Dienstag, 14. November 2017

GDPR/DSGVO Übungstest – Prüfen Sie Ihr Datenschutz-Wissen!


Viele Unternehmen und IT-Professionals sind laut Umfragen noch nicht ausreichend auf die EU-Datenschutz-Grundverordnung vorbereitet, die ab dem 25. Mai 2018 zwingend umgesetzt sein muss.


Was ist die DSGVO?


Die EU-Datenschutz-Grundverordnung (DSGVO, auch: GDPR - General Data Protection Regulation) setzt sich aus Regelungen rund um die Sammlung, Speicherung und Verarbeitung personenbezogener Daten zusammen. Die Rechte natürlicher Personen werden durch die DSGVO gestärkt.

Die neuen Richtlinien betreffen alle Geschäftsbereiche und wirken sich auch darauf aus, wie IT-Security Abteilungen Daten sicher abspeichern und einen verbesserten Schutz vor Datendiebstählen entwickeln können.

Verstöße gegen die neue Richtlinie und mangelnde Datensicherheit werden dann hohe finanzielle Strafen nach sich ziehen.

Was ändert sich durch die DSGVO?


Jedes Unternehmen, das mit Daten von EU-Bürgern zu tun hat, ist von der DSGVO betroffen, unabhängig vom tatsächlichen Unternehmenssitz.

Neben der Verpflichtung zu regelmäßigem Reporting und Monitoring, Meldepflicht bei Datenverletzungen und der Durchführung sogenannter Datenschutz-Folgeabschätzungen benötigen Unternehmen unter Umständen einen Datenschutzbeauftragten. Im Vergleich zum bestehenden Bundesdatenschutzgesetz müssen die Grundprinzipien zukünftig außerdem nicht nur eingehalten, sondern auch nachgewiesen werden können (Accountability).

Lesen Sie hier, was Sie noch über die DSGVO/GDPR wissen sollten. 

Um sich auf eine Datenschutz-Prüfung vorzubereiten, beispielsweise für eine Zertifizierung als Datenschutzbeauftragter, testen Sie Ihr Wissen mit den folgenden, offiziellen Übungsfragen!


Datenschutz-Übungsfragen (deutsch)


Hier finden Sie eine Auswahl an Übungsfragen zum deutschen Datenschutzrecht. (Mehrfachantworten möglich.)

1. Sind personenbezogene Daten zu sichern, falls ja, wie?
a. nach den Maßgaben des DSGVO/ BDSG
b. gegen den unbefugten Zugriff Dritter
c. nur verschlüsselt bei automatisierten Daten
d. Nein

2. Was versteht man unter dem "Verarbeiten" von Daten?
a. Nutzen der personenbezogenen Daten
b. Speichern, Ändern, Übermitteln, Sperren oder Löschen von personenbezogenen Daten
c. Anonymisieren der personenbezogenen Daten
d. Erfassen/Erheben der personenbezogenen Daten

3. Was bedeutet im Sinne der DSGVO/BDSG "Datenschutz"?
a. Datenschutz beschäftigt sich mit Vorgängen, welche verhindern sollen, dass Daten durch unberechtigte Dritte gestohlen werden
b. Der Datenschutz umfasst den Schutz des Rechts auf informationelle Selbstbestimmung
c. Datenschutz umfasst Maßnahmen, welche verhindern sollen, dass Daten durch von außen einwirkende Gewaltanwendung beschädigt oder vernichtet werden
d. Datenschutz umfasst alle Maßnahmen zum Schutz von Daten vor missbräuchlicher Verwendung

4. Was besagt §3a BDSG (alt)?
a. Zulässigkeit der Datenerhebung, -verarbeitung und –nutzung
b. Datensparsamkeit
c. Datenvermeidung
d. Rechte des Betroffenen

5. Welche Folgen kann ein Verstoß gegen die DSGVO haben?
a. Behördliche Prüfung auf Zuverlässigkeit, mit personenbezogenen Daten Umgang zu haben
b. Strafverfahren
c. Bußgeldverfahren
d. In jedem Fall eine Untersagung der Unternehmertätigkeit

6. Mit welchen der folgenden Möglichkeiten sollte man Daten sichern?
a. Eine Kopie der Daten in eine öffentliche Cloud hochladen
b. Die Daten möglichst allen Mitarbeiter aushändigen, um die Daten wiederherstellen zu können, falls diese verloren gehen
c. Verschlüsselte Sicherheitskopien anlegen
d. In Datenschutzschrank legen und dort verschließen

7. Was versteht man unter "Anonymisieren" von personenbezogenen Daten?
a. Verschlüsselung von Daten
b. Ersetzen des Namens oder anderer Identifikationsmerkmale durch ein Kennzeichen
c. Veränderung von Daten, sodass diese nur mit hohem Aufwand einer natürlichen Person zugeordnet werden können
d. Für eine Onlinebestellung gibt eine natürliche Person keine Daten an und bestellt anonym

8. Welche Aussage zum "Recht auf informationelle Selbstbestimmung" ist im Sinne der DSGVO richtig?
a. Das Recht auf informationelle Selbstbestimmung besagt, dass jede Person selbst entscheiden kann, welche Informationen und Daten sie in welchem Umfang von sich preisgibt
b. Das Recht auf informationelle Selbstbestimmung ist in §8 GG festgehalten
c. Das Recht auf informationelle Selbstbestimmung haben nicht die Mitarbeiter von Behörden oder Streitkräften
d. Das Recht auf informationelle Selbstbestimmung ist kein geschriebenes Gesetz, sondern setzt sich aus vielerlei datenschutzrechtlichen Grundsätzen zusammen

9. Welche Rechte hat ein Betroffener im Sinne der DSGVO/BDSG?
a. Unter Umständen Schadensersatz bei entstandenem Schaden durch Verletzung seiner Rechte
b. Benachrichtigung, wenn seine Daten gelöscht werden
c. Benachrichtigung bei erstmaliger Speicherung seiner Daten
d. Sofortige rückstandslose Löschung aller seiner Daten

10. Wer ist "Betroffener" im Sinne des BDSG?
a. eine bestimmte oder bestimmbare natürliche Person
b. eine bestimmte oder bestimmbare juristische Person
c. eine bestimmte oder bestimmbare natürliche oder juristische Person
d. bestimmte oder bestimmbare natürliche und juristische Personen

11. Was ist unter einer öffentlichen Stelle zu verstehen?
a. Natürliche Personen können auch eine öffentliche Stelle sein
b. Behörden des Bundes oder der Länder
c. Die Fußballnationalmannschaft des jeweiligen EU Mitglieds
d. Gerichte der Länder und des Bundes

12. Welche dieser Daten sind "besonders sensible personenbezogene Daten"?
a. Konfession
b. Gesundheitszustand
c. Telefonnummer
d. Emailadresse

13. Was versteht man unter dem "Pseudonymisieren" von Daten?
a. Anstelle der Anzeige des Vor- und Nachnamens wird ein Spitzname angezeigt
b. Ersetzen des Namens oder anderer Identifikationsmerkmale durch ein Kennzeichen
c. Bei einer Onlinebestellung gibt der Besteller keine Daten an und bestellt anonym
d. Verändern von Daten, sodass diese nur mit hohem Aufwand einer natürlichen Person zugeordnet werden können

14. Worin besteht der Sinn der DSGVO bzw. des BDSG?
a. Es wird sichergestellt, dass Personen immer ihre echten und richtigen Daten angeben
b. Schutz von Daten gegen deren missbräuchliche Verwendung
c. Schutz der Persönlichkeitsrechte eines jeden Menschen
d. Sicherung der Daten vor Verlust

15. Sind Verstöße gegen die DSGVO bzw. das BDSG Ordnungswidrigkeiten?
a. Verstöße gegen die DSGVO/BDSG können auch Straftaten sein
b. Ja, immer
c. Unter anderem, ja
d. Nein

Markieren Sie die schwarzen Felder, um die korrekten Antworten zu sehen:

1 ab, 2 b, 3 bd, 4 bc, 5 bc, 6 cd, 7 c, 8 a, 9 ac, 10 a, 11 bd, 12 ab, 13 ab, 14 bc, 15 ac



GDPR/DSGVO Übungsfragen (englisch)


1. Which of the following controller/processing scenarios in principle CAN use the Public Interest legal basis?

A. A vehicle licensing agency selling owner names and contact details to the private sector in exchange for money

B. A company director credit checking agency republishing the contents of a Mandatory Public Register of directors which is already in the public domain publishing the names and addresses of directors on the internet

C. A registered and regulated charity receiving information from any public sector body as part of a lawful Data Sharing Agreement

D. None of the above


2. Where the data subject is a child, what steps must controllers take in respect of consent, within the constraints of available technology?

A. Controllers must make best efforts to verify the consent

B. Controllers must make reasonable efforts to verify the consent

C. Controllers must make best efforts to request the consent in clear and plain language, in the context of the age of the child

D. Controllers must make reasonable efforts to request the consent in clear and plain language, in the context of the age of the child


3. "While implementing certain data subject rights the controller is NOT obliged by Article 19 to inform each third party recipient of the personal data" For which of the following rights is that statement TRUE?

A. "Non-profiling" under Article 22

B. B. Rectification under Article 16

C. Erasure / "right to be forgotten" under Article 17

D. Restriction under Article 18


4. For purposes of a data protection impact assessment, when must the controller seek the views of data subjects or their representatives on the intended processing?

A. Always

B. Never

C. When appropriate

D. When the supervisory authority requests it


5. Regarding data subjects protected by the GDPR, which of the following statements is true?

A. The GDPR protects only people who are physically located in the EU

B. The GDPR protects only EU citizens

C. The GDPR protects only EU residents

D. The GDPR protects only EU domiciliaries


6. In respect of non-profit representation of data subjects, which of the following statements is FALSE?

A. For a not-for-profit body, organisation to execute a mandate on behalf of a data subject, it must have been properly constituted in accordance with the law of a Member State.

B. Member State laws may provide that not-for-profit bodies may bring complaints under Articles 77, 78, and 79 in the absence of mandates from affected data subjects.

C. Any data subject has the right to mandate any not-for-profit body, organisation or association to exercise the rights referred to in Articles 77, 78 and 79 on his or her behalf, and to exercise the right to receive compensation referred to in Article 82 on his or her behalf.

D. Unless a Member State's laws facilitate it, a not-for-profit body cannot exercise the right to receive compensation referred to in Article 82 on a data subject's behalf.


Lösungen

Markieren Sie die schwarzen Felder, um die korrekten Antworten zu sehen:

1. D

2. B

3. A

4. C

5. A

6. C



CDPO Data Protection Officer Übungsfragen (englisch)


Firebrand führt in Kooperation mit PECB offizielle CDPO Kurse durch. Folgende Prüfungsfragen mit möglichen Antworten wurden von PECB zur Verfügung gestellt:


1. The purpose of the GDPR

GDPR considers the protection of natural persons in relation to the processing of personal data as a fundamental right. Please prepare a summary explaining the purpose of this regulation and the areas that the GDPR intends to contribute to.

Possible Answer:

Purposes of this regulation are to:
  • Establish standardized data protection laws over all European countries
  • Eliminate inconsistencies in national laws
  • Raise the bar to provide better privacy protection for individuals
  • Update the law to better address contemporary privacy challenges, such as those posed by the internet, social media, big data” and behavioural marketing
  • Reduce the costly administrative burdens for organizations dealing with multiple data protection authorities
This Regulation is intended to contribute to the security and justice area, as well as to the economic and social progress, to the strengthening and the convergence of the economies within the internal market, and to the well-being of natural persons.


2. Data protection officer

Please determine what tasks shall be assigned to the data protection officer, in order to assist the controllers and processors ensure compliance with the regulation.

Possible Answer:

The data protection officer shall be involved properly and in a timely manner in all issues related to the protection of the personal data.

Some of the tasks of the data protection officer include:

Having an advisory role by:
  • Providing information and advice to the data controller, data processor and employees who carry out processing of their obligations in compliance with GDPR
  • Provide advice regarding the data protection impact assessment (upon request) Monitoring:
  • Monitor compliance with GDPR
  • Monitor compliance with internal policies

Monitoring:
  • Monitor compliance with GDPR
  • Monitor compliance with internal policies
  • Monitor compliance with other data protection legislation
  • Monitor the performance of the DPIA (upon request)

Other tasks:
  • Cooperate with supervisory authority
  • Act as a contact point for the supervisory authorities on issues relating to processing


3. Data Protection Measures

Please define the measures that an organisation can implement to demonstrate compliance with the following.

Possible Answer:

Transparency of data collection:
  • Establish policies
  • Conduct periodic review
  • Create supported operating systems
  • Turn on automated updates

Privacy and data breach:
  • Ensure that staff comprehends that data breach is more than the loss of personal data
  • Make sure that there is an internal breach reporting procedure in place
  • Make sure that investigation and internal reporting procedures are in place