2018-03-26 08:58:57 +02:00
<!DOCTYPE html>
< html >
< head >
< meta charset = "utf-8" >
< meta name = "generator" content = "pandoc" >
< title > < / title >
< meta name = "apple-mobile-web-app-capable" content = "yes" >
< meta name = "apple-mobile-web-app-status-bar-style" content = "black-translucent" >
< meta name = "viewport" content = "width=device-width, initial-scale=1.0, maximum-scale=1.0, user-scalable=no, minimal-ui" >
2018-04-09 13:17:55 +02:00
< link rel = "stylesheet" href = "reveal.js//css/reveal.css" >
2018-03-26 08:58:57 +02:00
< style type = "text/css" > code { white-space : pre ; } < / style >
2018-04-09 13:17:55 +02:00
< link rel = "stylesheet" href = "reveal.js//css/theme/black.css" id = "theme" >
2018-04-03 14:05:14 +02:00
< link rel = "stylesheet" href = "usrspace.css" / >
2018-03-26 08:58:57 +02:00
<!-- Printing and PDF exports -->
< script >
var link = document.createElement( 'link' );
link.rel = 'stylesheet';
link.type = 'text/css';
2018-04-09 13:17:55 +02:00
link.href = window.location.search.match( /print-pdf/gi ) ? 'reveal.js//css/print/pdf.css' : 'reveal.js//css/print/paper.css';
2018-03-26 08:58:57 +02:00
document.getElementsByTagName( 'head' )[0].appendChild( link );
< / script >
<!-- [if lt IE 9]>
2018-04-09 13:17:55 +02:00
< script src = "reveal.js//lib/js/html5shiv.js" > < / script >
2018-03-26 08:58:57 +02:00
<![endif]-->
< / head >
< body >
< div class = "reveal" >
< div class = "slides" >
< section > < section id = "datenschutz---grundverordnung" class = "titleslide slide level1" > < h1 > < span style = "font-size: 95%" > Da ten schutz - Grund ver ord nung< / span > < / h1 > < / section > < section id = "bedeutung-für-kleine-unternehmen" class = "slide level2" >
< h2 > Bedeutung für kleine Unternehmen< / h2 >
2018-04-11 21:15:39 +02:00
< / section > < section id = "haftungsausschluss" class = "slide level2" >
< h2 > Haftungsausschluss< / h2 >
< ul >
< li > Wir sind keine Juristen< / li >
< li > Die hier präsentierten Informationen bieten nur einen Leitfaden< / li >
< li > Für die Umsetzung ist jedes Unternehmen selbst verantwortlich< / li >
< / ul >
2018-03-26 08:58:57 +02:00
< / section > < section id = "inhalt" class = "slide level2" >
< h2 > Inhalt< / h2 >
< ul >
< li > Was ist die DSGVO< / li >
2018-03-29 16:21:23 +02:00
< li > Definitionen
< ul >
< li > Personenbezogene / Sensible Daten< / li >
< / ul > < / li >
< li > Verarbeitung
< ul >
< li > Umgang mit und Erfassung von personenbezogenen Daten< / li >
2018-03-26 08:58:57 +02:00
< li > Verantwortlichkeiten & Haftungen< / li >
2018-03-29 16:21:23 +02:00
< / ul > < / li >
< li > Rechte und Pflichten< / li >
2018-03-26 08:58:57 +02:00
< li > Verarbeitungsverzeichnis< / li >
2018-03-29 16:21:23 +02:00
< li > Datenschutzbeauftragter< / li >
< li > Fragen?< / li >
2018-03-26 08:58:57 +02:00
< / ul >
2018-04-03 14:05:14 +02:00
< / section > < section id = "wer-sind-wir" class = "slide level2" >
< h2 > Wer sind wir?< / h2 >
< ul >
< li > Verein < code > /usr/space< / code > , besteht seit Mai 2015< / li >
< li > Wollen Menschen über Technik zusammenbringen & dafür begeistern< / li >
< / ul >
2018-03-26 08:58:57 +02:00
< / section > < section id = "was-ist-die-dsgvo" class = "slide level2" >
< h2 > Was ist die DSGVO< / h2 >
< ul >
< li > Rechtlich Bindende Verordnung der EU< / li >
< li > Als Verordnung direkt in allen EU-Staaten rechtlich bindend< / li >
< li > Gültig ab 24. Mai 2016< / li >
< li > Bindend ab 25. Mai 2018< / li >
< li > Regelt die Prozesse, Verantwortungen & Strafen bei der Verarbeitung von personenbezogenen Daten< / li >
< li > Ersetzt die DSG2000< / li >
< li > Verschärfte Haftung bei Verstößen und Fahrlässigkeiten< / li >
< / ul >
< aside class = "notes" >
< ul >
< li > Erfassung = Verarbeitung< / li >
< li > Nicht nur elektronisch, auch strukturiert auf Papier< / li >
< li > Strukturiert = mit Index, als Formular z.B.< / li >
< li > DSG2000: Vieles bereits dort geregelt< / li >
< li > Unternehmen werden stärker in die Verantwortung genommen< / li >
< / ul >
< / aside >
< / section > < / section >
< section > < section id = "definitionen" class = "titleslide slide level1" > < h1 > Definitionen< / h1 > < / section > < section id = "personenbezogene-daten" class = "slide level2" >
< h2 > Personenbezogene Daten< / h2 >
< ul >
< li > Alle Informationen die sich auf eine natürliche Person beziehen
< ul >
< li > Name, Geburtsdatum, Geschlecht, Haarfarbe, Finanzinformationen, E-Mail, …< / li >
< / ul > < / li >
< li > Und diese direkt oder indirekt identifizierbar machen< / li >
< / ul >
< aside class = "notes" >
2018-04-09 16:02:53 +02:00
< p > Definiert in Art. 4 Absatz 1< / p >
2018-03-29 16:21:23 +02:00
< p > Beispiel:< / p >
< ul >
< li > Direkt: per Name + Geburtsdatum< / li >
< li > Indirekt: im Unternehmen 15 Männer, 2 Frauen, im Fragebogen M/W zur Auswahl< / li >
< / ul >
2018-03-26 08:58:57 +02:00
< / aside >
< / section > < section id = "sensible-daten" class = "slide level2" >
< h2 > Sensible Daten< / h2 >
< ul >
< li > Personenbezogene Daten, deren bekannt werden einen potentiellen Nachteil mit sich bringen können
< ul >
< li > Sexuelle Identität, Religiosität, politische Meinung, Gewerkschaftszugehörigkeit, Gesundheitsdaten, Fotos und Videos, …< / li >
< / ul > < / li >
2018-04-11 21:15:39 +02:00
< li > Mitarbeiterfotos sind biometrische Daten, also sensibel< / li >
2018-03-26 08:58:57 +02:00
< li > Sobald signifikater Teil der Verarbeitung sensible Daten umfasst: Da ten schutzbe auf trag ter Pflicht!< / li >
< / ul >
< aside class = "notes" >
2018-04-09 16:02:53 +02:00
< p > Besondere Kategorien: Art. 9 Absatz 1< / p >
2018-03-29 16:21:23 +02:00
< ul >
< li > Signifikant: Streitpunkt, wird erst noch von DSB geregelt< / li >
< li > Fotos: Im Mitarbeiterverzeichnis, E-Mail ok, in Verbindung mit Gehaltsdaten unzulässig< / li >
< / ul >
2018-03-26 08:58:57 +02:00
< / aside >
< / section > < / section >
< section > < section id = "verarbeitung" class = "titleslide slide level1" > < h1 > Verarbeitung< / h1 > < / section > < section id = "umgang-mit-personenbezogenen-daten" class = "slide level2" >
< h2 > Umgang mit personenbezogenen Daten< / h2 >
< ul >
< li > Zugriff darf nur bestimmten Personen gestattet sein< / li >
< li > Nur im Rahmen der Tätigkeit wenn begründet< / li >
< li > Keine Daten ausserhalb des unbedingt benötigten< / li >
< li > Absicherung nach Stand der Technik< / li >
< li > Jede Verarbeitung braucht einen Prozess, der im Verfahrensverzeichnis dokumentiert ist< / li >
< / ul >
< aside class = "notes" >
2018-04-09 16:02:53 +02:00
< p > Artikel 5< / p >
2018-03-29 16:21:23 +02:00
< ul >
< li > Für Verarbeitung von Gehaltsdaten ist kein Zugriff auf Geschlecht oder Alter notwendig.< / li >
< li > Ausnahmen bestätigen die Regel< / li >
< li > Details zu Verfahrensverzeichnis später< / li >
< / ul >
2018-03-26 08:58:57 +02:00
< / aside >
< / section > < section id = "erfassung-von-personenbezogenen-daten" class = "slide level2" >
< h2 > Erfassung von personenbezogenen Daten< / h2 >
< ul >
< li > Opt-In: nur erfassen, wenn Person dem zustimmt< / li >
< li > Informiertes Einverständnis: Person muss informiert werden, welche Daten zu welchem Zweck erfasst werden< / li >
2018-04-09 16:02:53 +02:00
< li > Minimale Erfassung: Anwendungen dürfen nur das unbedingt notwendige erfassen.
< aside class = "notes" >
Artikel 5
< / aside > < / li >
2018-03-26 08:58:57 +02:00
< / ul >
< / section > < section id = "verantwortlichkeiten-haftungen" class = "slide level2" >
< h2 > Verantwortlichkeiten & Haftungen< / h2 >
< ul >
< li > Hauptverantwortlich: Geschäftsführer< / li >
< li > Kann Umsetzung delegieren< / li >
< li > Haftung kann nicht komplett abgegeben werden< / li >
2018-04-11 21:15:39 +02:00
< li > Strafen bis zu
2018-03-26 08:58:57 +02:00
< ul >
< li > 4% des Jahresumsatzes des Unternehmens< / li >
< li > € 20 Mio.< / li >
< li > Je nachdem was mehr ist!< / li >
< / ul > < / li >
2018-04-09 16:02:53 +02:00
< li > Tatsächliche Strafe im Ermessen der Da ten schutzbehörde< / li >
< / ul >
2018-03-29 16:21:23 +02:00
< aside class = "notes" >
2018-04-09 16:02:53 +02:00
< ul >
< li > Abgegebene Verantwortung kann nur soweit übernommen werden wie entsprechende Ausbildung vorhanden ist< / li >
< li > Strafen für vorsätzliches Fehlverhalten sicher höher als einfache Versäumnisse
< ul >
< li > Schlecht geführtes Verfahrensverzeichnis vs kein Verfahrensverzeichnis< / li >
< li > Zu lasche Zugriffssicherung & Keine Zugriffssicherung< / li >
< / ul > < / li >
2018-03-26 08:58:57 +02:00
< / ul >
2018-04-09 16:02:53 +02:00
Verantwortung: Kapitel IV Strafen: Artikel 83
< / aside >
2018-03-26 08:58:57 +02:00
< / section > < section id = "verantwortlichkeiten-haftungen-1" class = "slide level2" >
< h2 > Verantwortlichkeiten & Haftungen< / h2 >
< ul >
< li > Auskunftspflicht an Da ten schutzbehörde< / li >
2018-03-29 16:21:23 +02:00
< li > Meldepflicht für neue Anwendungen entfällt< / li >
2018-03-26 08:58:57 +02:00
< li > Verarbeitungsverzeichnis ist Pflicht!< / li >
< / ul >
2018-03-29 16:21:23 +02:00
< aside class = "notes" >
DSG2000: Jede Verarbeitung muss vorher gemeldet werden. Entfällt bei DSGVO DSB kann jederzeit ohne Ankündigung Kontrollen durchführen
< / aside >
2018-04-11 21:15:39 +02:00
< / section > < section id = "auftragsverarbeitung" class = "slide level2" >
< h2 > Auftragsverarbeitung< / h2 >
< ul >
< li > Auftragsverarbeiter sind Dritte, an die Personendaten übermittelt werden< / li >
< li > Jede Weitergabe muss dokumentiert sein< / li >
< li > Darunter fallen auch Werbenetzwerke, Analysenetzwerke, …< / li >
< / ul >
< aside class = "notes" >
< ul >
< li > Beispiel Auftragsverarbeiter: E-Mail-Anbieter, Webhoster, …< / li >
< / ul >
< / aside >
2018-03-26 08:58:57 +02:00
< / section > < / section >
< section > < section id = "rechte-und-pflichten" class = "titleslide slide level1" > < h1 > Rechte und Pflichten< / h1 > < / section > < section id = "rechte-und-pflichten-1" class = "slide level2" >
< h2 > Rechte und Pflichten< / h2 >
< ul >
< li > Recht auf Auskunft: jede Person kann jederzeit über jede Kontaktmöglichkeit Auskunft über ihre verarbeitete Daten verlangen
< ul >
< li > Innerhalb von 4 Wochen ab Eingang zu erledigen< / li >
2018-04-09 16:02:53 +02:00
< li > In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen< / li >
2018-03-26 08:58:57 +02:00
< / ul > < / li >
< / ul >
2018-04-09 16:02:53 +02:00
< aside class = "notes" >
< p > Auskunftsrecht: Art. 15< / p >
< p > Fristen, etc.: Art 12< / p >
< p > Jede! Kontaktmöglichkeit! Telefon, Fax, Email, Brief, …< / p >
< p > < strong > Aber< / strong > : Person muss ggf. genug Angaben für exakte Identifikation bekannt geben, und muss ggf. Identität nachweisen (Ausweiskopie, …)< / p >
< p > Prozess muss ggf auch ins Verfahrensverzeichnis< / p >
Antwort muss bei sensiblen Daten gesichert sein: physisches Medium / verschlüsselt / verschlossener Brief
< / aside >
2018-03-26 08:58:57 +02:00
< / section > < section id = "rechte-und-pflichten-2" class = "slide level2" >
< h2 > Rechte und Pflichten< / h2 >
< ul >
2018-04-11 21:15:39 +02:00
< li > Recht auf Berichtigung: jede Person kann jederzeit über jede Kontaktmöglichkeit die Berichtigung ihrer Daten verlangen
2018-03-26 08:58:57 +02:00
< ul >
< li > Innerhalb von 4 Wochen ab Eingang zu erledigen< / li >
< li > In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen< / li >
< / ul > < / li >
< / ul >
< aside class = "notes" >
2018-04-09 16:02:53 +02:00
< p > Auskunftsrecht: Art. 16< / p >
< p > Fristen, etc.: Art 12< / p >
2018-03-29 16:21:23 +02:00
< p > Rechnungsdaten z.B. 7 Jahre aufzuheben Alles andere ist zu löschen!< / p >
Sonst gelten gleiche Bedingungen wie bei Auskunft
2018-03-26 08:58:57 +02:00
< / aside >
< / section > < section id = "rechte-und-pflichten-3" class = "slide level2" >
< h2 > Rechte und Pflichten< / h2 >
< ul >
2018-04-11 21:15:39 +02:00
< li > Recht auf Einschränkung der Verarbeitung: jede Person kann jederzeit über jede Kontaktmöglichkeit die Verarbeitung ihrer Daten einschränken
< ul >
< li > Innerhalb von 4 Wochen ab Eingang zu erledigen< / li >
< li > In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen< / li >
< / ul > < / li >
< / ul >
< aside class = "notes" >
< p > Auskunftsrecht: Art. 18< / p >
< p > Fristen, etc.: Art 12< / p >
< p > Rechnungsdaten z.B. 7 Jahre aufzuheben Alles andere ist zu löschen!< / p >
Sonst gelten gleiche Bedingungen wie bei Auskunft
< / aside >
< / section > < section id = "rechte-und-pflichten-4" class = "slide level2" >
< h2 > Rechte und Pflichten< / h2 >
< ul >
< li > Recht auf Vergessen / Löschung: jede Person kann jederzeit über jede Kontaktmöglichkeit die Löschung ihrer Daten verlangen
< ul >
< li > Innerhalb von 4 Wochen ab Eingang zu erledigen< / li >
< li > In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen< / li >
< li > Ausnahme: Löschung aus rechtlichen Gründen nicht möglich< / li >
< / ul > < / li >
< / ul >
< aside class = "notes" >
< p > Auskunftsrecht: Art. 17< / p >
< p > Fristen, etc.: Art 12< / p >
< p > Rechnungsdaten z.B. 7 Jahre aufzuheben Alles andere ist zu löschen!< / p >
Sonst gelten gleiche Bedingungen wie bei Auskunft
< / aside >
< / section > < section id = "rechte-und-pflichten-5" class = "slide level2" >
< h2 > Rechte und Pflichten< / h2 >
< ul >
2018-03-26 08:58:57 +02:00
< li > Recht auf Übertragung: jede Person kann jederzeit über jede Kontaktmöglichkeit die Ausfertigung ihrer Daten in einem maschinenlesbaren Format verlangen, zur Übertragung an ein anderes Unternehmen
< ul >
< li > Innerhalb von 4 Wochen ab Eingang zu erledigen< / li >
2018-04-09 16:02:53 +02:00
< li > In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen< / li >
2018-03-26 08:58:57 +02:00
< / ul > < / li >
< / ul >
2018-04-09 16:02:53 +02:00
< aside class = "notes" >
Gleiche Bedingungen wie bei Auskunft
< / aside >
2018-04-11 21:15:39 +02:00
< / section > < section id = "rechte-und-pflichten-6" class = "slide level2" >
2018-03-26 08:58:57 +02:00
< h2 > Rechte und Pflichten< / h2 >
< ul >
< li > Informationspflicht:
< ul >
< li > bei Datenverlusten (Datendiebstahl) ist innerhalb von 72h ab bekannt werden die Da ten schutzbehörde zu informieren< / li >
< li > bei sensiblen Daten auch die betroffenen Personen< / li >
< / ul > < / li >
< / ul >
< / section > < / section >
< section > < section id = "verarbeitungsverzeichnis" class = "titleslide slide level1" > < h1 > Verarbeitungsverzeichnis< / h1 > < / section > < section id = "verarbeitungsverzeichnis-1" class = "slide level2" >
< h2 > Verarbeitungsverzeichnis< / h2 >
< ul >
< li > Aufzeichnung aller Verarbeitungsvorgänge< / li >
< li > Nicht unter 250 Mitarbeitern< / li >
< li > Ausnahme
< ul >
< li > Rechte oder Freiheiten der betroffenen Personen gefährdet< / li >
< li > Wenn Daten nicht nur gelegentlich verarbeitet werden< / li >
< / ul > < / li >
< li > Im Zweifel ist es besser eines zu führen< / li >
< / ul >
< aside class = "notes" >
2018-04-09 16:02:53 +02:00
< p > Artikel 30< / p >
2018-03-26 08:58:57 +02:00
< ul >
< li > Rechte und Freiheiten: z.B. Gesundheitsdaten oder Finanzdaten als Hauptverarbeitung< / li >
< li > Nicht nur gelegentlich: Eine Buchhaltungsfirma, die typischerweise Gehaltsdaten verarbeitet, hat eines zu führen< / li >
2018-04-11 21:15:39 +02:00
< li > Z.B. bei Mitarbeiterdaten: Daten für Dienstzeugnis müssen 30 Jahre aufgehoben werden< / li >
2018-03-26 08:58:57 +02:00
< / ul >
< / aside >
2018-04-03 15:17:26 +02:00
< / section > < section id = "beispiel" class = "slide level2" >
< h2 > Beispiel< / h2 >
< figure >
< img src = "img/Verarbeitungsverzeichnis_Beispiel_00.png" alt = "Übersicht" / > < figcaption > Übersicht< / figcaption >
< / figure >
< / section > < section id = "beispiel-1" class = "slide level2" >
< h2 > Beispiel< / h2 >
< figure >
< img src = "img/Verarbeitungsverzeichnis_Beispiel_01.png" alt = "Stammdaten" / > < figcaption > Stammdaten< / figcaption >
< / figure >
< / section > < section id = "beispiel-2" class = "slide level2" >
< h2 > Beispiel< / h2 >
< figure >
< img src = "img/Verarbeitungsverzeichnis_Beispiel_02.png" alt = "Basisdaten" / > < figcaption > Basisdaten< / figcaption >
< / figure >
< / section > < section id = "beispiel-3" class = "slide level2" >
< h2 > Beispiel< / h2 >
< figure >
2018-04-09 13:17:55 +02:00
< img src = "img/Verarbeitungsverzeichnis_Beispiel_03.png" alt = "Fristen" / > < figcaption > Fristen< / figcaption >
2018-04-03 15:17:26 +02:00
< / figure >
< / section > < section id = "beispiel-4" class = "slide level2" >
< h2 > Beispiel< / h2 >
< figure >
< img src = "img/Verarbeitungsverzeichnis_Beispiel_04.png" alt = "Weitergabe" / > < figcaption > Weitergabe< / figcaption >
< / figure >
< / section > < section id = "beispiel-5" class = "slide level2" >
< h2 > Beispiel< / h2 >
< figure >
< img src = "img/Verarbeitungsverzeichnis_Beispiel_05.png" alt = "Maßnahmen" / > < figcaption > Maßnahmen< / figcaption >
< / figure >
2018-03-26 08:58:57 +02:00
< / section > < / section >
< section > < section id = "datenschutzbeauftragter" class = "titleslide slide level1" > < h1 > Da ten schutzbe auf trag ter< / h1 > < / section > < section id = "datenschutzbeauftragter-1" class = "slide level2" >
< h2 > Da ten schutzbe auf trag ter< / h2 >
< ul >
< li > Pflicht für Firmen mit > 250 MA < em > oder< / em > < / li >
< li > 10 MA hauptsächlich mit der Verarbeitung beschäftigt sind < em > oder< / em > < / li >
< li > Hauptsächtlich sensible Daten verarbeitet werden< / li >
< li > Aufgaben:
< ul >
< li > Führung des Verarbeitungsverzeichnisses< / li >
< li > Kontrolle und Dokumentation der Verarbeitungsprozesse, schon bei der Konzeption< / li >
< / ul > < / li >
2018-04-11 21:15:39 +02:00
< li > nicht Weisungsgebunden< / li >
< li > Vor Gericht nicht Auskunftspflichtig< / li >
2018-03-26 08:58:57 +02:00
< / ul >
2018-04-09 16:02:53 +02:00
< aside class = "notes" >
Artikel 37 - 39
< / aside >
2018-03-26 08:58:57 +02:00
< / section > < / section >
2018-04-03 14:05:14 +02:00
< section > < section id = "links" class = "titleslide slide level1" > < h1 > Links< / h1 > < / section > < section id = "links-1" class = "slide level2" >
< h2 > Links< / h2 >
< ul >
< li > Datenschutzbehörde: https://www.dsb.gv.at/datenschutz-grundverordnung< / li >
< li > Info-Seite der WKO: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Checkliste.html< / li >
< li > Text der DSGVO: https://www.datenschutz-grundverordnung.eu/< / li >
2018-04-11 21:15:39 +02:00
< li > Umgang mit Google Analytics: https://www.kloos.at/blog/google-analytics-die-eu-datenschutzgrundverordnung/< / li >
2018-04-03 14:05:14 +02:00
< / ul >
< / section > < section id = "links-2" class = "slide level2" >
< h2 > Links< / h2 >
< ul >
< li > Präsentation: https://gitlab.usrspace.at/…< / li >
< li > Verein < code > /usr/space< / code > : https://usrspace.at< / li >
< li > Präsentation ist < a href = "https://creativecommons.org/licenses/by-sa/4.0/legalcode.de" > CC-BY-SA 4.0< / a > < / li >
< / ul >
< / section > < / section >
2018-03-26 08:58:57 +02:00
< section > < section id = "fragen" class = "titleslide slide level1" > < h1 > Fragen?< / h1 > < / section > < / section >
< / div >
< / div >
2018-04-09 13:17:55 +02:00
< script src = "reveal.js//lib/js/head.min.js" > < / script >
< script src = "reveal.js//js/reveal.js" > < / script >
2018-03-26 08:58:57 +02:00
< script >
// Full list of configuration options available at:
// https://github.com/hakimel/reveal.js#configuration
Reveal.initialize({
// Optional reveal.js plugins
dependencies: [
2018-04-09 13:17:55 +02:00
{ src: 'reveal.js//lib/js/classList.js', condition: function() { return !document.body.classList; } },
{ src: 'reveal.js//plugin/zoom-js/zoom.js', async: true },
{ src: 'reveal.js//plugin/notes/notes.js', async: true }
2018-03-26 08:58:57 +02:00
]
});
< / script >
< / body >
< / html >