presentation-dsgvo/DSGVO.md

[Da­ten­schutz - Grund­ver­ord­nung]

Bedeutung für kleine Unternehmen

Inhalt

• Was ist die DSGVO
• Definitionen
  • Personenbezogene / Sensible Daten
• Verarbeitung
  • Umgang mit und Erfassung von personenbezogenen Daten
  • Verantwortlichkeiten & Haftungen
• Rechte und Pflichten
• Verarbeitungsverzeichnis
• Datenschutzbeauftragter
• Fragen?

Wer sind wir?

• Verein /usr/space, besteht seit Mai 2015
• Wollen Menschen über Technik zusammenbringen & dafür begeistern

Was ist die DSGVO

• Rechtlich Bindende Verordnung der EU
• Als Verordnung direkt in allen EU-Staaten rechtlich bindend
• Gültig ab 24. Mai 2016
• Bindend ab 25. Mai 2018
• Regelt die Prozesse, Verantwortungen & Strafen bei der Verarbeitung von personenbezogenen Daten
• Ersetzt die DSG2000
• Verschärfte Haftung bei Verstößen und Fahrlässigkeiten

- Erfassung = Verarbeitung - Nicht nur elektronisch, auch strukturiert auf Papier - Strukturiert = mit Index, als Formular z.B. - DSG2000: Vieles bereits dort geregelt - Unternehmen werden stärker in die Verantwortung genommen

Definitionen ============

Personenbezogene Daten

• Alle Informationen die sich auf eine natürliche Person beziehen
  • Name, Geburtsdatum, Geschlecht, Haarfarbe, Finanzinformationen, E-Mail, …
• Und diese direkt oder indirekt identifizierbar machen

Beispiel:

• Direkt: per Name + Geburtsdatum
• Indirekt: im Unternehmen 15 Männer, 2 Frauen, im Fragebogen M/W zur Auswahl

Sensible Daten --------------

• Personenbezogene Daten, deren bekannt werden einen potentiellen Nachteil mit sich bringen können
  • Sexuelle Identität, Religiosität, politische Meinung, Gewerkschaftszugehörigkeit, Gesundheitsdaten, Fotos und Videos, …
• Gesundheitsdaten bedeuten auch Krankenstandsmeldung!
• Sobald signifikater Teil der Verarbeitung sensible Daten umfasst: Da­ten­schutzbe­auf­trag­ter Pflicht!

- Signifikant: Streitpunkt, wird erst noch von DSB geregelt - Fotos: Im Mitarbeiterverzeichnis, E-Mail ok, in Verbindung mit Gehaltsdaten unzulässig

Verarbeitung ============

Umgang mit personenbezogenen Daten

• Zugriff darf nur bestimmten Personen gestattet sein
• Nur im Rahmen der Tätigkeit wenn begründet
• Keine Daten ausserhalb des unbedingt benötigten
• Absicherung nach Stand der Technik
• Jede Verarbeitung braucht einen Prozess, der im Verfahrensverzeichnis dokumentiert ist

- Für Verarbeitung von Gehaltsdaten ist kein Zugriff auf Geschlecht oder Alter notwendig. - Ausnahmen bestätigen die Regel - Details zu Verfahrensverzeichnis später

Erfassung von personenbezogenen Daten -------------------------------------

• Opt-In: nur erfassen, wenn Person dem zustimmt
• Informiertes Einverständnis: Person muss informiert werden, welche Daten zu welchem Zweck erfasst werden
• Minimale Erfassung: Anwendungen dürfen nur das unbedingt notwendige erfassen.

Verantwortlichkeiten & Haftungen

• Hauptverantwortlich: Geschäftsführer
• Kann Umsetzung delegieren
• Haftung kann nicht komplett abgegeben werden
• Strafen
  • 4% des Jahresumsatzes des Unternehmens
  • € 20 Mio.
  • Je nachdem was mehr ist!
• Tatsächliche Strafe im Ermessen der Da­ten­schutzbehörde
  Abgegebene Verantwortung kann nur soweit übernommen werden wie entsprechende Ausbildung vorhanden ist Strafen für vorsätzliches Fehlverhalten sicher höher als einfache Versäumnisse Schlecht geführtes Verfahrensverzeichnis < kein Verfahrensverzeichnis Zu lasche Zugriffssicherung < Keine Zugriffssicherung

Verantwortlichkeiten & Haftungen

• Auskunftspflicht an Da­ten­schutzbehörde
• Meldepflicht für neue Anwendungen entfällt
• Verarbeitungsverzeichnis ist Pflicht!

DSG2000: Jede Verarbeitung muss vorher gemeldet werden. Entfällt bei DSGVO DSB kann jederzeit ohne Ankündigung Kontrollen durchführen

Rechte und Pflichten ====================

Rechte und Pflichten

• Recht auf Auskunft: jede Person kann jederzeit über jede Kontaktmöglichkeit Auskunft über ihre verarbeitete Daten verlangen
  • Innerhalb von 4 Wochen ab Eingang zu erledigen
  • In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
    Jede! Kontaktmöglichkeit! Telefon, Fax, Email, Brief, … **Aber**: Person muss ggf. genug Angaben für exakte Identifikation bekannt geben, und muss ggf. Identität nachweisen (Ausweiskopie, …) Prozess muss ggf auch ins Verfahrensverzeichnis Antwort muss bei sensiblen Daten gesichert sein: physisches Medium / verschlüsselt / verschlossener Brief

Rechte und Pflichten

• Recht auf Vergessen / Löschung: jede Person kann jederzeit über jede Kontaktmöglichkeit die Löschung ihrer Daten verlangen
  • Innerhalb von 4 Wochen ab Eingang zu erledigen
  • In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
  • Ausnahme: Löschung aus rechtlichen Gründen nicht möglich

Rechnungsdaten z.B. 7 Jahre aufzuheben Alles andere ist zu löschen!

Sonst gelten gleiche Bedingungen wie bei Auskunft

Rechte und Pflichten --------------------

• Recht auf Übertragung: jede Person kann jederzeit über jede Kontaktmöglichkeit die Ausfertigung ihrer Daten in einem maschinenlesbaren Format verlangen, zur Übertragung an ein anderes Unternehmen
  • Innerhalb von 4 Wochen ab Eingang zu erledigen
  • In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
    Gleiche Bedingungen wie bei Auskunft

Rechte und Pflichten

• Informationspflicht:
  • bei Datenverlusten (Datendiebstahl) ist innerhalb von 72h ab bekannt werden die Da­ten­schutzbehörde zu informieren
  • bei sensiblen Daten auch die betroffenen Personen

Verarbeitungsverzeichnis

Verarbeitungsverzeichnis

• Aufzeichnung aller Verarbeitungsvorgänge
• Nicht unter 250 Mitarbeitern
• Ausnahme
  • Rechte oder Freiheiten der betroffenen Personen gefährdet
  • Wenn Daten nicht nur gelegentlich verarbeitet werden
• Im Zweifel ist es besser eines zu führen

- Rechte und Freiheiten: z.B. Gesundheitsdaten oder Finanzdaten als Hauptverarbeitung - Nicht nur gelegentlich: Eine Buchhaltungsfirma, die typischerweise Gehaltsdaten verarbeitet, hat eines zu führen

Beispiel

Beispiel

Beispiel

Beispiel

Beispiel

Beispiel

Da­ten­schutzbe­auf­trag­ter

Da­ten­schutzbe­auf­trag­ter

• Pflicht für Firmen mit >250 MA oder
• 10 MA hauptsächlich mit der Verarbeitung beschäftigt sind oder
• Hauptsächtlich sensible Daten verarbeitet werden
• Aufgaben:
  • Führung des Verarbeitungsverzeichnisses
  • Kontrolle und Dokumentation der Verarbeitungsprozesse, schon bei der Konzeption

Links

Links

• Datenschutzbehörde: https://www.dsb.gv.at/datenschutz-grundverordnung
• Info-Seite der WKO: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Checkliste.html
• Text der DSGVO: https://www.datenschutz-grundverordnung.eu/

Links

• Präsentation: https://gitlab.usrspace.at/…
• Verein /usr/space: https://usrspace.at
• Präsentation ist CC-BY-SA 4.0

Fragen?