Prüfungsfragen Vorbereitung

Sie sollen eine datenschutzrechtliche Fragestellung klären. Geben Sie die einzelnen Faktoren an, die dafür geprüft werden müssen
Hierfür gibt es als Leitlinie das RETTER-Prinzip. Hier eine erweiterte Check-Liste in ihrer Priorität gegliedert:

1. Ist der Umstand datenschutzrechtlich im Auftragsbereich des DSB
   1. sind personenbezogene Daten betroffen, wenn ja, welche
   2. sind bzw. können personenbezogene Daten aus dem EU-Raum oder von EU-Mitgliedern betroffen sein oder werden
   3. Zuständigkeit klären. DSB, ISB, QMB oder IT-Abteilung
   4. Wer ist der Verantwortliche
2. Handelt es sich möglicherweise um eine Datenschutzverletzung?
   1. wenn ja ⇾ dies klären und innerhalb 72 Stunden melden!
3. Um welche datenschutzrechtliche Kategorie handelt es sich
   1. Schutzeinstufung und Schutzzieleinstufung klären bzw. definieren
4. Wie ist die Dokumentenlage
   1. Liegt eine rechtliche Grundlage zur Erhebung, Verarbeitung und/oder Nutzung vor (Art.6 DSGVO) (z. B. Vertragsanbahnung)
   2. Ist eine schriftliche Einwilligung der Betroffenen notwendig/vorhanden? (Art.7 DSGVO)
   3. Sind die getroffenen technisch-organisatorischen Maßnahmen (TOMs) angemessen und wirkungsvoll (Art.32 DSGVO)
   4. Wurde ein Verarbeitungsverzeichnis erstellt (Art.30 DSGVO)
   5. Ist eine DSFA (Datenschutz-Folgeabschätzung) notwendig? (Art.35 DSGVO)
5. Wie ist die Situation der Betroffenen
   1. können sie ihre Rechte wahrnehmen (§34 BDSG) (Polizei und Justiz §57 BDSG)
6. Nachbearbeitung des DSB
   1. müssen vorhandene Dokumente und Vorgehen geändert werden
   2. ergeben sich nötige Schulungsmaßnahmen
   3. wer muss informiert werden
   4. wer ist der Verantwortliche
7. Wirtschaftlichkeit prüfen (optional)
   1. ist die aus der oberen Frage entstehende Maßnahme nach der Prüfung aufgrund der sich daraus ergebenden Anforderungen noch wirtschaftlich

Was versteht man unter dem Begriff „Integrität der Daten“?

• Sie ist ein Kriterium der Schutzzieleinstufung und bezieht sich auf die Verhinderung unautorisierter Modifikation von Information, bzw., der Korrektheit und Unversehrtheit von Daten. In einer Schutzzieleinstufung unterscheiden wir:
  • Ungesicherte Integrität
  • Geschützte Integrität
  • Nachprüfbare Integrität
  • Signierte Integrität

Was versteht man unter dem Begriff „Vertraulichkeit“?

• Auch ein Kriterium der Schutzzieleinstufung. Sie definiert die Zugriffsrechte in
  • Öffentlich
  • Intern
  • Vertraulich
  • Streng vertraulich

Nennen Sie Möglichkeiten, wie der Datenschutzbeauftragte im Unternehmen vorgestellt werden kann

• Aushang
• Schriftlich (Brief, Mail, Fax)
• telefonisch oder mündlich
• Als Auftrag zur Weiterleitung an die Führungskräfte zur Mitteilung

Aber: Es ist immer sicherzustellen, dass jeder Person im Unternehmen ermöglicht wird, jederzeit mit dem DSB Kontakt aufnehmen zu können

Mit welcher Unterlage verschaffen Sie sich einen Überblick über die im Unternehmen vorhandenen Abteilungen

• Organigramm, wenn vorhanden
• Liste der Abteilungsverantwortlichen und Führungskräfte als erste Informationsquelle in kleineren Unternehmen

Welche Rolle spielt der Datenschutzbeauftragte bei der Datenschutzfolgenabschätzung?

• Der DSB berät bei der Durchführung einer Datenschutzfolgenabschätzung den Verantwortlichen.

Im Rahmen der Datenschutzvorgaben gilt der risikobasierte Ansatz. Bitte nennen Sie drei Artikel der Datenschutz-Grundverordnung, die hier eine Rolle spielen

• Artikel 24 25 32 33 34 und 35

Bitte nennen Sie die persönlichen Eigenschaften, über die der Datenschutzbeauftragte verfügen muss

• Muss
  • Zuverlässigkeit
  • Unabhängigkeit
  • Verfügbarkeit
• Wünschenswert
  • Teamfähigkeit, idealerweise mit Personalführungserfahrung
  • Stressresistenz ins wünschenswert
  • Deeskalationserfahren

Nennen Sie drei Maßnahmen, um den unbefugten Zutritt in Unternehmensbereiche zu verhindern

1. Ein Berechtigungskonzept für Liegenschaften
   1. Definierte Zugangsberechtigungen zu einzelnen verschlossenen Bereichen. Technisch umgesetzt, mit Schlüsseln oder Wach- und Schließpersonal
2. Schulung der Mitarbeiter im Umgang mit nicht autorisierten Personen
3. Eine Alarm- und Überwachungsanlage. Technisch umgesetzt mit
   1. automatisierter biometrischer Erkennung
   2. Überwachungspersonal mit Weisungsbefugnis gegenüber Dritte

Nennen Sie drei typische Schwachstellen im Bereich Vertraulichkeit und Integrität (Zugangskontrolle)

1. Schlüssel oder Keycard verloren oder unbefugt „ausgeliehen“
2. Ungeschulte und zu vertrauensselige Mitarbeiter
3. Lückenhafte Überwachung (der Überwachungsanlage oder vom Überwachungspersonal)
4. ungeeignete technische Umsetzung der Sicherheitsanlagen

Nennen Sie drei Gewährleistungsziele nach Art. 32 DSGVO

1. Datenminimierung (so wenig Daten wie möglich verarbeiten)
2. Verfügbarkeit (dafür sorgen, dass die Daten nutzbar sind)
3. Integrität (dafür sorgen, dass die Daten auch wahr sind)
4. Vertraulichkeit (den Zugriff effektiv einschränken)
5. Belastbarkeit (auf Logik prüfen)
6. Nichtverkettung (nicht unnötig untereinander Beziehungen herstellen)

Was ist beim Einsatz von Fernwartungsprogrammen durch einen externen Dienstleister zu beachten?

1. Sind die erforderlichen Dokumente vollständig, richtig und inhaltlich angemessen
   1. TOM
   2. AVV
   3. VVT
   4. SLA

Aus diesen Dokumenten ergeben sich die Antworten auf:

1. Garantieren die eingesetzten Mittel die vorgeschriebene sichere Übertragung der Daten über die eingesetzten Übertragungsstrecken
2. Ist geklärt, ob der Dienstleister mit personenbezogenen Daten in Kontakt kommen kann
   1. wenn ja, sind die dazu erforderlichen Maßnahmen zur Datensicherheit gegeben
3. Sind die Mitarbeiter beider Seiten dementsprechend geschult oder zumindest eingehend informiert, wie mit personenbezogenen Daten umzugehen ist
4. Haben die Datenschutz-Verantwortlichen alle erforderlichen im Vorfeld Maßnahmen umgesetzt
5. Ist sichergestellt, dass die Regelungen geprüft werden können (und werden sie geprüft)

Nennen Sie fünf grundlegende Konzepte zur Dokumentation des technischen Datenschutzes

• IT-Sicherheitskonzept ⇾ welche Berechtigungsmaßnahmen werden im Umgang mit Daten umgesetzt
• Backup-Konzept ⇾ Maßnahmen der Löschung und Wiederherstellung
• EDV Verfügbarkeitskonzept ⇾ Notfallpläne der EDV
• Sicherheitskonzept zur Verwendung technischer Geräte ⇾ wie gehen wir mit EDV-Geräten um, auch Leasinggeräte
• Regelungen zu Homeoffice ⇾ Maßnahmen zum Betrieb dezentraler Arbeitsplätze
• Arbeitsplatzkonzept ⇾ Beispiel Clean Desk

• https://www.memocard.ch/DE/Lernkarten/LernkartenInfo/Info/dsb-unterricht-set-1/46d34a5d-5ec7-4e15-81a8-dcb6921a8690
• https://www.memocard.ch/DE/Lernkarten/LernkartenInfo/Info/tuev-pruefung-zum-datenschutzbeauftragten-set-7/a2317091-bbf6-49f7-842a-5a732d87c18a