public
/
presentation-dsgvo
6
0
Fork 0
Code Issues Pull Requests Releases Activity

Aktualisiert

This commit is contained in:
Peter Ludikovsky 2018-03-29 16:21:23 +02:00
parent 43d9c23250
commit b9df879312
Signed by: pludi
GPG Key ID: CFBA360E696EDC99
3 changed files with 233 additions and 135 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

58
DSGVO.html
View File

@ -3,9 +3,6 @@
<head>
<meta charset="utf-8">
<meta name="generator" content="pandoc">
<meta name="author" content="Jan Fritz, Peter Ludikovsky, Tomasz Kijas">
<meta name="dcterms.date" content="2018-03-25">
<meta name="keywords" content="Datenschutz, DSGVO, Daten, Persönliche Daten, Sensible Daten">
<title></title>
<meta name="apple-mobile-web-app-capable" content="yes">
<meta name="apple-mobile-web-app-status-bar-style" content="black-translucent">
@ -36,12 +33,19 @@
<h2>Inhalt</h2>
<ul>
<li>Was ist die DSGVO</li>
<li>Definitionen
<ul>
<li>Personenbezogene / Sensible Daten</li>
</ul></li>
<li>Verarbeitung
<ul>
<li>Umgang mit und Erfassung von personenbezogenen Daten</li>
<li>Verantwortlichkeiten &amp; Haftungen</li>
<li>Personenbezogene Daten</li>
<li>Sensible Daten</li>
</ul></li>
<li>Rechte und Pflichten</li>
<li>Verarbeitungsverzeichnis</li>
<li>Da­ten­schutzbe­auf­trag­ter</li>
<li>Fragen &amp; Antworten</li>
<li>Datenschutzbeauftragter</li>
<li>Fragen?</li>
</ul>
</section><section id="was-ist-die-dsgvo" class="slide level2">
<h2>Was ist die DSGVO</h2>
@ -74,7 +78,11 @@
<li>Und diese direkt oder indirekt identifizierbar machen</li>
</ul>
<aside class="notes">
Beispiel: * Direkt: per Name + Geburtsdatum * Indirekt: im Unternehmen 15 Männer, 2 Frauen, im Fragebogen M/W zur Auswahl
<p>Beispiel:</p>
<ul>
<li>Direkt: per Name + Geburtsdatum</li>
<li>Indirekt: im Unternehmen 15 Männer, 2 Frauen, im Fragebogen M/W zur Auswahl</li>
</ul>
</aside>
</section><section id="sensible-daten" class="slide level2">
<h2>Sensible Daten</h2>
@ -87,7 +95,10 @@ Beispiel: * Direkt: per Name + Geburtsdatum * Indirekt: im Unternehmen 15 Männe
<li>Sobald signifikater Teil der Verarbeitung sensible Daten umfasst: Da­ten­schutzbe­auf­trag­ter Pflicht!</li>
</ul>
<aside class="notes">
Signifikant: Streitpunkt, wird erst noch von DSB geregelt Fotos: Im Mitarbeiterverzeichnis, E-Mail ok, in Verbindung mit Gehaltsdaten unzulässig
<ul>
<li>Signifikant: Streitpunkt, wird erst noch von DSB geregelt</li>
<li>Fotos: Im Mitarbeiterverzeichnis, E-Mail ok, in Verbindung mit Gehaltsdaten unzulässig</li>
</ul>
</aside>
</section></section>
<section><section id="verarbeitung" class="titleslide slide level1"><h1>Verarbeitung</h1></section><section id="umgang-mit-personenbezogenen-daten" class="slide level2">
@ -100,7 +111,11 @@ Signifikant: Streitpunkt, wird erst noch von DSB geregelt Fotos: Im Mitarbeiterv
<li>Jede Verarbeitung braucht einen Prozess, der im Verfahrensverzeichnis dokumentiert ist</li>
</ul>
<aside class="notes">
Für Verarbeitung von Gehaltsdaten ist kein Zugriff auf Geschlecht oder Alter notwendig. Ausnahmen bestätigen die Regel
<ul>
<li>Für Verarbeitung von Gehaltsdaten ist kein Zugriff auf Geschlecht oder Alter notwendig.</li>
<li>Ausnahmen bestätigen die Regel</li>
<li>Details zu Verfahrensverzeichnis später</li>
</ul>
</aside>
</section><section id="erfassung-von-personenbezogenen-daten" class="slide level2">
<h2>Erfassung von personenbezogenen Daten</h2>
@ -121,15 +136,21 @@ Für Verarbeitung von Gehaltsdaten ist kein Zugriff auf Geschlecht oder Alter no
<li>€ 20 Mio.</li>
<li>Je nachdem was mehr ist!</li>
</ul></li>
<li>Tatsächliche Strafe im Ermessen der Da­ten­schutzbehörde</li>
<li>Tatsächliche Strafe im Ermessen der Da­ten­schutzbehörde
<aside class="notes">
Abgegebene Verantwortung kann nur soweit übernommen werden wie entsprechende Ausbildung vorhanden ist Strafen für vorsätzliches Fehlverhalten sicher höher als einfache Versäumnisse Schlecht geführtes Verfahrensverzeichnis &lt; kein Verfahrensverzeichnis Zu lasche Zugriffssicherung &lt; Keine Zugriffssicherung
</aside></li>
</ul>
</section><section id="verantwortlichkeiten-haftungen-1" class="slide level2">
<h2>Verantwortlichkeiten &amp; Haftungen</h2>
<ul>
<li>Auskunftspflicht an Da­ten­schutzbehörde</li>
<li>Meldepflicht entfällt</li>
<li>Meldepflicht für neue Anwendungen entfällt</li>
<li>Verarbeitungsverzeichnis ist Pflicht!</li>
</ul>
<aside class="notes">
DSG2000: Jede Verarbeitung muss vorher gemeldet werden. Entfällt bei DSGVO DSB kann jederzeit ohne Ankündigung Kontrollen durchführen
</aside>
</section></section>
<section><section id="rechte-und-pflichten" class="titleslide slide level1"><h1>Rechte und Pflichten</h1></section><section id="rechte-und-pflichten-1" class="slide level2">
<h2>Rechte und Pflichten</h2>
@ -137,7 +158,10 @@ Für Verarbeitung von Gehaltsdaten ist kein Zugriff auf Geschlecht oder Alter no
<li>Recht auf Auskunft: jede Person kann jederzeit über jede Kontaktmöglichkeit Auskunft über ihre verarbeitete Daten verlangen
<ul>
<li>Innerhalb von 4 Wochen ab Eingang zu erledigen</li>
<li>In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen</li>
<li>In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
<aside class="notes">
Jede! Kontaktmöglichkeit! Telefon, Fax, Email, Brief, … <strong>Aber</strong>: Person muss ggf. genug Angaben für exakte Identifikation bekannt geben, und muss ggf. Identität nachweisen (Ausweiskopie, …) Prozess muss ggf auch ins Verfahrensverzeichnis Antwort muss bei sensiblen Daten gesichert sein: physisches Medium / verschlüsselt / verschlossener Brief
</aside></li>
</ul></li>
</ul>
</section><section id="rechte-und-pflichten-2" class="slide level2">
@ -151,7 +175,8 @@ Für Verarbeitung von Gehaltsdaten ist kein Zugriff auf Geschlecht oder Alter no
</ul></li>
</ul>
<aside class="notes">
Rechnungsdaten z.B. 7 Jahre aufzuheben Alles andere ist zu löschen!
<p>Rechnungsdaten z.B. 7 Jahre aufzuheben Alles andere ist zu löschen!</p>
Sonst gelten gleiche Bedingungen wie bei Auskunft
</aside>
</section><section id="rechte-und-pflichten-3" class="slide level2">
<h2>Rechte und Pflichten</h2>
@ -159,7 +184,10 @@ Rechnungsdaten z.B. 7 Jahre aufzuheben Alles andere ist zu löschen!
<li>Recht auf Übertragung: jede Person kann jederzeit über jede Kontaktmöglichkeit die Ausfertigung ihrer Daten in einem maschinenlesbaren Format verlangen, zur Übertragung an ein anderes Unternehmen
<ul>
<li>Innerhalb von 4 Wochen ab Eingang zu erledigen</li>
<li>In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen</li>
<li>In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
<aside class="notes">
Gleiche Bedingungen wie bei Auskunft
</aside></li>
</ul></li>
</ul>
</section><section id="rechte-und-pflichten-4" class="slide level2">

308
DSGVO.md
View File

@ -1,162 +1,232 @@
---
author: Jan Fritz, Peter Ludikovsky, Tomasz Kijas
date: 2018-03-25
keywords: Datenschutz, DSGVO, Daten, Persönliche Daten, Sensible Daten
...
# <span style="font-size: 95%">Da­ten­schutz - Grund­ver­ord­nung</span>
[Da­ten­schutz - Grund­ver­ord­nung]{style="font-size: 95%"}
============================================================
## Bedeutung für kleine Unternehmen
Bedeutung für kleine Unternehmen
--------------------------------
## Inhalt
Inhalt
------
* Was ist die DSGVO
* Verantwortlichkeiten & Haftungen
* Personenbezogene Daten
* Sensible Daten
* Verarbeitungsverzeichnis
* Da­ten­schutzbe­auf­trag­ter
* Fragen & Antworten
- Was ist die DSGVO
- Definitionen
- Personenbezogene / Sensible Daten
- Verarbeitung
- Umgang mit und Erfassung von personenbezogenen Daten
- Verantwortlichkeiten & Haftungen
- Rechte und Pflichten
- Verarbeitungsverzeichnis
- Datenschutzbeauftragter
- Fragen?
## Was ist die DSGVO
Was ist die DSGVO
-----------------
* Rechtlich Bindende Verordnung der EU
* Als Verordnung direkt in allen EU-Staaten rechtlich bindend
* Gültig ab 24. Mai 2016
* Bindend ab 25. Mai 2018
* Regelt die Prozesse, Verantwortungen & Strafen bei der Verarbeitung von personenbezogenen Daten
* Ersetzt die DSG2000
* Verschärfte Haftung bei Verstößen und Fahrlässigkeiten
- Rechtlich Bindende Verordnung der EU
- Als Verordnung direkt in allen EU-Staaten rechtlich bindend
- Gültig ab 24. Mai 2016
- Bindend ab 25. Mai 2018
- Regelt die Prozesse, Verantwortungen & Strafen bei der Verarbeitung
von personenbezogenen Daten
- Ersetzt die DSG2000
- Verschärfte Haftung bei Verstößen und Fahrlässigkeiten
<aside class="notes">
* Erfassung = Verarbeitung
* Nicht nur elektronisch, auch strukturiert auf Papier
* Strukturiert = mit Index, als Formular z.B.
* DSG2000: Vieles bereits dort geregelt
* Unternehmen werden stärker in die Verantwortung genommen
- Erfassung = Verarbeitung
- Nicht nur elektronisch, auch strukturiert auf Papier
- Strukturiert = mit Index, als Formular z.B.
- DSG2000: Vieles bereits dort geregelt
- Unternehmen werden stärker in die Verantwortung genommen
</aside>
Definitionen
============
# Definitionen
Personenbezogene Daten
----------------------
## Personenbezogene Daten
* Alle Informationen die sich auf eine natürliche Person beziehen
* Name, Geburtsdatum, Geschlecht, Haarfarbe, Finanzinformationen, E-Mail, …
* Und diese direkt oder indirekt identifizierbar machen
- Alle Informationen die sich auf eine natürliche Person beziehen
- Name, Geburtsdatum, Geschlecht, Haarfarbe, Finanzinformationen,
E-Mail, …
- Und diese direkt oder indirekt identifizierbar machen
<aside class="notes">
Beispiel:
* Direkt: per Name + Geburtsdatum
* Indirekt: im Unternehmen 15 Männer, 2 Frauen, im Fragebogen M/W zur Auswahl
</aside>
## Sensible Daten
* Personenbezogene Daten, deren bekannt werden einen potentiellen Nachteil mit sich bringen können
* Sexuelle Identität, Religiosität, politische Meinung, Gewerkschaftszugehörigkeit, Gesundheitsdaten, Fotos und Videos, …
* Gesundheitsdaten bedeuten auch Krankenstandsmeldung!
* Sobald signifikater Teil der Verarbeitung sensible Daten umfasst: Da­ten­schutzbe­auf­trag­ter Pflicht!
- Direkt: per Name + Geburtsdatum
- Indirekt: im Unternehmen 15 Männer, 2 Frauen, im Fragebogen M/W zur
Auswahl
</aside>
Sensible Daten
--------------
- Personenbezogene Daten, deren bekannt werden einen potentiellen
Nachteil mit sich bringen können
- Sexuelle Identität, Religiosität, politische Meinung,
Gewerkschaftszugehörigkeit, Gesundheitsdaten, Fotos und Videos,
- Gesundheitsdaten bedeuten auch Krankenstandsmeldung!
- Sobald signifikater Teil der Verarbeitung sensible Daten umfasst:
Da­ten­schutzbe­auf­trag­ter Pflicht!
<aside class="notes">
Signifikant: Streitpunkt, wird erst noch von DSB geregelt
Fotos: Im Mitarbeiterverzeichnis, E-Mail ok, in Verbindung mit Gehaltsdaten unzulässig
- Signifikant: Streitpunkt, wird erst noch von DSB geregelt
- Fotos: Im Mitarbeiterverzeichnis, E-Mail ok, in Verbindung mit
Gehaltsdaten unzulässig
</aside>
Verarbeitung
============
# Verarbeitung
## Umgang mit personenbezogenen Daten
Umgang mit personenbezogenen Daten
----------------------------------
* Zugriff darf nur bestimmten Personen gestattet sein
* Nur im Rahmen der Tätigkeit wenn begründet
* Keine Daten ausserhalb des unbedingt benötigten
* Absicherung nach Stand der Technik
* Jede Verarbeitung braucht einen Prozess, der im Verfahrensverzeichnis dokumentiert ist
- Zugriff darf nur bestimmten Personen gestattet sein
- Nur im Rahmen der Tätigkeit wenn begründet
- Keine Daten ausserhalb des unbedingt benötigten
- Absicherung nach Stand der Technik
- Jede Verarbeitung braucht einen Prozess, der im
Verfahrensverzeichnis dokumentiert ist
<aside class="notes">
Für Verarbeitung von Gehaltsdaten ist kein Zugriff auf Geschlecht oder Alter notwendig.
Ausnahmen bestätigen die Regel
- Für Verarbeitung von Gehaltsdaten ist kein Zugriff auf Geschlecht
oder Alter notwendig.
- Ausnahmen bestätigen die Regel
- Details zu Verfahrensverzeichnis später
</aside>
## Erfassung von personenbezogenen Daten
Erfassung von personenbezogenen Daten
-------------------------------------
* Opt-In: nur erfassen, wenn Person dem zustimmt
* Informiertes Einverständnis: Person muss informiert werden, welche Daten zu welchem Zweck erfasst werden
* Minimale Erfassung: Anwendungen dürfen nur das unbedingt notwendige erfassen.
- Opt-In: nur erfassen, wenn Person dem zustimmt
- Informiertes Einverständnis: Person muss informiert werden, welche
Daten zu welchem Zweck erfasst werden
- Minimale Erfassung: Anwendungen dürfen nur das unbedingt notwendige
erfassen.
## Verantwortlichkeiten & Haftungen
Verantwortlichkeiten & Haftungen
--------------------------------
* Hauptverantwortlich: Geschäftsführer
* Kann Umsetzung delegieren
* Haftung kann nicht komplett abgegeben werden
* Strafen
* 4% des Jahresumsatzes des Unternehmens
* € 20 Mio.
* Je nachdem was mehr ist!
* Tatsächliche Strafe im Ermessen der Da­ten­schutzbehörde
- Hauptverantwortlich: Geschäftsführer
- Kann Umsetzung delegieren
- Haftung kann nicht komplett abgegeben werden
- Strafen
- 4% des Jahresumsatzes des Unternehmens
- € 20 Mio.
- Je nachdem was mehr ist!
- Tatsächliche Strafe im Ermessen der Da­ten­schutzbehörde
<aside class="notes">
Abgegebene Verantwortung kann nur soweit übernommen werden wie
entsprechende Ausbildung vorhanden ist Strafen für vorsätzliches
Fehlverhalten sicher höher als einfache Versäumnisse Schlecht
geführtes Verfahrensverzeichnis &lt; kein Verfahrensverzeichnis Zu
lasche Zugriffssicherung &lt; Keine Zugriffssicherung
</aside>
## Verantwortlichkeiten & Haftungen
Verantwortlichkeiten & Haftungen
--------------------------------
* Auskunftspflicht an Da­ten­schutzbehörde
* Meldepflicht entfällt
* Verarbeitungsverzeichnis ist Pflicht!
# Rechte und Pflichten
## Rechte und Pflichten
* Recht auf Auskunft: jede Person kann jederzeit über jede Kontaktmöglichkeit Auskunft über ihre verarbeitete Daten verlangen
* Innerhalb von 4 Wochen ab Eingang zu erledigen
* In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
## Rechte und Pflichten
* Recht auf Vergessen / Löschung: jede Person kann jederzeit über jede Kontaktmöglichkeit die Löschung ihrer Daten verlangen
* Innerhalb von 4 Wochen ab Eingang zu erledigen
* In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
* Ausnahme: Löschung aus rechtlichen Gründen nicht möglich
- Auskunftspflicht an Da­ten­schutzbehörde
- Meldepflicht für neue Anwendungen entfällt
- Verarbeitungsverzeichnis ist Pflicht!
<aside class="notes">
Rechnungsdaten z.B. 7 Jahre aufzuheben
Alles andere ist zu löschen!
DSG2000: Jede Verarbeitung muss vorher gemeldet werden. Entfällt bei
DSGVO DSB kann jederzeit ohne Ankündigung Kontrollen durchführen
</aside>
Rechte und Pflichten
====================
## Rechte und Pflichten
Rechte und Pflichten
--------------------
* Recht auf Übertragung: jede Person kann jederzeit über jede Kontaktmöglichkeit die Ausfertigung ihrer Daten in einem maschinenlesbaren Format verlangen, zur Übertragung an ein anderes Unternehmen
* Innerhalb von 4 Wochen ab Eingang zu erledigen
* In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
- Recht auf Auskunft: jede Person kann jederzeit über jede
Kontaktmöglichkeit Auskunft über ihre verarbeitete Daten verlangen
- Innerhalb von 4 Wochen ab Eingang zu erledigen
- In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
<aside class="notes">
Jede! Kontaktmöglichkeit! Telefon, Fax, Email, Brief, …
**Aber**: Person muss ggf. genug Angaben für exakte
Identifikation bekannt geben, und muss ggf. Identität nachweisen
(Ausweiskopie, …) Prozess muss ggf auch ins
Verfahrensverzeichnis Antwort muss bei sensiblen Daten gesichert
sein: physisches Medium / verschlüsselt / verschlossener Brief
</aside>
## Rechte und Pflichten
Rechte und Pflichten
--------------------
* Informationspflicht:
* bei Datenverlusten (Datendiebstahl) ist innerhalb von 72h ab bekannt werden die Da­ten­schutzbehörde zu informieren
* bei sensiblen Daten auch die betroffenen Personen
# Verarbeitungsverzeichnis
## Verarbeitungsverzeichnis
* Aufzeichnung aller Verarbeitungsvorgänge
* Nicht unter 250 Mitarbeitern
* Ausnahme
* Rechte oder Freiheiten der betroffenen Personen gefährdet
* Wenn Daten nicht nur gelegentlich verarbeitet werden
* Im Zweifel ist es besser eines zu führen
- Recht auf Vergessen / Löschung: jede Person kann jederzeit über jede
Kontaktmöglichkeit die Löschung ihrer Daten verlangen
- Innerhalb von 4 Wochen ab Eingang zu erledigen
- In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
- Ausnahme: Löschung aus rechtlichen Gründen nicht möglich
<aside class="notes">
* Rechte und Freiheiten: z.B. Gesundheitsdaten oder Finanzdaten als Hauptverarbeitung
* Nicht nur gelegentlich: Eine Buchhaltungsfirma, die typischerweise Gehaltsdaten verarbeitet, hat eines zu führen
Rechnungsdaten z.B. 7 Jahre aufzuheben Alles andere ist zu löschen!
Sonst gelten gleiche Bedingungen wie bei Auskunft
</aside>
Rechte und Pflichten
--------------------
## Verarbeitungsverzeichnis
- Recht auf Übertragung: jede Person kann jederzeit über jede
Kontaktmöglichkeit die Ausfertigung ihrer Daten in einem
maschinenlesbaren Format verlangen, zur Übertragung an ein anderes
Unternehmen
- Innerhalb von 4 Wochen ab Eingang zu erledigen
- In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
<aside class="notes">
Gleiche Bedingungen wie bei Auskunft
</aside>
<aside class="notes"> Bild eines Verzeichnisses </aside>
Rechte und Pflichten
--------------------
# Da­ten­schutzbe­auf­trag­ter
- Informationspflicht:
- bei Datenverlusten (Datendiebstahl) ist innerhalb von 72h ab
bekannt werden die Da­ten­schutzbehörde zu informieren
- bei sensiblen Daten auch die betroffenen Personen
## Da­ten­schutzbe­auf­trag­ter
Verarbeitungsverzeichnis
========================
* Pflicht für Firmen mit >250 MA *oder*
* 10 MA hauptsächlich mit der Verarbeitung beschäftigt sind *oder*
* Hauptsächtlich sensible Daten verarbeitet werden
* Aufgaben:
* Führung des Verarbeitungsverzeichnisses
* Kontrolle und Dokumentation der Verarbeitungsprozesse, schon bei der Konzeption
Verarbeitungsverzeichnis
------------------------
# Fragen?
- Aufzeichnung aller Verarbeitungsvorgänge
- Nicht unter 250 Mitarbeitern
- Ausnahme
- Rechte oder Freiheiten der betroffenen Personen gefährdet
- Wenn Daten nicht nur gelegentlich verarbeitet werden
- Im Zweifel ist es besser eines zu führen
<aside class="notes">
- Rechte und Freiheiten: z.B. Gesundheitsdaten oder Finanzdaten als
Hauptverarbeitung
- Nicht nur gelegentlich: Eine Buchhaltungsfirma, die typischerweise
Gehaltsdaten verarbeitet, hat eines zu führen
</aside>
Verarbeitungsverzeichnis
------------------------
<aside class="notes">
Bild eines Verzeichnisses
</aside>
Da­ten­schutzbe­auf­trag­ter
============================
Da­ten­schutzbe­auf­trag­ter
----------------------------
- Pflicht für Firmen mit &gt;250 MA *oder*
- 10 MA hauptsächlich mit der Verarbeitung beschäftigt sind *oder*
- Hauptsächtlich sensible Daten verarbeitet werden
- Aufgaben:
- Führung des Verarbeitungsverzeichnisses
- Kontrolle und Dokumentation der Verarbeitungsprozesse, schon bei
der Konzeption
Fragen?
=======

2
Makefile
View File

@ -1,6 +1,6 @@
all: DSGVO.html
DSGVO.html:
DSGVO.html: DSGVO.md
pandoc -t revealjs --standalone --smart --slide-level=2 \
-V 'revealjs-url:https://cdn.jsdelivr.net/npm/reveal.js@3/' \
-o DSGVO.html DSGVO.md