Datenschutz Willkommen zu unserem Datenschutz-Quiz! E-Mail-Adresse Vor- und Nachname Was ist eine Datenpanne? Sehen Sie sich das Video dazu an! Ich schreibe meinem Kollegen eine E-Mail Ich versende aus Versehen eine E-Mail ohne personenbezogenen Daten an den falschen Empfänger Mein Arzt sendet mir irrtümlich Gesundheitsdaten eines anderen Patienten Mein Kollege verliert einen privaten USB-Stick, der seine Lieblings-Playlist enthält Wann muss ich die Datenpanne melden? Unverzüglich und möglichst binnen 72 Tagen Unverzüglich und möglichst binnen 72 Stunden Das Melden ist nicht nötig. Die Aufsichtsbehörde meldet sich selbständig bei Ihnen. Nach Bekanntwerden binnen 72 Stunden An welche Stelle muss eine Datenschutzverletzung gemeldet werden? Nur an die verantwortliche Stelle Zumindest an den Datenschutzbeauftragten zur weiteren Entscheidung der Mitteilungspflichten an Betroffene und Aufsichtsbehörden. Nur an den Informationssicherheitsbeauftragten Nur an die Verbraucherzentrale Wer muss eine Datenschutzverletzung melden? Der Geschäftsführer der verantwortlichen Stelle Jeder Mitarbeiter für sich Die Datenschutzaufsichtsbehörde akzeptiert keine Meldungen von Datenpannen mehr aufgrund von Überlastung. Es müssen nur Datenschutzverletzungen ab 500 Betroffenen gemeldet werden. Wen muss ich zusätzlich benachrichtigen? Die betroffenen Personen sollten gemäß Art. 34 unverzüglich benachrichtigt werden. Die zuständige Gemeinde muss unverzüglich über den Vorfall benachrichtigt werden. Die betroffenen Personen müssen unverzüglich benachrichtigt werden. Dem Bundesamt für Sicherheit in der Informationstechnik muss der Vorfall sofort gemeldet werden. Ist eine Datenschutzfolgeabschätzung für mein Unternehmen notwendig? Sehen Sie sich das Video dazu an! Eine DSFA ist laut Art. 35 DSGVO für jede verantwortliche Stelle notwendig. Das gesamte Unternehmen (inkl. aller Mitarbeiter) hat diese Entscheidung zu fällen. Eine DSFA ist auch bei geringem Risiko notwendig. Eine DSFA ist laut Art. 35 DSGVO zweckgebunden notwendig. Wer erstellt eine DSFA? Der Datenschutzbeauftragte in eigener Verantwortung Der Informationssicherheitsbeauftragte nach eigenem Ermessen Das DSFA-Team mit Unterstützung des Datenschutzbeauftragten Das DSFA-Team mit Unterstützung des Informationssicherheitsbeauftragten Was beinhaltet eine DSFA? Technische und datenschutzrechtliche Checkliste, Verfahrensverzeichnis, Kosten-Nutzen-Rechnung Technische und organisatorische Maßnahmen, Informationssicherheitsanalyse, Verfahrensverzeichnis Technische und organisatorische Maßnahmen, Verfahrensverzeichnis, Restrisiko, DSFA-Team, sonstige Vertragspartner Technische und organisatorische Maßnahmen, Verfahrensverzeichnis, Kosten-Nutzen-Rechnung Wer braucht einen Datenschutzbeauftragten? Jedes Unternehmen ist bestellpflichtig, unabhängig von Art und Umfang der Verarbeitung personenbezogener Daten Unternehmen, die regelmäßig automatisiert personenbezogene Daten verarbeiten, sind ggf. schon unter 20 Mitarbeiter bestellpflichtig Nur Unternehmen sind bestellpflichtig, Vereine sind ausgeschlossen Unternehmen, die weniger als 20 Mitarbeiter beschäftigen Welche Aufgaben erfüllt ein Datenschutzbeauftragter nicht? Entsorgung der Datenschutztonne Überprüfung der Vollständigkeit datenschutzrechtlicher Verträge und Unterlagen Datenschutzrechtliche Beratung beim Newsletter-Versand Datenschutzrechtliche Beratung für Webseiten Für welche Aufgaben ist der Datenschutzbeauftragte zuständig? Beschaffung der AVVs (Auftragsverarbeitungsverträge) Überprüfung der Wirksamkeit der datenschutzrechtlichen Maßnahmen (Technisch und organisatorisch) Erstellung der Arbeitsverträge Erstellung eines IT-Sicherheitskonzeptes Wie ist der Datenschutzbeauftragte erreichbar? Der Datenschutzbeauftragte hat feste Sprechzeiten. Der Datenschutzbeauftragte kann zu jeder Zeit von jedem Mitarbeiter der verantwortlichen Stelle erreicht werden. Der Datenschutzbeauftragte ist nie erreichbar. Der Datenschutzbeauftragte ist nur postalisch erreichbar. Was regelt der Code of Conduct? Richtlinien zum Datenschutz am Arbeitsplatz Richtlinien zum Arbeitsschutz und Arbeitssicherheit Richtlinien zur Informationssicherheit am Arbeitsplatz Richtlinien zur Einhaltung der Arbeitszeitregelung Was regelt der Code of Practice? Richtlinien zum Datenschutz am Arbeitsplatz Richtlinien zum Arbeitsschutz und Arbeitssicherheit Richtlinien zur Informationssicherheit am Arbeitsplatz Richtlinien zur Einhaltung der Arbeitszeitregelung Welche Richtlinie regelt die Vertraulichkeit/Confidentiality von Daten? Code of Conduct Code of Practice Schutzziele in der Informationssicherheit Datenschutzkonzept Ein Mitarbeiter versendet eine verschlüsselte E-Mail mit personenbezogenen Daten versehentlich an den falschen Empfänger. Müssen die betroffenen Personen benachrichtigt werden? Es sollte in jedem Fall der Datenschutzbeauftragte informiert werden. Der Mitarbeiter kann selbst entscheiden, ob die betroffenen Personen benachrichtigt werden. Die betroffenen Personen müssen immer benachrichtigt werden. Die betroffenen Personen müssen nie benachrichtigt werden. Ihr Steuerberater schickt Ihnen Ihre fertige Steuererklärung per E-Mail. Muss er Ihnen diese verschlüsselt zusenden? Es muss eine Transportverschlüsselung vorhanden sein, aber mit Einwilligung des Mandanten kann man darauf verzichten. Es muss immer eine Transportverschlüsselung vorhanden sein. Es muss immer eine persönliche Ende-zu-Ende-Verschlüsselung eingerichtet sein. Personenbezogene Daten besonderer Kategorien müssen niemals verschlüsselt versendet werden. Sie haben einen USB-Stick mit personenbezogenen Daten verloren. Selbst, wenn der Zugriff auf den USB-Stick verschlüsselt ist, liegt eine bei der Aufsichtsbehörde meldepflichtige Datenschutzverletzung vor. Es sollte in jedem Fall der Datenschutzbeauftragte informiert werden. Wird mit geeigneter Verschlüsselung oder Pseudonymisierung vor unbefugtem Zugriff Dritter geschützt, kann sich dies auf die Meldepflicht an die Aufsichtsbehörden auswirken. Der Verlust eines USB-Sticks mit personenbezogenen Daten stellt keine Datenschutzverletzung dar. Es liegt immer eine meldepflichtige Datenschutzverletzung vor, wenn ein USB-Stick mit personenbezogenen Daten verloren geht. Sie bestellen Schuhe in einem Online-Shop und erhalten ein paar Tage später einen Newsletter ohne, dass Sie diesem vorher zugestimmt haben. Um welchen Datenschutzverstoß handelt es sich laut dem Code of Conduct der S-COP GmbH? Transparenz Erforderlichkeit Direkterhebung Verbot mit Erlaubnisvorbehalt Ein fremder Dritter verlangt am Telefon Auskunft über einen Ihrer Kunden. Welche Informationen dürfen sie weitergeben? Sie dürfen nach Absprache mit ihrem Vorgesetzten die personenbezogenen Daten jederzeit weitergeben. Sie dürfen nur die wichtigsten personenbezogenen Daten weitergeben, Grundsatz der Datensparsamkeit. Sie dürfen ohne verbindliche Einwilligung der betroffenen Person keine personenbezogenen Daten weitergeben. Sie dürfen alle personenbezogenen Daten, die er ohne Angabe eines Grundes benötigt, weitergeben. Wodurch qualifiziert sich ein sicheres Passwort? Nur Ziffern, aber mind. 12 Zeichen Eine Kombination aus Ziffern, Klein- & Großbuchstaben und Sonderzeichen, aber mind. 8 Zeichen Eine Kombination aus Klein- & Großbuchstaben und einem beliebigen Wochentag Eine Kombination, die aus gewöhnlichen Begriffen besteht und möglichst kurz ist, wie z. Bsp. Ihr Kfz-Kennzeichen Was sind keine personenbezogenen Daten? Die E-Mail-Adresse Ihres Kollegen Ihre Religionsangehörigkeit Das Geburtsdatum ihres Chefs Der Name Ihres Haustieres Was ist das Merkmal von personenbezogenen Daten? Daten, die sich auf ein Unternehmen beziehen oder zumindest beziehbar sind und so Rückschlüsse auf deren Wirtschaftlichkeit erlauben. Daten, die Prüfungsergebnisse oder statistische Auswertungen ohne Namen enthalten. Daten, die das Konsumverhalten meiner Nachbarschaft auswerten. Daten, die sich auf eine natürliche Person beziehen oder zumindest beziehbar sind und so Rückschlüsse auf deren Persönlichkeit erlauben. Was sind besondere Kategorien personenbezogener Daten? Die Vornamen Ihrer Kinder Die Adresse Ihres Hausarztes Ihre politische Stimme bei der letzten Wahl Das Geburtsdatum ihres Chefs Wie definiert man betroffene Personen? Identifizierbare, juristische Personen z. Bsp. GmbH Identifizierbare, natürliche Personen Natürliche Personen Juristische Personen Welche Rechte haben betroffene Personen nicht? Recht auf Berichtigung Recht auf Löschung Recht auf Schadensersatz Recht auf Widerspruch Was ist keine Verarbeitung personenbezogener Daten? Speicherung Veränderung Verwendung Besprechung Wie schätzen Sie die Höhe der in Deutschland verhängten Bußgelder innerhalb eines Jahres nach Einführung der DSGVO ein? 449.000 € 84.000 € 1,5 Mio. € 235.000 € Beim Verlassen des Arbeitsplatzes sollten Sie folgendes machen: Bildschirm ungesperrt lassen Kundenakten kurzweilig offen liegen lassen Unterlagen mit personenbezogenen Daten in den Papierkorb werfen Fenster schließen Was muss im Datenschutzkonzept enthalten sein? Sehen Sie sich das Video dazu an! Geschäftszweck, Rechtsgrundlage, Technische und organisatorische Maßnahmen, Identifikation der Datenschutzrisiken, Abschätzung des Restrisikos Geschäftszweck, Rechtsgrundlage, Technische und organisatorische Maßnahmen, Identifikation der Datenschutzrisiken, Protokoll der Landesaufsichtsbehörde Verfahrensverzeichnis und Benennung des Informationssicherheitsbeauftragten Datenschutzfolgeabschätzung inklusive Verfahrensverzeichnis Time is Up! Time's up Schreibe einen Kommentar Antworten abbrechenKommentierenGib deinen Namen oder Benutzernamen zum Kommentieren ein Gib deine E-Mail-Adresse zum Kommentieren ein Gib deine Website-URL ein (optional) Meinen Namen, meine E-Mail-Adresse und meine Website in diesem Browser, für die nächste Kommentierung, speichern. Δ