Personenbezogene Daten
Was ist ein direktes personenbezogenes Datum?
Erkläre den Begriff und nenne ein Beispiel
Name, Handynummer, Durchwahl, Geburtsdatum, Foto, (genetischer) Fingerabdruck, biometrische Merkmale, Videoaufzeichnungen
Daten, die eindeutig einer bestimmten natürlichen Person zugeordnet werden können.
Unter welchem Namen ist das Recht auf Löschung noch bekannt?
a) Recht auf Bereinigung
b) Recht auf Beseitigung
c) Recht auf Vergessenwerden
d) Recht auf Amnesie
c) Recht auf Vergessenwerden
Wer ist für die Erteilung von Auskünften an einen Betroffenen verantwortlich, wenn dieser sich im Zusammenhang mit einer Phishing-Kampagne meldet, die ihr bei einem Kunden durchführt?
a) Der Verantwortliche, der die Phishing-Kampagne in Auftrag gegeben hat.
b) Der Datenschutzbeauftragte des Unternehmens, das die Kampagne durchführt.
c) Ihr als Dienstleister, der die Phishing-Kampagne technisch umsetzt.
a) Der Verantwortliche, der die Phishing-Kampagne in Auftrag gegeben hat.
Art. 15 DSGVO: Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden
Welche der folgenden Aussagen beschreibt am besten den Zweck der "Vertraulichkeit" im Kontext der Informationssicherheit?
a) Die Daten sind immer verfügbar, wenn sie benötigt werden.
b) Die Daten sind nur für autorisierte Benutzer zugänglich.
c) Die Daten sind öffentlich zugänglich.
d) Die Daten sind vor Veränderungen geschützt.
b) Die Daten sind nur für autorisierte Benutzer zugänglich.
Schätzfrage:
Wie viele Prozent der erfolgreichen Cyberangriffe basieren auf menschlichem Fehlverhalten, wie z.B. dem Klicken auf Phishing-Links?
a) 25-35 %
b) 59 %
c) 60-75 %
d) 85-90 %
d) 85-90%
Laut verschiedenen Studien basieren 85-90% der erfolgreichen Cyberangriffe auf menschlichem Fehlverhalten
Was ist ein mittelbares personenbezogenes Datum?
Erkläre den Begriff und nenne ein Beispiel
Alter, Geschlecht, Größe, Surfverhalten, der Gang einer Person, etc.
Daten, die nicht unmittelbar einer bestimmten Person zugeordnet werden kann, aber in Verbindung mit anderen Informationen zur Identifikation einer Person führen kann
Welchen Bedingungen müssen erfüllt sein, damit eine gegebene Einwilligung widerrufen werden kann?
a) Die Einwilligung kann nur dann widerrufen werden, wenn sie schriftlich erteilt wurde.
b) Ein Widerruf ist nur dann möglich, wenn die betroffene Person nachweisen kann, dass ihre Daten unrechtmäßig verarbeitet wurden.
c) Die Einwilligung kann nur dann widerrufen werden, wenn der Vertrag, zu dem sie gehört, nicht vollständig erfüllt wurde.
d) Der Widerruf ist nur dann möglich, wenn die betroffene Person einen schriftlichen Antrag bei der Datenschutzaufsichtsbehörde stellt.
e) Keine. Die Einwilligung kann jederzeit und ohne Angabe von Gründen widerrufen werden
e) Keine. Die Einwilligung kann jederzeit und ohne Angabe von Gründen widerrufen werden
"Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen."
Es gilt: Jederzeit, formlos, genauso einfach, wie sie erteilt wurde
Innerhalb welcher Frist müssen Datenschutz-Verletzungen möglichst an den Verantwortlichen gemeldet werden?
a) Innerhalb von 24 Stunden
b) Innerhalb von 48 Stunden
c) Innerhalb von 72 Stunden
d) Unverzüglich
e) Innerhalb von 7 Tagen
d) Unverzüglich
Innerhalb welcher Frist müssen Informationssicherheitsvorfälle intern gemeldet werden?
a) Innerhalb von 24 Stunden
b) Innerhalb von 48 Stunden
c) Innerhalb von 72 Stunden
d) Unverzüglich, jedoch spätestens innerhalb von 7 Tagen
e) Keine Frist
e) Keine Frist
Es ist keine Frist vorgegeben, jedoch sollten Informationssicherheitsvorfälle ohne Verzögerung somit unverzüglich gemeldet werden, um eine schnelle Reaktion zu ermöglichen.
Schätzfrage:
Wie viel Schadprogrammvarianten wurden vom BSI in 2023 durchschnittlich täglich gefunden?
a) 2.500
b) 25.000
c) 250.000
c) 250.000
Wann gelten Daten laut DSGVO als personenbezogene Daten? Erkläre deine Entscheidung
Die Daten müssen entweder direkt einer bestimmten Person zuordenbar sein oder sie müssen sich durch zusätzliches Wissen oder zusätzlichen Aufwand einer bestimmbaren Person zuordnen lassen.
Wie heißt das "Recht auf richtige Daten" in der DSGVO richtig?
a) Recht auf Berichtigung
b) Recht auf Datenrichtigkeit
c) Recht auf Richtigkeit
a) Recht auf Berichtigung
Wer muss eine Datenschutzverletzung an die Datenschutzaufsichtsbehörde melden?
a) Der Datenschutzberater
b) Der Verursacher - unabhängig von seiner Rolle
c) Der Entdecker - unabhängig von seiner Rolle
d) Der Verantwortliche
d) Der Verantwortliche
Was versteht man unter dem Prinzip der Minimalberechtigung (Least Privilege) in der Informationssicherheit und warum ist es wichtig?
Das Prinzip der Minimalberechtigung besagt, dass Benutzer nur die Rechte und Zugriffsberechtigungen erhalten, die sie benötigen, um ihre Aufgaben zu erfüllen.
Es ist wichtig, um das Risiko von Sicherheitsverletzungen zu minimieren
Schätzfrage:
Wie hoch sind die gesammelten Bußgelder seit 2021 für den Konzern Meta (Facebook, Instagram, Whatsapp) bis jetzt?
a) 745.000.000 €
b) 1.505.000.000 €
c) 2.175.000.000 €
d) 2.545.000.000 €
d) 2.545.000.000 €
zuletzt ein Einzelbußgeld von 1,2 Mrd. €
Handelt es sich bei einer IP-Adresse um ein personenbezogenes Datum? Ja oder Nein? Erkläre deine Entscheidung
Eine IP-Adresse kann als personenbezogenes Datum betrachtet werden, u.a. wenn sie über den Abgleich mit Daten eines Internetdienstanbieters (Service Provider) einer bestimmten Person zugeordnet werden kann.
Wird auch akzeptiert: *wenn sie in Kombination mit anderen Informationen einer bestimmten Person zugeordnet werden kann.
Wie oft kann man ein Auskunftsersuchen pro Jahr einreichen?
a) Einmal im Jahr, aber nur bei einer begründeten Anfrage
b) So oft wie gewünscht, solange es keine missbräuchliche Anfrage ist
c) Nur einmal, unabhängig von der Art der Anfrage
d) Bis zu drei Mal im Jahr, aber nur wenn die vorherige Anfrage nicht bearbeitet wurde
e) Einmal jährlich, danach muss der Verantwortliche eine Gebühr verlangen
b) So oft wie gewünscht, solange es keine missbräuchliche Anfrage ist
"Bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person kann der Verantwortliche entweder ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder sich weigern, aufgrund des Antrags tätig zu werden.
Ihr erhaltet ein Auskunftsersuchen von einem ehemaligen Mitarbeiter. Er möchte gerne wissen, welche personenbezogenen Daten über ihn gespeichert sind.
Wie reagiert ihr?
a) Ihr müsst dem ehemaligen Mitarbeiter alle Daten, die ihr über ihn gespeichert habt, innerhalb von 14 Tagen zur Verfügung stellen, ohne seine Identität zu prüfen.
b) Ihr müsst dem ehemaligen Mitarbeiter die angeforderten Daten innerhalb eines Monats zur Verfügung stellen, nach einer Identitätsprüfung, und die Informationen zu den Zwecken der Verarbeitung, den Empfängern und den Speicherfristen angeben.
c) Ihr müsst dem ehemaligen Mitarbeiter nur die Daten zur Verfügung stellen, die für seine Beschäftigung relevant waren, alle anderen Daten sind nicht auskunftspflichtig.
d) Ihr müsst dem ehemaligen Mitarbeiter nur dann Auskunft erteilen, wenn er die Daten in einem bestimmten Format (z. B. Excel) verlangt.
b) Ihr müsst dem ehemaligen Mitarbeiter die angeforderten Daten innerhalb eines Monats zur Verfügung stellen, nach einer Identitätsprüfung, und die Informationen zu den Zwecken der Verarbeitung, den Empfängern und den Speicherfristen angeben.
Welche der folgenden Maßnahmen trägt am effektivsten zur Minimierung des Risikos eines Phishing-Angriffs bei, der darauf abzielt, vertrauliche Unternehmensdaten zu stehlen?
a) Beschränkung des Zugriffs auf E-Mail-Konten nur für das Support-Team
b) Regelmäßige Schulungen der Mitarbeiter zur Erkennung verdächtiger E-Mails und Links.
c) Wöchentliche manuelle Sichtprüfung aller eingehenden E-Mails durch die IT
d) Einrichtung von Antiviren-Software auf allen Arbeitsstationen und Servern.
e) Tägliche Überprüfung der Zugriffsrechte für alle Benutzerkonten.
b) Regelmäßige Schulungen der Mitarbeiter zur Erkennung verdächtiger E-Mails und Links.
Phishing-Angriffe zielen in erster Linie auf den menschlichen Faktor ab, daher ist die Sensibilisierung der Mitarbeiter entscheidend
Schätzfrage:
Wie viele Richtlinien haben wir (PSW GROUP) aktuell in Kraft?
a) 10
b) 15
c) 29
d) 22
d) 22 Richtlinien
Was fallt nach Art. 9 Abs. 1 der DSGVO unter den besonders schützenswerten Daten?
a) Vegetarier
b) Staatsangehörigkeit
c) Geburtsort
d) IBAN
e) Brillenträger
e) Brillenträger (Gesundheitsdaten)
- Rassische und ethnische Herkunft, davon umfasst sind nicht die Staatsangehörigkeit und der Geburtsort
- Religiöse Überzeugungen: die Konfessionszugehörigkeit oder die Mitgliedschaft in einer Sekte
- Weltanschauliche Überzeugungen: ideologische Gesinnungen oder Mitgliedschaften in bestimmten Bünden. Davon nicht umfasst sind bloße Einstellungen und Merkmale der individuellen Lebensgestaltung wie „Vegetarier“
Was versteht man unter dem Recht auf Datenübertragbarkeit?
Erkläre.
Darunter versteht man das Recht, dass die betroffene Person das Recht hat, ihre bereitgestellten Informationen in einem maschinenlesbaren Format zu erhalten.
Wann müssen Unternehmen die betroffenen Personen über eine Datenschutzverletzung informieren?
a) Die betroffene Person muss bereits bei der ersten Vermutung einer Datenschutzverletzung informiert werden.
b) Die betroffene Person muss nur informiert werden, wenn voraussichtlich ein hohes Risiko für ihre persönlichen Rechte und Freiheiten besteht.
c) Die betroffene Person muss immer innerhalb von 24 Stunden informiert werden, ungeachtet, ob die Aufsichtsbehörde benachrichtigt wurde.
d) Die betroffene Person muss nur dann informiert werden, wenn die Datenschutzverletzung durch einen Algorithmus erkannt wurde.
b) Die betroffene Person muss nur informiert werden, wenn voraussichtlich ein hohes Risiko für ihre persönlichen Rechte und Freiheiten besteht.
Was ist der Unterschied zwischen proaktiven und reaktiven Maßnahmen in der Informationssicherheit, und warum sind beide Ansätze wichtig?
Proaktive Maßnahmen dienen dazu, Sicherheitsvorfälle zu verhindern, bevor sie auftreten.
Reaktive Maßnahmen kommen zum Einsatz, um auf eingetretene Sicherheitsvorfälle zu reagieren und Schäden zu begrenzen.
Beide Ansätze sind wichtig, da das Risiko reduziert wird und Schäden minimiert werden.