--- author: Jan Fritz, Peter Ludikovsky, Tomasz Kijas date: 2018-03-25 keywords: Datenschutz, DSGVO, Daten, Persönliche Daten, Sensible Daten ... # Da­ten­schutz - Grund­ver­ord­nung ## Bedeutung für kleine Unternehmen ## Inhalt * Was ist die DSGVO * Verantwortlichkeiten & Haftungen * Personenbezogene Daten * Sensible Daten * Verarbeitungsverzeichnis * Da­ten­schutzbe­auf­trag­ter * Fragen & Antworten ## Was ist die DSGVO * Rechtlich Bindende Verordnung der EU * Als Verordnung direkt in allen EU-Staaten rechtlich bindend * Gültig ab 24. Mai 2016 * Bindend ab 25. Mai 2018 * Regelt die Prozesse, Verantwortungen & Strafen bei der Verarbeitung von personenbezogenen Daten * Ersetzt die DSG2000 * Verschärfte Haftung bei Verstößen und Fahrlässigkeiten # Definitionen ## Personenbezogene Daten * Alle Informationen die sich auf eine natürliche Person beziehen * Name, Geburtsdatum, Geschlecht, Haarfarbe, Finanzinformationen, E-Mail, … * Und diese direkt oder indirekt identifizierbar machen ## Sensible Daten * Personenbezogene Daten, deren bekannt werden einen potentiellen Nachteil mit sich bringen können * Sexuelle Identität, Religiosität, politische Meinung, Gewerkschaftszugehörigkeit, Gesundheitsdaten, Fotos und Videos, … * Gesundheitsdaten bedeuten auch Krankenstandsmeldung! * Sobald signifikater Teil der Verarbeitung sensible Daten umfasst: Da­ten­schutzbe­auf­trag­ter Pflicht! # Verarbeitung ## Umgang mit personenbezogenen Daten * Zugriff darf nur bestimmten Personen gestattet sein * Nur im Rahmen der Tätigkeit wenn begründet * Keine Daten ausserhalb des unbedingt benötigten * Absicherung nach Stand der Technik * Jede Verarbeitung braucht einen Prozess, der im Verfahrensverzeichnis dokumentiert ist ## Erfassung von personenbezogenen Daten * Opt-In: nur erfassen, wenn Person dem zustimmt * Informiertes Einverständnis: Person muss informiert werden, welche Daten zu welchem Zweck erfasst werden * Minimale Erfassung: Anwendungen dürfen nur das unbedingt notwendige erfassen. ## Verantwortlichkeiten & Haftungen * Hauptverantwortlich: Geschäftsführer * Kann Umsetzung delegieren * Haftung kann nicht komplett abgegeben werden * Strafen * 4% des Jahresumsatzes des Unternehmens * € 20 Mio. * Je nachdem was mehr ist! * Tatsächliche Strafe im Ermessen der Da­ten­schutzbehörde ## Verantwortlichkeiten & Haftungen * Auskunftspflicht an Da­ten­schutzbehörde * Meldepflicht entfällt * Verarbeitungsverzeichnis ist Pflicht! # Rechte und Pflichten ## Rechte und Pflichten * Recht auf Auskunft: jede Person kann jederzeit über jede Kontaktmöglichkeit Auskunft über ihre verarbeitete Daten verlangen * Innerhalb von 4 Wochen ab Eingang zu erledigen * In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen ## Rechte und Pflichten * Recht auf Vergessen / Löschung: jede Person kann jederzeit über jede Kontaktmöglichkeit die Löschung ihrer Daten verlangen * Innerhalb von 4 Wochen ab Eingang zu erledigen * In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen * Ausnahme: Löschung aus rechtlichen Gründen nicht möglich ## Rechte und Pflichten * Recht auf Übertragung: jede Person kann jederzeit über jede Kontaktmöglichkeit die Ausfertigung ihrer Daten in einem maschinenlesbaren Format verlangen, zur Übertragung an ein anderes Unternehmen * Innerhalb von 4 Wochen ab Eingang zu erledigen * In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen ## Rechte und Pflichten * Informationspflicht: * bei Datenverlusten (Datendiebstahl) ist innerhalb von 72h ab bekannt werden die Da­ten­schutzbehörde zu informieren * bei sensiblen Daten auch die betroffenen Personen # Verarbeitungsverzeichnis ## Verarbeitungsverzeichnis * Aufzeichnung aller Verarbeitungsvorgänge * Nicht unter 250 Mitarbeitern * Ausnahme * Rechte oder Freiheiten der betroffenen Personen gefährdet * Wenn Daten nicht nur gelegentlich verarbeitet werden * Im Zweifel ist es besser eines zu führen ## Verarbeitungsverzeichnis # Da­ten­schutzbe­auf­trag­ter ## Da­ten­schutzbe­auf­trag­ter * Pflicht für Firmen mit >250 MA *oder* * 10 MA hauptsächlich mit der Verarbeitung beschäftigt sind *oder* * Hauptsächtlich sensible Daten verarbeitet werden * Aufgaben: * Führung des Verarbeitungsverzeichnisses * Kontrolle und Dokumentation der Verarbeitungsprozesse, schon bei der Konzeption # Fragen?