public
/
presentation-dsgvo
6
0
Fork 0
Code Issues Pull Requests Releases Activity
presentation-dsgvo/DSGVO.md

281 lines
8.4 KiB
Markdown
Raw Blame History

This file contains invisible Unicode characters

This file contains invisible Unicode characters that are indistinguishable to humans but may be processed differently by a computer. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

[Da­ten­schutz - Grund­ver­ord­nung]{style="font-size: 95%"}
============================================================
Bedeutung für kleine Unternehmen
--------------------------------
Inhalt
------
- Was ist die DSGVO
- Definitionen
- Personenbezogene / Sensible Daten
- Verarbeitung
- Umgang mit und Erfassung von personenbezogenen Daten
- Verantwortlichkeiten & Haftungen
- Rechte und Pflichten
- Verarbeitungsverzeichnis
- Datenschutzbeauftragter
- Fragen?
Wer sind wir?
-------------
- Verein `/usr/space`, besteht seit Mai 2015
- Wollen Menschen über Technik zusammenbringen & dafür begeistern
Was ist die DSGVO
-----------------
- Rechtlich Bindende Verordnung der EU
- Als Verordnung direkt in allen EU-Staaten rechtlich bindend
- Gültig ab 24. Mai 2016
- Bindend ab 25. Mai 2018
- Regelt die Prozesse, Verantwortungen & Strafen bei der Verarbeitung
von personenbezogenen Daten
- Ersetzt die DSG2000
- Verschärfte Haftung bei Verstößen und Fahrlässigkeiten
<aside class="notes">
- Erfassung = Verarbeitung
- Nicht nur elektronisch, auch strukturiert auf Papier
- Strukturiert = mit Index, als Formular z.B.
- DSG2000: Vieles bereits dort geregelt
- Unternehmen werden stärker in die Verantwortung genommen
</aside>
Definitionen
============
Personenbezogene Daten
----------------------
- Alle Informationen die sich auf eine natürliche Person beziehen
- Name, Geburtsdatum, Geschlecht, Haarfarbe, Finanzinformationen,
E-Mail, …
- Und diese direkt oder indirekt identifizierbar machen
<aside class="notes">
Beispiel:
- Direkt: per Name + Geburtsdatum
- Indirekt: im Unternehmen 15 Männer, 2 Frauen, im Fragebogen M/W zur
Auswahl
</aside>
Sensible Daten
--------------
- Personenbezogene Daten, deren bekannt werden einen potentiellen
Nachteil mit sich bringen können
- Sexuelle Identität, Religiosität, politische Meinung,
Gewerkschaftszugehörigkeit, Gesundheitsdaten, Fotos und Videos,
- Gesundheitsdaten bedeuten auch Krankenstandsmeldung!
- Sobald signifikater Teil der Verarbeitung sensible Daten umfasst:
Da­ten­schutzbe­auf­trag­ter Pflicht!
<aside class="notes">
- Signifikant: Streitpunkt, wird erst noch von DSB geregelt
- Fotos: Im Mitarbeiterverzeichnis, E-Mail ok, in Verbindung mit
Gehaltsdaten unzulässig
</aside>
Verarbeitung
============
Umgang mit personenbezogenen Daten
----------------------------------
- Zugriff darf nur bestimmten Personen gestattet sein
- Nur im Rahmen der Tätigkeit wenn begründet
- Keine Daten ausserhalb des unbedingt benötigten
- Absicherung nach Stand der Technik
- Jede Verarbeitung braucht einen Prozess, der im
Verfahrensverzeichnis dokumentiert ist
<aside class="notes">
- Für Verarbeitung von Gehaltsdaten ist kein Zugriff auf Geschlecht
oder Alter notwendig.
- Ausnahmen bestätigen die Regel
- Details zu Verfahrensverzeichnis später
</aside>
Erfassung von personenbezogenen Daten
-------------------------------------
- Opt-In: nur erfassen, wenn Person dem zustimmt
- Informiertes Einverständnis: Person muss informiert werden, welche
Daten zu welchem Zweck erfasst werden
- Minimale Erfassung: Anwendungen dürfen nur das unbedingt notwendige
erfassen.
Verantwortlichkeiten & Haftungen
--------------------------------
- Hauptverantwortlich: Geschäftsführer
- Kann Umsetzung delegieren
- Haftung kann nicht komplett abgegeben werden
- Strafen
- 4% des Jahresumsatzes des Unternehmens
- € 20 Mio.
- Je nachdem was mehr ist!
- Tatsächliche Strafe im Ermessen der Da­ten­schutzbehörde
<aside class="notes">
Abgegebene Verantwortung kann nur soweit übernommen werden wie
entsprechende Ausbildung vorhanden ist Strafen für vorsätzliches
Fehlverhalten sicher höher als einfache Versäumnisse Schlecht
geführtes Verfahrensverzeichnis &lt; kein Verfahrensverzeichnis Zu
lasche Zugriffssicherung &lt; Keine Zugriffssicherung
</aside>
Verantwortlichkeiten & Haftungen
--------------------------------
- Auskunftspflicht an Da­ten­schutzbehörde
- Meldepflicht für neue Anwendungen entfällt
- Verarbeitungsverzeichnis ist Pflicht!
<aside class="notes">
DSG2000: Jede Verarbeitung muss vorher gemeldet werden. Entfällt bei
DSGVO DSB kann jederzeit ohne Ankündigung Kontrollen durchführen
</aside>
Rechte und Pflichten
====================
Rechte und Pflichten
--------------------
- Recht auf Auskunft: jede Person kann jederzeit über jede
Kontaktmöglichkeit Auskunft über ihre verarbeitete Daten verlangen
- Innerhalb von 4 Wochen ab Eingang zu erledigen
- In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
<aside class="notes">
Jede! Kontaktmöglichkeit! Telefon, Fax, Email, Brief, …
**Aber**: Person muss ggf. genug Angaben für exakte
Identifikation bekannt geben, und muss ggf. Identität nachweisen
(Ausweiskopie, …) Prozess muss ggf auch ins
Verfahrensverzeichnis Antwort muss bei sensiblen Daten gesichert
sein: physisches Medium / verschlüsselt / verschlossener Brief
</aside>
Rechte und Pflichten
--------------------
- Recht auf Vergessen / Löschung: jede Person kann jederzeit über jede
Kontaktmöglichkeit die Löschung ihrer Daten verlangen
- Innerhalb von 4 Wochen ab Eingang zu erledigen
- In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
- Ausnahme: Löschung aus rechtlichen Gründen nicht möglich
<aside class="notes">
Rechnungsdaten z.B. 7 Jahre aufzuheben Alles andere ist zu löschen!
Sonst gelten gleiche Bedingungen wie bei Auskunft
</aside>
Rechte und Pflichten
--------------------
- Recht auf Übertragung: jede Person kann jederzeit über jede
Kontaktmöglichkeit die Ausfertigung ihrer Daten in einem
maschinenlesbaren Format verlangen, zur Übertragung an ein anderes
Unternehmen
- Innerhalb von 4 Wochen ab Eingang zu erledigen
- In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
<aside class="notes">
Gleiche Bedingungen wie bei Auskunft
</aside>
Rechte und Pflichten
--------------------
- Informationspflicht:
- bei Datenverlusten (Datendiebstahl) ist innerhalb von 72h ab
bekannt werden die Da­ten­schutzbehörde zu informieren
- bei sensiblen Daten auch die betroffenen Personen
Verarbeitungsverzeichnis
========================
Verarbeitungsverzeichnis
------------------------
- Aufzeichnung aller Verarbeitungsvorgänge
- Nicht unter 250 Mitarbeitern
- Ausnahme
- Rechte oder Freiheiten der betroffenen Personen gefährdet
- Wenn Daten nicht nur gelegentlich verarbeitet werden
- Im Zweifel ist es besser eines zu führen
<aside class="notes">
- Rechte und Freiheiten: z.B. Gesundheitsdaten oder Finanzdaten als
Hauptverarbeitung
- Nicht nur gelegentlich: Eine Buchhaltungsfirma, die typischerweise
Gehaltsdaten verarbeitet, hat eines zu führen
</aside>
Beispiel
--------
![Übersicht](img/Verarbeitungsverzeichnis_Beispiel_00.png)
Beispiel
--------
![Stammdaten](img/Verarbeitungsverzeichnis_Beispiel_01.png)
Beispiel
--------
![Basisdaten](img/Verarbeitungsverzeichnis_Beispiel_02.png)
Beispiel
--------
![Fristen](img/Verarbeitungsverzeichnis_Beispiel_03.png)
Beispiel
--------
![Weitergabe](img/Verarbeitungsverzeichnis_Beispiel_04.png)
Beispiel
--------
![Maßnahmen](img/Verarbeitungsverzeichnis_Beispiel_05.png)
Da­ten­schutzbe­auf­trag­ter
============================
Da­ten­schutzbe­auf­trag­ter
----------------------------
- Pflicht für Firmen mit &gt;250 MA *oder*
- 10 MA hauptsächlich mit der Verarbeitung beschäftigt sind *oder*
- Hauptsächtlich sensible Daten verarbeitet werden
- Aufgaben:
- Führung des Verarbeitungsverzeichnisses
- Kontrolle und Dokumentation der Verarbeitungsprozesse, schon bei
der Konzeption
Links
=====
Links
-----
- Datenschutzbehörde: https://www.dsb.gv.at/datenschutz-grundverordnung
- Info-Seite der WKO: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Checkliste.html
- Text der DSGVO: https://www.datenschutz-grundverordnung.eu/
Links
-----
- Präsentation: https://gitlab.usrspace.at/…
- Verein `/usr/space`: https://usrspace.at
- Präsentation ist [CC-BY-SA 4.0](https://creativecommons.org/licenses/by-sa/4.0/legalcode.de)
Fragen?
=======
Reference in New Issue View Git Blame Copy Permalink