IHK-Aufgaben DSGVO
Diese Lektion sammelt typische IHK-Prüfungsaufgaben zur DSGVO. Die Aufgaben decken alle Lektionen des Kurses ab – von Art. 5 Grundprinzipien bis zu Bußgeldern und Betroffenenrechten. Löse jede Aufgabe selbst, bevor du die Lösung aufklappst. In der Prüfung zählt oft die Begründung genauso viel wie die richtige Antwort.
1) Grundprinzipien und Rechtsgrundlagen
Aufgabe 1 – Verstoß identifizieren
Ein Fitnessstudio erhebt bei der Anmeldung: Name, Adresse, Geburtsdatum, Bankverbindung, Körpergewicht, Erkrankungen und Religionszugehörigkeit. Identifiziere mindestens drei mögliche DSGVO-Verstöße und nenne das verletzten Grundprinzip (Art. 5) sowie – wenn relevant – den Artikel der DSGVO.
1. Körpergewicht: Ohne konkrete Rechtsgrundlage und Zweck unverhältnismäßig → Verstoß gegen Datenminimierung (Art. 5 Abs. 1 lit. c) und ggf. fehlende Rechtsgrundlage (Art. 6).
2. Erkrankungen: Gesundheitsdaten sind besondere Datenkategorie nach Art. 9 DSGVO. Verarbeitung nur mit ausdrücklicher Einwilligung oder gesetzlicher Grundlage erlaubt. Für ein Fitnessstudio gibt es in der Regel keine Grundlage → Verstoß gegen Art. 9 und Datenminimierung.
3. Religionszugehörigkeit: Ebenfalls besondere Datenkategorie nach Art. 9 DSGVO, für die Mitgliedschaft im Fitnessstudio vollständig irrelevant → klarer Verstoß gegen Datenminimierung und fehlendem Erlaubnistatbestand.
Name, Adresse, Geburtsdatum und Bankverbindung können zulässig sein (Vertragserfüllung nach Art. 6 Abs. 1 lit. b). Beim Geburtsdatum wäre zu prüfen, ob es wirklich erforderlich ist.
Aufgabe 2 – Rechtsgrundlage bestimmen
Nenne für jede der folgenden Datenverarbeitungen die passende Rechtsgrundlage nach Art. 6 DSGVO:
(a) Ein Online-Shop speichert die Lieferadresse für die Bestellung.
(b) Ein Unternehmen schickt seinen Kunden monatlich einen Newsletter, nachdem diese zugestimmt haben.
(c) Eine Steuerberatungskanzlei bewahrt Buchungsbelege zehn Jahre auf.
(d) Ein IT-Unternehmen analysiert Zugangsprotokolle, um Angriffe zu erkennen.
(e) Eine Bank überprüft die Kreditwürdigkeit eines Antragstellers.
(a) Ein Online-Shop speichert die Lieferadresse für die Bestellung.
(b) Ein Unternehmen schickt seinen Kunden monatlich einen Newsletter, nachdem diese zugestimmt haben.
(c) Eine Steuerberatungskanzlei bewahrt Buchungsbelege zehn Jahre auf.
(d) Ein IT-Unternehmen analysiert Zugangsprotokolle, um Angriffe zu erkennen.
(e) Eine Bank überprüft die Kreditwürdigkeit eines Antragstellers.
(a) Lieferadresse → Vertragserfüllung (Art. 6 Abs. 1 lit. b) – ohne Adresse kann nicht geliefert werden
(b) Newsletter nach Zustimmung → Einwilligung (Art. 6 Abs. 1 lit. a) – freiwillig, informiert, aktiv
(c) 10 Jahre Buchungsbelege → Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c) – § 147 AO, steuerrechtliche Aufbewahrungsfrist
(d) Zugangsprotokolle für Angriffserkennung → Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) – IT-Sicherheit überwiegt
(e) Kreditwürdigkeitsprüfung → Vertragserfüllung / Vertragsanbahnung (Art. 6 Abs. 1 lit. b) – notwendig vor Vertragsschluss
2) Betroffenenrechte und Fristen
Aufgabe 3 – Betroffenenanfrage bearbeiten
Ein ehemaliger Kunde sendet am 5. März folgende E-Mail: „Ich möchte wissen, welche Daten Sie über mich gespeichert haben, und fordere die vollständige Löschung." Beantworte: (a) Welche Rechte macht er geltend? (b) Bis wann muss das Unternehmen antworten? (c) Unter welchen Umständen muss er NICHT vollständig gelöscht werden?
(a) Er macht geltend: Auskunftsrecht (Art. 15) und Recht auf Löschung (Art. 17)
(b) Frist: 1 Monat ab Eingang → spätestens 5. April muss das Unternehmen antworten. Verlängerung auf 3 Monate möglich, aber nur wenn der Kunde innerhalb des ersten Monats über die Verlängerung informiert wird.
(c) Keine vollständige Löschung wenn: gesetzliche Aufbewahrungspflichten bestehen (z.B. Rechnungen 10 Jahre nach § 147 AO), die Daten zur Geltendmachung von Rechtsansprüchen benötigt werden, oder die Daten zur Erfüllung einer rechtlichen Verpflichtung notwendig sind.
Praktisch: Das Unternehmen sollte zuerst Auskunft erteilen und gleichzeitig zur Löschung mitteilen, welche Daten sofort gelöscht werden und welche aufgrund gesetzlicher Pflichten noch aufbewahrt werden müssen.
3) Datenpanne und AVV
Aufgabe 4 – Datenpanne beurteilen
Ein Mitarbeiter verliert am Montag um 14 Uhr einen unverschlüsselten Laptop mit einer Excel-Liste von 300 Kundenadressen und Telefonnummern. Er informiert seinen Vorgesetzten am Dienstag um 8 Uhr. (a) Handelt es sich um eine meldepflichtige Datenpanne? (b) Bis wann muss die Aufsichtsbehörde informiert werden? (c) Müssen die 300 Kunden informiert werden?
(a) Ja, meldepflichtige Datenpanne – Verlust eines Geräts mit personenbezogenen Daten ist eine Verletzung des Schutzes nach Art. 4 Nr. 12 DSGVO. Die Daten waren unverschlüsselt → reales Risiko für Betroffene.
(b) Die 72-Stunden-Frist beginnt mit der Kenntnisnahme des Unternehmens: Dienstag 8 Uhr. Späteste Meldung an Aufsichtsbehörde: Freitag 8 Uhr.
(c) Adressen und Telefonnummern sind zwar personenbezogen, aber keine besonders sensiblen Daten. Das Risiko für die Betroffenen ist erhöht (Spam, Phishing), aber ob es ein hohes Risiko i.S.v. Art. 34 ist, hängt von der konkreten Bewertung ab. In der Praxis würde eine vorsorgliche Information empfohlen, rechtlich zwingend ist sie wahrscheinlich nicht.
Meldung an Behörde: Pflicht. Meldung an Betroffene: abwägungsabhängig, vorsorglich empfehlenswert.
Aufgabe 5 – AVV oder nicht?
Entscheide für jede Situation: Ist ein AVV erforderlich? Begründe kurz.
(a) Das Unternehmen beauftragt eine externe Werbeagentur mit der Erstellung von Grafiken – ohne Zugang zu Kundendaten.
(b) Das Unternehmen nutzt einen Cloud-E-Mail-Dienst, über den alle E-Mails mit Kundenkontakt laufen.
(c) Das Unternehmen gibt Daten an das Finanzamt weiter.
(d) Das Unternehmen beauftragt einen externen IT-Dienstleister mit der Wartung des Servers, der Kundendaten enthält.
(a) Das Unternehmen beauftragt eine externe Werbeagentur mit der Erstellung von Grafiken – ohne Zugang zu Kundendaten.
(b) Das Unternehmen nutzt einen Cloud-E-Mail-Dienst, über den alle E-Mails mit Kundenkontakt laufen.
(c) Das Unternehmen gibt Daten an das Finanzamt weiter.
(d) Das Unternehmen beauftragt einen externen IT-Dienstleister mit der Wartung des Servers, der Kundendaten enthält.
(a) Werbeagentur ohne Datenzugang → Kein AVV nötig – es werden keine personenbezogenen Daten verarbeitet
(b) Cloud-E-Mail-Dienst mit Kundenkontakt → AVV erforderlich – der Anbieter verarbeitet personenbezogene Daten im Auftrag
(c) Weitergabe an Finanzamt → Kein AVV – das Finanzamt ist eigenständiger Verantwortlicher kraft gesetzlicher Pflicht, kein Auftragsverarbeiter
(d) IT-Wartung mit Serverzugang → AVV erforderlich – der Dienstleister kann auf personenbezogene Daten zugreifen, auch wenn er das nicht aktiv tut
Faustregel: AVV immer dann, wenn ein Dritter im Auftrag Zugang zu personenbezogenen Daten hat oder haben könnte – und nach Weisung des Verantwortlichen handelt.
K05-Kursüberblick – Was du nach DSGVO können solltest
| Thema | Kernaussage | Lektion |
|---|---|---|
| Entstehung DSGVO | Seit 2018 verbindlich; Marktortprinzip; personenbezogene Daten | L1 |
| Art. 5 – 7 Grundprinzipien | Rechtmäßigkeit, Zweck, Datensparsamkeit, Richtigkeit, Speicher, Sicherheit, Rechenschaft | L2 |
| Art. 15–22 Betroffenenrechte | Auskunft, Berichtigung, Löschung, Einschränkung, Portabilität, Widerspruch. Frist: 1 Monat. | L3 |
| TOMs | Technische + organisatorische Schutzmaßnahmen dokumentiert und verhältnismäßig | L4 |
| AVV | Pflicht bei Auftragsverarbeitung. 9 Mindestinhalte nach Art. 28. | L5 |
| Datenpanne | 72 Stunden → Behörde. Hohes Risiko → Betroffene. Immer intern dokumentieren. | L6 |
| DSB, VVT, DSFA | Rechenschaftswerkzeuge: Wer, was, warum, wie, wie lange gespeichert. | L7 |
| Privacy by Design | Art. 25: Datenschutz eingebaut, nicht nachgerüstet. Default = datenschutzfreundlich. | L8 |
DSGVO-Aufgaben in der IHK-Prüfung sind meist Fallaufgaben: Eine Situation wird beschrieben, du sollst Verstöße identifizieren, Rechte benennen oder Handlungsempfehlungen geben. Übe deshalb, Situationen systematisch zu analysieren: Welche Daten? Wer verarbeitet? Welcher Zweck? Welche Rechtsgrundlage? Welche Rechte entstehen?