Datenschutz
https://bildung.social/deck/@oerinformatik/111913950895667012
https://oer-informatik.de/datenschutz-uebungsaufgaben
tl/dr; (ca. 10 min Bearbeitungszeit): Übungsaufgaben mit Lösungen zu Datenschutz, der DS-GVO und dem Datenschutzgesetz (z.B. zur Vorbereitung auf die Teil-1-Prüfung der IT-Berufe)… (Zuletzt geändert am 12.02.2024)
Abgrenzung und Definition von Datenschutz und Datensicherheit
Grenze die Begriffe Datenschutz und Datensicherheit gegeneinander ab!
Datenschutz:
Datenschutz betrifft personenbezogene Daten. Festlegungen, wie mit Daten von identifizierten oder identifizierbaren Personen verfahren werden darf, werden in der Datenschutz-Grundverordnung (DS-GVO) und dem Bundesdatenschutzgesetz (BDSG) festgelegt. Im Kern des Datenschutzes steht das Recht auf informationelle Selbstbestimmung von natürlichen Personen.
Datensicherheit:
Unter dem Begriff “Datensicherheit” werden alle Maßnahmen zusammengefasst, die Unbefugte daran hindern, Daten zu erstellen, lesen, ändern oder löschen. Datensicherheit betrifft somit alle Daten, auch Daten ohne Personenbezug.
Handelt es sich hierbei um ein Datenschutz- oder ein Datensicherheitsproblem?
| Beschreibung | Datenschutz, Datensicherheit oder nichts von beidem? |
|---|---|
| Ein Angebot, das die Kalkulationsgrundlagen ihres Unternehmens beinhaltet, liegt frei zugänglich im Internet | Datensicherheit |
| Die öffentlich einsehbare Telefonnummer des Supports wird von einem Unternehmen im internen Telefonbuch gespeichert. | weder noch |
| Eine Fitnessapp gibt die Daten über Sportaktivitäten einzelner Kunden an Krankenkassen für Werbezwecke weiter. | Datenschutz |
| Die Ergebnisse einer Internet-Umfrage Lieblingsreisezielen wird als Prozent-Angabe veröffentlicht | weder noch |
| Liste der Lieblingsreiseziele der anonymen Internet-Umfrage wird mit Reiseziel, Abstimmungszeit und IP-Adresse des abstimmenden veröffentlicht. | Datenschutz |
| Die Daten der Arbeitszeiterfassung werden durch ein Versehen mit fehlerhaften Daten überschrieben. | Datensicherheit und Datenschutz |
| Daten des Schießsystems mit persönlicher Keycard werden zum Abgleich der Arbeitszeiten verwendet. | Datenschutz |
| Artikeldaten aus einem Shopsystem können durch Dritte im Internet unbeabsichtigt verändert werden. | Datensicherheit |
| Bestelldaten eines Business-to-Business-Shops sind im Internet einsehbar. | v.a. Datensicherheit |
| Bestelldaten eines Endkunden-Shops sind im Internet einsehbar. | Datenschutz und Datensicherheit |
| Das Passwort des Rechners der Zeiterfassung klebt unter der Tastatur. | Datenschutz und Datensicherheit |
| Nach der Namensänderung hat ein Kunde keine Möglichkeit, seinen Namen in einem Shopsystem korrigieren zu lassen. | Datenschutz |
Verbotsprinzip / Verbotsvorbehalt
Was besagt das Verbotsprinzip der Datenschutz-Grundverordnung?
Das Verbotsprinzip "besagt, dass grundsätzlich jede Verarbeitung personenbezogener Daten erst einmal verboten ist. Sie ist nur auf der Basis einer freiwilligen Entscheidung der betroffenen Person oder einer Rechtsgrundlage erlaubt.1
Rechte Betroffener
Über welche Rechte verfügen Betroffene gemäß der Datenschutz-Grundverordnung (DS-GVO)?
| Szenario | Ergibt sich das Recht aus der DS-GVO (ja, nein - Begründung) |
|---|---|
| Betroffene natürliche Personen haben ein Recht auf Widerspruch der Nutzung der eigenen personenbezogenen Daten. | ja, Widerspruchsrecht (Art. 21 DS-GVO) |
| Natürliche Personen haben ein Recht auf Einschränkung der Verarbeitung der eigenen personenbezogenen Daten. | ja, Einschränkung der Verarbeitung (Art. 18 DS-GVO) |
| Körperschaften öffentlichen Rechts (Staat, Kommune,…) haben auf Basis der DS-GVO das Recht, auf veröffentlichte Unternehmensdaten (Bilanzen, Anteilseignerinnen, Vorstände, Prokuristinnen) zuzugreifen. | nein |
| Natürliche Personen haben das Recht gegenüber Körperschaften öffentlichen Rechts (Staat, Kommune,…), alle durch diese gespeicherten personenbezogenen Daten zu lesen, ändern oder löschen. | nein |
| Natürliche Personen haben ein Recht auf Auskunft zu eigenen personenbezogenen Daten. | ja, Recht auf Auskunft zu personenbezogenen Daten (Art. 15 DS-GVO) |
| Die Grundsätze der Datenschutzgrundverordnung verbieten es Whistleblowern in Deutschland, geheimgehaltene Daten zu Staaten, Organisationen und Unternehmen ohne deren Zustimmung zu veröffentlichen. | Nein, die DS-GVO schützt nur personenbezogene Daten. |
| Betroffene Firmen haben ein Recht auf Verschwiegenheit von Angestellten zu Unternehmensgeheimnissen aufgrund des Datenschutzes gemäß DS-GVO. | Nein, die DS-GVO schützt nur personenbezogene Daten. |
| Bei fehlerhaften personenbezogenen Daten haben betroffene natürliche Personen ein Recht auf Berichtigung. | ja, Berichtigung (Art. 16 DS-GVO) |
| Natürliche Personen haben ein Recht auf Weitergabe der eigenen personenbezogenen Daten (Datenübertragbarkeit). | ja, Recht auf Datenübertragbarkeit (Art. 20 DS-GVO) |
| Alle natürlichen Personen haben ein Recht auf Löschung der personenbezogenen Daten, wenn der Zweck der Erhebung entfallen ist. | ja, Löschung (Art. 17 DS-GVO) |
| Personenbezogenen Daten müssen auf Wunsch der betroffenen Person zu jedem Zeitpunkt durch den Erfasser/Verarbeiter gelöscht werden. | Nein, nicht zu jedem Zeitpunkt: sie müssen erst gelöscht werden, wenn der Zweck entfällt. Zur Vertragserfüllung beispielsweise dürfen Sie verarbeitet werden. |
Über welche Rechte verfügen betroffene Personen gemäß der Datenschutz-Grundverordnung (DS-GVO)?
Informationspflicht und Recht auf Auskunft zu personenbezogenen Daten (Art. 15 DS-GVO)
Berichtigung (Art. 16 DS-GVO)
Löschung (Art. 17 DS-GVO)
Einschränkung der Verarbeitung (Art. 18 DS-GVO),
Recht auf Datenübertragbarkeit (Art. 20 DS-GVO)
Widerspruchsrecht (Art. 21 DS-GVO)
Grundsätze des Datenschutzes
Welche Grundsätze gemäß DS-GVO werden in den folgenden Absätzen beschrieben?
| Beschreibung | Grundsatz gemäß DS-GVO |
|---|---|
| Personenbezogene Daten dürfen nur in einer für die betroffene Person nachvollziehbaren Art und Weise verarbeitet werden. | Transparenz (DS-GVO Art. 5 1a) |
| Es muss im Vorhinein veröffentlicht werden, wofür die personenbezogene Daten erhoben werden. Sie dürfen im Folgenden davon abweichend nicht verwendet werden. | Zweckbindung (DS-GVO Art. 5 1b) |
| Es dürfen nur so viele Daten erfasst werden, wie es für den jeweiligen Zweck erforderlich ist. | Datenminimierung (DS-GVO Art. 5 1c) |
| Es muss dafür gesorgt werden, dass die gespeicherten personenbezogenen Daten aktuell sind und stimmen - andernfalls müssen sie korrigiert oder gelöscht werden. | Richtigkeit (DS-GVO Art. 5 1d) |
| Der Personenbezug der Daten darf nur so lange bestehen, wie es zur Erfüllung des Zwecks erforderlich ist. | Speicherbegrenzung (DS-GVO Art. 5 1e) |
| Mithilfe technisch-organisatorischer Maßnahmen muss sichergestellt werden, dass Dritte die Daten nicht sehen, löschen, ändern können. | Vertraulichkeit und Integrität (DS-GVO Art. 5 1f) |
| Die Speicherung von Daten unterliegt einer zeitlichen Begrenzung. | Speicherbegrenzung (DS-GVO Art. 5 1e) |
| Die verantwortliche Stelle muss jederzeit umfassende Informationen an die betroffenen Personen geben können, welche Daten durch wen und zu welchen Zwecken verarbeitet werden und wurden. | Transparenz (DS-GVO Art. 5 1a) |
| Die Richtigkeit der Datenverarbeitung muss gewährleistet sind und es besteht ein Aktualisierungsanspruch bei Fehlern. | Richtigkeit (DS-GVO Art. 5 1d) |
| Datenerhebung muss dem Zweck angemessen und auf das notwendige Maß beschränkt sein. | Datenminimierung (DS-GVO Art. 5 1c) |
| Der Schutz personenbezogener Daten vor unerlaubtem Zugriff und Veränderung muss durch technische und organisatorische Maßnahmen sichergestellt sein – Datenschutz durch Technik, datenschutzfreundliche Voreinstellungen, Zertifizierungsverfahren und Datenschutzsiegel. | Vertraulichkeit und Integrität (DS-GVO Art. 5 1f) |
| Die Zwecke der Datenverarbeitung müssen bereits bei der Erhebung festgelegt, eindeutig und legitim sein. | Zweckbindung (DS-GVO Art. 5 1b) |
Technisch-Organisatorische Maßnahmen
Welche Technisch-Organisatorischen Maßnahmen (TOM) werden in der DS-GVO definiert?
Pseudonymisierung personenbezogener Daten (Art. 32 1a DS-GVO)
Verschlüsselung personenbezogener Daten (Art. 32 1a DS-GVO)
die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; (Art. 32 1b DS-GVO).
die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; (Art. 32 1c DS-GVO)
ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. (Art. 32 1d DS-GVO)
Bewertung eines Szenarios
Sie bitten bei einem Unternehmen per E-Mail um ein Angebot für eine Urlaubsreise. Was ist zulässig?
Notieren Sie sich über die Entscheidung der Zulässigkeit hinaus noch die jeweilige Begründung!
| Szenario | zulässig gemäß DS-GVO (Begründung)? |
|---|---|
| Die Firma darf ein Angebot an ihre E-Mail-Adresse schicken. | Ja, diese Datennutzung ist zur Erfüllung vorvertraglicher Maßnahmen auf Anfrage hin zulässig. |
| Die Firma ihren Namen und die Mail-Adresse speichern. | Ja, diese Datennutzung ist zur Erfüllung vorvertraglicher Maßnahmen auf Anfrage hin zulässig. |
| Die Firma darf ihre Postadresse und das Instagramm-Profilbild recherchieren und in einer Datenbank mit ihren Kundendaten speichern. | Nein, diese Datennutzung geht über den vereinbarten Zweck hinaus und verstößt z.B. gegen Zweckbindung und Datenminimierung. |
Links und weitere Informationen
Hinweis zur Nachnutzung als Open Educational Resource (OER)
Dieser Artikel und seine Texte, Bilder, Grafiken, Code und sonstiger Inhalt sind - sofern nicht anders angegeben - lizenziert unter CC BY 4.0. Nennung gemäß TULLU-Regel bitte wie folgt: “Datenschutz” von Hannes Stein, Lizenz: CC BY 4.0. Der Artikel wurde unter https://oer-informatik.de/datenschutz-uebungsaufgaben veröffentlicht, die Quelltexte sind in weiterverarbeitbarer Form verfügbar im Repository unter https://gitlab.com/oer-informatik/it-berufe-teil-1. Stand: 12.02.2024.
[Kommentare zum Artikel lesen, schreiben] / [Artikel teilen] / [gitlab-Issue zum Artikel schreiben]
