Sie sollen eine datenschutzrechtliche Fragestellung klären. Geben Sie die einzelnen Faktoren an, die dafür geprüft werden müssen
Hierfür gibt es als Leitlinie das RETTER-Prinzip. Hier eine erweiterte Check-Liste in ihrer Priorität gegliedert:
Ist der Umstand datenschutzrechtlich im Auftragsbereich des DSB
sind personenbezogene Daten betroffen, wenn ja, welche
sind bzw. können personenbezogene Daten aus dem EU-Raum oder von EU-Mitgliedern betroffen sein oder werden
Zuständigkeit klären. DSB, ISB, QMB oder IT-Abteilung
Wer ist der Verantwortliche
Handelt es sich möglicherweise um eine Datenschutzverletzung?
wenn ja ⇾ dies klären und innerhalb 72 Stunden melden!
Um welche datenschutzrechtliche Kategorie handelt es sich
Schutzeinstufung und Schutzzieleinstufung klären bzw. definieren
Wie ist die Dokumentenlage
Liegt eine rechtliche Grundlage zur Erhebung, Verarbeitung und/oder Nutzung vor (Art.6 DSGVO) (z. B. Vertragsanbahnung)
Ist eine schriftliche Einwilligung der Betroffenen notwendig/vorhanden? (Art.7 DSGVO)
Sind die getroffenen technisch-organisatorischen Maßnahmen (TOMs) angemessen und wirkungsvoll (Art.32 DSGVO)
Wurde ein Verarbeitungsverzeichnis erstellt (Art.30 DSGVO)
Ist eine DSFA (Datenschutz-Folgeabschätzung) notwendig? (Art.35 DSGVO)
Wie ist die Situation der Betroffenen
können sie ihre Rechte wahrnehmen (§34 BDSG) (Polizei und Justiz §57 BDSG)
Nachbearbeitung des DSB
müssen vorhandene Dokumente und Vorgehen geändert werden
ergeben sich nötige Schulungsmaßnahmen
wer muss informiert werden
wer ist der Verantwortliche
Wirtschaftlichkeit prüfen (optional)
ist die aus der oberen Frage entstehende Maßnahme nach der Prüfung aufgrund der sich daraus ergebenden Anforderungen noch wirtschaftlich
Was versteht man unter dem Begriff „Integrität der Daten“?
Sie ist ein Kriterium der Schutzzieleinstufung und bezieht sich auf die Verhinderung unautorisierter Modifikation von Information, bzw., der Korrektheit und Unversehrtheit von Daten. In einer Schutzzieleinstufung unterscheiden wir:
Ungesicherte Integrität
Geschützte Integrität
Nachprüfbare Integrität
Signierte Integrität
Was versteht man unter dem Begriff „Vertraulichkeit“?
Nennen Sie Möglichkeiten, wie der Datenschutzbeauftragte im Unternehmen vorgestellt werden kann
Aushang
Schriftlich (Brief, Mail, Fax)
telefonisch oder mündlich
Als Auftrag zur Weiterleitung an die Führungskräfte zur Mitteilung
Aber: Es ist immer sicherzustellen, dass jeder Person im Unternehmen ermöglicht wird, jederzeit mit dem DSB Kontakt aufnehmen zu können
Mit welcher Unterlage verschaffen Sie sich einen Überblick über die im Unternehmen vorhandenen Abteilungen
Organigramm, wenn vorhanden
Liste der Abteilungsverantwortlichen und Führungskräfte als erste Informationsquelle in kleineren Unternehmen
Welche Rolle spielt der Datenschutzbeauftragte bei der Datenschutzfolgenabschätzung?
Im Rahmen der Datenschutzvorgaben gilt der risikobasierte Ansatz. Bitte nennen Sie drei Artikel der Datenschutz-Grundverordnung, die hier eine Rolle spielen
Bitte nennen Sie die persönlichen Eigenschaften, über die der Datenschutzbeauftragte verfügen muss
Muss
Zuverlässigkeit
Unabhängigkeit
Verfügbarkeit
Wünschenswert
Nennen Sie drei Maßnahmen, um den unbefugten Zutritt in Unternehmensbereiche zu verhindern
Ein Berechtigungskonzept für Liegenschaften
Definierte Zugangsberechtigungen zu einzelnen verschlossenen Bereichen. Technisch umgesetzt, mit Schlüsseln oder Wach- und Schließpersonal
Schulung der Mitarbeiter im Umgang mit nicht autorisierten Personen
Eine Alarm- und Überwachungsanlage. Technisch umgesetzt mit
automatisierter biometrischer Erkennung
Überwachungspersonal mit Weisungsbefugnis gegenüber Dritte
Nennen Sie drei typische Schwachstellen im Bereich Vertraulichkeit und Integrität (Zugangskontrolle)
Schlüssel oder Keycard verloren oder unbefugt „ausgeliehen“
Ungeschulte und zu vertrauensselige Mitarbeiter
Lückenhafte Überwachung (der Überwachungsanlage oder vom Überwachungspersonal)
ungeeignete technische Umsetzung der Sicherheitsanlagen
Nennen Sie drei Gewährleistungsziele nach Art. 32 DSGVO
Datenminimierung (so wenig Daten wie möglich verarbeiten)
Verfügbarkeit (dafür sorgen, dass die Daten nutzbar sind)
Integrität (dafür sorgen, dass die Daten auch wahr sind)
Vertraulichkeit (den Zugriff effektiv einschränken)
Belastbarkeit (auf Logik prüfen)
Nichtverkettung (nicht unnötig untereinander Beziehungen herstellen)
Was ist beim Einsatz von Fernwartungsprogrammen durch einen externen Dienstleister zu beachten?
Sind die erforderlichen Dokumente vollständig, richtig und inhaltlich angemessen
TOM
AVV
VVT
SLA
Aus diesen Dokumenten ergeben sich die Antworten auf:
Garantieren die eingesetzten Mittel die vorgeschriebene sichere Übertragung der Daten über die eingesetzten Übertragungsstrecken
Ist geklärt, ob der Dienstleister mit personenbezogenen Daten in Kontakt kommen kann
wenn ja, sind die dazu erforderlichen Maßnahmen zur Datensicherheit gegeben
Sind die Mitarbeiter beider Seiten dementsprechend geschult oder zumindest eingehend informiert, wie mit personenbezogenen Daten umzugehen ist
Haben die Datenschutz-Verantwortlichen alle erforderlichen im Vorfeld Maßnahmen umgesetzt
Ist sichergestellt, dass die Regelungen geprüft werden können (und werden sie geprüft)
Nennen Sie fünf grundlegende Konzepte zur Dokumentation des technischen Datenschutzes
IT-Sicherheitskonzept ⇾ welche Berechtigungsmaßnahmen werden im Umgang mit Daten umgesetzt
Backup-Konzept ⇾ Maßnahmen der Löschung und Wiederherstellung
EDV Verfügbarkeitskonzept ⇾ Notfallpläne der EDV
Sicherheitskonzept zur Verwendung technischer Geräte ⇾ wie gehen wir mit EDV-Geräten um, auch Leasinggeräte
Regelungen zu Homeoffice ⇾ Maßnahmen zum Betrieb dezentraler Arbeitsplätze
Arbeitsplatzkonzept ⇾ Beispiel Clean Desk