Initial commit
This commit is contained in:
commit
43d9c23250
234
DSGVO.html
Normal file
234
DSGVO.html
Normal file
|
@ -0,0 +1,234 @@
|
|||
<!DOCTYPE html>
|
||||
<html>
|
||||
<head>
|
||||
<meta charset="utf-8">
|
||||
<meta name="generator" content="pandoc">
|
||||
<meta name="author" content="Jan Fritz, Peter Ludikovsky, Tomasz Kijas">
|
||||
<meta name="dcterms.date" content="2018-03-25">
|
||||
<meta name="keywords" content="Datenschutz, DSGVO, Daten, Persönliche Daten, Sensible Daten">
|
||||
<title></title>
|
||||
<meta name="apple-mobile-web-app-capable" content="yes">
|
||||
<meta name="apple-mobile-web-app-status-bar-style" content="black-translucent">
|
||||
<meta name="viewport" content="width=device-width, initial-scale=1.0, maximum-scale=1.0, user-scalable=no, minimal-ui">
|
||||
<link rel="stylesheet" href="https://cdn.jsdelivr.net/npm/reveal.js@3//css/reveal.css">
|
||||
<style type="text/css">code{white-space: pre;}</style>
|
||||
<link rel="stylesheet" href="https://cdn.jsdelivr.net/npm/reveal.js@3//css/theme/black.css" id="theme">
|
||||
<!-- Printing and PDF exports -->
|
||||
<script>
|
||||
var link = document.createElement( 'link' );
|
||||
link.rel = 'stylesheet';
|
||||
link.type = 'text/css';
|
||||
link.href = window.location.search.match( /print-pdf/gi ) ? 'https://cdn.jsdelivr.net/npm/reveal.js@3//css/print/pdf.css' : 'https://cdn.jsdelivr.net/npm/reveal.js@3//css/print/paper.css';
|
||||
document.getElementsByTagName( 'head' )[0].appendChild( link );
|
||||
</script>
|
||||
<!--[if lt IE 9]>
|
||||
<script src="https://cdn.jsdelivr.net/npm/reveal.js@3//lib/js/html5shiv.js"></script>
|
||||
<![endif]-->
|
||||
</head>
|
||||
<body>
|
||||
<div class="reveal">
|
||||
<div class="slides">
|
||||
|
||||
|
||||
<section><section id="datenschutz---grundverordnung" class="titleslide slide level1"><h1><span style="font-size: 95%">Datenschutz - Grundverordnung</span></h1></section><section id="bedeutung-für-kleine-unternehmen" class="slide level2">
|
||||
<h2>Bedeutung für kleine Unternehmen</h2>
|
||||
</section><section id="inhalt" class="slide level2">
|
||||
<h2>Inhalt</h2>
|
||||
<ul>
|
||||
<li>Was ist die DSGVO</li>
|
||||
<li>Verantwortlichkeiten & Haftungen</li>
|
||||
<li>Personenbezogene Daten</li>
|
||||
<li>Sensible Daten</li>
|
||||
<li>Verarbeitungsverzeichnis</li>
|
||||
<li>Datenschutzbeauftragter</li>
|
||||
<li>Fragen & Antworten</li>
|
||||
</ul>
|
||||
</section><section id="was-ist-die-dsgvo" class="slide level2">
|
||||
<h2>Was ist die DSGVO</h2>
|
||||
<ul>
|
||||
<li>Rechtlich Bindende Verordnung der EU</li>
|
||||
<li>Als Verordnung direkt in allen EU-Staaten rechtlich bindend</li>
|
||||
<li>Gültig ab 24. Mai 2016</li>
|
||||
<li>Bindend ab 25. Mai 2018</li>
|
||||
<li>Regelt die Prozesse, Verantwortungen & Strafen bei der Verarbeitung von personenbezogenen Daten</li>
|
||||
<li>Ersetzt die DSG2000</li>
|
||||
<li>Verschärfte Haftung bei Verstößen und Fahrlässigkeiten</li>
|
||||
</ul>
|
||||
<aside class="notes">
|
||||
<ul>
|
||||
<li>Erfassung = Verarbeitung</li>
|
||||
<li>Nicht nur elektronisch, auch strukturiert auf Papier</li>
|
||||
<li>Strukturiert = mit Index, als Formular z.B.</li>
|
||||
<li>DSG2000: Vieles bereits dort geregelt</li>
|
||||
<li>Unternehmen werden stärker in die Verantwortung genommen</li>
|
||||
</ul>
|
||||
</aside>
|
||||
</section></section>
|
||||
<section><section id="definitionen" class="titleslide slide level1"><h1>Definitionen</h1></section><section id="personenbezogene-daten" class="slide level2">
|
||||
<h2>Personenbezogene Daten</h2>
|
||||
<ul>
|
||||
<li>Alle Informationen die sich auf eine natürliche Person beziehen
|
||||
<ul>
|
||||
<li>Name, Geburtsdatum, Geschlecht, Haarfarbe, Finanzinformationen, E-Mail, …</li>
|
||||
</ul></li>
|
||||
<li>Und diese direkt oder indirekt identifizierbar machen</li>
|
||||
</ul>
|
||||
<aside class="notes">
|
||||
Beispiel: * Direkt: per Name + Geburtsdatum * Indirekt: im Unternehmen 15 Männer, 2 Frauen, im Fragebogen M/W zur Auswahl
|
||||
</aside>
|
||||
</section><section id="sensible-daten" class="slide level2">
|
||||
<h2>Sensible Daten</h2>
|
||||
<ul>
|
||||
<li>Personenbezogene Daten, deren bekannt werden einen potentiellen Nachteil mit sich bringen können
|
||||
<ul>
|
||||
<li>Sexuelle Identität, Religiosität, politische Meinung, Gewerkschaftszugehörigkeit, Gesundheitsdaten, Fotos und Videos, …</li>
|
||||
</ul></li>
|
||||
<li>Gesundheitsdaten bedeuten auch Krankenstandsmeldung!</li>
|
||||
<li>Sobald signifikater Teil der Verarbeitung sensible Daten umfasst: Datenschutzbeauftragter Pflicht!</li>
|
||||
</ul>
|
||||
<aside class="notes">
|
||||
Signifikant: Streitpunkt, wird erst noch von DSB geregelt Fotos: Im Mitarbeiterverzeichnis, E-Mail ok, in Verbindung mit Gehaltsdaten unzulässig
|
||||
</aside>
|
||||
</section></section>
|
||||
<section><section id="verarbeitung" class="titleslide slide level1"><h1>Verarbeitung</h1></section><section id="umgang-mit-personenbezogenen-daten" class="slide level2">
|
||||
<h2>Umgang mit personenbezogenen Daten</h2>
|
||||
<ul>
|
||||
<li>Zugriff darf nur bestimmten Personen gestattet sein</li>
|
||||
<li>Nur im Rahmen der Tätigkeit wenn begründet</li>
|
||||
<li>Keine Daten ausserhalb des unbedingt benötigten</li>
|
||||
<li>Absicherung nach Stand der Technik</li>
|
||||
<li>Jede Verarbeitung braucht einen Prozess, der im Verfahrensverzeichnis dokumentiert ist</li>
|
||||
</ul>
|
||||
<aside class="notes">
|
||||
Für Verarbeitung von Gehaltsdaten ist kein Zugriff auf Geschlecht oder Alter notwendig. Ausnahmen bestätigen die Regel
|
||||
</aside>
|
||||
</section><section id="erfassung-von-personenbezogenen-daten" class="slide level2">
|
||||
<h2>Erfassung von personenbezogenen Daten</h2>
|
||||
<ul>
|
||||
<li>Opt-In: nur erfassen, wenn Person dem zustimmt</li>
|
||||
<li>Informiertes Einverständnis: Person muss informiert werden, welche Daten zu welchem Zweck erfasst werden</li>
|
||||
<li>Minimale Erfassung: Anwendungen dürfen nur das unbedingt notwendige erfassen.</li>
|
||||
</ul>
|
||||
</section><section id="verantwortlichkeiten-haftungen" class="slide level2">
|
||||
<h2>Verantwortlichkeiten & Haftungen</h2>
|
||||
<ul>
|
||||
<li>Hauptverantwortlich: Geschäftsführer</li>
|
||||
<li>Kann Umsetzung delegieren</li>
|
||||
<li>Haftung kann nicht komplett abgegeben werden</li>
|
||||
<li>Strafen
|
||||
<ul>
|
||||
<li>4% des Jahresumsatzes des Unternehmens</li>
|
||||
<li>€ 20 Mio.</li>
|
||||
<li>Je nachdem was mehr ist!</li>
|
||||
</ul></li>
|
||||
<li>Tatsächliche Strafe im Ermessen der Datenschutzbehörde</li>
|
||||
</ul>
|
||||
</section><section id="verantwortlichkeiten-haftungen-1" class="slide level2">
|
||||
<h2>Verantwortlichkeiten & Haftungen</h2>
|
||||
<ul>
|
||||
<li>Auskunftspflicht an Datenschutzbehörde</li>
|
||||
<li>Meldepflicht entfällt</li>
|
||||
<li>Verarbeitungsverzeichnis ist Pflicht!</li>
|
||||
</ul>
|
||||
</section></section>
|
||||
<section><section id="rechte-und-pflichten" class="titleslide slide level1"><h1>Rechte und Pflichten</h1></section><section id="rechte-und-pflichten-1" class="slide level2">
|
||||
<h2>Rechte und Pflichten</h2>
|
||||
<ul>
|
||||
<li>Recht auf Auskunft: jede Person kann jederzeit über jede Kontaktmöglichkeit Auskunft über ihre verarbeitete Daten verlangen
|
||||
<ul>
|
||||
<li>Innerhalb von 4 Wochen ab Eingang zu erledigen</li>
|
||||
<li>In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen</li>
|
||||
</ul></li>
|
||||
</ul>
|
||||
</section><section id="rechte-und-pflichten-2" class="slide level2">
|
||||
<h2>Rechte und Pflichten</h2>
|
||||
<ul>
|
||||
<li>Recht auf Vergessen / Löschung: jede Person kann jederzeit über jede Kontaktmöglichkeit die Löschung ihrer Daten verlangen
|
||||
<ul>
|
||||
<li>Innerhalb von 4 Wochen ab Eingang zu erledigen</li>
|
||||
<li>In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen</li>
|
||||
<li>Ausnahme: Löschung aus rechtlichen Gründen nicht möglich</li>
|
||||
</ul></li>
|
||||
</ul>
|
||||
<aside class="notes">
|
||||
Rechnungsdaten z.B. 7 Jahre aufzuheben Alles andere ist zu löschen!
|
||||
</aside>
|
||||
</section><section id="rechte-und-pflichten-3" class="slide level2">
|
||||
<h2>Rechte und Pflichten</h2>
|
||||
<ul>
|
||||
<li>Recht auf Übertragung: jede Person kann jederzeit über jede Kontaktmöglichkeit die Ausfertigung ihrer Daten in einem maschinenlesbaren Format verlangen, zur Übertragung an ein anderes Unternehmen
|
||||
<ul>
|
||||
<li>Innerhalb von 4 Wochen ab Eingang zu erledigen</li>
|
||||
<li>In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen</li>
|
||||
</ul></li>
|
||||
</ul>
|
||||
</section><section id="rechte-und-pflichten-4" class="slide level2">
|
||||
<h2>Rechte und Pflichten</h2>
|
||||
<ul>
|
||||
<li>Informationspflicht:
|
||||
<ul>
|
||||
<li>bei Datenverlusten (Datendiebstahl) ist innerhalb von 72h ab bekannt werden die Datenschutzbehörde zu informieren</li>
|
||||
<li>bei sensiblen Daten auch die betroffenen Personen</li>
|
||||
</ul></li>
|
||||
</ul>
|
||||
</section></section>
|
||||
<section><section id="verarbeitungsverzeichnis" class="titleslide slide level1"><h1>Verarbeitungsverzeichnis</h1></section><section id="verarbeitungsverzeichnis-1" class="slide level2">
|
||||
<h2>Verarbeitungsverzeichnis</h2>
|
||||
<ul>
|
||||
<li>Aufzeichnung aller Verarbeitungsvorgänge</li>
|
||||
<li>Nicht unter 250 Mitarbeitern</li>
|
||||
<li>Ausnahme
|
||||
<ul>
|
||||
<li>Rechte oder Freiheiten der betroffenen Personen gefährdet</li>
|
||||
<li>Wenn Daten nicht nur gelegentlich verarbeitet werden</li>
|
||||
</ul></li>
|
||||
<li>Im Zweifel ist es besser eines zu führen</li>
|
||||
</ul>
|
||||
<aside class="notes">
|
||||
<ul>
|
||||
<li>Rechte und Freiheiten: z.B. Gesundheitsdaten oder Finanzdaten als Hauptverarbeitung</li>
|
||||
<li>Nicht nur gelegentlich: Eine Buchhaltungsfirma, die typischerweise Gehaltsdaten verarbeitet, hat eines zu führen</li>
|
||||
</ul>
|
||||
</aside>
|
||||
</section><section id="verarbeitungsverzeichnis-2" class="slide level2">
|
||||
<h2>Verarbeitungsverzeichnis</h2>
|
||||
<aside class="notes">
|
||||
Bild eines Verzeichnisses
|
||||
</aside>
|
||||
</section></section>
|
||||
<section><section id="datenschutzbeauftragter" class="titleslide slide level1"><h1>Datenschutzbeauftragter</h1></section><section id="datenschutzbeauftragter-1" class="slide level2">
|
||||
<h2>Datenschutzbeauftragter</h2>
|
||||
<ul>
|
||||
<li>Pflicht für Firmen mit >250 MA <em>oder</em></li>
|
||||
<li>10 MA hauptsächlich mit der Verarbeitung beschäftigt sind <em>oder</em></li>
|
||||
<li>Hauptsächtlich sensible Daten verarbeitet werden</li>
|
||||
<li>Aufgaben:
|
||||
<ul>
|
||||
<li>Führung des Verarbeitungsverzeichnisses</li>
|
||||
<li>Kontrolle und Dokumentation der Verarbeitungsprozesse, schon bei der Konzeption</li>
|
||||
</ul></li>
|
||||
</ul>
|
||||
</section></section>
|
||||
<section><section id="fragen" class="titleslide slide level1"><h1>Fragen?</h1></section></section>
|
||||
</div>
|
||||
</div>
|
||||
|
||||
<script src="https://cdn.jsdelivr.net/npm/reveal.js@3//lib/js/head.min.js"></script>
|
||||
<script src="https://cdn.jsdelivr.net/npm/reveal.js@3//js/reveal.js"></script>
|
||||
|
||||
<script>
|
||||
|
||||
// Full list of configuration options available at:
|
||||
// https://github.com/hakimel/reveal.js#configuration
|
||||
Reveal.initialize({
|
||||
|
||||
// Optional reveal.js plugins
|
||||
dependencies: [
|
||||
{ src: 'https://cdn.jsdelivr.net/npm/reveal.js@3//lib/js/classList.js', condition: function() { return !document.body.classList; } },
|
||||
{ src: 'https://cdn.jsdelivr.net/npm/reveal.js@3//plugin/zoom-js/zoom.js', async: true },
|
||||
{ src: 'https://cdn.jsdelivr.net/npm/reveal.js@3//plugin/notes/notes.js', async: true }
|
||||
]
|
||||
});
|
||||
</script>
|
||||
</body>
|
||||
</html>
|
162
DSGVO.md
Normal file
162
DSGVO.md
Normal file
|
@ -0,0 +1,162 @@
|
|||
---
|
||||
author: Jan Fritz, Peter Ludikovsky, Tomasz Kijas
|
||||
date: 2018-03-25
|
||||
keywords: Datenschutz, DSGVO, Daten, Persönliche Daten, Sensible Daten
|
||||
...
|
||||
# <span style="font-size: 95%">Datenschutz - Grundverordnung</span>
|
||||
|
||||
## Bedeutung für kleine Unternehmen
|
||||
|
||||
## Inhalt
|
||||
|
||||
* Was ist die DSGVO
|
||||
* Verantwortlichkeiten & Haftungen
|
||||
* Personenbezogene Daten
|
||||
* Sensible Daten
|
||||
* Verarbeitungsverzeichnis
|
||||
* Datenschutzbeauftragter
|
||||
* Fragen & Antworten
|
||||
|
||||
## Was ist die DSGVO
|
||||
|
||||
* Rechtlich Bindende Verordnung der EU
|
||||
* Als Verordnung direkt in allen EU-Staaten rechtlich bindend
|
||||
* Gültig ab 24. Mai 2016
|
||||
* Bindend ab 25. Mai 2018
|
||||
* Regelt die Prozesse, Verantwortungen & Strafen bei der Verarbeitung von personenbezogenen Daten
|
||||
* Ersetzt die DSG2000
|
||||
* Verschärfte Haftung bei Verstößen und Fahrlässigkeiten
|
||||
|
||||
<aside class="notes">
|
||||
* Erfassung = Verarbeitung
|
||||
* Nicht nur elektronisch, auch strukturiert auf Papier
|
||||
* Strukturiert = mit Index, als Formular z.B.
|
||||
* DSG2000: Vieles bereits dort geregelt
|
||||
* Unternehmen werden stärker in die Verantwortung genommen
|
||||
</aside>
|
||||
|
||||
# Definitionen
|
||||
|
||||
## Personenbezogene Daten
|
||||
|
||||
* Alle Informationen die sich auf eine natürliche Person beziehen
|
||||
* Name, Geburtsdatum, Geschlecht, Haarfarbe, Finanzinformationen, E-Mail, …
|
||||
* Und diese direkt oder indirekt identifizierbar machen
|
||||
|
||||
<aside class="notes">
|
||||
Beispiel:
|
||||
* Direkt: per Name + Geburtsdatum
|
||||
* Indirekt: im Unternehmen 15 Männer, 2 Frauen, im Fragebogen M/W zur Auswahl
|
||||
</aside>
|
||||
## Sensible Daten
|
||||
|
||||
* Personenbezogene Daten, deren bekannt werden einen potentiellen Nachteil mit sich bringen können
|
||||
* Sexuelle Identität, Religiosität, politische Meinung, Gewerkschaftszugehörigkeit, Gesundheitsdaten, Fotos und Videos, …
|
||||
* Gesundheitsdaten bedeuten auch Krankenstandsmeldung!
|
||||
* Sobald signifikater Teil der Verarbeitung sensible Daten umfasst: Datenschutzbeauftragter Pflicht!
|
||||
|
||||
<aside class="notes">
|
||||
Signifikant: Streitpunkt, wird erst noch von DSB geregelt
|
||||
Fotos: Im Mitarbeiterverzeichnis, E-Mail ok, in Verbindung mit Gehaltsdaten unzulässig
|
||||
</aside>
|
||||
|
||||
# Verarbeitung
|
||||
## Umgang mit personenbezogenen Daten
|
||||
|
||||
* Zugriff darf nur bestimmten Personen gestattet sein
|
||||
* Nur im Rahmen der Tätigkeit wenn begründet
|
||||
* Keine Daten ausserhalb des unbedingt benötigten
|
||||
* Absicherung nach Stand der Technik
|
||||
* Jede Verarbeitung braucht einen Prozess, der im Verfahrensverzeichnis dokumentiert ist
|
||||
|
||||
<aside class="notes">
|
||||
Für Verarbeitung von Gehaltsdaten ist kein Zugriff auf Geschlecht oder Alter notwendig.
|
||||
Ausnahmen bestätigen die Regel
|
||||
</aside>
|
||||
## Erfassung von personenbezogenen Daten
|
||||
|
||||
* Opt-In: nur erfassen, wenn Person dem zustimmt
|
||||
* Informiertes Einverständnis: Person muss informiert werden, welche Daten zu welchem Zweck erfasst werden
|
||||
* Minimale Erfassung: Anwendungen dürfen nur das unbedingt notwendige erfassen.
|
||||
|
||||
## Verantwortlichkeiten & Haftungen
|
||||
|
||||
* Hauptverantwortlich: Geschäftsführer
|
||||
* Kann Umsetzung delegieren
|
||||
* Haftung kann nicht komplett abgegeben werden
|
||||
* Strafen
|
||||
* 4% des Jahresumsatzes des Unternehmens
|
||||
* € 20 Mio.
|
||||
* Je nachdem was mehr ist!
|
||||
* Tatsächliche Strafe im Ermessen der Datenschutzbehörde
|
||||
|
||||
## Verantwortlichkeiten & Haftungen
|
||||
|
||||
* Auskunftspflicht an Datenschutzbehörde
|
||||
* Meldepflicht entfällt
|
||||
* Verarbeitungsverzeichnis ist Pflicht!
|
||||
|
||||
# Rechte und Pflichten
|
||||
|
||||
## Rechte und Pflichten
|
||||
|
||||
* Recht auf Auskunft: jede Person kann jederzeit über jede Kontaktmöglichkeit Auskunft über ihre verarbeitete Daten verlangen
|
||||
* Innerhalb von 4 Wochen ab Eingang zu erledigen
|
||||
* In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
|
||||
|
||||
## Rechte und Pflichten
|
||||
|
||||
* Recht auf Vergessen / Löschung: jede Person kann jederzeit über jede Kontaktmöglichkeit die Löschung ihrer Daten verlangen
|
||||
* Innerhalb von 4 Wochen ab Eingang zu erledigen
|
||||
* In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
|
||||
* Ausnahme: Löschung aus rechtlichen Gründen nicht möglich
|
||||
|
||||
<aside class="notes">
|
||||
Rechnungsdaten z.B. 7 Jahre aufzuheben
|
||||
Alles andere ist zu löschen!
|
||||
</aside>
|
||||
|
||||
## Rechte und Pflichten
|
||||
|
||||
* Recht auf Übertragung: jede Person kann jederzeit über jede Kontaktmöglichkeit die Ausfertigung ihrer Daten in einem maschinenlesbaren Format verlangen, zur Übertragung an ein anderes Unternehmen
|
||||
* Innerhalb von 4 Wochen ab Eingang zu erledigen
|
||||
* In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
|
||||
|
||||
## Rechte und Pflichten
|
||||
|
||||
* Informationspflicht:
|
||||
* bei Datenverlusten (Datendiebstahl) ist innerhalb von 72h ab bekannt werden die Datenschutzbehörde zu informieren
|
||||
* bei sensiblen Daten auch die betroffenen Personen
|
||||
|
||||
# Verarbeitungsverzeichnis
|
||||
|
||||
## Verarbeitungsverzeichnis
|
||||
|
||||
* Aufzeichnung aller Verarbeitungsvorgänge
|
||||
* Nicht unter 250 Mitarbeitern
|
||||
* Ausnahme
|
||||
* Rechte oder Freiheiten der betroffenen Personen gefährdet
|
||||
* Wenn Daten nicht nur gelegentlich verarbeitet werden
|
||||
* Im Zweifel ist es besser eines zu führen
|
||||
|
||||
<aside class="notes">
|
||||
* Rechte und Freiheiten: z.B. Gesundheitsdaten oder Finanzdaten als Hauptverarbeitung
|
||||
* Nicht nur gelegentlich: Eine Buchhaltungsfirma, die typischerweise Gehaltsdaten verarbeitet, hat eines zu führen
|
||||
</aside>
|
||||
|
||||
## Verarbeitungsverzeichnis
|
||||
|
||||
<aside class="notes"> Bild eines Verzeichnisses </aside>
|
||||
|
||||
# Datenschutzbeauftragter
|
||||
|
||||
## Datenschutzbeauftragter
|
||||
|
||||
* Pflicht für Firmen mit >250 MA *oder*
|
||||
* 10 MA hauptsächlich mit der Verarbeitung beschäftigt sind *oder*
|
||||
* Hauptsächtlich sensible Daten verarbeitet werden
|
||||
* Aufgaben:
|
||||
* Führung des Verarbeitungsverzeichnisses
|
||||
* Kontrolle und Dokumentation der Verarbeitungsprozesse, schon bei der Konzeption
|
||||
|
||||
# Fragen?
|
Loading…
Reference in a new issue