Datenschutz - Grundverordnung
Bedeutung für kleine Unternehmen
Inhalt
- Was ist die DSGVO
- Definitionen
- Personenbezogene / Sensible Daten
- Verarbeitung
- Umgang mit und Erfassung von personenbezogenen Daten
- Verantwortlichkeiten & Haftungen
- Rechte und Pflichten
- Verarbeitungsverzeichnis
- Datenschutzbeauftragter
- Fragen?
Wer sind wir?
- Verein
/usr/space, besteht seit Mai 2015 - Wollen Menschen über Technik zusammenbringen & dafür begeistern
Was ist die DSGVO
- Rechtlich Bindende Verordnung der EU
- Als Verordnung direkt in allen EU-Staaten rechtlich bindend
- Gültig ab 24. Mai 2016
- Bindend ab 25. Mai 2018
- Regelt die Prozesse, Verantwortungen & Strafen bei der Verarbeitung von personenbezogenen Daten
- Ersetzt die DSG2000
- Verschärfte Haftung bei Verstößen und Fahrlässigkeiten
Definitionen
Personenbezogene Daten
- Alle Informationen die sich auf eine natürliche Person beziehen
- Name, Geburtsdatum, Geschlecht, Haarfarbe, Finanzinformationen, E-Mail, …
- Und diese direkt oder indirekt identifizierbar machen
Sensible Daten
- Personenbezogene Daten, deren bekannt werden einen potentiellen Nachteil mit sich bringen können
- Sexuelle Identität, Religiosität, politische Meinung, Gewerkschaftszugehörigkeit, Gesundheitsdaten, Fotos und Videos, …
- Gesundheitsdaten bedeuten auch Krankenstandsmeldung!
- Sobald signifikater Teil der Verarbeitung sensible Daten umfasst: Datenschutzbeauftragter Pflicht!
Verarbeitung
Umgang mit personenbezogenen Daten
- Zugriff darf nur bestimmten Personen gestattet sein
- Nur im Rahmen der Tätigkeit wenn begründet
- Keine Daten ausserhalb des unbedingt benötigten
- Absicherung nach Stand der Technik
- Jede Verarbeitung braucht einen Prozess, der im Verfahrensverzeichnis dokumentiert ist
Erfassung von personenbezogenen Daten
- Opt-In: nur erfassen, wenn Person dem zustimmt
- Informiertes Einverständnis: Person muss informiert werden, welche Daten zu welchem Zweck erfasst werden
- Minimale Erfassung: Anwendungen dürfen nur das unbedingt notwendige erfassen.
Verantwortlichkeiten & Haftungen
- Hauptverantwortlich: Geschäftsführer
- Kann Umsetzung delegieren
- Haftung kann nicht komplett abgegeben werden
- Strafen
- 4% des Jahresumsatzes des Unternehmens
- € 20 Mio.
- Je nachdem was mehr ist!
- Tatsächliche Strafe im Ermessen der Datenschutzbehörde
Verantwortlichkeiten & Haftungen
- Auskunftspflicht an Datenschutzbehörde
- Meldepflicht für neue Anwendungen entfällt
- Verarbeitungsverzeichnis ist Pflicht!
Rechte und Pflichten
Rechte und Pflichten
- Recht auf Auskunft: jede Person kann jederzeit über jede Kontaktmöglichkeit Auskunft über ihre verarbeitete Daten verlangen
- Innerhalb von 4 Wochen ab Eingang zu erledigen
- In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
Rechte und Pflichten
- Recht auf Vergessen / Löschung: jede Person kann jederzeit über jede Kontaktmöglichkeit die Löschung ihrer Daten verlangen
- Innerhalb von 4 Wochen ab Eingang zu erledigen
- In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
- Ausnahme: Löschung aus rechtlichen Gründen nicht möglich
Rechte und Pflichten
- Recht auf Übertragung: jede Person kann jederzeit über jede Kontaktmöglichkeit die Ausfertigung ihrer Daten in einem maschinenlesbaren Format verlangen, zur Übertragung an ein anderes Unternehmen
- Innerhalb von 4 Wochen ab Eingang zu erledigen
- In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
Rechte und Pflichten
- Informationspflicht:
- bei Datenverlusten (Datendiebstahl) ist innerhalb von 72h ab bekannt werden die Datenschutzbehörde zu informieren
- bei sensiblen Daten auch die betroffenen Personen
Verarbeitungsverzeichnis
Verarbeitungsverzeichnis
- Aufzeichnung aller Verarbeitungsvorgänge
- Nicht unter 250 Mitarbeitern
- Ausnahme
- Rechte oder Freiheiten der betroffenen Personen gefährdet
- Wenn Daten nicht nur gelegentlich verarbeitet werden
- Im Zweifel ist es besser eines zu führen
Beispiel
Beispiel
Beispiel
Beispiel
Beispiel
Beispiel
Datenschutzbeauftragter
Datenschutzbeauftragter
- Pflicht für Firmen mit >250 MA oder
- 10 MA hauptsächlich mit der Verarbeitung beschäftigt sind oder
- Hauptsächtlich sensible Daten verarbeitet werden
- Aufgaben:
- Führung des Verarbeitungsverzeichnisses
- Kontrolle und Dokumentation der Verarbeitungsprozesse, schon bei der Konzeption
Links
Links
- Datenschutzbehörde: https://www.dsb.gv.at/datenschutz-grundverordnung
- Info-Seite der WKO: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Checkliste.html
- Text der DSGVO: https://www.datenschutz-grundverordnung.eu/
Links
- Präsentation: https://gitlab.usrspace.at/…
- Verein
/usr/space: https://usrspace.at - Präsentation ist CC-BY-SA 4.0