commit 43d9c2325039970d14fe4d3298abe299ad828967
Author: Peter Ludikovsky <peter.ludikovsky@gmail.com>
Date:   Mon Mar 26 08:58:57 2018 +0200

    Initial commit

diff --git a/DSGVO.html b/DSGVO.html
new file mode 100644
index 0000000..28d6a5d
--- /dev/null
+++ b/DSGVO.html
@@ -0,0 +1,234 @@
+<!DOCTYPE html>
+<html>
+<head>
+  <meta charset="utf-8">
+  <meta name="generator" content="pandoc">
+  <meta name="author" content="Jan Fritz, Peter Ludikovsky, Tomasz Kijas">
+  <meta name="dcterms.date" content="2018-03-25">
+  <meta name="keywords" content="Datenschutz, DSGVO, Daten, Persönliche Daten, Sensible Daten">
+  <title></title>
+  <meta name="apple-mobile-web-app-capable" content="yes">
+  <meta name="apple-mobile-web-app-status-bar-style" content="black-translucent">
+  <meta name="viewport" content="width=device-width, initial-scale=1.0, maximum-scale=1.0, user-scalable=no, minimal-ui">
+  <link rel="stylesheet" href="https://cdn.jsdelivr.net/npm/reveal.js@3//css/reveal.css">
+  <style type="text/css">code{white-space: pre;}</style>
+  <link rel="stylesheet" href="https://cdn.jsdelivr.net/npm/reveal.js@3//css/theme/black.css" id="theme">
+  <!-- Printing and PDF exports -->
+  <script>
+    var link = document.createElement( 'link' );
+    link.rel = 'stylesheet';
+    link.type = 'text/css';
+    link.href = window.location.search.match( /print-pdf/gi ) ? 'https://cdn.jsdelivr.net/npm/reveal.js@3//css/print/pdf.css' : 'https://cdn.jsdelivr.net/npm/reveal.js@3//css/print/paper.css';
+    document.getElementsByTagName( 'head' )[0].appendChild( link );
+  </script>
+  <!--[if lt IE 9]>
+  <script src="https://cdn.jsdelivr.net/npm/reveal.js@3//lib/js/html5shiv.js"></script>
+  <![endif]-->
+</head>
+<body>
+  <div class="reveal">
+    <div class="slides">
+
+
+<section><section id="datenschutz---grundverordnung" class="titleslide slide level1"><h1><span style="font-size: 95%">Da­ten­schutz - Grund­ver­ord­nung</span></h1></section><section id="bedeutung-für-kleine-unternehmen" class="slide level2">
+<h2>Bedeutung für kleine Unternehmen</h2>
+</section><section id="inhalt" class="slide level2">
+<h2>Inhalt</h2>
+<ul>
+<li>Was ist die DSGVO</li>
+<li>Verantwortlichkeiten &amp; Haftungen</li>
+<li>Personenbezogene Daten</li>
+<li>Sensible Daten</li>
+<li>Verarbeitungsverzeichnis</li>
+<li>Da­ten­schutzbe­auf­trag­ter</li>
+<li>Fragen &amp; Antworten</li>
+</ul>
+</section><section id="was-ist-die-dsgvo" class="slide level2">
+<h2>Was ist die DSGVO</h2>
+<ul>
+<li>Rechtlich Bindende Verordnung der EU</li>
+<li>Als Verordnung direkt in allen EU-Staaten rechtlich bindend</li>
+<li>Gültig ab 24. Mai 2016</li>
+<li>Bindend ab 25. Mai 2018</li>
+<li>Regelt die Prozesse, Verantwortungen &amp; Strafen bei der Verarbeitung von personenbezogenen Daten</li>
+<li>Ersetzt die DSG2000</li>
+<li>Verschärfte Haftung bei Verstößen und Fahrlässigkeiten</li>
+</ul>
+<aside class="notes">
+<ul>
+<li>Erfassung = Verarbeitung</li>
+<li>Nicht nur elektronisch, auch strukturiert auf Papier</li>
+<li>Strukturiert = mit Index, als Formular z.B.</li>
+<li>DSG2000: Vieles bereits dort geregelt</li>
+<li>Unternehmen werden stärker in die Verantwortung genommen</li>
+</ul>
+</aside>
+</section></section>
+<section><section id="definitionen" class="titleslide slide level1"><h1>Definitionen</h1></section><section id="personenbezogene-daten" class="slide level2">
+<h2>Personenbezogene Daten</h2>
+<ul>
+<li>Alle Informationen die sich auf eine natürliche Person beziehen
+<ul>
+<li>Name, Geburtsdatum, Geschlecht, Haarfarbe, Finanzinformationen, E-Mail, …</li>
+</ul></li>
+<li>Und diese direkt oder indirekt identifizierbar machen</li>
+</ul>
+<aside class="notes">
+Beispiel: * Direkt: per Name + Geburtsdatum * Indirekt: im Unternehmen 15 Männer, 2 Frauen, im Fragebogen M/W zur Auswahl
+</aside>
+</section><section id="sensible-daten" class="slide level2">
+<h2>Sensible Daten</h2>
+<ul>
+<li>Personenbezogene Daten, deren bekannt werden einen potentiellen Nachteil mit sich bringen können
+<ul>
+<li>Sexuelle Identität, Religiosität, politische Meinung, Gewerkschaftszugehörigkeit, Gesundheitsdaten, Fotos und Videos, …</li>
+</ul></li>
+<li>Gesundheitsdaten bedeuten auch Krankenstandsmeldung!</li>
+<li>Sobald signifikater Teil der Verarbeitung sensible Daten umfasst: Da­ten­schutzbe­auf­trag­ter Pflicht!</li>
+</ul>
+<aside class="notes">
+Signifikant: Streitpunkt, wird erst noch von DSB geregelt Fotos: Im Mitarbeiterverzeichnis, E-Mail ok, in Verbindung mit Gehaltsdaten unzulässig
+</aside>
+</section></section>
+<section><section id="verarbeitung" class="titleslide slide level1"><h1>Verarbeitung</h1></section><section id="umgang-mit-personenbezogenen-daten" class="slide level2">
+<h2>Umgang mit personenbezogenen Daten</h2>
+<ul>
+<li>Zugriff darf nur bestimmten Personen gestattet sein</li>
+<li>Nur im Rahmen der Tätigkeit wenn begründet</li>
+<li>Keine Daten ausserhalb des unbedingt benötigten</li>
+<li>Absicherung nach Stand der Technik</li>
+<li>Jede Verarbeitung braucht einen Prozess, der im Verfahrensverzeichnis dokumentiert ist</li>
+</ul>
+<aside class="notes">
+Für Verarbeitung von Gehaltsdaten ist kein Zugriff auf Geschlecht oder Alter notwendig. Ausnahmen bestätigen die Regel
+</aside>
+</section><section id="erfassung-von-personenbezogenen-daten" class="slide level2">
+<h2>Erfassung von personenbezogenen Daten</h2>
+<ul>
+<li>Opt-In: nur erfassen, wenn Person dem zustimmt</li>
+<li>Informiertes Einverständnis: Person muss informiert werden, welche Daten zu welchem Zweck erfasst werden</li>
+<li>Minimale Erfassung: Anwendungen dürfen nur das unbedingt notwendige erfassen.</li>
+</ul>
+</section><section id="verantwortlichkeiten-haftungen" class="slide level2">
+<h2>Verantwortlichkeiten &amp; Haftungen</h2>
+<ul>
+<li>Hauptverantwortlich: Geschäftsführer</li>
+<li>Kann Umsetzung delegieren</li>
+<li>Haftung kann nicht komplett abgegeben werden</li>
+<li>Strafen
+<ul>
+<li>4% des Jahresumsatzes des Unternehmens</li>
+<li>€ 20 Mio.</li>
+<li>Je nachdem was mehr ist!</li>
+</ul></li>
+<li>Tatsächliche Strafe im Ermessen der Da­ten­schutzbehörde</li>
+</ul>
+</section><section id="verantwortlichkeiten-haftungen-1" class="slide level2">
+<h2>Verantwortlichkeiten &amp; Haftungen</h2>
+<ul>
+<li>Auskunftspflicht an Da­ten­schutzbehörde</li>
+<li>Meldepflicht entfällt</li>
+<li>Verarbeitungsverzeichnis ist Pflicht!</li>
+</ul>
+</section></section>
+<section><section id="rechte-und-pflichten" class="titleslide slide level1"><h1>Rechte und Pflichten</h1></section><section id="rechte-und-pflichten-1" class="slide level2">
+<h2>Rechte und Pflichten</h2>
+<ul>
+<li>Recht auf Auskunft: jede Person kann jederzeit über jede Kontaktmöglichkeit Auskunft über ihre verarbeitete Daten verlangen
+<ul>
+<li>Innerhalb von 4 Wochen ab Eingang zu erledigen</li>
+<li>In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen</li>
+</ul></li>
+</ul>
+</section><section id="rechte-und-pflichten-2" class="slide level2">
+<h2>Rechte und Pflichten</h2>
+<ul>
+<li>Recht auf Vergessen / Löschung: jede Person kann jederzeit über jede Kontaktmöglichkeit die Löschung ihrer Daten verlangen
+<ul>
+<li>Innerhalb von 4 Wochen ab Eingang zu erledigen</li>
+<li>In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen</li>
+<li>Ausnahme: Löschung aus rechtlichen Gründen nicht möglich</li>
+</ul></li>
+</ul>
+<aside class="notes">
+Rechnungsdaten z.B. 7 Jahre aufzuheben Alles andere ist zu löschen!
+</aside>
+</section><section id="rechte-und-pflichten-3" class="slide level2">
+<h2>Rechte und Pflichten</h2>
+<ul>
+<li>Recht auf Übertragung: jede Person kann jederzeit über jede Kontaktmöglichkeit die Ausfertigung ihrer Daten in einem maschinenlesbaren Format verlangen, zur Übertragung an ein anderes Unternehmen
+<ul>
+<li>Innerhalb von 4 Wochen ab Eingang zu erledigen</li>
+<li>In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen</li>
+</ul></li>
+</ul>
+</section><section id="rechte-und-pflichten-4" class="slide level2">
+<h2>Rechte und Pflichten</h2>
+<ul>
+<li>Informationspflicht:
+<ul>
+<li>bei Datenverlusten (Datendiebstahl) ist innerhalb von 72h ab bekannt werden die Da­ten­schutzbehörde zu informieren</li>
+<li>bei sensiblen Daten auch die betroffenen Personen</li>
+</ul></li>
+</ul>
+</section></section>
+<section><section id="verarbeitungsverzeichnis" class="titleslide slide level1"><h1>Verarbeitungsverzeichnis</h1></section><section id="verarbeitungsverzeichnis-1" class="slide level2">
+<h2>Verarbeitungsverzeichnis</h2>
+<ul>
+<li>Aufzeichnung aller Verarbeitungsvorgänge</li>
+<li>Nicht unter 250 Mitarbeitern</li>
+<li>Ausnahme
+<ul>
+<li>Rechte oder Freiheiten der betroffenen Personen gefährdet</li>
+<li>Wenn Daten nicht nur gelegentlich verarbeitet werden</li>
+</ul></li>
+<li>Im Zweifel ist es besser eines zu führen</li>
+</ul>
+<aside class="notes">
+<ul>
+<li>Rechte und Freiheiten: z.B. Gesundheitsdaten oder Finanzdaten als Hauptverarbeitung</li>
+<li>Nicht nur gelegentlich: Eine Buchhaltungsfirma, die typischerweise Gehaltsdaten verarbeitet, hat eines zu führen</li>
+</ul>
+</aside>
+</section><section id="verarbeitungsverzeichnis-2" class="slide level2">
+<h2>Verarbeitungsverzeichnis</h2>
+<aside class="notes">
+Bild eines Verzeichnisses
+</aside>
+</section></section>
+<section><section id="datenschutzbeauftragter" class="titleslide slide level1"><h1>Da­ten­schutzbe­auf­trag­ter</h1></section><section id="datenschutzbeauftragter-1" class="slide level2">
+<h2>Da­ten­schutzbe­auf­trag­ter</h2>
+<ul>
+<li>Pflicht für Firmen mit &gt;250 MA <em>oder</em></li>
+<li>10 MA hauptsächlich mit der Verarbeitung beschäftigt sind <em>oder</em></li>
+<li>Hauptsächtlich sensible Daten verarbeitet werden</li>
+<li>Aufgaben:
+<ul>
+<li>Führung des Verarbeitungsverzeichnisses</li>
+<li>Kontrolle und Dokumentation der Verarbeitungsprozesse, schon bei der Konzeption</li>
+</ul></li>
+</ul>
+</section></section>
+<section><section id="fragen" class="titleslide slide level1"><h1>Fragen?</h1></section></section>
+    </div>
+  </div>
+
+  <script src="https://cdn.jsdelivr.net/npm/reveal.js@3//lib/js/head.min.js"></script>
+  <script src="https://cdn.jsdelivr.net/npm/reveal.js@3//js/reveal.js"></script>
+
+  <script>
+
+      // Full list of configuration options available at:
+      // https://github.com/hakimel/reveal.js#configuration
+      Reveal.initialize({
+
+        // Optional reveal.js plugins
+        dependencies: [
+          { src: 'https://cdn.jsdelivr.net/npm/reveal.js@3//lib/js/classList.js', condition: function() { return !document.body.classList; } },
+          { src: 'https://cdn.jsdelivr.net/npm/reveal.js@3//plugin/zoom-js/zoom.js', async: true },
+              { src: 'https://cdn.jsdelivr.net/npm/reveal.js@3//plugin/notes/notes.js', async: true }
+        ]
+      });
+    </script>
+    </body>
+</html>
diff --git a/DSGVO.md b/DSGVO.md
new file mode 100644
index 0000000..0702f9c
--- /dev/null
+++ b/DSGVO.md
@@ -0,0 +1,162 @@
+---
+author: Jan Fritz, Peter Ludikovsky, Tomasz Kijas
+date: 2018-03-25
+keywords: Datenschutz, DSGVO, Daten, Persönliche Daten, Sensible Daten
+...
+# <span style="font-size: 95%">Da­ten­schutz - Grund­ver­ord­nung</span>
+
+## Bedeutung für kleine Unternehmen
+
+## Inhalt
+
+* Was ist die DSGVO
+* Verantwortlichkeiten & Haftungen
+* Personenbezogene Daten
+* Sensible Daten
+* Verarbeitungsverzeichnis
+* Da­ten­schutzbe­auf­trag­ter
+* Fragen & Antworten
+
+## Was ist die DSGVO
+
+* Rechtlich Bindende Verordnung der EU
+* Als Verordnung direkt in allen EU-Staaten rechtlich bindend
+* Gültig ab 24. Mai 2016
+* Bindend ab 25. Mai 2018
+* Regelt die Prozesse, Verantwortungen & Strafen bei der Verarbeitung von personenbezogenen Daten
+* Ersetzt die DSG2000
+* Verschärfte Haftung bei Verstößen und Fahrlässigkeiten
+
+<aside class="notes">
+* Erfassung = Verarbeitung
+* Nicht nur elektronisch, auch strukturiert auf Papier
+* Strukturiert = mit Index, als Formular z.B.
+* DSG2000: Vieles bereits dort geregelt
+* Unternehmen werden stärker in die Verantwortung genommen
+</aside>
+
+# Definitionen
+
+## Personenbezogene Daten
+
+* Alle Informationen die sich auf eine natürliche Person beziehen
+    * Name, Geburtsdatum, Geschlecht, Haarfarbe, Finanzinformationen, E-Mail, …
+* Und diese direkt oder indirekt identifizierbar machen
+
+<aside class="notes">
+Beispiel:
+* Direkt: per Name + Geburtsdatum
+* Indirekt: im Unternehmen 15 Männer, 2 Frauen, im Fragebogen M/W zur Auswahl
+</aside>
+## Sensible Daten
+
+* Personenbezogene Daten, deren bekannt werden einen potentiellen Nachteil mit sich bringen können
+    * Sexuelle Identität, Religiosität, politische Meinung, Gewerkschaftszugehörigkeit, Gesundheitsdaten, Fotos und Videos, …
+* Gesundheitsdaten bedeuten auch Krankenstandsmeldung!
+* Sobald signifikater Teil der Verarbeitung sensible Daten umfasst: Da­ten­schutzbe­auf­trag­ter Pflicht!
+
+<aside class="notes">
+Signifikant: Streitpunkt, wird erst noch von DSB geregelt
+Fotos: Im Mitarbeiterverzeichnis, E-Mail ok, in Verbindung mit Gehaltsdaten unzulässig
+</aside>
+
+# Verarbeitung
+## Umgang mit personenbezogenen Daten
+
+* Zugriff darf nur bestimmten Personen gestattet sein
+* Nur im Rahmen der Tätigkeit wenn begründet
+* Keine Daten ausserhalb des unbedingt benötigten
+* Absicherung nach Stand der Technik
+* Jede Verarbeitung braucht einen Prozess, der im Verfahrensverzeichnis dokumentiert ist
+
+<aside class="notes">
+Für Verarbeitung von Gehaltsdaten ist kein Zugriff auf Geschlecht oder Alter notwendig.
+Ausnahmen bestätigen die Regel
+</aside>
+## Erfassung von personenbezogenen Daten
+
+* Opt-In: nur erfassen, wenn Person dem zustimmt
+* Informiertes Einverständnis: Person muss informiert werden, welche Daten zu welchem Zweck erfasst werden
+* Minimale Erfassung: Anwendungen dürfen nur das unbedingt notwendige erfassen.
+
+## Verantwortlichkeiten & Haftungen
+
+* Hauptverantwortlich: Geschäftsführer
+* Kann Umsetzung delegieren
+* Haftung kann nicht komplett abgegeben werden
+* Strafen
+    * 4% des Jahresumsatzes des Unternehmens
+    * € 20 Mio.
+    * Je nachdem was mehr ist!
+* Tatsächliche Strafe im Ermessen der Da­ten­schutzbehörde
+
+## Verantwortlichkeiten & Haftungen
+
+* Auskunftspflicht an Da­ten­schutzbehörde
+* Meldepflicht entfällt
+* Verarbeitungsverzeichnis ist Pflicht!
+
+# Rechte und Pflichten
+
+## Rechte und Pflichten
+
+* Recht auf Auskunft: jede Person kann jederzeit über jede Kontaktmöglichkeit Auskunft über ihre verarbeitete Daten verlangen
+    * Innerhalb von 4 Wochen ab Eingang zu erledigen
+    * In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
+
+## Rechte und Pflichten
+
+* Recht auf Vergessen / Löschung: jede Person kann jederzeit über jede Kontaktmöglichkeit die Löschung ihrer Daten verlangen
+    * Innerhalb von 4 Wochen ab Eingang zu erledigen
+    * In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
+    * Ausnahme: Löschung aus rechtlichen Gründen nicht möglich
+
+<aside class="notes">
+Rechnungsdaten z.B. 7 Jahre aufzuheben
+Alles andere ist zu löschen!
+</aside>
+
+## Rechte und Pflichten
+
+* Recht auf Übertragung: jede Person kann jederzeit über jede Kontaktmöglichkeit die Ausfertigung ihrer Daten in einem maschinenlesbaren Format verlangen, zur Übertragung an ein anderes Unternehmen
+    * Innerhalb von 4 Wochen ab Eingang zu erledigen
+    * In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
+
+## Rechte und Pflichten
+
+* Informationspflicht:
+    * bei Datenverlusten (Datendiebstahl) ist innerhalb von 72h ab bekannt werden die Da­ten­schutzbehörde zu informieren
+    * bei sensiblen Daten auch die betroffenen Personen
+
+# Verarbeitungsverzeichnis
+
+## Verarbeitungsverzeichnis
+
+* Aufzeichnung aller Verarbeitungsvorgänge
+* Nicht unter 250 Mitarbeitern
+* Ausnahme
+    * Rechte oder Freiheiten der betroffenen Personen gefährdet
+    * Wenn Daten nicht nur gelegentlich verarbeitet werden
+* Im Zweifel ist es besser eines zu führen
+
+<aside class="notes">
+* Rechte und Freiheiten: z.B. Gesundheitsdaten oder Finanzdaten als Hauptverarbeitung
+* Nicht nur gelegentlich: Eine Buchhaltungsfirma, die typischerweise Gehaltsdaten verarbeitet, hat eines zu führen
+</aside>
+
+## Verarbeitungsverzeichnis
+
+<aside class="notes"> Bild eines Verzeichnisses </aside>
+
+# Da­ten­schutzbe­auf­trag­ter
+
+## Da­ten­schutzbe­auf­trag­ter
+
+* Pflicht für Firmen mit >250 MA *oder*
+* 10 MA hauptsächlich mit der Verarbeitung beschäftigt sind *oder*
+* Hauptsächtlich sensible Daten verarbeitet werden
+* Aufgaben:
+    * Führung des Verarbeitungsverzeichnisses
+    * Kontrolle und Dokumentation der Verarbeitungsprozesse, schon bei der Konzeption
+
+# Fragen?
diff --git a/Makefile b/Makefile
new file mode 100644
index 0000000..c89805b
--- /dev/null
+++ b/Makefile
@@ -0,0 +1,9 @@
+all: DSGVO.html
+
+DSGVO.html:
+	pandoc -t revealjs --standalone --smart --slide-level=2 \
+	-V 'revealjs-url:https://cdn.jsdelivr.net/npm/reveal.js@3/' \
+	-o DSGVO.html DSGVO.md
+
+clean:
+	rm -rf DSGVO.html