2018-03-29 16:21:23 +02:00
|
|
|
|
[Datenschutz - Grundverordnung]{style="font-size: 95%"}
|
|
|
|
|
============================================================
|
|
|
|
|
|
|
|
|
|
Bedeutung für kleine Unternehmen
|
|
|
|
|
--------------------------------
|
|
|
|
|
|
2018-04-11 21:15:39 +02:00
|
|
|
|
Haftungsausschluss
|
|
|
|
|
------------------
|
|
|
|
|
|
|
|
|
|
- Wir sind keine Juristen
|
|
|
|
|
- Die hier präsentierten Informationen bieten nur einen Leitfaden
|
|
|
|
|
- Für die Umsetzung ist jedes Unternehmen selbst verantwortlich
|
|
|
|
|
|
|
|
|
|
|
2018-03-29 16:21:23 +02:00
|
|
|
|
Inhalt
|
|
|
|
|
------
|
|
|
|
|
|
|
|
|
|
- Was ist die DSGVO
|
|
|
|
|
- Definitionen
|
|
|
|
|
- Personenbezogene / Sensible Daten
|
|
|
|
|
- Verarbeitung
|
|
|
|
|
- Umgang mit und Erfassung von personenbezogenen Daten
|
|
|
|
|
- Verantwortlichkeiten & Haftungen
|
|
|
|
|
- Rechte und Pflichten
|
|
|
|
|
- Verarbeitungsverzeichnis
|
|
|
|
|
- Datenschutzbeauftragter
|
|
|
|
|
- Fragen?
|
|
|
|
|
|
2018-04-03 14:05:14 +02:00
|
|
|
|
Wer sind wir?
|
|
|
|
|
-------------
|
|
|
|
|
|
|
|
|
|
- Verein `/usr/space`, besteht seit Mai 2015
|
|
|
|
|
- Wollen Menschen über Technik zusammenbringen & dafür begeistern
|
|
|
|
|
|
2018-03-29 16:21:23 +02:00
|
|
|
|
Was ist die DSGVO
|
|
|
|
|
-----------------
|
|
|
|
|
|
|
|
|
|
- Rechtlich Bindende Verordnung der EU
|
|
|
|
|
- Als Verordnung direkt in allen EU-Staaten rechtlich bindend
|
|
|
|
|
- Gültig ab 24. Mai 2016
|
|
|
|
|
- Bindend ab 25. Mai 2018
|
|
|
|
|
- Regelt die Prozesse, Verantwortungen & Strafen bei der Verarbeitung
|
|
|
|
|
von personenbezogenen Daten
|
|
|
|
|
- Ersetzt die DSG2000
|
|
|
|
|
- Verschärfte Haftung bei Verstößen und Fahrlässigkeiten
|
2018-03-26 08:58:57 +02:00
|
|
|
|
|
|
|
|
|
<aside class="notes">
|
2018-03-29 16:21:23 +02:00
|
|
|
|
- Erfassung = Verarbeitung
|
|
|
|
|
- Nicht nur elektronisch, auch strukturiert auf Papier
|
|
|
|
|
- Strukturiert = mit Index, als Formular z.B.
|
|
|
|
|
- DSG2000: Vieles bereits dort geregelt
|
|
|
|
|
- Unternehmen werden stärker in die Verantwortung genommen
|
2018-03-26 08:58:57 +02:00
|
|
|
|
|
2018-03-29 16:21:23 +02:00
|
|
|
|
</aside>
|
|
|
|
|
Definitionen
|
|
|
|
|
============
|
2018-03-26 08:58:57 +02:00
|
|
|
|
|
2018-03-29 16:21:23 +02:00
|
|
|
|
Personenbezogene Daten
|
|
|
|
|
----------------------
|
2018-03-26 08:58:57 +02:00
|
|
|
|
|
2018-03-29 16:21:23 +02:00
|
|
|
|
- Alle Informationen die sich auf eine natürliche Person beziehen
|
|
|
|
|
- Name, Geburtsdatum, Geschlecht, Haarfarbe, Finanzinformationen,
|
|
|
|
|
E-Mail, …
|
|
|
|
|
- Und diese direkt oder indirekt identifizierbar machen
|
2018-03-26 08:58:57 +02:00
|
|
|
|
|
|
|
|
|
<aside class="notes">
|
2018-04-09 16:02:53 +02:00
|
|
|
|
Definiert in Art. 4 Absatz 1
|
|
|
|
|
|
2018-03-26 08:58:57 +02:00
|
|
|
|
Beispiel:
|
|
|
|
|
|
2018-03-29 16:21:23 +02:00
|
|
|
|
- Direkt: per Name + Geburtsdatum
|
|
|
|
|
- Indirekt: im Unternehmen 15 Männer, 2 Frauen, im Fragebogen M/W zur
|
|
|
|
|
Auswahl
|
2018-03-26 08:58:57 +02:00
|
|
|
|
|
|
|
|
|
</aside>
|
2018-03-29 16:21:23 +02:00
|
|
|
|
Sensible Daten
|
|
|
|
|
--------------
|
|
|
|
|
|
|
|
|
|
- Personenbezogene Daten, deren bekannt werden einen potentiellen
|
|
|
|
|
Nachteil mit sich bringen können
|
|
|
|
|
- Sexuelle Identität, Religiosität, politische Meinung,
|
|
|
|
|
Gewerkschaftszugehörigkeit, Gesundheitsdaten, Fotos und Videos,
|
|
|
|
|
…
|
2018-04-11 21:15:39 +02:00
|
|
|
|
- Mitarbeiterfotos sind biometrische Daten, also sensibel
|
2018-03-29 16:21:23 +02:00
|
|
|
|
- Sobald signifikater Teil der Verarbeitung sensible Daten umfasst:
|
|
|
|
|
Datenschutzbeauftragter Pflicht!
|
2018-03-26 08:58:57 +02:00
|
|
|
|
|
|
|
|
|
<aside class="notes">
|
2018-04-09 16:02:53 +02:00
|
|
|
|
Besondere Kategorien: Art. 9 Absatz 1
|
|
|
|
|
|
2018-03-29 16:21:23 +02:00
|
|
|
|
- Signifikant: Streitpunkt, wird erst noch von DSB geregelt
|
|
|
|
|
- Fotos: Im Mitarbeiterverzeichnis, E-Mail ok, in Verbindung mit
|
|
|
|
|
Gehaltsdaten unzulässig
|
2018-03-26 08:58:57 +02:00
|
|
|
|
|
2018-03-29 16:21:23 +02:00
|
|
|
|
</aside>
|
|
|
|
|
Verarbeitung
|
|
|
|
|
============
|
2018-03-26 08:58:57 +02:00
|
|
|
|
|
2018-03-29 16:21:23 +02:00
|
|
|
|
Umgang mit personenbezogenen Daten
|
|
|
|
|
----------------------------------
|
2018-03-26 08:58:57 +02:00
|
|
|
|
|
2018-03-29 16:21:23 +02:00
|
|
|
|
- Zugriff darf nur bestimmten Personen gestattet sein
|
|
|
|
|
- Nur im Rahmen der Tätigkeit wenn begründet
|
|
|
|
|
- Keine Daten ausserhalb des unbedingt benötigten
|
|
|
|
|
- Absicherung nach Stand der Technik
|
|
|
|
|
- Jede Verarbeitung braucht einen Prozess, der im
|
|
|
|
|
Verfahrensverzeichnis dokumentiert ist
|
2018-03-26 08:58:57 +02:00
|
|
|
|
|
2018-03-29 16:21:23 +02:00
|
|
|
|
<aside class="notes">
|
2018-04-09 16:02:53 +02:00
|
|
|
|
Artikel 5
|
|
|
|
|
|
2018-03-29 16:21:23 +02:00
|
|
|
|
- Für Verarbeitung von Gehaltsdaten ist kein Zugriff auf Geschlecht
|
|
|
|
|
oder Alter notwendig.
|
|
|
|
|
- Ausnahmen bestätigen die Regel
|
|
|
|
|
- Details zu Verfahrensverzeichnis später
|
2018-03-26 08:58:57 +02:00
|
|
|
|
|
2018-03-29 16:21:23 +02:00
|
|
|
|
</aside>
|
|
|
|
|
Erfassung von personenbezogenen Daten
|
|
|
|
|
-------------------------------------
|
|
|
|
|
|
|
|
|
|
- Opt-In: nur erfassen, wenn Person dem zustimmt
|
|
|
|
|
- Informiertes Einverständnis: Person muss informiert werden, welche
|
|
|
|
|
Daten zu welchem Zweck erfasst werden
|
|
|
|
|
- Minimale Erfassung: Anwendungen dürfen nur das unbedingt notwendige
|
|
|
|
|
erfassen.
|
2018-04-09 16:02:53 +02:00
|
|
|
|
<aside class="notes">
|
|
|
|
|
Artikel 5
|
|
|
|
|
</aside>
|
2018-03-29 16:21:23 +02:00
|
|
|
|
|
|
|
|
|
Verantwortlichkeiten & Haftungen
|
|
|
|
|
--------------------------------
|
|
|
|
|
|
|
|
|
|
- Hauptverantwortlich: Geschäftsführer
|
|
|
|
|
- Kann Umsetzung delegieren
|
|
|
|
|
- Haftung kann nicht komplett abgegeben werden
|
2018-04-11 21:15:39 +02:00
|
|
|
|
- Strafen bis zu
|
2018-03-29 16:21:23 +02:00
|
|
|
|
- 4% des Jahresumsatzes des Unternehmens
|
|
|
|
|
- € 20 Mio.
|
|
|
|
|
- Je nachdem was mehr ist!
|
|
|
|
|
- Tatsächliche Strafe im Ermessen der Datenschutzbehörde
|
2018-04-09 16:02:53 +02:00
|
|
|
|
|
|
|
|
|
<aside class="notes">
|
|
|
|
|
- Abgegebene Verantwortung kann nur soweit übernommen werden wie entsprechende Ausbildung vorhanden ist
|
|
|
|
|
- Strafen für vorsätzliches Fehlverhalten sicher höher als einfache Versäumnisse
|
|
|
|
|
- Schlecht geführtes Verfahrensverzeichnis vs kein Verfahrensverzeichnis
|
|
|
|
|
- Zu lasche Zugriffssicherung & Keine Zugriffssicherung
|
|
|
|
|
|
|
|
|
|
Verantwortung: Kapitel IV
|
|
|
|
|
Strafen: Artikel 83
|
|
|
|
|
</aside>
|
2018-03-29 16:21:23 +02:00
|
|
|
|
|
|
|
|
|
Verantwortlichkeiten & Haftungen
|
|
|
|
|
--------------------------------
|
|
|
|
|
|
|
|
|
|
- Auskunftspflicht an Datenschutzbehörde
|
|
|
|
|
- Meldepflicht für neue Anwendungen entfällt
|
|
|
|
|
- Verarbeitungsverzeichnis ist Pflicht!
|
2018-03-26 08:58:57 +02:00
|
|
|
|
|
|
|
|
|
<aside class="notes">
|
2018-03-29 16:21:23 +02:00
|
|
|
|
DSG2000: Jede Verarbeitung muss vorher gemeldet werden. Entfällt bei
|
|
|
|
|
DSGVO DSB kann jederzeit ohne Ankündigung Kontrollen durchführen
|
2018-03-26 08:58:57 +02:00
|
|
|
|
</aside>
|
2018-04-11 21:15:39 +02:00
|
|
|
|
|
|
|
|
|
Auftragsverarbeitung
|
|
|
|
|
--------------------
|
|
|
|
|
|
|
|
|
|
- Auftragsverarbeiter sind Dritte, an die Personendaten übermittelt werden
|
|
|
|
|
- Jede Weitergabe muss dokumentiert sein
|
|
|
|
|
- Darunter fallen auch Werbenetzwerke, Analysenetzwerke, …
|
|
|
|
|
|
|
|
|
|
<aside class="notes">
|
|
|
|
|
- Beispiel Auftragsverarbeiter: E-Mail-Anbieter, Webhoster, …
|
|
|
|
|
</aside>
|
|
|
|
|
|
2018-03-29 16:21:23 +02:00
|
|
|
|
Rechte und Pflichten
|
|
|
|
|
====================
|
|
|
|
|
|
|
|
|
|
Rechte und Pflichten
|
|
|
|
|
--------------------
|
|
|
|
|
|
|
|
|
|
- Recht auf Auskunft: jede Person kann jederzeit über jede
|
|
|
|
|
Kontaktmöglichkeit Auskunft über ihre verarbeitete Daten verlangen
|
|
|
|
|
- Innerhalb von 4 Wochen ab Eingang zu erledigen
|
|
|
|
|
- In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
|
2018-04-09 16:02:53 +02:00
|
|
|
|
|
|
|
|
|
<aside class="notes">
|
|
|
|
|
Auskunftsrecht: Art. 15
|
|
|
|
|
|
|
|
|
|
Fristen, etc.: Art 12
|
|
|
|
|
|
|
|
|
|
Jede! Kontaktmöglichkeit! Telefon, Fax, Email, Brief, …
|
|
|
|
|
|
|
|
|
|
**Aber**: Person muss ggf. genug Angaben für exakte
|
|
|
|
|
Identifikation bekannt geben, und muss ggf. Identität nachweisen
|
|
|
|
|
(Ausweiskopie, …)
|
|
|
|
|
|
|
|
|
|
Prozess muss ggf auch ins Verfahrensverzeichnis
|
|
|
|
|
|
|
|
|
|
Antwort muss bei sensiblen Daten gesichert sein: physisches Medium / verschlüsselt / verschlossener Brief
|
|
|
|
|
</aside>
|
2018-03-29 16:21:23 +02:00
|
|
|
|
|
|
|
|
|
Rechte und Pflichten
|
|
|
|
|
--------------------
|
|
|
|
|
|
2018-04-11 21:15:39 +02:00
|
|
|
|
- Recht auf Berichtigung: jede Person kann jederzeit über jede
|
|
|
|
|
Kontaktmöglichkeit die Berichtigung ihrer Daten verlangen
|
|
|
|
|
- Innerhalb von 4 Wochen ab Eingang zu erledigen
|
|
|
|
|
- In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
|
|
|
|
|
|
|
|
|
|
<aside class="notes">
|
|
|
|
|
Auskunftsrecht: Art. 16
|
|
|
|
|
|
|
|
|
|
Fristen, etc.: Art 12
|
|
|
|
|
|
|
|
|
|
Rechnungsdaten z.B. 7 Jahre aufzuheben Alles andere ist zu löschen!
|
|
|
|
|
|
|
|
|
|
Sonst gelten gleiche Bedingungen wie bei Auskunft
|
|
|
|
|
</aside>
|
|
|
|
|
|
|
|
|
|
Rechte und Pflichten
|
|
|
|
|
--------------------
|
|
|
|
|
|
|
|
|
|
- Recht auf Einschränkung der Verarbeitung: jede Person kann jederzeit über jede
|
|
|
|
|
Kontaktmöglichkeit die Verarbeitung ihrer Daten einschränken
|
|
|
|
|
- Innerhalb von 4 Wochen ab Eingang zu erledigen
|
|
|
|
|
- In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
|
|
|
|
|
|
|
|
|
|
<aside class="notes">
|
|
|
|
|
Auskunftsrecht: Art. 18
|
|
|
|
|
|
|
|
|
|
Fristen, etc.: Art 12
|
|
|
|
|
|
|
|
|
|
Rechnungsdaten z.B. 7 Jahre aufzuheben Alles andere ist zu löschen!
|
|
|
|
|
|
|
|
|
|
Sonst gelten gleiche Bedingungen wie bei Auskunft
|
|
|
|
|
</aside>
|
|
|
|
|
|
|
|
|
|
Rechte und Pflichten
|
|
|
|
|
--------------------
|
|
|
|
|
|
2018-03-29 16:21:23 +02:00
|
|
|
|
- Recht auf Vergessen / Löschung: jede Person kann jederzeit über jede
|
|
|
|
|
Kontaktmöglichkeit die Löschung ihrer Daten verlangen
|
|
|
|
|
- Innerhalb von 4 Wochen ab Eingang zu erledigen
|
|
|
|
|
- In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
|
|
|
|
|
- Ausnahme: Löschung aus rechtlichen Gründen nicht möglich
|
2018-03-26 08:58:57 +02:00
|
|
|
|
|
2018-03-29 16:21:23 +02:00
|
|
|
|
<aside class="notes">
|
2018-04-11 21:15:39 +02:00
|
|
|
|
Auskunftsrecht: Art. 17
|
2018-04-09 16:02:53 +02:00
|
|
|
|
|
|
|
|
|
Fristen, etc.: Art 12
|
|
|
|
|
|
2018-03-29 16:21:23 +02:00
|
|
|
|
Rechnungsdaten z.B. 7 Jahre aufzuheben Alles andere ist zu löschen!
|
2018-03-26 08:58:57 +02:00
|
|
|
|
|
2018-03-29 16:21:23 +02:00
|
|
|
|
Sonst gelten gleiche Bedingungen wie bei Auskunft
|
|
|
|
|
</aside>
|
|
|
|
|
Rechte und Pflichten
|
|
|
|
|
--------------------
|
|
|
|
|
|
|
|
|
|
- Recht auf Übertragung: jede Person kann jederzeit über jede
|
|
|
|
|
Kontaktmöglichkeit die Ausfertigung ihrer Daten in einem
|
|
|
|
|
maschinenlesbaren Format verlangen, zur Übertragung an ein anderes
|
|
|
|
|
Unternehmen
|
|
|
|
|
- Innerhalb von 4 Wochen ab Eingang zu erledigen
|
|
|
|
|
- In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
|
2018-04-09 16:02:53 +02:00
|
|
|
|
|
|
|
|
|
<aside class="notes">
|
|
|
|
|
Gleiche Bedingungen wie bei Auskunft
|
|
|
|
|
</aside>
|
2018-03-29 16:21:23 +02:00
|
|
|
|
|
|
|
|
|
Rechte und Pflichten
|
|
|
|
|
--------------------
|
|
|
|
|
|
|
|
|
|
- Informationspflicht:
|
|
|
|
|
- bei Datenverlusten (Datendiebstahl) ist innerhalb von 72h ab
|
|
|
|
|
bekannt werden die Datenschutzbehörde zu informieren
|
|
|
|
|
- bei sensiblen Daten auch die betroffenen Personen
|
|
|
|
|
|
|
|
|
|
Verarbeitungsverzeichnis
|
|
|
|
|
========================
|
|
|
|
|
|
|
|
|
|
Verarbeitungsverzeichnis
|
|
|
|
|
------------------------
|
|
|
|
|
|
|
|
|
|
- Aufzeichnung aller Verarbeitungsvorgänge
|
|
|
|
|
- Nicht unter 250 Mitarbeitern
|
|
|
|
|
- Ausnahme
|
|
|
|
|
- Rechte oder Freiheiten der betroffenen Personen gefährdet
|
|
|
|
|
- Wenn Daten nicht nur gelegentlich verarbeitet werden
|
|
|
|
|
- Im Zweifel ist es besser eines zu führen
|
2018-03-26 08:58:57 +02:00
|
|
|
|
|
2018-03-29 16:21:23 +02:00
|
|
|
|
<aside class="notes">
|
2018-04-09 16:02:53 +02:00
|
|
|
|
Artikel 30
|
|
|
|
|
|
2018-03-29 16:21:23 +02:00
|
|
|
|
- Rechte und Freiheiten: z.B. Gesundheitsdaten oder Finanzdaten als
|
|
|
|
|
Hauptverarbeitung
|
|
|
|
|
- Nicht nur gelegentlich: Eine Buchhaltungsfirma, die typischerweise
|
|
|
|
|
Gehaltsdaten verarbeitet, hat eines zu führen
|
2018-04-11 21:15:39 +02:00
|
|
|
|
- Z.B. bei Mitarbeiterdaten: Daten für Dienstzeugnis müssen 30 Jahre aufgehoben werden
|
2018-03-26 08:58:57 +02:00
|
|
|
|
|
2018-03-29 16:21:23 +02:00
|
|
|
|
</aside>
|
2018-03-26 08:58:57 +02:00
|
|
|
|
|
2018-04-03 15:17:26 +02:00
|
|
|
|
Beispiel
|
|
|
|
|
--------
|
|
|
|
|
|
|
|
|
|
![Übersicht](img/Verarbeitungsverzeichnis_Beispiel_00.png)
|
|
|
|
|
|
|
|
|
|
Beispiel
|
|
|
|
|
--------
|
|
|
|
|
|
|
|
|
|
![Stammdaten](img/Verarbeitungsverzeichnis_Beispiel_01.png)
|
|
|
|
|
|
|
|
|
|
Beispiel
|
|
|
|
|
--------
|
|
|
|
|
|
|
|
|
|
![Basisdaten](img/Verarbeitungsverzeichnis_Beispiel_02.png)
|
|
|
|
|
|
|
|
|
|
Beispiel
|
|
|
|
|
--------
|
|
|
|
|
|
|
|
|
|
![Fristen](img/Verarbeitungsverzeichnis_Beispiel_03.png)
|
|
|
|
|
|
|
|
|
|
Beispiel
|
|
|
|
|
--------
|
|
|
|
|
|
|
|
|
|
![Weitergabe](img/Verarbeitungsverzeichnis_Beispiel_04.png)
|
|
|
|
|
|
|
|
|
|
Beispiel
|
|
|
|
|
--------
|
|
|
|
|
|
|
|
|
|
![Maßnahmen](img/Verarbeitungsverzeichnis_Beispiel_05.png)
|
|
|
|
|
|
2018-03-29 16:21:23 +02:00
|
|
|
|
Datenschutzbeauftragter
|
|
|
|
|
============================
|
|
|
|
|
|
|
|
|
|
Datenschutzbeauftragter
|
|
|
|
|
----------------------------
|
|
|
|
|
|
|
|
|
|
- Pflicht für Firmen mit >250 MA *oder*
|
|
|
|
|
- 10 MA hauptsächlich mit der Verarbeitung beschäftigt sind *oder*
|
|
|
|
|
- Hauptsächtlich sensible Daten verarbeitet werden
|
|
|
|
|
- Aufgaben:
|
|
|
|
|
- Führung des Verarbeitungsverzeichnisses
|
|
|
|
|
- Kontrolle und Dokumentation der Verarbeitungsprozesse, schon bei
|
|
|
|
|
der Konzeption
|
2018-04-11 21:15:39 +02:00
|
|
|
|
- nicht Weisungsgebunden
|
|
|
|
|
- Vor Gericht nicht Auskunftspflichtig
|
2018-03-29 16:21:23 +02:00
|
|
|
|
|
2018-04-09 16:02:53 +02:00
|
|
|
|
<aside class="notes">
|
|
|
|
|
Artikel 37 - 39
|
|
|
|
|
</aside>
|
|
|
|
|
|
2018-04-03 14:05:14 +02:00
|
|
|
|
Links
|
|
|
|
|
=====
|
|
|
|
|
|
|
|
|
|
Links
|
|
|
|
|
-----
|
|
|
|
|
|
|
|
|
|
- Datenschutzbehörde: https://www.dsb.gv.at/datenschutz-grundverordnung
|
|
|
|
|
- Info-Seite der WKO: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Checkliste.html
|
|
|
|
|
- Text der DSGVO: https://www.datenschutz-grundverordnung.eu/
|
2018-04-11 21:15:39 +02:00
|
|
|
|
- Umgang mit Google Analytics: https://www.kloos.at/blog/google-analytics-die-eu-datenschutzgrundverordnung/
|
2018-04-03 14:05:14 +02:00
|
|
|
|
|
|
|
|
|
Links
|
|
|
|
|
-----
|
|
|
|
|
|
|
|
|
|
- Präsentation: https://gitlab.usrspace.at/…
|
|
|
|
|
- Verein `/usr/space`: https://usrspace.at
|
|
|
|
|
- Präsentation ist [CC-BY-SA 4.0](https://creativecommons.org/licenses/by-sa/4.0/legalcode.de)
|
|
|
|
|
|
2018-03-29 16:21:23 +02:00
|
|
|
|
Fragen?
|
|
|
|
|
=======
|