Aktuelles

Datenschutz-Quiz: Auflösung

 
Das Datenschutz-Quiz der GDD anlässlich des 12. Europäischen Datenschutztages 2018 ist beendet. Herzlichen Glückwunsch allen Gewinnern! Hier nun die Auflösung der Quizfragen

Frage 1: Innerhalb welcher Frist müssen Verletzungen des Schutzes personenbezogener Daten möglichst gemeldet werden?

Antwort: 72 Stunden. Gem. Art. 33 Abs. 1 DS-GVO meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde.

Frage 2: Müssen die Kontaktdaten des/der Datenschutzbeauftragen der Aufsichtsbehörde mitgeteilt werden?

Antwort: Ja. Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten ab dem 25. Mai 2018 und teilt diese Daten gem. Art. 37 Abs. 7 DS-GVO der Aufsichtsbehörde mit.

Frage 3: Mit einem Bußgeld bis zu welcher Höhe ist das Fehlen eines Vertrages zur Auftragsverarbeitung nach der DS-GVO bedroht?

Antwort: 10 Millionen Euro oder im Fall eines Unternehmens bis zu 2% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs. Der pflichtwidrige Verzicht auf einen Vertrag stellt einen Verstoß gegen Art. 83 Abs. 4 lit. a iVm Art. 28 DS.GVO dar.

Frage 4: Ist für die Einwilligung der betroffenen Person zwingend die Schriftform vorgesehen?

Antwort: Nein. Weder Art. 4 Nr. 11 noch Art. 7 DS-GVO machen die wirksame Einwilligung von der Schriftform abhängig. Erwägungsgrund 32 führt aus, dass die Erklärung ggf. elektronisch oder mündlich erfolgen kann, bzw. durch Anklicken eines Kästchens beim Besuch einer Internetseite u.s.w. Hauptsache, der Nachweis ist gewährleistet. (Besonders aufmerksame Teilnehmer verwiesen auf das Schriftformerfordernis des § 26 Abs. 2 Satz 3 BDSG 2018. Doch selbst hiervon kann abgewichen werden, wenn wegen besonderer Umstände eine andere Form angemessen ist.)

Frage 5: Darf ein Auftragsverarbeiter zur Aufgabenerfüllung Subunternehmer einsetzen?

Antwort: Grundsätzlich ja. Es müssen allerdings die Voraussetzungen des Art. 28 Abs. 2 und 4 DS-GVO eingehalten sein. (Wer hier unter Verweis auf Art. 28 Abs. 2 Satz 1 DS-GVO zunächst auf "nein" getippt hat, lag ebenfalls richtig; es kommt wie immer auf die Begründung an.)