Zum 12. Europäischen Datenschutztag veranstaltete die GDD einen Datenschutz-Quiz. In diesem Jahr hatten die Teilnehmer die Gelegenheit ihr Wissen zur DS-GVO unter Beweis zu stellen. Zu gewinnen gab es 50 großformatige Textkunst-Poster (140x100cm) mit dem englischen Text der DS-GVO im Design der Europaflagge. Die Gewinner stehen nunmehr fest, so dass ich Nachgang auch die richtigen Antworten veröffentlicht werden.
Hier nun die Auflösung der Quizfragen:
Frage 1:
Innerhalb welcher Frist müssen Verletzungen des Schutzes personenbezogener Daten möglichst gemeldet werden?
Antwort:
72 Stunden. Gem. Art. 33 Abs. 1 DS-GVO meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde.
Frage 2:
Müssen die Kontaktdaten des/der Datenschutzbeauftragen der Aufsichtsbehörde mitgeteilt werden?
Antwort:
Ja. Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten ab
dem 25. Mai 2018 und teilt diese Daten gem. Art. 37 Abs. 7 DS-GVO der Aufsichtsbehörde mit.
Frage 3:
Mit einem Bußgeld bis zu welcher Höhe ist das Fehlen eines Vertrages zur Auftragsverarbeitung nach der DS-GVO
bedroht?
Antwort:
10 Millionen Euro oder im Fall eines Unternehmens bis zu 2% des gesamten weltweit erzielten Jahresumsatzes des
vorangegangenen Geschäftsjahrs. Der pflichtwidrige Verzicht auf einen Vertrag stellt einen Verstoß gegen Art. 83
Abs. 4 lit. a iVm Art. 28 DS.GVO dar.
Frage 4:
Ist für die Einwilligung der betroffenen Person zwingend die Schriftform vorgesehen?
Antwort:
Nein. Weder Art. 4 Nr. 11 noch Art. 7 DS-GVO machen die wirksame Einwilligung von der Schriftform abhängig.
Erwägungsgrund 32 führt aus, dass die Erklärung ggf. elektronisch oder mündlich erfolgen kann, bzw. durch
Anklicken eines Kästchens beim Besuch einer Internetseite u.s.w. Hauptsache, der Nachweis ist gewährleistet.
(Besonders aufmerksame Teilnehmer verwiesen auf das Schriftformerfordernis des § 26 Abs. 2 Satz 3 BDSG 2018.
Doch selbst hiervon kann abgewichen werden, wenn wegen besonderer Umstände eine andere Form angemessen ist.)
Frage 5:
Darf ein Auftragsverarbeiter zur Aufgabenerfüllung Subunternehmer einsetzen?
Antwort:
Grundsätzlich ja. Es müssen allerdings die Voraussetzungen des Art. 28 Abs. 2 und 4 DS-GVO eingehalten sein.
(Wer hier unter Verweis auf Art. 28 Abs. 2 Satz 1 DS-GVO zunächst auf "nein" getippt hat, lag ebenfalls richtig; es
kommt wie immer auf die Begründung an.)