[Da­ten­schutz - Grund­ver­ord­nung]{style="font-size: 95%"} ============================================================ Bedeutung für kleine Unternehmen -------------------------------- Inhalt ------ - Was ist die DSGVO - Definitionen - Personenbezogene / Sensible Daten - Verarbeitung - Umgang mit und Erfassung von personenbezogenen Daten - Verantwortlichkeiten & Haftungen - Rechte und Pflichten - Verarbeitungsverzeichnis - Datenschutzbeauftragter - Fragen? Wer sind wir? ------------- - Verein `/usr/space`, besteht seit Mai 2015 - Wollen Menschen über Technik zusammenbringen & dafür begeistern Was ist die DSGVO ----------------- - Rechtlich Bindende Verordnung der EU - Als Verordnung direkt in allen EU-Staaten rechtlich bindend - Gültig ab 24. Mai 2016 - Bindend ab 25. Mai 2018 - Regelt die Prozesse, Verantwortungen & Strafen bei der Verarbeitung von personenbezogenen Daten - Ersetzt die DSG2000 - Verschärfte Haftung bei Verstößen und Fahrlässigkeiten Definitionen ============ Personenbezogene Daten ---------------------- - Alle Informationen die sich auf eine natürliche Person beziehen - Name, Geburtsdatum, Geschlecht, Haarfarbe, Finanzinformationen, E-Mail, … - Und diese direkt oder indirekt identifizierbar machen Sensible Daten -------------- - Personenbezogene Daten, deren bekannt werden einen potentiellen Nachteil mit sich bringen können - Sexuelle Identität, Religiosität, politische Meinung, Gewerkschaftszugehörigkeit, Gesundheitsdaten, Fotos und Videos, … - Gesundheitsdaten bedeuten auch Krankenstandsmeldung! - Sobald signifikater Teil der Verarbeitung sensible Daten umfasst: Da­ten­schutzbe­auf­trag­ter Pflicht! Verarbeitung ============ Umgang mit personenbezogenen Daten ---------------------------------- - Zugriff darf nur bestimmten Personen gestattet sein - Nur im Rahmen der Tätigkeit wenn begründet - Keine Daten ausserhalb des unbedingt benötigten - Absicherung nach Stand der Technik - Jede Verarbeitung braucht einen Prozess, der im Verfahrensverzeichnis dokumentiert ist Erfassung von personenbezogenen Daten ------------------------------------- - Opt-In: nur erfassen, wenn Person dem zustimmt - Informiertes Einverständnis: Person muss informiert werden, welche Daten zu welchem Zweck erfasst werden - Minimale Erfassung: Anwendungen dürfen nur das unbedingt notwendige erfassen. Verantwortlichkeiten & Haftungen -------------------------------- - Hauptverantwortlich: Geschäftsführer - Kann Umsetzung delegieren - Haftung kann nicht komplett abgegeben werden - Strafen - 4% des Jahresumsatzes des Unternehmens - € 20 Mio. - Je nachdem was mehr ist! - Tatsächliche Strafe im Ermessen der Da­ten­schutzbehörde Verantwortlichkeiten & Haftungen -------------------------------- - Auskunftspflicht an Da­ten­schutzbehörde - Meldepflicht für neue Anwendungen entfällt - Verarbeitungsverzeichnis ist Pflicht! Rechte und Pflichten ==================== Rechte und Pflichten -------------------- - Recht auf Auskunft: jede Person kann jederzeit über jede Kontaktmöglichkeit Auskunft über ihre verarbeitete Daten verlangen - Innerhalb von 4 Wochen ab Eingang zu erledigen - In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen Rechte und Pflichten -------------------- - Recht auf Vergessen / Löschung: jede Person kann jederzeit über jede Kontaktmöglichkeit die Löschung ihrer Daten verlangen - Innerhalb von 4 Wochen ab Eingang zu erledigen - In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen - Ausnahme: Löschung aus rechtlichen Gründen nicht möglich Rechte und Pflichten -------------------- - Recht auf Übertragung: jede Person kann jederzeit über jede Kontaktmöglichkeit die Ausfertigung ihrer Daten in einem maschinenlesbaren Format verlangen, zur Übertragung an ein anderes Unternehmen - Innerhalb von 4 Wochen ab Eingang zu erledigen - In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen Rechte und Pflichten -------------------- - Informationspflicht: - bei Datenverlusten (Datendiebstahl) ist innerhalb von 72h ab bekannt werden die Da­ten­schutzbehörde zu informieren - bei sensiblen Daten auch die betroffenen Personen Verarbeitungsverzeichnis ======================== Verarbeitungsverzeichnis ------------------------ - Aufzeichnung aller Verarbeitungsvorgänge - Nicht unter 250 Mitarbeitern - Ausnahme - Rechte oder Freiheiten der betroffenen Personen gefährdet - Wenn Daten nicht nur gelegentlich verarbeitet werden - Im Zweifel ist es besser eines zu führen Beispiel -------- ![Übersicht](img/Verarbeitungsverzeichnis_Beispiel_00.png) Beispiel -------- ![Stammdaten](img/Verarbeitungsverzeichnis_Beispiel_01.png) Beispiel -------- ![Basisdaten](img/Verarbeitungsverzeichnis_Beispiel_02.png) Beispiel -------- ![Fristen](img/Verarbeitungsverzeichnis_Beispiel_03.png) Beispiel -------- ![Weitergabe](img/Verarbeitungsverzeichnis_Beispiel_04.png) Beispiel -------- ![Maßnahmen](img/Verarbeitungsverzeichnis_Beispiel_05.png) Da­ten­schutzbe­auf­trag­ter ============================ Da­ten­schutzbe­auf­trag­ter ---------------------------- - Pflicht für Firmen mit >250 MA *oder* - 10 MA hauptsächlich mit der Verarbeitung beschäftigt sind *oder* - Hauptsächtlich sensible Daten verarbeitet werden - Aufgaben: - Führung des Verarbeitungsverzeichnisses - Kontrolle und Dokumentation der Verarbeitungsprozesse, schon bei der Konzeption Links ===== Links ----- - Datenschutzbehörde: https://www.dsb.gv.at/datenschutz-grundverordnung - Info-Seite der WKO: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Checkliste.html - Text der DSGVO: https://www.datenschutz-grundverordnung.eu/ Links ----- - Präsentation: https://gitlab.usrspace.at/… - Verein `/usr/space`: https://usrspace.at - Präsentation ist [CC-BY-SA 4.0](https://creativecommons.org/licenses/by-sa/4.0/legalcode.de) Fragen? =======