presentation-dsgvo/DSGVO.md

[Da­ten­schutz - Grund­ver­ord­nung]{style="font-size: 95%"}
============================================================

Bedeutung für kleine Unternehmen
--------------------------------

Inhalt
------

-   Was ist die DSGVO
-   Definitionen
    -   Personenbezogene / Sensible Daten
-   Verarbeitung
    -   Umgang mit und Erfassung von personenbezogenen Daten
    -   Verantwortlichkeiten & Haftungen
-   Rechte und Pflichten
-   Verarbeitungsverzeichnis
-   Datenschutzbeauftragter
-   Fragen?

Wer sind wir?
-------------

-   Verein `/usr/space`, besteht seit Mai 2015
-   Wollen Menschen über Technik zusammenbringen & dafür begeistern

Was ist die DSGVO
-----------------

-   Rechtlich Bindende Verordnung der EU
-   Als Verordnung direkt in allen EU-Staaten rechtlich bindend
-   Gültig ab 24. Mai 2016
-   Bindend ab 25. Mai 2018
-   Regelt die Prozesse, Verantwortungen & Strafen bei der Verarbeitung
    von personenbezogenen Daten
-   Ersetzt die DSG2000
-   Verschärfte Haftung bei Verstößen und Fahrlässigkeiten

<aside class="notes">
-   Erfassung = Verarbeitung
-   Nicht nur elektronisch, auch strukturiert auf Papier
-   Strukturiert = mit Index, als Formular z.B.
-   DSG2000: Vieles bereits dort geregelt
-   Unternehmen werden stärker in die Verantwortung genommen

</aside>
Definitionen
============

Personenbezogene Daten
----------------------

-   Alle Informationen die sich auf eine natürliche Person beziehen
    -   Name, Geburtsdatum, Geschlecht, Haarfarbe, Finanzinformationen,
        E-Mail, …
-   Und diese direkt oder indirekt identifizierbar machen

<aside class="notes">
Beispiel:

-   Direkt: per Name + Geburtsdatum
-   Indirekt: im Unternehmen 15 Männer, 2 Frauen, im Fragebogen M/W zur
    Auswahl

</aside>
Sensible Daten
--------------

-   Personenbezogene Daten, deren bekannt werden einen potentiellen
    Nachteil mit sich bringen können
    -   Sexuelle Identität, Religiosität, politische Meinung,
        Gewerkschaftszugehörigkeit, Gesundheitsdaten, Fotos und Videos,
        …
-   Gesundheitsdaten bedeuten auch Krankenstandsmeldung!
-   Sobald signifikater Teil der Verarbeitung sensible Daten umfasst:
    Da­ten­schutzbe­auf­trag­ter Pflicht!

<aside class="notes">
-   Signifikant: Streitpunkt, wird erst noch von DSB geregelt
-   Fotos: Im Mitarbeiterverzeichnis, E-Mail ok, in Verbindung mit
    Gehaltsdaten unzulässig

</aside>
Verarbeitung
============

Umgang mit personenbezogenen Daten
----------------------------------

-   Zugriff darf nur bestimmten Personen gestattet sein
-   Nur im Rahmen der Tätigkeit wenn begründet
-   Keine Daten ausserhalb des unbedingt benötigten
-   Absicherung nach Stand der Technik
-   Jede Verarbeitung braucht einen Prozess, der im
    Verfahrensverzeichnis dokumentiert ist

<aside class="notes">
-   Für Verarbeitung von Gehaltsdaten ist kein Zugriff auf Geschlecht
    oder Alter notwendig.
-   Ausnahmen bestätigen die Regel
-   Details zu Verfahrensverzeichnis später

</aside>
Erfassung von personenbezogenen Daten
-------------------------------------

-   Opt-In: nur erfassen, wenn Person dem zustimmt
-   Informiertes Einverständnis: Person muss informiert werden, welche
    Daten zu welchem Zweck erfasst werden
-   Minimale Erfassung: Anwendungen dürfen nur das unbedingt notwendige
    erfassen.

Verantwortlichkeiten & Haftungen
--------------------------------

-   Hauptverantwortlich: Geschäftsführer
-   Kann Umsetzung delegieren
-   Haftung kann nicht komplett abgegeben werden
-   Strafen
    -   4% des Jahresumsatzes des Unternehmens
    -   € 20 Mio.
    -   Je nachdem was mehr ist!
-   Tatsächliche Strafe im Ermessen der Da­ten­schutzbehörde
    <aside class="notes">
    Abgegebene Verantwortung kann nur soweit übernommen werden wie
    entsprechende Ausbildung vorhanden ist Strafen für vorsätzliches
    Fehlverhalten sicher höher als einfache Versäumnisse Schlecht
    geführtes Verfahrensverzeichnis &lt; kein Verfahrensverzeichnis Zu
    lasche Zugriffssicherung &lt; Keine Zugriffssicherung
    </aside>

Verantwortlichkeiten & Haftungen
--------------------------------

-   Auskunftspflicht an Da­ten­schutzbehörde
-   Meldepflicht für neue Anwendungen entfällt
-   Verarbeitungsverzeichnis ist Pflicht!

<aside class="notes">
DSG2000: Jede Verarbeitung muss vorher gemeldet werden. Entfällt bei
DSGVO DSB kann jederzeit ohne Ankündigung Kontrollen durchführen
</aside>
Rechte und Pflichten
====================

Rechte und Pflichten
--------------------

-   Recht auf Auskunft: jede Person kann jederzeit über jede
    Kontaktmöglichkeit Auskunft über ihre verarbeitete Daten verlangen
    -   Innerhalb von 4 Wochen ab Eingang zu erledigen
    -   In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
        <aside class="notes">
        Jede! Kontaktmöglichkeit! Telefon, Fax, Email, Brief, …
        **Aber**: Person muss ggf. genug Angaben für exakte
        Identifikation bekannt geben, und muss ggf. Identität nachweisen
        (Ausweiskopie, …) Prozess muss ggf auch ins
        Verfahrensverzeichnis Antwort muss bei sensiblen Daten gesichert
        sein: physisches Medium / verschlüsselt / verschlossener Brief
        </aside>

Rechte und Pflichten
--------------------

-   Recht auf Vergessen / Löschung: jede Person kann jederzeit über jede
    Kontaktmöglichkeit die Löschung ihrer Daten verlangen
    -   Innerhalb von 4 Wochen ab Eingang zu erledigen
    -   In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
    -   Ausnahme: Löschung aus rechtlichen Gründen nicht möglich

<aside class="notes">
Rechnungsdaten z.B. 7 Jahre aufzuheben Alles andere ist zu löschen!

Sonst gelten gleiche Bedingungen wie bei Auskunft
</aside>
Rechte und Pflichten
--------------------

-   Recht auf Übertragung: jede Person kann jederzeit über jede
    Kontaktmöglichkeit die Ausfertigung ihrer Daten in einem
    maschinenlesbaren Format verlangen, zur Übertragung an ein anderes
    Unternehmen
    -   Innerhalb von 4 Wochen ab Eingang zu erledigen
    -   In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
        <aside class="notes">
        Gleiche Bedingungen wie bei Auskunft
        </aside>

Rechte und Pflichten
--------------------

-   Informationspflicht:
    -   bei Datenverlusten (Datendiebstahl) ist innerhalb von 72h ab
        bekannt werden die Da­ten­schutzbehörde zu informieren
    -   bei sensiblen Daten auch die betroffenen Personen

Verarbeitungsverzeichnis
========================

Verarbeitungsverzeichnis
------------------------

-   Aufzeichnung aller Verarbeitungsvorgänge
-   Nicht unter 250 Mitarbeitern
-   Ausnahme
    -   Rechte oder Freiheiten der betroffenen Personen gefährdet
    -   Wenn Daten nicht nur gelegentlich verarbeitet werden
-   Im Zweifel ist es besser eines zu führen

<aside class="notes">
-   Rechte und Freiheiten: z.B. Gesundheitsdaten oder Finanzdaten als
    Hauptverarbeitung
-   Nicht nur gelegentlich: Eine Buchhaltungsfirma, die typischerweise
    Gehaltsdaten verarbeitet, hat eines zu führen

</aside>

Beispiel
--------

![Übersicht](img/Verarbeitungsverzeichnis_Beispiel_00.png)

Beispiel
--------

![Stammdaten](img/Verarbeitungsverzeichnis_Beispiel_01.png)

Beispiel
--------

![Basisdaten](img/Verarbeitungsverzeichnis_Beispiel_02.png)

Beispiel
--------

![Fristen](img/Verarbeitungsverzeichnis_Beispiel_03.png)

Beispiel
--------

![Weitergabe](img/Verarbeitungsverzeichnis_Beispiel_04.png)

Beispiel
--------

![Maßnahmen](img/Verarbeitungsverzeichnis_Beispiel_05.png)

Da­ten­schutzbe­auf­trag­ter
============================

Da­ten­schutzbe­auf­trag­ter
----------------------------

-   Pflicht für Firmen mit &gt;250 MA *oder*
-   10 MA hauptsächlich mit der Verarbeitung beschäftigt sind *oder*
-   Hauptsächtlich sensible Daten verarbeitet werden
-   Aufgaben:
    -   Führung des Verarbeitungsverzeichnisses
    -   Kontrolle und Dokumentation der Verarbeitungsprozesse, schon bei
        der Konzeption

Links
=====

Links
-----

-   Datenschutzbehörde: https://www.dsb.gv.at/datenschutz-grundverordnung
-   Info-Seite der WKO: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Checkliste.html
-   Text der DSGVO: https://www.datenschutz-grundverordnung.eu/

Links
-----

-   Präsentation: https://gitlab.usrspace.at/…
-   Verein `/usr/space`: https://usrspace.at
-   Präsentation ist [CC-BY-SA 4.0](https://creativecommons.org/licenses/by-sa/4.0/legalcode.de)

Fragen?
=======