Ergänzungen
This commit is contained in:
parent
b563cb5bc1
commit
f69697d2e6
63
dsgvo.html
63
dsgvo.html
|
@ -30,6 +30,13 @@
|
||||||
|
|
||||||
<section><section id="datenschutz---grundverordnung" class="titleslide slide level1"><h1><span style="font-size: 95%">Datenschutz - Grundverordnung</span></h1></section><section id="bedeutung-für-kleine-unternehmen" class="slide level2">
|
<section><section id="datenschutz---grundverordnung" class="titleslide slide level1"><h1><span style="font-size: 95%">Datenschutz - Grundverordnung</span></h1></section><section id="bedeutung-für-kleine-unternehmen" class="slide level2">
|
||||||
<h2>Bedeutung für kleine Unternehmen</h2>
|
<h2>Bedeutung für kleine Unternehmen</h2>
|
||||||
|
</section><section id="haftungsausschluss" class="slide level2">
|
||||||
|
<h2>Haftungsausschluss</h2>
|
||||||
|
<ul>
|
||||||
|
<li>Wir sind keine Juristen</li>
|
||||||
|
<li>Die hier präsentierten Informationen bieten nur einen Leitfaden</li>
|
||||||
|
<li>Für die Umsetzung ist jedes Unternehmen selbst verantwortlich</li>
|
||||||
|
</ul>
|
||||||
</section><section id="inhalt" class="slide level2">
|
</section><section id="inhalt" class="slide level2">
|
||||||
<h2>Inhalt</h2>
|
<h2>Inhalt</h2>
|
||||||
<ul>
|
<ul>
|
||||||
|
@ -99,7 +106,7 @@
|
||||||
<ul>
|
<ul>
|
||||||
<li>Sexuelle Identität, Religiosität, politische Meinung, Gewerkschaftszugehörigkeit, Gesundheitsdaten, Fotos und Videos, …</li>
|
<li>Sexuelle Identität, Religiosität, politische Meinung, Gewerkschaftszugehörigkeit, Gesundheitsdaten, Fotos und Videos, …</li>
|
||||||
</ul></li>
|
</ul></li>
|
||||||
<li>Gesundheitsdaten bedeuten auch Krankenstandsmeldung!</li>
|
<li>Mitarbeiterfotos sind biometrische Daten, also sensibel</li>
|
||||||
<li>Sobald signifikater Teil der Verarbeitung sensible Daten umfasst: Datenschutzbeauftragter Pflicht!</li>
|
<li>Sobald signifikater Teil der Verarbeitung sensible Daten umfasst: Datenschutzbeauftragter Pflicht!</li>
|
||||||
</ul>
|
</ul>
|
||||||
<aside class="notes">
|
<aside class="notes">
|
||||||
|
@ -143,7 +150,7 @@ Artikel 5
|
||||||
<li>Hauptverantwortlich: Geschäftsführer</li>
|
<li>Hauptverantwortlich: Geschäftsführer</li>
|
||||||
<li>Kann Umsetzung delegieren</li>
|
<li>Kann Umsetzung delegieren</li>
|
||||||
<li>Haftung kann nicht komplett abgegeben werden</li>
|
<li>Haftung kann nicht komplett abgegeben werden</li>
|
||||||
<li>Strafen
|
<li>Strafen bis zu
|
||||||
<ul>
|
<ul>
|
||||||
<li>4% des Jahresumsatzes des Unternehmens</li>
|
<li>4% des Jahresumsatzes des Unternehmens</li>
|
||||||
<li>€ 20 Mio.</li>
|
<li>€ 20 Mio.</li>
|
||||||
|
@ -172,6 +179,18 @@ Verantwortung: Kapitel IV Strafen: Artikel 83
|
||||||
<aside class="notes">
|
<aside class="notes">
|
||||||
DSG2000: Jede Verarbeitung muss vorher gemeldet werden. Entfällt bei DSGVO DSB kann jederzeit ohne Ankündigung Kontrollen durchführen
|
DSG2000: Jede Verarbeitung muss vorher gemeldet werden. Entfällt bei DSGVO DSB kann jederzeit ohne Ankündigung Kontrollen durchführen
|
||||||
</aside>
|
</aside>
|
||||||
|
</section><section id="auftragsverarbeitung" class="slide level2">
|
||||||
|
<h2>Auftragsverarbeitung</h2>
|
||||||
|
<ul>
|
||||||
|
<li>Auftragsverarbeiter sind Dritte, an die Personendaten übermittelt werden</li>
|
||||||
|
<li>Jede Weitergabe muss dokumentiert sein</li>
|
||||||
|
<li>Darunter fallen auch Werbenetzwerke, Analysenetzwerke, …</li>
|
||||||
|
</ul>
|
||||||
|
<aside class="notes">
|
||||||
|
<ul>
|
||||||
|
<li>Beispiel Auftragsverarbeiter: E-Mail-Anbieter, Webhoster, …</li>
|
||||||
|
</ul>
|
||||||
|
</aside>
|
||||||
</section></section>
|
</section></section>
|
||||||
<section><section id="rechte-und-pflichten" class="titleslide slide level1"><h1>Rechte und Pflichten</h1></section><section id="rechte-und-pflichten-1" class="slide level2">
|
<section><section id="rechte-und-pflichten" class="titleslide slide level1"><h1>Rechte und Pflichten</h1></section><section id="rechte-und-pflichten-1" class="slide level2">
|
||||||
<h2>Rechte und Pflichten</h2>
|
<h2>Rechte und Pflichten</h2>
|
||||||
|
@ -193,11 +212,10 @@ Antwort muss bei sensiblen Daten gesichert sein: physisches Medium / verschlüss
|
||||||
</section><section id="rechte-und-pflichten-2" class="slide level2">
|
</section><section id="rechte-und-pflichten-2" class="slide level2">
|
||||||
<h2>Rechte und Pflichten</h2>
|
<h2>Rechte und Pflichten</h2>
|
||||||
<ul>
|
<ul>
|
||||||
<li>Recht auf Vergessen / Löschung: jede Person kann jederzeit über jede Kontaktmöglichkeit die Löschung ihrer Daten verlangen
|
<li>Recht auf Berichtigung: jede Person kann jederzeit über jede Kontaktmöglichkeit die Berichtigung ihrer Daten verlangen
|
||||||
<ul>
|
<ul>
|
||||||
<li>Innerhalb von 4 Wochen ab Eingang zu erledigen</li>
|
<li>Innerhalb von 4 Wochen ab Eingang zu erledigen</li>
|
||||||
<li>In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen</li>
|
<li>In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen</li>
|
||||||
<li>Ausnahme: Löschung aus rechtlichen Gründen nicht möglich</li>
|
|
||||||
</ul></li>
|
</ul></li>
|
||||||
</ul>
|
</ul>
|
||||||
<aside class="notes">
|
<aside class="notes">
|
||||||
|
@ -209,6 +227,37 @@ Sonst gelten gleiche Bedingungen wie bei Auskunft
|
||||||
</section><section id="rechte-und-pflichten-3" class="slide level2">
|
</section><section id="rechte-und-pflichten-3" class="slide level2">
|
||||||
<h2>Rechte und Pflichten</h2>
|
<h2>Rechte und Pflichten</h2>
|
||||||
<ul>
|
<ul>
|
||||||
|
<li>Recht auf Einschränkung der Verarbeitung: jede Person kann jederzeit über jede Kontaktmöglichkeit die Verarbeitung ihrer Daten einschränken
|
||||||
|
<ul>
|
||||||
|
<li>Innerhalb von 4 Wochen ab Eingang zu erledigen</li>
|
||||||
|
<li>In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen</li>
|
||||||
|
</ul></li>
|
||||||
|
</ul>
|
||||||
|
<aside class="notes">
|
||||||
|
<p>Auskunftsrecht: Art. 18</p>
|
||||||
|
<p>Fristen, etc.: Art 12</p>
|
||||||
|
<p>Rechnungsdaten z.B. 7 Jahre aufzuheben Alles andere ist zu löschen!</p>
|
||||||
|
Sonst gelten gleiche Bedingungen wie bei Auskunft
|
||||||
|
</aside>
|
||||||
|
</section><section id="rechte-und-pflichten-4" class="slide level2">
|
||||||
|
<h2>Rechte und Pflichten</h2>
|
||||||
|
<ul>
|
||||||
|
<li>Recht auf Vergessen / Löschung: jede Person kann jederzeit über jede Kontaktmöglichkeit die Löschung ihrer Daten verlangen
|
||||||
|
<ul>
|
||||||
|
<li>Innerhalb von 4 Wochen ab Eingang zu erledigen</li>
|
||||||
|
<li>In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen</li>
|
||||||
|
<li>Ausnahme: Löschung aus rechtlichen Gründen nicht möglich</li>
|
||||||
|
</ul></li>
|
||||||
|
</ul>
|
||||||
|
<aside class="notes">
|
||||||
|
<p>Auskunftsrecht: Art. 17</p>
|
||||||
|
<p>Fristen, etc.: Art 12</p>
|
||||||
|
<p>Rechnungsdaten z.B. 7 Jahre aufzuheben Alles andere ist zu löschen!</p>
|
||||||
|
Sonst gelten gleiche Bedingungen wie bei Auskunft
|
||||||
|
</aside>
|
||||||
|
</section><section id="rechte-und-pflichten-5" class="slide level2">
|
||||||
|
<h2>Rechte und Pflichten</h2>
|
||||||
|
<ul>
|
||||||
<li>Recht auf Übertragung: jede Person kann jederzeit über jede Kontaktmöglichkeit die Ausfertigung ihrer Daten in einem maschinenlesbaren Format verlangen, zur Übertragung an ein anderes Unternehmen
|
<li>Recht auf Übertragung: jede Person kann jederzeit über jede Kontaktmöglichkeit die Ausfertigung ihrer Daten in einem maschinenlesbaren Format verlangen, zur Übertragung an ein anderes Unternehmen
|
||||||
<ul>
|
<ul>
|
||||||
<li>Innerhalb von 4 Wochen ab Eingang zu erledigen</li>
|
<li>Innerhalb von 4 Wochen ab Eingang zu erledigen</li>
|
||||||
|
@ -218,7 +267,7 @@ Sonst gelten gleiche Bedingungen wie bei Auskunft
|
||||||
<aside class="notes">
|
<aside class="notes">
|
||||||
Gleiche Bedingungen wie bei Auskunft
|
Gleiche Bedingungen wie bei Auskunft
|
||||||
</aside>
|
</aside>
|
||||||
</section><section id="rechte-und-pflichten-4" class="slide level2">
|
</section><section id="rechte-und-pflichten-6" class="slide level2">
|
||||||
<h2>Rechte und Pflichten</h2>
|
<h2>Rechte und Pflichten</h2>
|
||||||
<ul>
|
<ul>
|
||||||
<li>Informationspflicht:
|
<li>Informationspflicht:
|
||||||
|
@ -245,6 +294,7 @@ Gleiche Bedingungen wie bei Auskunft
|
||||||
<ul>
|
<ul>
|
||||||
<li>Rechte und Freiheiten: z.B. Gesundheitsdaten oder Finanzdaten als Hauptverarbeitung</li>
|
<li>Rechte und Freiheiten: z.B. Gesundheitsdaten oder Finanzdaten als Hauptverarbeitung</li>
|
||||||
<li>Nicht nur gelegentlich: Eine Buchhaltungsfirma, die typischerweise Gehaltsdaten verarbeitet, hat eines zu führen</li>
|
<li>Nicht nur gelegentlich: Eine Buchhaltungsfirma, die typischerweise Gehaltsdaten verarbeitet, hat eines zu führen</li>
|
||||||
|
<li>Z.B. bei Mitarbeiterdaten: Daten für Dienstzeugnis müssen 30 Jahre aufgehoben werden</li>
|
||||||
</ul>
|
</ul>
|
||||||
</aside>
|
</aside>
|
||||||
</section><section id="beispiel" class="slide level2">
|
</section><section id="beispiel" class="slide level2">
|
||||||
|
@ -289,6 +339,8 @@ Gleiche Bedingungen wie bei Auskunft
|
||||||
<li>Führung des Verarbeitungsverzeichnisses</li>
|
<li>Führung des Verarbeitungsverzeichnisses</li>
|
||||||
<li>Kontrolle und Dokumentation der Verarbeitungsprozesse, schon bei der Konzeption</li>
|
<li>Kontrolle und Dokumentation der Verarbeitungsprozesse, schon bei der Konzeption</li>
|
||||||
</ul></li>
|
</ul></li>
|
||||||
|
<li>nicht Weisungsgebunden</li>
|
||||||
|
<li>Vor Gericht nicht Auskunftspflichtig</li>
|
||||||
</ul>
|
</ul>
|
||||||
<aside class="notes">
|
<aside class="notes">
|
||||||
Artikel 37 - 39
|
Artikel 37 - 39
|
||||||
|
@ -300,6 +352,7 @@ Artikel 37 - 39
|
||||||
<li>Datenschutzbehörde: https://www.dsb.gv.at/datenschutz-grundverordnung</li>
|
<li>Datenschutzbehörde: https://www.dsb.gv.at/datenschutz-grundverordnung</li>
|
||||||
<li>Info-Seite der WKO: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Checkliste.html</li>
|
<li>Info-Seite der WKO: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Checkliste.html</li>
|
||||||
<li>Text der DSGVO: https://www.datenschutz-grundverordnung.eu/</li>
|
<li>Text der DSGVO: https://www.datenschutz-grundverordnung.eu/</li>
|
||||||
|
<li>Umgang mit Google Analytics: https://www.kloos.at/blog/google-analytics-die-eu-datenschutzgrundverordnung/</li>
|
||||||
</ul>
|
</ul>
|
||||||
</section><section id="links-2" class="slide level2">
|
</section><section id="links-2" class="slide level2">
|
||||||
<h2>Links</h2>
|
<h2>Links</h2>
|
||||||
|
|
66
dsgvo.md
66
dsgvo.md
|
@ -4,6 +4,14 @@
|
||||||
Bedeutung für kleine Unternehmen
|
Bedeutung für kleine Unternehmen
|
||||||
--------------------------------
|
--------------------------------
|
||||||
|
|
||||||
|
Haftungsausschluss
|
||||||
|
------------------
|
||||||
|
|
||||||
|
- Wir sind keine Juristen
|
||||||
|
- Die hier präsentierten Informationen bieten nur einen Leitfaden
|
||||||
|
- Für die Umsetzung ist jedes Unternehmen selbst verantwortlich
|
||||||
|
|
||||||
|
|
||||||
Inhalt
|
Inhalt
|
||||||
------
|
------
|
||||||
|
|
||||||
|
@ -73,7 +81,7 @@ Sensible Daten
|
||||||
- Sexuelle Identität, Religiosität, politische Meinung,
|
- Sexuelle Identität, Religiosität, politische Meinung,
|
||||||
Gewerkschaftszugehörigkeit, Gesundheitsdaten, Fotos und Videos,
|
Gewerkschaftszugehörigkeit, Gesundheitsdaten, Fotos und Videos,
|
||||||
…
|
…
|
||||||
- Gesundheitsdaten bedeuten auch Krankenstandsmeldung!
|
- Mitarbeiterfotos sind biometrische Daten, also sensibel
|
||||||
- Sobald signifikater Teil der Verarbeitung sensible Daten umfasst:
|
- Sobald signifikater Teil der Verarbeitung sensible Daten umfasst:
|
||||||
Datenschutzbeauftragter Pflicht!
|
Datenschutzbeauftragter Pflicht!
|
||||||
|
|
||||||
|
@ -125,7 +133,7 @@ Verantwortlichkeiten & Haftungen
|
||||||
- Hauptverantwortlich: Geschäftsführer
|
- Hauptverantwortlich: Geschäftsführer
|
||||||
- Kann Umsetzung delegieren
|
- Kann Umsetzung delegieren
|
||||||
- Haftung kann nicht komplett abgegeben werden
|
- Haftung kann nicht komplett abgegeben werden
|
||||||
- Strafen
|
- Strafen bis zu
|
||||||
- 4% des Jahresumsatzes des Unternehmens
|
- 4% des Jahresumsatzes des Unternehmens
|
||||||
- € 20 Mio.
|
- € 20 Mio.
|
||||||
- Je nachdem was mehr ist!
|
- Je nachdem was mehr ist!
|
||||||
|
@ -152,6 +160,18 @@ Verantwortlichkeiten & Haftungen
|
||||||
DSG2000: Jede Verarbeitung muss vorher gemeldet werden. Entfällt bei
|
DSG2000: Jede Verarbeitung muss vorher gemeldet werden. Entfällt bei
|
||||||
DSGVO DSB kann jederzeit ohne Ankündigung Kontrollen durchführen
|
DSGVO DSB kann jederzeit ohne Ankündigung Kontrollen durchführen
|
||||||
</aside>
|
</aside>
|
||||||
|
|
||||||
|
Auftragsverarbeitung
|
||||||
|
--------------------
|
||||||
|
|
||||||
|
- Auftragsverarbeiter sind Dritte, an die Personendaten übermittelt werden
|
||||||
|
- Jede Weitergabe muss dokumentiert sein
|
||||||
|
- Darunter fallen auch Werbenetzwerke, Analysenetzwerke, …
|
||||||
|
|
||||||
|
<aside class="notes">
|
||||||
|
- Beispiel Auftragsverarbeiter: E-Mail-Anbieter, Webhoster, …
|
||||||
|
</aside>
|
||||||
|
|
||||||
Rechte und Pflichten
|
Rechte und Pflichten
|
||||||
====================
|
====================
|
||||||
|
|
||||||
|
@ -182,6 +202,42 @@ Antwort muss bei sensiblen Daten gesichert sein: physisches Medium / verschlüss
|
||||||
Rechte und Pflichten
|
Rechte und Pflichten
|
||||||
--------------------
|
--------------------
|
||||||
|
|
||||||
|
- Recht auf Berichtigung: jede Person kann jederzeit über jede
|
||||||
|
Kontaktmöglichkeit die Berichtigung ihrer Daten verlangen
|
||||||
|
- Innerhalb von 4 Wochen ab Eingang zu erledigen
|
||||||
|
- In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
|
||||||
|
|
||||||
|
<aside class="notes">
|
||||||
|
Auskunftsrecht: Art. 16
|
||||||
|
|
||||||
|
Fristen, etc.: Art 12
|
||||||
|
|
||||||
|
Rechnungsdaten z.B. 7 Jahre aufzuheben Alles andere ist zu löschen!
|
||||||
|
|
||||||
|
Sonst gelten gleiche Bedingungen wie bei Auskunft
|
||||||
|
</aside>
|
||||||
|
|
||||||
|
Rechte und Pflichten
|
||||||
|
--------------------
|
||||||
|
|
||||||
|
- Recht auf Einschränkung der Verarbeitung: jede Person kann jederzeit über jede
|
||||||
|
Kontaktmöglichkeit die Verarbeitung ihrer Daten einschränken
|
||||||
|
- Innerhalb von 4 Wochen ab Eingang zu erledigen
|
||||||
|
- In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
|
||||||
|
|
||||||
|
<aside class="notes">
|
||||||
|
Auskunftsrecht: Art. 18
|
||||||
|
|
||||||
|
Fristen, etc.: Art 12
|
||||||
|
|
||||||
|
Rechnungsdaten z.B. 7 Jahre aufzuheben Alles andere ist zu löschen!
|
||||||
|
|
||||||
|
Sonst gelten gleiche Bedingungen wie bei Auskunft
|
||||||
|
</aside>
|
||||||
|
|
||||||
|
Rechte und Pflichten
|
||||||
|
--------------------
|
||||||
|
|
||||||
- Recht auf Vergessen / Löschung: jede Person kann jederzeit über jede
|
- Recht auf Vergessen / Löschung: jede Person kann jederzeit über jede
|
||||||
Kontaktmöglichkeit die Löschung ihrer Daten verlangen
|
Kontaktmöglichkeit die Löschung ihrer Daten verlangen
|
||||||
- Innerhalb von 4 Wochen ab Eingang zu erledigen
|
- Innerhalb von 4 Wochen ab Eingang zu erledigen
|
||||||
|
@ -189,7 +245,7 @@ Rechte und Pflichten
|
||||||
- Ausnahme: Löschung aus rechtlichen Gründen nicht möglich
|
- Ausnahme: Löschung aus rechtlichen Gründen nicht möglich
|
||||||
|
|
||||||
<aside class="notes">
|
<aside class="notes">
|
||||||
Auskunftsrecht: Art. 16
|
Auskunftsrecht: Art. 17
|
||||||
|
|
||||||
Fristen, etc.: Art 12
|
Fristen, etc.: Art 12
|
||||||
|
|
||||||
|
@ -239,6 +295,7 @@ Artikel 30
|
||||||
Hauptverarbeitung
|
Hauptverarbeitung
|
||||||
- Nicht nur gelegentlich: Eine Buchhaltungsfirma, die typischerweise
|
- Nicht nur gelegentlich: Eine Buchhaltungsfirma, die typischerweise
|
||||||
Gehaltsdaten verarbeitet, hat eines zu führen
|
Gehaltsdaten verarbeitet, hat eines zu führen
|
||||||
|
- Z.B. bei Mitarbeiterdaten: Daten für Dienstzeugnis müssen 30 Jahre aufgehoben werden
|
||||||
|
|
||||||
</aside>
|
</aside>
|
||||||
|
|
||||||
|
@ -285,6 +342,8 @@ Datenschutzbeauftragter
|
||||||
- Führung des Verarbeitungsverzeichnisses
|
- Führung des Verarbeitungsverzeichnisses
|
||||||
- Kontrolle und Dokumentation der Verarbeitungsprozesse, schon bei
|
- Kontrolle und Dokumentation der Verarbeitungsprozesse, schon bei
|
||||||
der Konzeption
|
der Konzeption
|
||||||
|
- nicht Weisungsgebunden
|
||||||
|
- Vor Gericht nicht Auskunftspflichtig
|
||||||
|
|
||||||
<aside class="notes">
|
<aside class="notes">
|
||||||
Artikel 37 - 39
|
Artikel 37 - 39
|
||||||
|
@ -299,6 +358,7 @@ Links
|
||||||
- Datenschutzbehörde: https://www.dsb.gv.at/datenschutz-grundverordnung
|
- Datenschutzbehörde: https://www.dsb.gv.at/datenschutz-grundverordnung
|
||||||
- Info-Seite der WKO: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Checkliste.html
|
- Info-Seite der WKO: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Checkliste.html
|
||||||
- Text der DSGVO: https://www.datenschutz-grundverordnung.eu/
|
- Text der DSGVO: https://www.datenschutz-grundverordnung.eu/
|
||||||
|
- Umgang mit Google Analytics: https://www.kloos.at/blog/google-analytics-die-eu-datenschutzgrundverordnung/
|
||||||
|
|
||||||
Links
|
Links
|
||||||
-----
|
-----
|
||||||
|
|
BIN
dsgvo_notes.pdf
BIN
dsgvo_notes.pdf
Binary file not shown.
309
dsvgo.html
309
dsvgo.html
|
@ -1,309 +0,0 @@
|
||||||
<!DOCTYPE html>
|
|
||||||
<html>
|
|
||||||
<head>
|
|
||||||
<meta charset="utf-8">
|
|
||||||
<meta name="generator" content="pandoc">
|
|
||||||
<title></title>
|
|
||||||
<meta name="apple-mobile-web-app-capable" content="yes">
|
|
||||||
<meta name="apple-mobile-web-app-status-bar-style" content="black-translucent">
|
|
||||||
<meta name="viewport" content="width=device-width, initial-scale=1.0, maximum-scale=1.0, user-scalable=no, minimal-ui">
|
|
||||||
<link rel="stylesheet" href="reveal.js//css/reveal.css">
|
|
||||||
<style type="text/css">code{white-space: pre;}</style>
|
|
||||||
<link rel="stylesheet" href="reveal.js//css/theme/black.css" id="theme">
|
|
||||||
<link rel="stylesheet" href="usrspace.css"/>
|
|
||||||
<!-- Printing and PDF exports -->
|
|
||||||
<script>
|
|
||||||
var link = document.createElement( 'link' );
|
|
||||||
link.rel = 'stylesheet';
|
|
||||||
link.type = 'text/css';
|
|
||||||
link.href = window.location.search.match( /print-pdf/gi ) ? 'reveal.js//css/print/pdf.css' : 'reveal.js//css/print/paper.css';
|
|
||||||
document.getElementsByTagName( 'head' )[0].appendChild( link );
|
|
||||||
</script>
|
|
||||||
<!--[if lt IE 9]>
|
|
||||||
<script src="reveal.js//lib/js/html5shiv.js"></script>
|
|
||||||
<![endif]-->
|
|
||||||
</head>
|
|
||||||
<body>
|
|
||||||
<div class="reveal">
|
|
||||||
<div class="slides">
|
|
||||||
|
|
||||||
|
|
||||||
<section><section id="datenschutz---grundverordnung" class="titleslide slide level1"><h1><span style="font-size: 95%">Datenschutz - Grundverordnung</span></h1></section><section id="bedeutung-für-kleine-unternehmen" class="slide level2">
|
|
||||||
<h2>Bedeutung für kleine Unternehmen</h2>
|
|
||||||
</section><section id="inhalt" class="slide level2">
|
|
||||||
<h2>Inhalt</h2>
|
|
||||||
<ul>
|
|
||||||
<li>Was ist die DSGVO</li>
|
|
||||||
<li>Definitionen
|
|
||||||
<ul>
|
|
||||||
<li>Personenbezogene / Sensible Daten</li>
|
|
||||||
</ul></li>
|
|
||||||
<li>Verarbeitung
|
|
||||||
<ul>
|
|
||||||
<li>Umgang mit und Erfassung von personenbezogenen Daten</li>
|
|
||||||
<li>Verantwortlichkeiten & Haftungen</li>
|
|
||||||
</ul></li>
|
|
||||||
<li>Rechte und Pflichten</li>
|
|
||||||
<li>Verarbeitungsverzeichnis</li>
|
|
||||||
<li>Datenschutzbeauftragter</li>
|
|
||||||
<li>Fragen?</li>
|
|
||||||
</ul>
|
|
||||||
</section><section id="wer-sind-wir" class="slide level2">
|
|
||||||
<h2>Wer sind wir?</h2>
|
|
||||||
<ul>
|
|
||||||
<li>Verein <code>/usr/space</code>, besteht seit Mai 2015</li>
|
|
||||||
<li>Wollen Menschen über Technik zusammenbringen & dafür begeistern</li>
|
|
||||||
</ul>
|
|
||||||
</section><section id="was-ist-die-dsgvo" class="slide level2">
|
|
||||||
<h2>Was ist die DSGVO</h2>
|
|
||||||
<ul>
|
|
||||||
<li>Rechtlich Bindende Verordnung der EU</li>
|
|
||||||
<li>Als Verordnung direkt in allen EU-Staaten rechtlich bindend</li>
|
|
||||||
<li>Gültig ab 24. Mai 2016</li>
|
|
||||||
<li>Bindend ab 25. Mai 2018</li>
|
|
||||||
<li>Regelt die Prozesse, Verantwortungen & Strafen bei der Verarbeitung von personenbezogenen Daten</li>
|
|
||||||
<li>Ersetzt die DSG2000</li>
|
|
||||||
<li>Verschärfte Haftung bei Verstößen und Fahrlässigkeiten</li>
|
|
||||||
</ul>
|
|
||||||
<aside class="notes">
|
|
||||||
<ul>
|
|
||||||
<li>Erfassung = Verarbeitung</li>
|
|
||||||
<li>Nicht nur elektronisch, auch strukturiert auf Papier</li>
|
|
||||||
<li>Strukturiert = mit Index, als Formular z.B.</li>
|
|
||||||
<li>DSG2000: Vieles bereits dort geregelt</li>
|
|
||||||
<li>Unternehmen werden stärker in die Verantwortung genommen</li>
|
|
||||||
</ul>
|
|
||||||
</aside>
|
|
||||||
</section></section>
|
|
||||||
<section><section id="definitionen" class="titleslide slide level1"><h1>Definitionen</h1></section><section id="personenbezogene-daten" class="slide level2">
|
|
||||||
<h2>Personenbezogene Daten</h2>
|
|
||||||
<ul>
|
|
||||||
<li>Alle Informationen die sich auf eine natürliche Person beziehen
|
|
||||||
<ul>
|
|
||||||
<li>Name, Geburtsdatum, Geschlecht, Haarfarbe, Finanzinformationen, E-Mail, …</li>
|
|
||||||
</ul></li>
|
|
||||||
<li>Und diese direkt oder indirekt identifizierbar machen</li>
|
|
||||||
</ul>
|
|
||||||
<aside class="notes">
|
|
||||||
<p>Beispiel:</p>
|
|
||||||
<ul>
|
|
||||||
<li>Direkt: per Name + Geburtsdatum</li>
|
|
||||||
<li>Indirekt: im Unternehmen 15 Männer, 2 Frauen, im Fragebogen M/W zur Auswahl</li>
|
|
||||||
</ul>
|
|
||||||
</aside>
|
|
||||||
</section><section id="sensible-daten" class="slide level2">
|
|
||||||
<h2>Sensible Daten</h2>
|
|
||||||
<ul>
|
|
||||||
<li>Personenbezogene Daten, deren bekannt werden einen potentiellen Nachteil mit sich bringen können
|
|
||||||
<ul>
|
|
||||||
<li>Sexuelle Identität, Religiosität, politische Meinung, Gewerkschaftszugehörigkeit, Gesundheitsdaten, Fotos und Videos, …</li>
|
|
||||||
</ul></li>
|
|
||||||
<li>Gesundheitsdaten bedeuten auch Krankenstandsmeldung!</li>
|
|
||||||
<li>Sobald signifikater Teil der Verarbeitung sensible Daten umfasst: Datenschutzbeauftragter Pflicht!</li>
|
|
||||||
</ul>
|
|
||||||
<aside class="notes">
|
|
||||||
<ul>
|
|
||||||
<li>Signifikant: Streitpunkt, wird erst noch von DSB geregelt</li>
|
|
||||||
<li>Fotos: Im Mitarbeiterverzeichnis, E-Mail ok, in Verbindung mit Gehaltsdaten unzulässig</li>
|
|
||||||
</ul>
|
|
||||||
</aside>
|
|
||||||
</section></section>
|
|
||||||
<section><section id="verarbeitung" class="titleslide slide level1"><h1>Verarbeitung</h1></section><section id="umgang-mit-personenbezogenen-daten" class="slide level2">
|
|
||||||
<h2>Umgang mit personenbezogenen Daten</h2>
|
|
||||||
<ul>
|
|
||||||
<li>Zugriff darf nur bestimmten Personen gestattet sein</li>
|
|
||||||
<li>Nur im Rahmen der Tätigkeit wenn begründet</li>
|
|
||||||
<li>Keine Daten ausserhalb des unbedingt benötigten</li>
|
|
||||||
<li>Absicherung nach Stand der Technik</li>
|
|
||||||
<li>Jede Verarbeitung braucht einen Prozess, der im Verfahrensverzeichnis dokumentiert ist</li>
|
|
||||||
</ul>
|
|
||||||
<aside class="notes">
|
|
||||||
<ul>
|
|
||||||
<li>Für Verarbeitung von Gehaltsdaten ist kein Zugriff auf Geschlecht oder Alter notwendig.</li>
|
|
||||||
<li>Ausnahmen bestätigen die Regel</li>
|
|
||||||
<li>Details zu Verfahrensverzeichnis später</li>
|
|
||||||
</ul>
|
|
||||||
</aside>
|
|
||||||
</section><section id="erfassung-von-personenbezogenen-daten" class="slide level2">
|
|
||||||
<h2>Erfassung von personenbezogenen Daten</h2>
|
|
||||||
<ul>
|
|
||||||
<li>Opt-In: nur erfassen, wenn Person dem zustimmt</li>
|
|
||||||
<li>Informiertes Einverständnis: Person muss informiert werden, welche Daten zu welchem Zweck erfasst werden</li>
|
|
||||||
<li>Minimale Erfassung: Anwendungen dürfen nur das unbedingt notwendige erfassen.</li>
|
|
||||||
</ul>
|
|
||||||
</section><section id="verantwortlichkeiten-haftungen" class="slide level2">
|
|
||||||
<h2>Verantwortlichkeiten & Haftungen</h2>
|
|
||||||
<ul>
|
|
||||||
<li>Hauptverantwortlich: Geschäftsführer</li>
|
|
||||||
<li>Kann Umsetzung delegieren</li>
|
|
||||||
<li>Haftung kann nicht komplett abgegeben werden</li>
|
|
||||||
<li>Strafen
|
|
||||||
<ul>
|
|
||||||
<li>4% des Jahresumsatzes des Unternehmens</li>
|
|
||||||
<li>€ 20 Mio.</li>
|
|
||||||
<li>Je nachdem was mehr ist!</li>
|
|
||||||
</ul></li>
|
|
||||||
<li>Tatsächliche Strafe im Ermessen der Datenschutzbehörde
|
|
||||||
<aside class="notes">
|
|
||||||
Abgegebene Verantwortung kann nur soweit übernommen werden wie entsprechende Ausbildung vorhanden ist Strafen für vorsätzliches Fehlverhalten sicher höher als einfache Versäumnisse Schlecht geführtes Verfahrensverzeichnis < kein Verfahrensverzeichnis Zu lasche Zugriffssicherung < Keine Zugriffssicherung
|
|
||||||
</aside></li>
|
|
||||||
</ul>
|
|
||||||
</section><section id="verantwortlichkeiten-haftungen-1" class="slide level2">
|
|
||||||
<h2>Verantwortlichkeiten & Haftungen</h2>
|
|
||||||
<ul>
|
|
||||||
<li>Auskunftspflicht an Datenschutzbehörde</li>
|
|
||||||
<li>Meldepflicht für neue Anwendungen entfällt</li>
|
|
||||||
<li>Verarbeitungsverzeichnis ist Pflicht!</li>
|
|
||||||
</ul>
|
|
||||||
<aside class="notes">
|
|
||||||
DSG2000: Jede Verarbeitung muss vorher gemeldet werden. Entfällt bei DSGVO DSB kann jederzeit ohne Ankündigung Kontrollen durchführen
|
|
||||||
</aside>
|
|
||||||
</section></section>
|
|
||||||
<section><section id="rechte-und-pflichten" class="titleslide slide level1"><h1>Rechte und Pflichten</h1></section><section id="rechte-und-pflichten-1" class="slide level2">
|
|
||||||
<h2>Rechte und Pflichten</h2>
|
|
||||||
<ul>
|
|
||||||
<li>Recht auf Auskunft: jede Person kann jederzeit über jede Kontaktmöglichkeit Auskunft über ihre verarbeitete Daten verlangen
|
|
||||||
<ul>
|
|
||||||
<li>Innerhalb von 4 Wochen ab Eingang zu erledigen</li>
|
|
||||||
<li>In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
|
|
||||||
<aside class="notes">
|
|
||||||
Jede! Kontaktmöglichkeit! Telefon, Fax, Email, Brief, … <strong>Aber</strong>: Person muss ggf. genug Angaben für exakte Identifikation bekannt geben, und muss ggf. Identität nachweisen (Ausweiskopie, …) Prozess muss ggf auch ins Verfahrensverzeichnis Antwort muss bei sensiblen Daten gesichert sein: physisches Medium / verschlüsselt / verschlossener Brief
|
|
||||||
</aside></li>
|
|
||||||
</ul></li>
|
|
||||||
</ul>
|
|
||||||
</section><section id="rechte-und-pflichten-2" class="slide level2">
|
|
||||||
<h2>Rechte und Pflichten</h2>
|
|
||||||
<ul>
|
|
||||||
<li>Recht auf Vergessen / Löschung: jede Person kann jederzeit über jede Kontaktmöglichkeit die Löschung ihrer Daten verlangen
|
|
||||||
<ul>
|
|
||||||
<li>Innerhalb von 4 Wochen ab Eingang zu erledigen</li>
|
|
||||||
<li>In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen</li>
|
|
||||||
<li>Ausnahme: Löschung aus rechtlichen Gründen nicht möglich</li>
|
|
||||||
</ul></li>
|
|
||||||
</ul>
|
|
||||||
<aside class="notes">
|
|
||||||
<p>Rechnungsdaten z.B. 7 Jahre aufzuheben Alles andere ist zu löschen!</p>
|
|
||||||
Sonst gelten gleiche Bedingungen wie bei Auskunft
|
|
||||||
</aside>
|
|
||||||
</section><section id="rechte-und-pflichten-3" class="slide level2">
|
|
||||||
<h2>Rechte und Pflichten</h2>
|
|
||||||
<ul>
|
|
||||||
<li>Recht auf Übertragung: jede Person kann jederzeit über jede Kontaktmöglichkeit die Ausfertigung ihrer Daten in einem maschinenlesbaren Format verlangen, zur Übertragung an ein anderes Unternehmen
|
|
||||||
<ul>
|
|
||||||
<li>Innerhalb von 4 Wochen ab Eingang zu erledigen</li>
|
|
||||||
<li>In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
|
|
||||||
<aside class="notes">
|
|
||||||
Gleiche Bedingungen wie bei Auskunft
|
|
||||||
</aside></li>
|
|
||||||
</ul></li>
|
|
||||||
</ul>
|
|
||||||
</section><section id="rechte-und-pflichten-4" class="slide level2">
|
|
||||||
<h2>Rechte und Pflichten</h2>
|
|
||||||
<ul>
|
|
||||||
<li>Informationspflicht:
|
|
||||||
<ul>
|
|
||||||
<li>bei Datenverlusten (Datendiebstahl) ist innerhalb von 72h ab bekannt werden die Datenschutzbehörde zu informieren</li>
|
|
||||||
<li>bei sensiblen Daten auch die betroffenen Personen</li>
|
|
||||||
</ul></li>
|
|
||||||
</ul>
|
|
||||||
</section></section>
|
|
||||||
<section><section id="verarbeitungsverzeichnis" class="titleslide slide level1"><h1>Verarbeitungsverzeichnis</h1></section><section id="verarbeitungsverzeichnis-1" class="slide level2">
|
|
||||||
<h2>Verarbeitungsverzeichnis</h2>
|
|
||||||
<ul>
|
|
||||||
<li>Aufzeichnung aller Verarbeitungsvorgänge</li>
|
|
||||||
<li>Nicht unter 250 Mitarbeitern</li>
|
|
||||||
<li>Ausnahme
|
|
||||||
<ul>
|
|
||||||
<li>Rechte oder Freiheiten der betroffenen Personen gefährdet</li>
|
|
||||||
<li>Wenn Daten nicht nur gelegentlich verarbeitet werden</li>
|
|
||||||
</ul></li>
|
|
||||||
<li>Im Zweifel ist es besser eines zu führen</li>
|
|
||||||
</ul>
|
|
||||||
<aside class="notes">
|
|
||||||
<ul>
|
|
||||||
<li>Rechte und Freiheiten: z.B. Gesundheitsdaten oder Finanzdaten als Hauptverarbeitung</li>
|
|
||||||
<li>Nicht nur gelegentlich: Eine Buchhaltungsfirma, die typischerweise Gehaltsdaten verarbeitet, hat eines zu führen</li>
|
|
||||||
</ul>
|
|
||||||
</aside>
|
|
||||||
</section><section id="beispiel" class="slide level2">
|
|
||||||
<h2>Beispiel</h2>
|
|
||||||
<figure>
|
|
||||||
<img src="img/Verarbeitungsverzeichnis_Beispiel_00.png" alt="Übersicht" /><figcaption>Übersicht</figcaption>
|
|
||||||
</figure>
|
|
||||||
</section><section id="beispiel-1" class="slide level2">
|
|
||||||
<h2>Beispiel</h2>
|
|
||||||
<figure>
|
|
||||||
<img src="img/Verarbeitungsverzeichnis_Beispiel_01.png" alt="Stammdaten" /><figcaption>Stammdaten</figcaption>
|
|
||||||
</figure>
|
|
||||||
</section><section id="beispiel-2" class="slide level2">
|
|
||||||
<h2>Beispiel</h2>
|
|
||||||
<figure>
|
|
||||||
<img src="img/Verarbeitungsverzeichnis_Beispiel_02.png" alt="Basisdaten" /><figcaption>Basisdaten</figcaption>
|
|
||||||
</figure>
|
|
||||||
</section><section id="beispiel-3" class="slide level2">
|
|
||||||
<h2>Beispiel</h2>
|
|
||||||
<figure>
|
|
||||||
<img src="img/Verarbeitungsverzeichnis_Beispiel_03.png" alt="Fristen" /><figcaption>Fristen</figcaption>
|
|
||||||
</figure>
|
|
||||||
</section><section id="beispiel-4" class="slide level2">
|
|
||||||
<h2>Beispiel</h2>
|
|
||||||
<figure>
|
|
||||||
<img src="img/Verarbeitungsverzeichnis_Beispiel_04.png" alt="Weitergabe" /><figcaption>Weitergabe</figcaption>
|
|
||||||
</figure>
|
|
||||||
</section><section id="beispiel-5" class="slide level2">
|
|
||||||
<h2>Beispiel</h2>
|
|
||||||
<figure>
|
|
||||||
<img src="img/Verarbeitungsverzeichnis_Beispiel_05.png" alt="Maßnahmen" /><figcaption>Maßnahmen</figcaption>
|
|
||||||
</figure>
|
|
||||||
</section></section>
|
|
||||||
<section><section id="datenschutzbeauftragter" class="titleslide slide level1"><h1>Datenschutzbeauftragter</h1></section><section id="datenschutzbeauftragter-1" class="slide level2">
|
|
||||||
<h2>Datenschutzbeauftragter</h2>
|
|
||||||
<ul>
|
|
||||||
<li>Pflicht für Firmen mit >250 MA <em>oder</em></li>
|
|
||||||
<li>10 MA hauptsächlich mit der Verarbeitung beschäftigt sind <em>oder</em></li>
|
|
||||||
<li>Hauptsächtlich sensible Daten verarbeitet werden</li>
|
|
||||||
<li>Aufgaben:
|
|
||||||
<ul>
|
|
||||||
<li>Führung des Verarbeitungsverzeichnisses</li>
|
|
||||||
<li>Kontrolle und Dokumentation der Verarbeitungsprozesse, schon bei der Konzeption</li>
|
|
||||||
</ul></li>
|
|
||||||
</ul>
|
|
||||||
</section></section>
|
|
||||||
<section><section id="links" class="titleslide slide level1"><h1>Links</h1></section><section id="links-1" class="slide level2">
|
|
||||||
<h2>Links</h2>
|
|
||||||
<ul>
|
|
||||||
<li>Datenschutzbehörde: https://www.dsb.gv.at/datenschutz-grundverordnung</li>
|
|
||||||
<li>Info-Seite der WKO: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Checkliste.html</li>
|
|
||||||
<li>Text der DSGVO: https://www.datenschutz-grundverordnung.eu/</li>
|
|
||||||
</ul>
|
|
||||||
</section><section id="links-2" class="slide level2">
|
|
||||||
<h2>Links</h2>
|
|
||||||
<ul>
|
|
||||||
<li>Präsentation: https://gitlab.usrspace.at/…</li>
|
|
||||||
<li>Verein <code>/usr/space</code>: https://usrspace.at</li>
|
|
||||||
<li>Präsentation ist <a href="https://creativecommons.org/licenses/by-sa/4.0/legalcode.de">CC-BY-SA 4.0</a></li>
|
|
||||||
</ul>
|
|
||||||
</section></section>
|
|
||||||
<section><section id="fragen" class="titleslide slide level1"><h1>Fragen?</h1></section></section>
|
|
||||||
</div>
|
|
||||||
</div>
|
|
||||||
|
|
||||||
<script src="reveal.js//lib/js/head.min.js"></script>
|
|
||||||
<script src="reveal.js//js/reveal.js"></script>
|
|
||||||
|
|
||||||
<script>
|
|
||||||
|
|
||||||
// Full list of configuration options available at:
|
|
||||||
// https://github.com/hakimel/reveal.js#configuration
|
|
||||||
Reveal.initialize({
|
|
||||||
|
|
||||||
// Optional reveal.js plugins
|
|
||||||
dependencies: [
|
|
||||||
{ src: 'reveal.js//lib/js/classList.js', condition: function() { return !document.body.classList; } },
|
|
||||||
{ src: 'reveal.js//plugin/zoom-js/zoom.js', async: true },
|
|
||||||
{ src: 'reveal.js//plugin/notes/notes.js', async: true }
|
|
||||||
]
|
|
||||||
});
|
|
||||||
</script>
|
|
||||||
</body>
|
|
||||||
</html>
|
|
280
dsvgo.md
280
dsvgo.md
|
@ -1,280 +0,0 @@
|
||||||
[Datenschutz - Grundverordnung]{style="font-size: 95%"}
|
|
||||||
============================================================
|
|
||||||
|
|
||||||
Bedeutung für kleine Unternehmen
|
|
||||||
--------------------------------
|
|
||||||
|
|
||||||
Inhalt
|
|
||||||
------
|
|
||||||
|
|
||||||
- Was ist die DSGVO
|
|
||||||
- Definitionen
|
|
||||||
- Personenbezogene / Sensible Daten
|
|
||||||
- Verarbeitung
|
|
||||||
- Umgang mit und Erfassung von personenbezogenen Daten
|
|
||||||
- Verantwortlichkeiten & Haftungen
|
|
||||||
- Rechte und Pflichten
|
|
||||||
- Verarbeitungsverzeichnis
|
|
||||||
- Datenschutzbeauftragter
|
|
||||||
- Fragen?
|
|
||||||
|
|
||||||
Wer sind wir?
|
|
||||||
-------------
|
|
||||||
|
|
||||||
- Verein `/usr/space`, besteht seit Mai 2015
|
|
||||||
- Wollen Menschen über Technik zusammenbringen & dafür begeistern
|
|
||||||
|
|
||||||
Was ist die DSGVO
|
|
||||||
-----------------
|
|
||||||
|
|
||||||
- Rechtlich Bindende Verordnung der EU
|
|
||||||
- Als Verordnung direkt in allen EU-Staaten rechtlich bindend
|
|
||||||
- Gültig ab 24. Mai 2016
|
|
||||||
- Bindend ab 25. Mai 2018
|
|
||||||
- Regelt die Prozesse, Verantwortungen & Strafen bei der Verarbeitung
|
|
||||||
von personenbezogenen Daten
|
|
||||||
- Ersetzt die DSG2000
|
|
||||||
- Verschärfte Haftung bei Verstößen und Fahrlässigkeiten
|
|
||||||
|
|
||||||
<aside class="notes">
|
|
||||||
- Erfassung = Verarbeitung
|
|
||||||
- Nicht nur elektronisch, auch strukturiert auf Papier
|
|
||||||
- Strukturiert = mit Index, als Formular z.B.
|
|
||||||
- DSG2000: Vieles bereits dort geregelt
|
|
||||||
- Unternehmen werden stärker in die Verantwortung genommen
|
|
||||||
|
|
||||||
</aside>
|
|
||||||
Definitionen
|
|
||||||
============
|
|
||||||
|
|
||||||
Personenbezogene Daten
|
|
||||||
----------------------
|
|
||||||
|
|
||||||
- Alle Informationen die sich auf eine natürliche Person beziehen
|
|
||||||
- Name, Geburtsdatum, Geschlecht, Haarfarbe, Finanzinformationen,
|
|
||||||
E-Mail, …
|
|
||||||
- Und diese direkt oder indirekt identifizierbar machen
|
|
||||||
|
|
||||||
<aside class="notes">
|
|
||||||
Beispiel:
|
|
||||||
|
|
||||||
- Direkt: per Name + Geburtsdatum
|
|
||||||
- Indirekt: im Unternehmen 15 Männer, 2 Frauen, im Fragebogen M/W zur
|
|
||||||
Auswahl
|
|
||||||
|
|
||||||
</aside>
|
|
||||||
Sensible Daten
|
|
||||||
--------------
|
|
||||||
|
|
||||||
- Personenbezogene Daten, deren bekannt werden einen potentiellen
|
|
||||||
Nachteil mit sich bringen können
|
|
||||||
- Sexuelle Identität, Religiosität, politische Meinung,
|
|
||||||
Gewerkschaftszugehörigkeit, Gesundheitsdaten, Fotos und Videos,
|
|
||||||
…
|
|
||||||
- Gesundheitsdaten bedeuten auch Krankenstandsmeldung!
|
|
||||||
- Sobald signifikater Teil der Verarbeitung sensible Daten umfasst:
|
|
||||||
Datenschutzbeauftragter Pflicht!
|
|
||||||
|
|
||||||
<aside class="notes">
|
|
||||||
- Signifikant: Streitpunkt, wird erst noch von DSB geregelt
|
|
||||||
- Fotos: Im Mitarbeiterverzeichnis, E-Mail ok, in Verbindung mit
|
|
||||||
Gehaltsdaten unzulässig
|
|
||||||
|
|
||||||
</aside>
|
|
||||||
Verarbeitung
|
|
||||||
============
|
|
||||||
|
|
||||||
Umgang mit personenbezogenen Daten
|
|
||||||
----------------------------------
|
|
||||||
|
|
||||||
- Zugriff darf nur bestimmten Personen gestattet sein
|
|
||||||
- Nur im Rahmen der Tätigkeit wenn begründet
|
|
||||||
- Keine Daten ausserhalb des unbedingt benötigten
|
|
||||||
- Absicherung nach Stand der Technik
|
|
||||||
- Jede Verarbeitung braucht einen Prozess, der im
|
|
||||||
Verfahrensverzeichnis dokumentiert ist
|
|
||||||
|
|
||||||
<aside class="notes">
|
|
||||||
- Für Verarbeitung von Gehaltsdaten ist kein Zugriff auf Geschlecht
|
|
||||||
oder Alter notwendig.
|
|
||||||
- Ausnahmen bestätigen die Regel
|
|
||||||
- Details zu Verfahrensverzeichnis später
|
|
||||||
|
|
||||||
</aside>
|
|
||||||
Erfassung von personenbezogenen Daten
|
|
||||||
-------------------------------------
|
|
||||||
|
|
||||||
- Opt-In: nur erfassen, wenn Person dem zustimmt
|
|
||||||
- Informiertes Einverständnis: Person muss informiert werden, welche
|
|
||||||
Daten zu welchem Zweck erfasst werden
|
|
||||||
- Minimale Erfassung: Anwendungen dürfen nur das unbedingt notwendige
|
|
||||||
erfassen.
|
|
||||||
|
|
||||||
Verantwortlichkeiten & Haftungen
|
|
||||||
--------------------------------
|
|
||||||
|
|
||||||
- Hauptverantwortlich: Geschäftsführer
|
|
||||||
- Kann Umsetzung delegieren
|
|
||||||
- Haftung kann nicht komplett abgegeben werden
|
|
||||||
- Strafen
|
|
||||||
- 4% des Jahresumsatzes des Unternehmens
|
|
||||||
- € 20 Mio.
|
|
||||||
- Je nachdem was mehr ist!
|
|
||||||
- Tatsächliche Strafe im Ermessen der Datenschutzbehörde
|
|
||||||
<aside class="notes">
|
|
||||||
Abgegebene Verantwortung kann nur soweit übernommen werden wie
|
|
||||||
entsprechende Ausbildung vorhanden ist Strafen für vorsätzliches
|
|
||||||
Fehlverhalten sicher höher als einfache Versäumnisse Schlecht
|
|
||||||
geführtes Verfahrensverzeichnis < kein Verfahrensverzeichnis Zu
|
|
||||||
lasche Zugriffssicherung < Keine Zugriffssicherung
|
|
||||||
</aside>
|
|
||||||
|
|
||||||
Verantwortlichkeiten & Haftungen
|
|
||||||
--------------------------------
|
|
||||||
|
|
||||||
- Auskunftspflicht an Datenschutzbehörde
|
|
||||||
- Meldepflicht für neue Anwendungen entfällt
|
|
||||||
- Verarbeitungsverzeichnis ist Pflicht!
|
|
||||||
|
|
||||||
<aside class="notes">
|
|
||||||
DSG2000: Jede Verarbeitung muss vorher gemeldet werden. Entfällt bei
|
|
||||||
DSGVO DSB kann jederzeit ohne Ankündigung Kontrollen durchführen
|
|
||||||
</aside>
|
|
||||||
Rechte und Pflichten
|
|
||||||
====================
|
|
||||||
|
|
||||||
Rechte und Pflichten
|
|
||||||
--------------------
|
|
||||||
|
|
||||||
- Recht auf Auskunft: jede Person kann jederzeit über jede
|
|
||||||
Kontaktmöglichkeit Auskunft über ihre verarbeitete Daten verlangen
|
|
||||||
- Innerhalb von 4 Wochen ab Eingang zu erledigen
|
|
||||||
- In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
|
|
||||||
<aside class="notes">
|
|
||||||
Jede! Kontaktmöglichkeit! Telefon, Fax, Email, Brief, …
|
|
||||||
**Aber**: Person muss ggf. genug Angaben für exakte
|
|
||||||
Identifikation bekannt geben, und muss ggf. Identität nachweisen
|
|
||||||
(Ausweiskopie, …) Prozess muss ggf auch ins
|
|
||||||
Verfahrensverzeichnis Antwort muss bei sensiblen Daten gesichert
|
|
||||||
sein: physisches Medium / verschlüsselt / verschlossener Brief
|
|
||||||
</aside>
|
|
||||||
|
|
||||||
Rechte und Pflichten
|
|
||||||
--------------------
|
|
||||||
|
|
||||||
- Recht auf Vergessen / Löschung: jede Person kann jederzeit über jede
|
|
||||||
Kontaktmöglichkeit die Löschung ihrer Daten verlangen
|
|
||||||
- Innerhalb von 4 Wochen ab Eingang zu erledigen
|
|
||||||
- In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
|
|
||||||
- Ausnahme: Löschung aus rechtlichen Gründen nicht möglich
|
|
||||||
|
|
||||||
<aside class="notes">
|
|
||||||
Rechnungsdaten z.B. 7 Jahre aufzuheben Alles andere ist zu löschen!
|
|
||||||
|
|
||||||
Sonst gelten gleiche Bedingungen wie bei Auskunft
|
|
||||||
</aside>
|
|
||||||
Rechte und Pflichten
|
|
||||||
--------------------
|
|
||||||
|
|
||||||
- Recht auf Übertragung: jede Person kann jederzeit über jede
|
|
||||||
Kontaktmöglichkeit die Ausfertigung ihrer Daten in einem
|
|
||||||
maschinenlesbaren Format verlangen, zur Übertragung an ein anderes
|
|
||||||
Unternehmen
|
|
||||||
- Innerhalb von 4 Wochen ab Eingang zu erledigen
|
|
||||||
- In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
|
|
||||||
<aside class="notes">
|
|
||||||
Gleiche Bedingungen wie bei Auskunft
|
|
||||||
</aside>
|
|
||||||
|
|
||||||
Rechte und Pflichten
|
|
||||||
--------------------
|
|
||||||
|
|
||||||
- Informationspflicht:
|
|
||||||
- bei Datenverlusten (Datendiebstahl) ist innerhalb von 72h ab
|
|
||||||
bekannt werden die Datenschutzbehörde zu informieren
|
|
||||||
- bei sensiblen Daten auch die betroffenen Personen
|
|
||||||
|
|
||||||
Verarbeitungsverzeichnis
|
|
||||||
========================
|
|
||||||
|
|
||||||
Verarbeitungsverzeichnis
|
|
||||||
------------------------
|
|
||||||
|
|
||||||
- Aufzeichnung aller Verarbeitungsvorgänge
|
|
||||||
- Nicht unter 250 Mitarbeitern
|
|
||||||
- Ausnahme
|
|
||||||
- Rechte oder Freiheiten der betroffenen Personen gefährdet
|
|
||||||
- Wenn Daten nicht nur gelegentlich verarbeitet werden
|
|
||||||
- Im Zweifel ist es besser eines zu führen
|
|
||||||
|
|
||||||
<aside class="notes">
|
|
||||||
- Rechte und Freiheiten: z.B. Gesundheitsdaten oder Finanzdaten als
|
|
||||||
Hauptverarbeitung
|
|
||||||
- Nicht nur gelegentlich: Eine Buchhaltungsfirma, die typischerweise
|
|
||||||
Gehaltsdaten verarbeitet, hat eines zu führen
|
|
||||||
|
|
||||||
</aside>
|
|
||||||
|
|
||||||
Beispiel
|
|
||||||
--------
|
|
||||||
|
|
||||||
![Übersicht](img/Verarbeitungsverzeichnis_Beispiel_00.png)
|
|
||||||
|
|
||||||
Beispiel
|
|
||||||
--------
|
|
||||||
|
|
||||||
![Stammdaten](img/Verarbeitungsverzeichnis_Beispiel_01.png)
|
|
||||||
|
|
||||||
Beispiel
|
|
||||||
--------
|
|
||||||
|
|
||||||
![Basisdaten](img/Verarbeitungsverzeichnis_Beispiel_02.png)
|
|
||||||
|
|
||||||
Beispiel
|
|
||||||
--------
|
|
||||||
|
|
||||||
![Fristen](img/Verarbeitungsverzeichnis_Beispiel_03.png)
|
|
||||||
|
|
||||||
Beispiel
|
|
||||||
--------
|
|
||||||
|
|
||||||
![Weitergabe](img/Verarbeitungsverzeichnis_Beispiel_04.png)
|
|
||||||
|
|
||||||
Beispiel
|
|
||||||
--------
|
|
||||||
|
|
||||||
![Maßnahmen](img/Verarbeitungsverzeichnis_Beispiel_05.png)
|
|
||||||
|
|
||||||
Datenschutzbeauftragter
|
|
||||||
============================
|
|
||||||
|
|
||||||
Datenschutzbeauftragter
|
|
||||||
----------------------------
|
|
||||||
|
|
||||||
- Pflicht für Firmen mit >250 MA *oder*
|
|
||||||
- 10 MA hauptsächlich mit der Verarbeitung beschäftigt sind *oder*
|
|
||||||
- Hauptsächtlich sensible Daten verarbeitet werden
|
|
||||||
- Aufgaben:
|
|
||||||
- Führung des Verarbeitungsverzeichnisses
|
|
||||||
- Kontrolle und Dokumentation der Verarbeitungsprozesse, schon bei
|
|
||||||
der Konzeption
|
|
||||||
|
|
||||||
Links
|
|
||||||
=====
|
|
||||||
|
|
||||||
Links
|
|
||||||
-----
|
|
||||||
|
|
||||||
- Datenschutzbehörde: https://www.dsb.gv.at/datenschutz-grundverordnung
|
|
||||||
- Info-Seite der WKO: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Checkliste.html
|
|
||||||
- Text der DSGVO: https://www.datenschutz-grundverordnung.eu/
|
|
||||||
|
|
||||||
Links
|
|
||||||
-----
|
|
||||||
|
|
||||||
- Präsentation: https://gitlab.usrspace.at/…
|
|
||||||
- Verein `/usr/space`: https://usrspace.at
|
|
||||||
- Präsentation ist [CC-BY-SA 4.0](https://creativecommons.org/licenses/by-sa/4.0/legalcode.de)
|
|
||||||
|
|
||||||
Fragen?
|
|
||||||
=======
|
|
Loading…
Reference in a new issue