Vorlesung 4 Flashcards
Ab wann besteht die Pflicht zur Benennung eines Datenschutzbeauftragten?
Bestellpflicht nach § 38 Abs. 1 Satz 1 BDSG (Bundesdatenschutzgesetz):
– Verantwortliche und Auftragsverarbeiter müssen einen
Datenschutzbeautragten beschäftigen, »soweit sie in der Regel
mindestens zehn Personen ständig mit der automatisierten Verarbeitung
personenbezogener Daten beschätigen.«
Wie hat ein Unternehmen zu reagieren bei Datenschutzverletzungen?
- unverzüglich und möglichst binnen 72 Stunden der Aufsichtsbehörde zu melden, außer es führt nicht zu einem Risiko der Rechte und Freiheiten natürlicher Personen
- Information der Betroffenen
- Information der Öffentlichkeit (ggf. über Anzeigen)
Was ist die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO?
- Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten bei erhöhtem Risiko
- Rat des DSB einholen
- erforderlich bei Bewertung persönlicher Aspekte, Verarbeitung besonderer Kategorien, Überwachung öffentl. Bereiche
Was enthält eine Datenschutz-Folgenabschätzung?
- systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke
- Bewertung der Notwendigkeit und Verhältnismäßigkeit
- Bewertung der Risiken
- die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, Garantien, Sicherheitsvorkehrungen und Verfahren
Wie ist das Vorgehen bei einer Datenschutz-Folgenabschätzung gemäß Kurzpapier Nr. 5 der Datenschutzkonferenz?
- Modellierung der Risikoquellen
- Risikobeurteilung
- Auswahl geeigneter Abhilfemaßnahmen
- Erstellung des Datenschutz-Folgenabschätzungs-Berichts
Was ist IT-Sicherheit?
IT-Sicherheit = Schutz der Daten:
-versucht die Daten gegen Angriffe und unbeabsichtigte Ereignisse zu schützen
Was ist Datenschutz?
Datenschutz = Schutz der Menschen:
- Recht des Einzelnen auf informationelle Selbstbestimmung, Einzelner soll selbst über die Preisgabe und Verwendung persönlicher Daten bestimmen
- Organisation hat technisch-organisatorische Maßnahmen zu treffen, um dieses Recht zu gewährleisten
Wie sind IT-Sicherheit und Datenschutz miteinander verbunden?
Beide schützen:
- Schutz der Vertraulichkeit
- Integrität
- Verfügbarkeit
Was ist Art. 25 (1) Privacy by Design - Datenschutz durch Technikgestaltung?
- Berücksichtigung des Stands der Technik, Implementierungskosten, Umstände, Zwecke, Eintrittswahrscheinlichkeiten, Risiken
- geeignete technisch organisatorische Maßnahmen zur Umsetzung der Datenschutzgrundsätze und zur Durchsetzung der Betroffenenrechte
Was sind die Datenschutzgrundsätze?
- Transparenz
- Zweckbindung
- Datensparsamkeit
- Datensicherheit
Was ist Art. 25 (2) Privacy by Default - datenschutzfreundliche Voreinstellungen?
Beschränkung durch fest eingebaute Funktionalität:
- Beschränkung auf Verarbeitungszweck
- Beschränkung des Umfangs
- beschränkung auf Speicherfristen
- Beschränkung der Zugänglichkeit
Was ist Art. 32 (1) Sicherheit der Verarbeitung?
Geeignete technisch-organisatorische Maßnahmen
- zur Pseudonymisierung und Verschlüsselung
- zur Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit
- zur Wiederherstellung der Verfügbarkeit nach Zwischenfällen
- zur Überprüfung, Bewertung und Evaluierung der technisch-organisatorischen Maßnahmen
Was berücksichtigt man immer wenn der Verantwortliche geeignete technische und organisatorische Maßnahmen treffen muss um angemessenes Schutzniveau zu gewährleisten?
- Stand der Technik
- Implementierungskosten
- Art, Umfang, Umstände, Zwecke
- Risiko
- technisch-organisatorische Maßnahmen
Wie sind Art, Umfang, Umstände und Zwecke bei Privacy by Design?
- Verbot mit Erlaubnisvorbehalt: Einwilligung oder gesetzliche Befugnis nötig
- Erforderlichkeit: muss notwendig sein, nicht nur nützlich
- Direkterhebung: Erhebung nur beim Betroffenen und mit seiner Kenntnis, Ausnahmen nur, wenn diese gesetzlich geregelt sind
In welcher Reihenfolge funktioniert das Risikomanagement bei Privacy by Design?
Identifikation->Bewertung->Steuerung->Überwachung->
Risiko = Eintrittswahrscheinlichkeit * Schadenshöhe