163 lines
5.5 KiB
Markdown
163 lines
5.5 KiB
Markdown
|
---
|
|||
|
|
author: Jan Fritz, Peter Ludikovsky, Tomasz Kijas
|
|||
|
|
date: 2018-03-25
|
|||
|
|
keywords: Datenschutz, DSGVO, Daten, Persönliche Daten, Sensible Daten
|
|||
|
|
...
|
|||
|
|
# <span style="font-size: 95%">Datenschutz - Grundverordnung</span>
|
|||
|
|
|
|||
|
|
## Bedeutung für kleine Unternehmen
|
|||
|
|
|
|||
|
|
## Inhalt
|
|||
|
|
|
|||
|
|
* Was ist die DSGVO
|
|||
|
|
* Verantwortlichkeiten & Haftungen
|
|||
|
|
* Personenbezogene Daten
|
|||
|
|
* Sensible Daten
|
|||
|
|
* Verarbeitungsverzeichnis
|
|||
|
|
* Datenschutzbeauftragter
|
|||
|
|
* Fragen & Antworten
|
|||
|
|
|
|||
|
|
## Was ist die DSGVO
|
|||
|
|
|
|||
|
|
* Rechtlich Bindende Verordnung der EU
|
|||
|
|
* Als Verordnung direkt in allen EU-Staaten rechtlich bindend
|
|||
|
|
* Gültig ab 24. Mai 2016
|
|||
|
|
* Bindend ab 25. Mai 2018
|
|||
|
|
* Regelt die Prozesse, Verantwortungen & Strafen bei der Verarbeitung von personenbezogenen Daten
|
|||
|
|
* Ersetzt die DSG2000
|
|||
|
|
* Verschärfte Haftung bei Verstößen und Fahrlässigkeiten
|
|||
|
|
|
|||
|
|
<aside class="notes">
|
|||
|
|
* Erfassung = Verarbeitung
|
|||
|
|
* Nicht nur elektronisch, auch strukturiert auf Papier
|
|||
|
|
* Strukturiert = mit Index, als Formular z.B.
|
|||
|
|
* DSG2000: Vieles bereits dort geregelt
|
|||
|
|
* Unternehmen werden stärker in die Verantwortung genommen
|
|||
|
|
</aside>
|
|||
|
|
|
|||
|
|
# Definitionen
|
|||
|
|
|
|||
|
|
## Personenbezogene Daten
|
|||
|
|
|
|||
|
|
* Alle Informationen die sich auf eine natürliche Person beziehen
|
|||
|
|
* Name, Geburtsdatum, Geschlecht, Haarfarbe, Finanzinformationen, E-Mail, …
|
|||
|
|
* Und diese direkt oder indirekt identifizierbar machen
|
|||
|
|
|
|||
|
|
<aside class="notes">
|
|||
|
|
Beispiel:
|
|||
|
|
* Direkt: per Name + Geburtsdatum
|
|||
|
|
* Indirekt: im Unternehmen 15 Männer, 2 Frauen, im Fragebogen M/W zur Auswahl
|
|||
|
|
</aside>
|
|||
|
|
## Sensible Daten
|
|||
|
|
|
|||
|
|
* Personenbezogene Daten, deren bekannt werden einen potentiellen Nachteil mit sich bringen können
|
|||
|
|
* Sexuelle Identität, Religiosität, politische Meinung, Gewerkschaftszugehörigkeit, Gesundheitsdaten, Fotos und Videos, …
|
|||
|
|
* Gesundheitsdaten bedeuten auch Krankenstandsmeldung!
|
|||
|
|
* Sobald signifikater Teil der Verarbeitung sensible Daten umfasst: Datenschutzbeauftragter Pflicht!
|
|||
|
|
|
|||
|
|
<aside class="notes">
|
|||
|
|
Signifikant: Streitpunkt, wird erst noch von DSB geregelt
|
|||
|
|
Fotos: Im Mitarbeiterverzeichnis, E-Mail ok, in Verbindung mit Gehaltsdaten unzulässig
|
|||
|
|
</aside>
|
|||
|
|
|
|||
|
|
# Verarbeitung
|
|||
|
|
## Umgang mit personenbezogenen Daten
|
|||
|
|
|
|||
|
|
* Zugriff darf nur bestimmten Personen gestattet sein
|
|||
|
|
* Nur im Rahmen der Tätigkeit wenn begründet
|
|||
|
|
* Keine Daten ausserhalb des unbedingt benötigten
|
|||
|
|
* Absicherung nach Stand der Technik
|
|||
|
|
* Jede Verarbeitung braucht einen Prozess, der im Verfahrensverzeichnis dokumentiert ist
|
|||
|
|
|
|||
|
|
<aside class="notes">
|
|||
|
|
Für Verarbeitung von Gehaltsdaten ist kein Zugriff auf Geschlecht oder Alter notwendig.
|
|||
|
|
Ausnahmen bestätigen die Regel
|
|||
|
|
</aside>
|
|||
|
|
## Erfassung von personenbezogenen Daten
|
|||
|
|
|
|||
|
|
* Opt-In: nur erfassen, wenn Person dem zustimmt
|
|||
|
|
* Informiertes Einverständnis: Person muss informiert werden, welche Daten zu welchem Zweck erfasst werden
|
|||
|
|
* Minimale Erfassung: Anwendungen dürfen nur das unbedingt notwendige erfassen.
|
|||
|
|
|
|||
|
|
## Verantwortlichkeiten & Haftungen
|
|||
|
|
|
|||
|
|
* Hauptverantwortlich: Geschäftsführer
|
|||
|
|
* Kann Umsetzung delegieren
|
|||
|
|
* Haftung kann nicht komplett abgegeben werden
|
|||
|
|
* Strafen
|
|||
|
|
* 4% des Jahresumsatzes des Unternehmens
|
|||
|
|
* € 20 Mio.
|
|||
|
|
* Je nachdem was mehr ist!
|
|||
|
|
* Tatsächliche Strafe im Ermessen der Datenschutzbehörde
|
|||
|
|
|
|||
|
|
## Verantwortlichkeiten & Haftungen
|
|||
|
|
|
|||
|
|
* Auskunftspflicht an Datenschutzbehörde
|
|||
|
|
* Meldepflicht entfällt
|
|||
|
|
* Verarbeitungsverzeichnis ist Pflicht!
|
|||
|
|
|
|||
|
|
# Rechte und Pflichten
|
|||
|
|
|
|||
|
|
## Rechte und Pflichten
|
|||
|
|
|
|||
|
|
* Recht auf Auskunft: jede Person kann jederzeit über jede Kontaktmöglichkeit Auskunft über ihre verarbeitete Daten verlangen
|
|||
|
|
* Innerhalb von 4 Wochen ab Eingang zu erledigen
|
|||
|
|
* In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
|
|||
|
|
|
|||
|
|
## Rechte und Pflichten
|
|||
|
|
|
|||
|
|
* Recht auf Vergessen / Löschung: jede Person kann jederzeit über jede Kontaktmöglichkeit die Löschung ihrer Daten verlangen
|
|||
|
|
* Innerhalb von 4 Wochen ab Eingang zu erledigen
|
|||
|
|
* In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
|
|||
|
|
* Ausnahme: Löschung aus rechtlichen Gründen nicht möglich
|
|||
|
|
|
|||
|
|
<aside class="notes">
|
|||
|
|
Rechnungsdaten z.B. 7 Jahre aufzuheben
|
|||
|
|
Alles andere ist zu löschen!
|
|||
|
|
</aside>
|
|||
|
|
|
|||
|
|
## Rechte und Pflichten
|
|||
|
|
|
|||
|
|
* Recht auf Übertragung: jede Person kann jederzeit über jede Kontaktmöglichkeit die Ausfertigung ihrer Daten in einem maschinenlesbaren Format verlangen, zur Übertragung an ein anderes Unternehmen
|
|||
|
|
* Innerhalb von 4 Wochen ab Eingang zu erledigen
|
|||
|
|
* In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
|
|||
|
|
|
|||
|
|
## Rechte und Pflichten
|
|||
|
|
|
|||
|
|
* Informationspflicht:
|
|||
|
|
* bei Datenverlusten (Datendiebstahl) ist innerhalb von 72h ab bekannt werden die Datenschutzbehörde zu informieren
|
|||
|
|
* bei sensiblen Daten auch die betroffenen Personen
|
|||
|
|
|
|||
|
|
# Verarbeitungsverzeichnis
|
|||
|
|
|
|||
|
|
## Verarbeitungsverzeichnis
|
|||
|
|
|
|||
|
|
* Aufzeichnung aller Verarbeitungsvorgänge
|
|||
|
|
* Nicht unter 250 Mitarbeitern
|
|||
|
|
* Ausnahme
|
|||
|
|
* Rechte oder Freiheiten der betroffenen Personen gefährdet
|
|||
|
|
* Wenn Daten nicht nur gelegentlich verarbeitet werden
|
|||
|
|
* Im Zweifel ist es besser eines zu führen
|
|||
|
|
|
|||
|
|
<aside class="notes">
|
|||
|
|
* Rechte und Freiheiten: z.B. Gesundheitsdaten oder Finanzdaten als Hauptverarbeitung
|
|||
|
|
* Nicht nur gelegentlich: Eine Buchhaltungsfirma, die typischerweise Gehaltsdaten verarbeitet, hat eines zu führen
|
|||
|
|
</aside>
|
|||
|
|
|
|||
|
|
## Verarbeitungsverzeichnis
|
|||
|
|
|
|||
|
|
<aside class="notes"> Bild eines Verzeichnisses </aside>
|
|||
|
|
|
|||
|
|
# Datenschutzbeauftragter
|
|||
|
|
|
|||
|
|
## Datenschutzbeauftragter
|
|||
|
|
|
|||
|
|
* Pflicht für Firmen mit >250 MA *oder*
|
|||
|
|
* 10 MA hauptsächlich mit der Verarbeitung beschäftigt sind *oder*
|
|||
|
|
* Hauptsächtlich sensible Daten verarbeitet werden
|
|||
|
|
* Aufgaben:
|
|||
|
|
* Führung des Verarbeitungsverzeichnisses
|
|||
|
|
* Kontrolle und Dokumentation der Verarbeitungsprozesse, schon bei der Konzeption
|
|||
|
|
|
|||
|
|
# Fragen?
|