• Braindump zu “Datenschutz & Compliance”, SS2016
• Art: schriftlich
• Bearbeitungsdauer: 90min
• Prüfer: Prof. Dr.-Ing. Michael Tielemann

Die Bearbeitungszeit von 90 Minuten war reichlich genug. Ich weiß nicht, ob jemand bis zum Schluss geschrieben hat. Der Stoff wurde in der letzten Vorlesung vor der Klausur kurz durchgesprochen und (leicht) eingeschränkt. Herr Tielemann gibt normalerweise immer an, welche Themen er abfragen wird, bzw betont, welche Themen er „gut“ findet. Ich habe mit den unten gegebenen Antworten eine 1,0 bekommen, die Klausur war somit ebenfalls fair bewertet.

• Was ist Datenschutz und was wird damit geschützt (4 Punkte)
• Welche Gesetze regeln in Deutschland den Datenschutz und wie stehen sie in Verbindung (6 Punkte)
• Was sind „Personendaten“ nach dem BDSG (4 Punkte)
• Zählen Sie die Technischen und Organisatorischen Maßnahmen (TOM) auf ,erklären Sie sie kurz anhand eines Beispiels (8 Punkte)
• Beschreiben Sie die Grundsätze des Volkszählungsurteil von 1983 (14 Punkte)
• Beschreiben Sie ein Vorgehen um den Personenbezug von Daten herzustellen (6 Punkte)
• Sie sind neu in einem Mittelstaendischen Unternehmen, und sollen sich um den Datenschutz in diesem Unternehmen kuemmern. Welche Schritte muessen sie durchfuehren, um Datenschutz im Unternehmen zu gewaehrleisten? (12 Punkte)
• Welche Gefahren ergeben sich durch ungehemmte und unkontrollierte Videoüberwachung (6 Punkte)
• Was ist „Compliance“ und wie steht es in Verbindung zur IT? (4 Punkte)

Insgesamt muessten es 60 Punkte sein. Hier sind es 64. Sucht euch aus, wo ihr die 4 Punkte abzieht…

Alle Fragen, bis auf die Videoueberwachung und den Datenschutz im Unternehmen, koennen 1:1 aus dem Skript entnommen werden, weshalb ich sie hier nur knapp beantworte.

• Die Frage nach dem Umgang mit Daten im Bezug auf moralische, juristische und politische Sicht. Die Verletztung des Persoenlichkeitsrechtes. bzw. die Privatsphaere einer Person
• Artikel 1&2 GG sowie BDSG (vorallem Paragraph 4ff)
• Einzelangaben, die in einem persoenlichen oder sachlichen Verhaeltnis zu einer bestimmbaren oder bestimmten natuerlichen Person stehen.
• Unbefugtenzutritt (Darf die Person hier rein), Zugangskontrolle (Hat die Person Chip/Passwort), Spezieller Zugriff (Zeige der Person nur die Daten, die sie braucht/betreffen), Weitergabekontrolle (Darf die Person diese Daten extrahieren und weitergeben), Aenderungskontrolle (Veraendert sie die Daten auch nicht?), Eingabekontrolle (Ueberpruefung, ob die Daten richtig und vollstaendig ins System geschrieben werden), Auftragskontrolle (Wird der Auftrag abgegeben, muss das kontrolliert werden) und Sicherheit (Sicherungskopien der Daten)
• Siehe Skript, das ist mir jetzt zuviel schreiben
• Deanonymisierung: Versuche anonymen Datensatz a mit zusaetzlichen Daten aus b zu vereinen und einen Personenbezug herzustellen
• Ueberpruefen der aktuell vorhandenen Daten. Sind diese DS konform? Wenn nein, ein Verfahren entwickeln, dass die Daten DS-konform macht, und zukuenftige Daten in dieses System integrieren. Die Datenspeicherung an einen Ort versetzen, zu dem nicht jeder Zugang hat. Zugriffsbeschraenkung einrichten, dass nicht jeder alle Daten einsehen kann. Logfile erstellen, das Aenderungen an den Daten protokolliert. Sicherstellen, dass neu eingegebene Daten korrekt und vollstaendig sind. Im Endeffekt wurde hier einfach TOM implementiert.
• Massendatenspeicherung, schlechte Nachvollziehbarkeit, wer wann welche Daten erhebt, und somit Auskunftsrecht schwer durchzuseten. Profilbildung, sowie Personenbezug der Daten. Moegliche Zweckentfremdung erhobener Daten
• Compliance = Regeltreue. Die Einhaltung von Regeln, Gesetzen und selbstauferlegten Kodizes im Unternehmen. Fuer die IT bedeutet das, dass die Daten, die sie verwendet, speziell personenbezogene Daten, nach ganz bestimmten Verfahren bearbeitet werden muessen, und bspw die Datenschutzrichtlinien des Unternehmens erfuellen muessen.