiterhin über das BDSG gesichert, sofern für den Verantwortlichen eine Pflicht besteht, einen DSB zu bestellen
93.Kann der interne DSB vom Verantwortlichen durch einen externen DSB ersetzt werden? —> § 6, 38
a) Der interne DSB muss zuvor abberufen werden, dazu müsste es aber einen wichtigen Grund geben. Ein Wechsel vom internen zum externen DSB wäre nur eine Frage der Organisation und stellt keinen wichtigen Grund für die Abberufung des internen DSB dar
94.Unter Weisungsfreiheit/Weisungsrecht des DSB wird verstanden, dass… —> Art. 38
a) der DSB auf dem Gebiet des Datenschutzes bei der Erfüllung seiner Aufgaben/Fachkunde weisungsfrei ist
95.Die Aufgaben des DSB bestehen auch darin, dass er… —> Art. 39
a) zur Kontrolle die Personalakten von Mitarbeitern auch ohne deren Einverständnis einsieht.
b) Betriebsstätten/Filialen vor Ort besichtigt.
c) Ortsbegehungen durchführt
96.Für welche Themen sollten Mitarbeiter eines Unternehmens in einer Datenschutz-Basisschulung sensibilisiert werden? —> § 39
a) Verbot mit Erlaubnisvorbehalt
b) Notwendigkeit der Datensparsamkeit
97.Welche Punkte sollte der Jahresbericht des DSB zur Information der Geschäftsleitung/des Verantwortlichen beinhalten? —> Art. 39, § 15 für BDSG
a) Anfragen von Aufsichtsbehörden
b) Akutelle Sachstandmeldungen
c) Beschwerden von betroffenen Personen
98.Welche Aufgaben sind typisch für einen DSB? —> Art. 39
a) Er verbessert die Schutzmaßnahmen, um Daten vor unberechtigtem Zugriff zu schützen
b) Er kontrolliert die Einhaltung der DS-Schutzmaßnahmen
99.Ein Angemessenheitsbeschluss ist… —> Art. 45
a) Ein Beschluss der EU-Kommission, dass ein Drittland über ein angemessenes DS-Niveau verfügen muss, was mindestens alle 4 Jahre überprüft wird.
100.Bei der Übermittlung personenbezogener Daten an Empfänger innerhalb der EU ist zu beachten, dass … —> Art. 6, nicht Art. 45, 46
a) Es nur eines allgemeinen Erlaubnistatbestandes bedarf, siehe dazu Art. 6
101.Geeignete Garantien, auf deren Grundlage eine Datenübermittlung personenbezogener Daten erfolgen könnte, sind … —-> Art. 46, 47
a) verbindliche interne DS-Vorschriften, siehe auch Art. 47.
b) Standard-DS-Klauseln gemäß Prüfverfahren nach Art. 93 (2)
c) genehmige Verhaltensregeln gemäß Art. 40 oder genehmigte Zertifizierungen gemä0 Art. 42.
d) Vertragsklausel nach Art. 46.
102.Die Datenübermittlung an Drittländer darf ausnahmsweise erfolgen, auch ohne Angemessenheitsbeschluss oder geeignete Garantien, wenn … —> Art. 49
a) eine ausdrückliche Einwilligung der betroffenen Person vorliegt, nachdem sie über die besonderen Risiken der Datenübermittlung ohne Angemessenheitsbeschluss/Garantie aufgeklärt wurde.
b) die Übermittlung für die Erfüllung eines Vertrages zwischen der betroffenen Person und dem Veranwortlichen oder für vorvertragliche Maßnahmen auf Antrag des Betroffenen notwendig ist
c) die Übermittlung zur Erfüllung eines Vertrages im Interesse des Betroffenen notwendig ist
d) die Übermittlung aus wichtigen Gründen des öffentlichen Interesses notwendig ist
e) die Übermittlung zum Schutz lebenswichtiger Interessen des Betroffenen oder einer einzelnen Person notwendig ist
103.Welche Besonderheiten ergeben sich bei der Übermittlung personenbezogener Daten an Empfänger in einem Drittland (außerhalv der EU)? —> Art. 49
a) Es bedarf sowohl eines allgemeinen Erlaubnistatbestandes als auch eines Erlaubnistatbestandes für die Übermittlung der Daten in ein Drittland
104.Es muss EU-weit in jedem Mitgliedstaat mindestens … —> Art. 51
a) eine Aufsichtsbehörde geben
105.Welche Aufgaben fallen in den Zuständigkeitsbereich der Aufsichtsbehörde? —> Art. 57, 59
a) Sensibilisierung und Aufklärung der Öffentlichkeit über Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung
b) Sensibilisierung der Verantwortlichen und Auftragsverarbeiter
c) Beratung des nationalen Parlaments, der Regierung und anderer Einrichtungen
d) Befassung mit Beschwerden u.a. von betroffenen Personen und Information des Beschwerdeführers über den Verfahrensstand, sogar Bereitstellung von Beschwerdeformularen
e) Zusammenarbeit mit anderen Aufsichtsbehörden
f) Genehmigung von Vertragsklauseln
g) Führung von internen Verzeichnisssen über Verstöße
h) Erstellung eines jährlichen Tätigkeitsberichts
106.Welche Verpflichtungen bestehen für die EU-Mitgliedsstaaten in Bezug auf ihre Aufsichtsbehörden? —> Art. 51, 52
a) Es muss pro Mitgliedstaat mindestens eine Aufsichtsbehörde errichtet werden
b) Es ist dafür zu sorgen, dass die Aufsichtsbehörde unabhängig sind
c) Die Aufsichtsbehörden müssen personell, technisch und finanziell ausreichend ausgestattet werden, um ihre Aufgaben effektiv wahrnehmen zu können
107.Welche Befugnisse haben Datenschutzbehörden? —> Art. 58
a) Untersuchungsbefugnisse
b) Abhilfebefugnisse
c) Genehmigungs- und Beratungsbefugnisse
108.Was ist besonders bei der Regelung von Haftung und Schadensersatz in der DSGVO? —> Art. 82
a) Es können nicht nur materielle, sondern auch immaterielle Schäden geltend gemacht werden
b) Es gibt eine Beweislastumkehr. Jetzt müssen die Verantwortlichen/Auftragsverarbeiter nachweisen, dass ihnen kein Fehlverhalten angelastet werden kann, das war vorher anders geregelt
109.Sind Verstöße gegen die DSGVO und das BDSG Ordnungswidrigkeiten? —> Art. 77, § 41 - 43
a) Ja, sie können aber auch Straftaten sein
b) Ja, sie können auch Ordnungswidrigkeiten sein
110.Welche Folgen können Verstöße gegen die DSGVO und das BDSG haben? —> Art. 77, § 41-43
a) Strafverfahren
b) Bußgeldverfahren
c) Ein Verstoß kann auch mit zivilrechtlichen Konsequenzen verbunden sein
110.Woran kann es liegen, dass der DS nun nicht mehr als “zahnloser Tiger” wahrgenommen wird? —> Art. 83
a) Die Bußgelder wurden kräftig erhöht
b) Bußgelder sollen zwar abschrecken, müssen aber verhältnismäßig und damit auch wirksam bleiben
c) Es werden deutlich mehr Bußgelder verhängt
112.Wenn die Datenschutzgrundsätze nach Art. 5 verletzt werden, ist dann die Aufsichtsbehörde berechtigt, die Missachtung mit Bußgeldern zu belegen? —> Art. 83
a) Eine Bestrafung ist möglich mit Bußgeldern bis zu 20 Mio Euro oder 4 % des weltweiten Umsatzes
113.Welche Kriterien können Einfluss auf die Höhe von Bußgeldern haben, die bei Verstößen gegen die DSGVO/ des BDSG verhängt werden? —> Art. 83
a) Es kommt auf die Art, Schwere und Dauer des Verstoßes an sowie auf die Wiederholung
b) Es kommt auch auf die Datenkategorie an und ob der Verstoß vorsätzlich oder fahrlässig begangen wurde
c) Es kommt auch auf den Grad der Verantwortung an. Wurden technische Vorkehrungen getroffen und hat sich der Verantwortliche Gedanken über den DS gemacht, z.B. durch Führen eines Verzeichnisses der Verarbeitungstätigkeiten, kann sich das mildernd auf das Strafmaß auswirken
114.Dürfen Betriebsvereinbarungen (arbeitsrechtliche Kollektivvereinbarungen) auch nach dem 25.05.2018 noch Datenverarbeitungen erlauben? —> Art. 88, § 26
a) Ja, § 26 erlaubt die Verarbeitung personenbezogener Daten aufgrund von Kollektivvereinbarungen
b) Ja, die DSGVO erlaubt auch spezifische Vorschriften zur Sicherstellung des Schutzes der Rechte und Freiheiten betroffener Personen in Betriebsvereinbarungen
115.Seit wann müssen die Verantwortlichen die DSGVO unbedingt beachten? —> Art. 99
a) die DSGVO gilt erst verbindlich seit dem 25.05.2018, obwohl sie schon am 24.05.2016 in Kraft trat
116.Ab wann ist die DSGVO gültig (und muss von dort an unbedingt beachtet werden)? —> Art. 99
a) 25.05.2018
117.Wann trat die DSGVO in Kraft? —> Art. 99
a) 24.05.2016
118.Können Verstöße, die zwischen dem Inkrafttreten und dem Gültigkeitsbeginn der DSGVO lagen, zu Bußgeldern geführt haben? —> Art. 99
a) Nein
119.Aus welchen Teilen könnte ein gutes Sicherheitskonzept bestehen? —> §§ 64, 70
a) DS-Konzept
b) Protokollierung
c) Zugriffskontrollen
d) Zugangskontrollen
e) Zutrittskontrollen
120.Wie ist der DSB organisatorisch in die Unternehmenskommunikation einzubinden?
a) Über eine Organisationsanweisung
121.Warum ist die Personalabteilung für den DSB so wichtig?
a) Mitarbeiterdaten haben generell einen Personenbezug
b) Mitarbeiter erhalten hier Einblick über ihre dort gespeicherten personenbezogenen Daten
122.Welche Daten/Unterlagen sollte sich der DSB im Unternehmen besorgen, damit er erfolgreich seine Arbeit beginnen kann?
a) Ein aktuelles Organigramm/Stellenplan
b) Eine Übersicht der Standorte
c) Einen Überblick über die eingesetzte Software (auch ERP-Systeme)
123.Wie kann ich den Virenschutz im Firmennetzwerk verbessern?
a) Eine Firewall und Antiviren-SW auf Client und Server sollten schon sein
124.Wo sollte ich eine Firewall installieren?
a) Die Firewall sollte für optimalen Schutz sowohl auf dem Server als auch auf dem Client installiert werden
125.Wie erhöht man die Vertraulichkeit von personenbezogenen Daten beim Einsatz mobiler Endgeräte? —> Art. 32
a) Durch Inanspruchnahme von VPN-Diensten, wenn über öffentliche Netzwerke kommuniziert wird
b) Durch Abschalten nicht notwendiger drahtloser Schnittstellen wie WLAN und Bluetooth
126.Was ist der Unterschied zwischen Server-Hosting und Server-Housing?
a) Beim Server-Hosting muss ein Vertrag zur Auftragsverarbeitung mit dem Dienstleister abgeschlossen werden. Es wird ein fremder Server genutzt.
b) Beim Server-Housing steht der eigene Server beim Dienstleister, beim Server-Hosting wird der Server des Dienstleisters genutzt
127.Welche Aussagen treffen auf Viren und Würmer zu?
a) Es gibt Bootsektor- und Dateiviren
b) Es gibt speicherresidente, Makro- und Skriptviren
c) Würmer breiten sich ohne weiteres Dazutun aus und führen quasi ein Eigenleben
128.Welche Sicherheitsstandard/Verschlüsselungsprotokolle finden im WLAN Verwendung?
a) TKIP
b) WEP
c) WPA
d) WPA2
129.Welche Protokolle betreffen die E-Mail-Kommunikation?
a) IMAP
b) POP3
c) SMTP
130.Welche Dienstvereinbarungen machen Sinn, um die Unternehmens- und Betroffenrechte zu schützen?
a) Vereinbarungen zur privaten E-Mail-/Internetnutzung
b) Clean-Desk-Policy
c) Vereinbarungen zur betrieblichen und privaten Nutzung von Dienst-Mobiltelefon
131.Was unterscheidet Black-Hat-Hacker von White-Hat-Hackern?
a) Die Black-Hat-Hacker verfolgen kriminelle Ziele, die White-Hat-Hacker dringen zwar auch in fremde Datenbereiche ein, aber mit dem Ziel, auf Sicherheitslücken hinzuweisen und den Usern zu helfen
132.Was ist richtig in Bezug auf den Passwortschutz?
a) Wenn Passwörter auf dem PC gespeichert werden, dann ist ein Passwort-Tool (Passwort-Manager) zur sicheren Verwahrung angebracht
b) Wenn ein Passwort sicher sein soll, sollte es auch Buchstaben, Ziffern und Sonderzeichen zusammengesetzt sein
c) Wenn ein Passwort sicher sein soll, sollte es aus mindestens 10 Zeichen bestehen
133.Welche Aussagen zur Computerkriminalität sind wahr?
a) Unter Pretexting versteht man die illegale Beschaffung von Daten durch Vortäuschen unwahrer Tatsachen
b) Unter Social engineering versteht man die Manipulation von Menschen, damit sie z.B. ihre Bankdaten oder den Zugang zu einem Netzwerk offenlegen, um diese Informationen anschließend illegal gewinnbringend auszunutzen
c) Unter Phishing als Unterform des Social engineering versteht man das Ausspionieren von Bank-/Kreditkarteninformationen (Login/Passwörter, PINs, TANs)
d) Unter Dumpster Diving versteht man das Zusammentragen von persönlichen Informationen, um sich das Vertrauen der betroffenen Person zu erschleichen und diese auszuspionieren
e) Unter Skimming versteht man das illegale Abschöpfen (Man-in-the-middle-Angriff) von vertraulichen Bank-/Kreditkartendaten
f) Unter Cyberkriminalität (Cybercrime) versteht man Datenmanipulation/-sabotage/-diebstahl
g) Unter Cyberkriminalität versteht man die Verbreitung von Malware (Schad-SW, Botnets)
Zuletzt geändertvor 2 Jahren