2018-03-29 16:21:23 +02:00
|
|
|
|
[Datenschutz - Grundverordnung]{style="font-size: 95%"}
|
|
|
|
|
============================================================
|
|
|
|
|
|
|
|
|
|
Bedeutung für kleine Unternehmen
|
|
|
|
|
--------------------------------
|
|
|
|
|
|
|
|
|
|
Inhalt
|
|
|
|
|
------
|
|
|
|
|
|
|
|
|
|
- Was ist die DSGVO
|
|
|
|
|
- Definitionen
|
|
|
|
|
- Personenbezogene / Sensible Daten
|
|
|
|
|
- Verarbeitung
|
|
|
|
|
- Umgang mit und Erfassung von personenbezogenen Daten
|
|
|
|
|
- Verantwortlichkeiten & Haftungen
|
|
|
|
|
- Rechte und Pflichten
|
|
|
|
|
- Verarbeitungsverzeichnis
|
|
|
|
|
- Datenschutzbeauftragter
|
|
|
|
|
- Fragen?
|
|
|
|
|
|
2018-04-03 14:05:14 +02:00
|
|
|
|
Wer sind wir?
|
|
|
|
|
-------------
|
|
|
|
|
|
|
|
|
|
- Verein `/usr/space`, besteht seit Mai 2015
|
|
|
|
|
- Wollen Menschen über Technik zusammenbringen & dafür begeistern
|
|
|
|
|
|
2018-03-29 16:21:23 +02:00
|
|
|
|
Was ist die DSGVO
|
|
|
|
|
-----------------
|
|
|
|
|
|
|
|
|
|
- Rechtlich Bindende Verordnung der EU
|
|
|
|
|
- Als Verordnung direkt in allen EU-Staaten rechtlich bindend
|
|
|
|
|
- Gültig ab 24. Mai 2016
|
|
|
|
|
- Bindend ab 25. Mai 2018
|
|
|
|
|
- Regelt die Prozesse, Verantwortungen & Strafen bei der Verarbeitung
|
|
|
|
|
von personenbezogenen Daten
|
|
|
|
|
- Ersetzt die DSG2000
|
|
|
|
|
- Verschärfte Haftung bei Verstößen und Fahrlässigkeiten
|
2018-03-26 08:58:57 +02:00
|
|
|
|
|
|
|
|
|
<aside class="notes">
|
2018-03-29 16:21:23 +02:00
|
|
|
|
- Erfassung = Verarbeitung
|
|
|
|
|
- Nicht nur elektronisch, auch strukturiert auf Papier
|
|
|
|
|
- Strukturiert = mit Index, als Formular z.B.
|
|
|
|
|
- DSG2000: Vieles bereits dort geregelt
|
|
|
|
|
- Unternehmen werden stärker in die Verantwortung genommen
|
2018-03-26 08:58:57 +02:00
|
|
|
|
|
2018-03-29 16:21:23 +02:00
|
|
|
|
</aside>
|
|
|
|
|
Definitionen
|
|
|
|
|
============
|
2018-03-26 08:58:57 +02:00
|
|
|
|
|
2018-03-29 16:21:23 +02:00
|
|
|
|
Personenbezogene Daten
|
|
|
|
|
----------------------
|
2018-03-26 08:58:57 +02:00
|
|
|
|
|
2018-03-29 16:21:23 +02:00
|
|
|
|
- Alle Informationen die sich auf eine natürliche Person beziehen
|
|
|
|
|
- Name, Geburtsdatum, Geschlecht, Haarfarbe, Finanzinformationen,
|
|
|
|
|
E-Mail, …
|
|
|
|
|
- Und diese direkt oder indirekt identifizierbar machen
|
2018-03-26 08:58:57 +02:00
|
|
|
|
|
|
|
|
|
<aside class="notes">
|
|
|
|
|
Beispiel:
|
|
|
|
|
|
2018-03-29 16:21:23 +02:00
|
|
|
|
- Direkt: per Name + Geburtsdatum
|
|
|
|
|
- Indirekt: im Unternehmen 15 Männer, 2 Frauen, im Fragebogen M/W zur
|
|
|
|
|
Auswahl
|
2018-03-26 08:58:57 +02:00
|
|
|
|
|
|
|
|
|
</aside>
|
2018-03-29 16:21:23 +02:00
|
|
|
|
Sensible Daten
|
|
|
|
|
--------------
|
|
|
|
|
|
|
|
|
|
- Personenbezogene Daten, deren bekannt werden einen potentiellen
|
|
|
|
|
Nachteil mit sich bringen können
|
|
|
|
|
- Sexuelle Identität, Religiosität, politische Meinung,
|
|
|
|
|
Gewerkschaftszugehörigkeit, Gesundheitsdaten, Fotos und Videos,
|
|
|
|
|
…
|
|
|
|
|
- Gesundheitsdaten bedeuten auch Krankenstandsmeldung!
|
|
|
|
|
- Sobald signifikater Teil der Verarbeitung sensible Daten umfasst:
|
|
|
|
|
Datenschutzbeauftragter Pflicht!
|
2018-03-26 08:58:57 +02:00
|
|
|
|
|
|
|
|
|
<aside class="notes">
|
2018-03-29 16:21:23 +02:00
|
|
|
|
- Signifikant: Streitpunkt, wird erst noch von DSB geregelt
|
|
|
|
|
- Fotos: Im Mitarbeiterverzeichnis, E-Mail ok, in Verbindung mit
|
|
|
|
|
Gehaltsdaten unzulässig
|
2018-03-26 08:58:57 +02:00
|
|
|
|
|
2018-03-29 16:21:23 +02:00
|
|
|
|
</aside>
|
|
|
|
|
Verarbeitung
|
|
|
|
|
============
|
2018-03-26 08:58:57 +02:00
|
|
|
|
|
2018-03-29 16:21:23 +02:00
|
|
|
|
Umgang mit personenbezogenen Daten
|
|
|
|
|
----------------------------------
|
2018-03-26 08:58:57 +02:00
|
|
|
|
|
2018-03-29 16:21:23 +02:00
|
|
|
|
- Zugriff darf nur bestimmten Personen gestattet sein
|
|
|
|
|
- Nur im Rahmen der Tätigkeit wenn begründet
|
|
|
|
|
- Keine Daten ausserhalb des unbedingt benötigten
|
|
|
|
|
- Absicherung nach Stand der Technik
|
|
|
|
|
- Jede Verarbeitung braucht einen Prozess, der im
|
|
|
|
|
Verfahrensverzeichnis dokumentiert ist
|
2018-03-26 08:58:57 +02:00
|
|
|
|
|
2018-03-29 16:21:23 +02:00
|
|
|
|
<aside class="notes">
|
|
|
|
|
- Für Verarbeitung von Gehaltsdaten ist kein Zugriff auf Geschlecht
|
|
|
|
|
oder Alter notwendig.
|
|
|
|
|
- Ausnahmen bestätigen die Regel
|
|
|
|
|
- Details zu Verfahrensverzeichnis später
|
2018-03-26 08:58:57 +02:00
|
|
|
|
|
2018-03-29 16:21:23 +02:00
|
|
|
|
</aside>
|
|
|
|
|
Erfassung von personenbezogenen Daten
|
|
|
|
|
-------------------------------------
|
|
|
|
|
|
|
|
|
|
- Opt-In: nur erfassen, wenn Person dem zustimmt
|
|
|
|
|
- Informiertes Einverständnis: Person muss informiert werden, welche
|
|
|
|
|
Daten zu welchem Zweck erfasst werden
|
|
|
|
|
- Minimale Erfassung: Anwendungen dürfen nur das unbedingt notwendige
|
|
|
|
|
erfassen.
|
|
|
|
|
|
|
|
|
|
Verantwortlichkeiten & Haftungen
|
|
|
|
|
--------------------------------
|
|
|
|
|
|
|
|
|
|
- Hauptverantwortlich: Geschäftsführer
|
|
|
|
|
- Kann Umsetzung delegieren
|
|
|
|
|
- Haftung kann nicht komplett abgegeben werden
|
|
|
|
|
- Strafen
|
|
|
|
|
- 4% des Jahresumsatzes des Unternehmens
|
|
|
|
|
- € 20 Mio.
|
|
|
|
|
- Je nachdem was mehr ist!
|
|
|
|
|
- Tatsächliche Strafe im Ermessen der Datenschutzbehörde
|
|
|
|
|
<aside class="notes">
|
|
|
|
|
Abgegebene Verantwortung kann nur soweit übernommen werden wie
|
|
|
|
|
entsprechende Ausbildung vorhanden ist Strafen für vorsätzliches
|
|
|
|
|
Fehlverhalten sicher höher als einfache Versäumnisse Schlecht
|
|
|
|
|
geführtes Verfahrensverzeichnis < kein Verfahrensverzeichnis Zu
|
|
|
|
|
lasche Zugriffssicherung < Keine Zugriffssicherung
|
|
|
|
|
</aside>
|
|
|
|
|
|
|
|
|
|
Verantwortlichkeiten & Haftungen
|
|
|
|
|
--------------------------------
|
|
|
|
|
|
|
|
|
|
- Auskunftspflicht an Datenschutzbehörde
|
|
|
|
|
- Meldepflicht für neue Anwendungen entfällt
|
|
|
|
|
- Verarbeitungsverzeichnis ist Pflicht!
|
2018-03-26 08:58:57 +02:00
|
|
|
|
|
|
|
|
|
<aside class="notes">
|
2018-03-29 16:21:23 +02:00
|
|
|
|
DSG2000: Jede Verarbeitung muss vorher gemeldet werden. Entfällt bei
|
|
|
|
|
DSGVO DSB kann jederzeit ohne Ankündigung Kontrollen durchführen
|
2018-03-26 08:58:57 +02:00
|
|
|
|
</aside>
|
2018-03-29 16:21:23 +02:00
|
|
|
|
Rechte und Pflichten
|
|
|
|
|
====================
|
|
|
|
|
|
|
|
|
|
Rechte und Pflichten
|
|
|
|
|
--------------------
|
|
|
|
|
|
|
|
|
|
- Recht auf Auskunft: jede Person kann jederzeit über jede
|
|
|
|
|
Kontaktmöglichkeit Auskunft über ihre verarbeitete Daten verlangen
|
|
|
|
|
- Innerhalb von 4 Wochen ab Eingang zu erledigen
|
|
|
|
|
- In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
|
|
|
|
|
<aside class="notes">
|
|
|
|
|
Jede! Kontaktmöglichkeit! Telefon, Fax, Email, Brief, …
|
|
|
|
|
**Aber**: Person muss ggf. genug Angaben für exakte
|
|
|
|
|
Identifikation bekannt geben, und muss ggf. Identität nachweisen
|
|
|
|
|
(Ausweiskopie, …) Prozess muss ggf auch ins
|
|
|
|
|
Verfahrensverzeichnis Antwort muss bei sensiblen Daten gesichert
|
|
|
|
|
sein: physisches Medium / verschlüsselt / verschlossener Brief
|
|
|
|
|
</aside>
|
|
|
|
|
|
|
|
|
|
Rechte und Pflichten
|
|
|
|
|
--------------------
|
|
|
|
|
|
|
|
|
|
- Recht auf Vergessen / Löschung: jede Person kann jederzeit über jede
|
|
|
|
|
Kontaktmöglichkeit die Löschung ihrer Daten verlangen
|
|
|
|
|
- Innerhalb von 4 Wochen ab Eingang zu erledigen
|
|
|
|
|
- In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
|
|
|
|
|
- Ausnahme: Löschung aus rechtlichen Gründen nicht möglich
|
2018-03-26 08:58:57 +02:00
|
|
|
|
|
2018-03-29 16:21:23 +02:00
|
|
|
|
<aside class="notes">
|
|
|
|
|
Rechnungsdaten z.B. 7 Jahre aufzuheben Alles andere ist zu löschen!
|
2018-03-26 08:58:57 +02:00
|
|
|
|
|
2018-03-29 16:21:23 +02:00
|
|
|
|
Sonst gelten gleiche Bedingungen wie bei Auskunft
|
|
|
|
|
</aside>
|
|
|
|
|
Rechte und Pflichten
|
|
|
|
|
--------------------
|
|
|
|
|
|
|
|
|
|
- Recht auf Übertragung: jede Person kann jederzeit über jede
|
|
|
|
|
Kontaktmöglichkeit die Ausfertigung ihrer Daten in einem
|
|
|
|
|
maschinenlesbaren Format verlangen, zur Übertragung an ein anderes
|
|
|
|
|
Unternehmen
|
|
|
|
|
- Innerhalb von 4 Wochen ab Eingang zu erledigen
|
|
|
|
|
- In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
|
|
|
|
|
<aside class="notes">
|
|
|
|
|
Gleiche Bedingungen wie bei Auskunft
|
|
|
|
|
</aside>
|
|
|
|
|
|
|
|
|
|
Rechte und Pflichten
|
|
|
|
|
--------------------
|
|
|
|
|
|
|
|
|
|
- Informationspflicht:
|
|
|
|
|
- bei Datenverlusten (Datendiebstahl) ist innerhalb von 72h ab
|
|
|
|
|
bekannt werden die Datenschutzbehörde zu informieren
|
|
|
|
|
- bei sensiblen Daten auch die betroffenen Personen
|
|
|
|
|
|
|
|
|
|
Verarbeitungsverzeichnis
|
|
|
|
|
========================
|
|
|
|
|
|
|
|
|
|
Verarbeitungsverzeichnis
|
|
|
|
|
------------------------
|
|
|
|
|
|
|
|
|
|
- Aufzeichnung aller Verarbeitungsvorgänge
|
|
|
|
|
- Nicht unter 250 Mitarbeitern
|
|
|
|
|
- Ausnahme
|
|
|
|
|
- Rechte oder Freiheiten der betroffenen Personen gefährdet
|
|
|
|
|
- Wenn Daten nicht nur gelegentlich verarbeitet werden
|
|
|
|
|
- Im Zweifel ist es besser eines zu führen
|
2018-03-26 08:58:57 +02:00
|
|
|
|
|
2018-03-29 16:21:23 +02:00
|
|
|
|
<aside class="notes">
|
|
|
|
|
- Rechte und Freiheiten: z.B. Gesundheitsdaten oder Finanzdaten als
|
|
|
|
|
Hauptverarbeitung
|
|
|
|
|
- Nicht nur gelegentlich: Eine Buchhaltungsfirma, die typischerweise
|
|
|
|
|
Gehaltsdaten verarbeitet, hat eines zu führen
|
2018-03-26 08:58:57 +02:00
|
|
|
|
|
2018-03-29 16:21:23 +02:00
|
|
|
|
</aside>
|
2018-03-26 08:58:57 +02:00
|
|
|
|
|
2018-04-03 15:17:26 +02:00
|
|
|
|
Beispiel
|
|
|
|
|
--------
|
|
|
|
|
|
|
|
|
|
![Übersicht](img/Verarbeitungsverzeichnis_Beispiel_00.png)
|
|
|
|
|
|
|
|
|
|
Beispiel
|
|
|
|
|
--------
|
|
|
|
|
|
|
|
|
|
![Stammdaten](img/Verarbeitungsverzeichnis_Beispiel_01.png)
|
|
|
|
|
|
|
|
|
|
Beispiel
|
|
|
|
|
--------
|
|
|
|
|
|
|
|
|
|
![Basisdaten](img/Verarbeitungsverzeichnis_Beispiel_02.png)
|
|
|
|
|
|
|
|
|
|
Beispiel
|
|
|
|
|
--------
|
|
|
|
|
|
|
|
|
|
![Fristen](img/Verarbeitungsverzeichnis_Beispiel_03.png)
|
|
|
|
|
|
|
|
|
|
Beispiel
|
|
|
|
|
--------
|
|
|
|
|
|
|
|
|
|
![Weitergabe](img/Verarbeitungsverzeichnis_Beispiel_04.png)
|
|
|
|
|
|
|
|
|
|
Beispiel
|
|
|
|
|
--------
|
|
|
|
|
|
|
|
|
|
![Maßnahmen](img/Verarbeitungsverzeichnis_Beispiel_05.png)
|
|
|
|
|
|
2018-03-29 16:21:23 +02:00
|
|
|
|
Datenschutzbeauftragter
|
|
|
|
|
============================
|
|
|
|
|
|
|
|
|
|
Datenschutzbeauftragter
|
|
|
|
|
----------------------------
|
|
|
|
|
|
|
|
|
|
- Pflicht für Firmen mit >250 MA *oder*
|
|
|
|
|
- 10 MA hauptsächlich mit der Verarbeitung beschäftigt sind *oder*
|
|
|
|
|
- Hauptsächtlich sensible Daten verarbeitet werden
|
|
|
|
|
- Aufgaben:
|
|
|
|
|
- Führung des Verarbeitungsverzeichnisses
|
|
|
|
|
- Kontrolle und Dokumentation der Verarbeitungsprozesse, schon bei
|
|
|
|
|
der Konzeption
|
|
|
|
|
|
2018-04-03 14:05:14 +02:00
|
|
|
|
Links
|
|
|
|
|
=====
|
|
|
|
|
|
|
|
|
|
Links
|
|
|
|
|
-----
|
|
|
|
|
|
|
|
|
|
- Datenschutzbehörde: https://www.dsb.gv.at/datenschutz-grundverordnung
|
|
|
|
|
- Info-Seite der WKO: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Checkliste.html
|
|
|
|
|
- Text der DSGVO: https://www.datenschutz-grundverordnung.eu/
|
|
|
|
|
|
|
|
|
|
Links
|
|
|
|
|
-----
|
|
|
|
|
|
|
|
|
|
- Präsentation: https://gitlab.usrspace.at/…
|
|
|
|
|
- Verein `/usr/space`: https://usrspace.at
|
|
|
|
|
- Präsentation ist [CC-BY-SA 4.0](https://creativecommons.org/licenses/by-sa/4.0/legalcode.de)
|
|
|
|
|
|
2018-03-29 16:21:23 +02:00
|
|
|
|
Fragen?
|
|
|
|
|
=======
|