presentation-dsgvo/dsgvo.md

[Da­ten­schutz - Grund­ver­ord­nung]{style="font-size: 95%"}
============================================================

Bedeutung für kleine Unternehmen
--------------------------------

Haftungsausschluss
------------------

-   Wir sind keine Juristen
-   Die hier präsentierten Informationen bieten nur einen Leitfaden
-   Für die Umsetzung ist jedes Unternehmen selbst verantwortlich


Inhalt
------

-   Was ist die DSGVO
-   Definitionen
    -   Personenbezogene / Sensible Daten
-   Verarbeitung
    -   Umgang mit und Erfassung von personenbezogenen Daten
    -   Verantwortlichkeiten & Haftungen
-   Rechte und Pflichten
-   Verarbeitungsverzeichnis
-   Datenschutzbeauftragter
-   Fragen?

Wer sind wir?
-------------

-   Verein `/usr/space`, besteht seit Mai 2015
-   Wollen Menschen über Technik zusammenbringen & dafür begeistern

Was ist die DSGVO
-----------------

-   Rechtlich Bindende Verordnung der EU
-   Als Verordnung direkt in allen EU-Staaten rechtlich bindend
-   Gültig ab 24. Mai 2016
-   Bindend ab 25. Mai 2018
-   Regelt die Prozesse, Verantwortungen & Strafen bei der Verarbeitung
    von personenbezogenen Daten
-   Ersetzt die DSG2000
-   Verschärfte Haftung bei Verstößen und Fahrlässigkeiten

<aside class="notes">
-   Erfassung = Verarbeitung
-   Nicht nur elektronisch, auch strukturiert auf Papier
-   Strukturiert = mit Index, als Formular z.B.
-   DSG2000: Vieles bereits dort geregelt
-   Unternehmen werden stärker in die Verantwortung genommen

</aside>
Definitionen
============

Personenbezogene Daten
----------------------

-   Alle Informationen die sich auf eine natürliche Person beziehen
    -   Name, Geburtsdatum, Geschlecht, Haarfarbe, Finanzinformationen,
        E-Mail, …
-   Und diese direkt oder indirekt identifizierbar machen

<aside class="notes">
Definiert in Art. 4 Absatz 1

Beispiel:

-   Direkt: per Name + Geburtsdatum
-   Indirekt: im Unternehmen 15 Männer, 2 Frauen, im Fragebogen M/W zur
    Auswahl

</aside>
Sensible Daten
--------------

-   Personenbezogene Daten, deren bekannt werden einen potentiellen
    Nachteil mit sich bringen können
    -   Sexuelle Identität, Religiosität, politische Meinung,
        Gewerkschaftszugehörigkeit, Gesundheitsdaten, Fotos und Videos,
        …
-   Mitarbeiterfotos sind biometrische Daten, also sensibel
-   Sobald signifikater Teil der Verarbeitung sensible Daten umfasst:
    Da­ten­schutzbe­auf­trag­ter Pflicht!

<aside class="notes">
Besondere Kategorien: Art. 9 Absatz 1

-   Signifikant: Streitpunkt, wird erst noch von DSB geregelt
-   Fotos: Im Mitarbeiterverzeichnis, E-Mail ok, in Verbindung mit
    Gehaltsdaten unzulässig

</aside>
Verarbeitung
============

Umgang mit personenbezogenen Daten
----------------------------------

-   Zugriff darf nur bestimmten Personen gestattet sein
-   Nur im Rahmen der Tätigkeit wenn begründet
-   Keine Daten ausserhalb des unbedingt benötigten
-   Absicherung nach Stand der Technik
-   Jede Verarbeitung braucht einen Prozess, der im
    Verfahrensverzeichnis dokumentiert ist

<aside class="notes">
Artikel 5

-   Für Verarbeitung von Gehaltsdaten ist kein Zugriff auf Geschlecht
    oder Alter notwendig.
-   Ausnahmen bestätigen die Regel
-   Details zu Verfahrensverzeichnis später

</aside>
Erfassung von personenbezogenen Daten
-------------------------------------

-   Opt-In: nur erfassen, wenn Person dem zustimmt
-   Informiertes Einverständnis: Person muss informiert werden, welche
    Daten zu welchem Zweck erfasst werden
-   Minimale Erfassung: Anwendungen dürfen nur das unbedingt notwendige
    erfassen.
<aside class="notes">
Artikel 5
</aside>

Verantwortlichkeiten & Haftungen
--------------------------------

-   Hauptverantwortlich: Geschäftsführer
-   Kann Umsetzung delegieren
-   Haftung kann nicht komplett abgegeben werden
-   Strafen bis zu
    -   4% des Jahresumsatzes des Unternehmens
    -   € 20 Mio.
    -   Je nachdem was mehr ist!
-   Tatsächliche Strafe im Ermessen der Da­ten­schutzbehörde

<aside class="notes">
-   Abgegebene Verantwortung kann nur soweit übernommen werden wie entsprechende Ausbildung vorhanden ist
-   Strafen für vorsätzliches Fehlverhalten sicher höher als einfache Versäumnisse
    -   Schlecht geführtes Verfahrensverzeichnis vs kein Verfahrensverzeichnis
    -   Zu lasche Zugriffssicherung & Keine Zugriffssicherung

Verantwortung: Kapitel IV
Strafen: Artikel 83
</aside>

Verantwortlichkeiten & Haftungen
--------------------------------

-   Auskunftspflicht an Da­ten­schutzbehörde
-   Meldepflicht für neue Anwendungen entfällt
-   Verarbeitungsverzeichnis ist Pflicht!

<aside class="notes">
DSG2000: Jede Verarbeitung muss vorher gemeldet werden. Entfällt bei
DSGVO DSB kann jederzeit ohne Ankündigung Kontrollen durchführen
</aside>

Auftragsverarbeitung
--------------------

-   Auftragsverarbeiter sind Dritte, an die Personendaten übermittelt werden
-   Jede Weitergabe muss dokumentiert sein
-   Darunter fallen auch Werbenetzwerke, Analysenetzwerke, …

<aside class="notes">
-   Beispiel Auftragsverarbeiter: E-Mail-Anbieter, Webhoster, …
</aside>

Rechte und Pflichten
====================

Rechte und Pflichten
--------------------

-   Recht auf Auskunft: jede Person kann jederzeit über jede
    Kontaktmöglichkeit Auskunft über ihre verarbeitete Daten verlangen
    -   Innerhalb von 4 Wochen ab Eingang zu erledigen
    -   In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen

<aside class="notes">
Auskunftsrecht: Art. 15

Fristen, etc.: Art 12

Jede! Kontaktmöglichkeit! Telefon, Fax, Email, Brief, …

**Aber**: Person muss ggf. genug Angaben für exakte
Identifikation bekannt geben, und muss ggf. Identität nachweisen
(Ausweiskopie, …)

Prozess muss ggf auch ins Verfahrensverzeichnis

Antwort muss bei sensiblen Daten gesichert sein: physisches Medium / verschlüsselt / verschlossener Brief
</aside>

Rechte und Pflichten
--------------------

-   Recht auf Berichtigung: jede Person kann jederzeit über jede
    Kontaktmöglichkeit die Berichtigung ihrer Daten verlangen
    -   Innerhalb von 4 Wochen ab Eingang zu erledigen
    -   In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen

<aside class="notes">
Auskunftsrecht: Art. 16

Fristen, etc.: Art 12

Rechnungsdaten z.B. 7 Jahre aufzuheben Alles andere ist zu löschen!

Sonst gelten gleiche Bedingungen wie bei Auskunft
</aside>

Rechte und Pflichten
--------------------

-   Recht auf Einschränkung der Verarbeitung: jede Person kann jederzeit über jede
    Kontaktmöglichkeit die Verarbeitung ihrer Daten einschränken
    -   Innerhalb von 4 Wochen ab Eingang zu erledigen
    -   In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen

<aside class="notes">
Auskunftsrecht: Art. 18

Fristen, etc.: Art 12

Rechnungsdaten z.B. 7 Jahre aufzuheben Alles andere ist zu löschen!

Sonst gelten gleiche Bedingungen wie bei Auskunft
</aside>

Rechte und Pflichten
--------------------

-   Recht auf Vergessen / Löschung: jede Person kann jederzeit über jede
    Kontaktmöglichkeit die Löschung ihrer Daten verlangen
    -   Innerhalb von 4 Wochen ab Eingang zu erledigen
    -   In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
    -   Ausnahme: Löschung aus rechtlichen Gründen nicht möglich

<aside class="notes">
Auskunftsrecht: Art. 17

Fristen, etc.: Art 12

Rechnungsdaten z.B. 7 Jahre aufzuheben Alles andere ist zu löschen!

Sonst gelten gleiche Bedingungen wie bei Auskunft
</aside>
Rechte und Pflichten
--------------------

-   Recht auf Übertragung: jede Person kann jederzeit über jede
    Kontaktmöglichkeit die Ausfertigung ihrer Daten in einem
    maschinenlesbaren Format verlangen, zur Übertragung an ein anderes
    Unternehmen
    -   Innerhalb von 4 Wochen ab Eingang zu erledigen
    -   In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen

<aside class="notes">
Gleiche Bedingungen wie bei Auskunft
</aside>

Rechte und Pflichten
--------------------

-   Informationspflicht:
    -   bei Datenverlusten (Datendiebstahl) ist innerhalb von 72h ab
        bekannt werden die Da­ten­schutzbehörde zu informieren
    -   bei sensiblen Daten auch die betroffenen Personen

Verarbeitungsverzeichnis
========================

Verarbeitungsverzeichnis
------------------------

-   Aufzeichnung aller Verarbeitungsvorgänge
-   Nicht unter 250 Mitarbeitern
-   Ausnahme
    -   Rechte oder Freiheiten der betroffenen Personen gefährdet
    -   Wenn Daten nicht nur gelegentlich verarbeitet werden
-   Im Zweifel ist es besser eines zu führen

<aside class="notes">
Artikel 30

-   Rechte und Freiheiten: z.B. Gesundheitsdaten oder Finanzdaten als
    Hauptverarbeitung
-   Nicht nur gelegentlich: Eine Buchhaltungsfirma, die typischerweise
    Gehaltsdaten verarbeitet, hat eines zu führen
-   Z.B. bei Mitarbeiterdaten: Daten für Dienstzeugnis müssen 30 Jahre aufgehoben werden

</aside>

Beispiel
--------

<table style="font-size: 25%; margin-left: -18%">
<tr>
<th colspan="2">Verantwortlicher</th>
<th colspan="2">Datenschutzbeauftragter</th>
<th colspan="2">Weitere Verantwortliche</th>
</tr>
<tr>
<td style="text-align: right">Name:</td>
<td>Peter Ludikovsky</td>
<td style="text-align: right">Name:</td>
<td>&nbsp;</td>
<td style="text-align: right">Name:</td>
<td>&nbsp;</td>
</tr>
<tr>
<td style="text-align: right">Anschrift:</td>
<td>Mühlgasse 8<br/>2544 Leobersdorf</td>
<td style="text-align: right">Anschrift:</td>
<td>&nbsp;</td>
<td style="text-align: right">Anschrift:</td>
<td>&nbsp;</td>
</tr>
<tr>
<td style="text-align: right">Kontakt:</td>
<td>vorstand@usrspace.at</td>
<td style="text-align: right">Kontakt:</td>
<td>&nbsp;</td>
<td style="text-align: right">Kontakt:</td>
<td>&nbsp;</td>
</tr>
<tr>
<th colspan="5" style="text-align: center">Basisdaten</th>
<th colspan="2" style="text-align: center">Fristen</th>
<th colspan="2" style="text-align: center">Weitergabe</th>
<th colspan="5" style="text-align: center">Maßnahmen</th>
</tr>
<tr>
<th>Zweck und Beschreibung der Datenverarbeitung</th>
<th>Datenschtz-Folgeabschätzung</th>
<th>Betroffene Personen</th>
<th>Rechtsgrundlage</th>
<th>Zugehörige Dokumente</th>
<th>Löschungsfristen</th>
<th>Aufbewahrungsfristen</th>
<th>Empfänger</th>
<th>Dokumentation</th>
<th>Vertraulichkeit</th>
<th>Integrität</th>
<th>Verfügbarkeit</th>
<th>Pseudonymisierung</th>
<th>Evaluierungsmaßnahmen</th>
</tr>
<tr>
<td>Mitgliederstammdaten: Name, E-Mail-Adresse</td>
<td>Nein, da notwendige Stammdaten</td>
<td>Mitglieder des Vereins</td>
<td>Keine</td>
<td>&nbsp;</td>
<td>Binnen 2 Wochen nach Beendigung der Mitgliedschaft</td>
<td>Dauer der Mitgliedschaft</td>
<td>&nbsp;</td>
<td>&nbsp;</td>
<td>Persönlich beschränkter Zugriff für Mitglieder des Vorstandes</td>
<td>Kryptographische Signatur</td>
<td>Regelmäßige Backups</td>
<td>Nicht anwendbar</td>
<td>&nbsp;</td>
</tr>
<tr>
<td>Mitgliederdaten: Finanzdaten</td>
<td>Nein</td>
<td>Mitglieder des Vereins</td>
<td>§§ 131, 132 BAO</td>
<td>&nbsp;</td>
<td>Binnen 1 Monat nach Ablauf der Aufbewahrungsfrist</td>
<td>Ende des Kalenderjahres des Austritts + 7 Jahre</td>
<td>BMF<br/>Kontoführende Bank</td>
<td>&nbsp;</td>
<td>Persönlich beschränkter Zugriff für Mitglieder des Vorstandes<br/>Zugriff durch Rechnungsprüfer bei Bedarf</td>
<td>Kryptographische Signatur</td>
<td>Regelmäßige Backups</td>
<td>Nicht anwendbar</td>
<td>&nbsp;</td>
</tr>
</table>

<!--![Übersicht](img/Verarbeitungsverzeichnis_Beispiel_00.png)-->

Beispiel
--------

<table style="font-size: 50%">
<tr>
<th colspan="2">Verantwortlicher</th>
<th colspan="2">Datenschutzbeauftragter</th>
<th colspan="2">Weitere Verantwortliche</th>
</tr>
<tr>
<td style="text-align: right">Name:</td>
<td>Peter Ludikovsky</td>
<td style="text-align: right">Name:</td>
<td>&nbsp;</td>
<td style="text-align: right">Name:</td>
<td>&nbsp;</td>
</tr>
<tr>
<td style="text-align: right">Anschrift:</td>
<td>Mühlgasse 8<br/>2544 Leobersdorf</td>
<td style="text-align: right">Anschrift:</td>
<td>&nbsp;</td>
<td style="text-align: right">Anschrift:</td>
<td>&nbsp;</td>
</tr>
<tr>
<td style="text-align: right">Kontakt:</td>
<td>vorstand@usrspace.at</td>
<td style="text-align: right">Kontakt:</td>
<td>&nbsp;</td>
<td style="text-align: right">Kontakt:</td>
<td>&nbsp;</td>
</tr>
</table>
<!--![Stammdaten](img/Verarbeitungsverzeichnis_Beispiel_01.png)-->

Beispiel
--------

<table style="font-size: 50%">
<tr>
<th colspan="5" style="text-align: center">Basisdaten</th>
</tr>
<tr>
<th>Zweck und Beschreibung der Datenverarbeitung</th>
<th>Datenschtz-Folgeabschätzung</th>
<th>Betroffene Personen</th>
<th>Rechtsgrundlage</th>
<th>Zugehörige Dokumente</th>
</tr>
<tr>
<td>Mitgliederstammdaten: Name, E-Mail-Adresse</td>
<td>Nein, da notwendige Stammdaten</td>
<td>Mitglieder des Vereins</td>
<td>Keine</td>
<td>&nbsp;</td>
</tr>
<tr>
<td>Mitgliederdaten: Finanzdaten</td>
<td>Nein</td>
<td>Mitglieder des Vereins</td>
<td>§§ 131, 132 BAO</td>
<td>&nbsp;</td>
</tr>
</table>
<!--![Basisdaten](img/Verarbeitungsverzeichnis_Beispiel_02.png)-->

Beispiel
--------

<table style="font-size: 50%">
<tr>
<th colspan="2" style="text-align: center">Fristen</th>
</tr>
<tr>
<th>Löschungsfristen</th>
<th>Aufbewahrungsfristen</th>
</tr>
<tr>
<td>Binnen 2 Wochen nach Beendigung der Mitgliedschaft</td>
<td>Dauer der Mitgliedschaft</td>
</tr>
<tr>
<td>Binnen 1 Monat nach Ablauf der Aufbewahrungsfrist</td>
<td>Ende des Kalenderjahres des Austritts + 7 Jahre</td>
</tr>
</table>
<!--![Fristen](img/Verarbeitungsverzeichnis_Beispiel_03.png)-->

Beispiel
--------

<table style="font-size: 50%">
<tr>
<th colspan="2" style="text-align: center">Weitergabe</th>
</tr>
<tr>
<th>Empfänger</th>
<th>Dokumentation</th>
</tr>
<tr>
<td>&nbsp;</td>
<td>&nbsp;</td>
</tr>
<tr>
<td>BMF<br/>Kontoführende Bank</td>
<td>&nbsp;</td>
</tr>
</table>
<!--![Weitergabe](img/Verarbeitungsverzeichnis_Beispiel_04.png)-->

Beispiel
--------

<table style="font-size: 50%">
<tr>
<th colspan="5" style="text-align: center">Maßnahmen</th>
</tr>
<tr>
<th>Vertraulichkeit</th>
<th>Integrität</th>
<th>Verfügbarkeit</th>
<th>Pseudonymisierung</th>
<th>Evaluierungsmaßnahmen</th>
</tr>
<tr>
<td>Persönlich beschränkter Zugriff für Mitglieder des Vorstandes</td>
<td>Kryptographische Signatur</td>
<td>Regelmäßige Backups</td>
<td>Nicht anwendbar</td>
<td>&nbsp;</td>
</tr>
<tr>
<td>Persönlich beschränkter Zugriff für Mitglieder des Vorstandes<br/>Zugriff durch Rechnungsprüfer bei Bedarf</td>
<td>Kryptographische Signatur</td>
<td>Regelmäßige Backups</td>
<td>Nicht anwendbar</td>
<td>&nbsp;</td>
</tr>
</table>
<!--![Maßnahmen](img/Verarbeitungsverzeichnis_Beispiel_05.png)-->

Da­ten­schutzbe­auf­trag­ter
============================

Da­ten­schutzbe­auf­trag­ter
----------------------------

-   Pflicht für Firmen mit &gt;250 MA *oder*
-   10 MA hauptsächlich mit der Verarbeitung beschäftigt sind *oder*
-   Hauptsächtlich sensible Daten verarbeitet werden
-   Aufgaben:
    -   Führung des Verarbeitungsverzeichnisses
    -   Kontrolle und Dokumentation der Verarbeitungsprozesse, schon bei
        der Konzeption
-   nicht Weisungsgebunden
-   Vor Gericht nicht Auskunftspflichtig

<aside class="notes">
Artikel 37 - 39
</aside>

Links
=====

Links
-----

-   Datenschutzbehörde: https://www.dsb.gv.at/datenschutz-grundverordnung
-   Info-Seite der WKO: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Checkliste.html
-   Text der DSGVO: https://www.datenschutz-grundverordnung.eu/
-   Umgang mit Google Analytics: https://www.kloos.at/blog/google-analytics-die-eu-datenschutzgrundverordnung/

Links
-----

-   Präsentation: https://gitlab.usrspace.at/everyone/presentation-dsgvo
-   Verein `/usr/space`: https://usrspace.at
-   Präsentation ist [CC-BY-SA 4.0](https://creativecommons.org/licenses/by-sa/4.0/legalcode.de)

Fragen?
=======