163 lines
5.5 KiB
Markdown
163 lines
5.5 KiB
Markdown
---
|
||
author: Jan Fritz, Peter Ludikovsky, Tomasz Kijas
|
||
date: 2018-03-25
|
||
keywords: Datenschutz, DSGVO, Daten, Persönliche Daten, Sensible Daten
|
||
...
|
||
# <span style="font-size: 95%">Datenschutz - Grundverordnung</span>
|
||
|
||
## Bedeutung für kleine Unternehmen
|
||
|
||
## Inhalt
|
||
|
||
* Was ist die DSGVO
|
||
* Verantwortlichkeiten & Haftungen
|
||
* Personenbezogene Daten
|
||
* Sensible Daten
|
||
* Verarbeitungsverzeichnis
|
||
* Datenschutzbeauftragter
|
||
* Fragen & Antworten
|
||
|
||
## Was ist die DSGVO
|
||
|
||
* Rechtlich Bindende Verordnung der EU
|
||
* Als Verordnung direkt in allen EU-Staaten rechtlich bindend
|
||
* Gültig ab 24. Mai 2016
|
||
* Bindend ab 25. Mai 2018
|
||
* Regelt die Prozesse, Verantwortungen & Strafen bei der Verarbeitung von personenbezogenen Daten
|
||
* Ersetzt die DSG2000
|
||
* Verschärfte Haftung bei Verstößen und Fahrlässigkeiten
|
||
|
||
<aside class="notes">
|
||
* Erfassung = Verarbeitung
|
||
* Nicht nur elektronisch, auch strukturiert auf Papier
|
||
* Strukturiert = mit Index, als Formular z.B.
|
||
* DSG2000: Vieles bereits dort geregelt
|
||
* Unternehmen werden stärker in die Verantwortung genommen
|
||
</aside>
|
||
|
||
# Definitionen
|
||
|
||
## Personenbezogene Daten
|
||
|
||
* Alle Informationen die sich auf eine natürliche Person beziehen
|
||
* Name, Geburtsdatum, Geschlecht, Haarfarbe, Finanzinformationen, E-Mail, …
|
||
* Und diese direkt oder indirekt identifizierbar machen
|
||
|
||
<aside class="notes">
|
||
Beispiel:
|
||
* Direkt: per Name + Geburtsdatum
|
||
* Indirekt: im Unternehmen 15 Männer, 2 Frauen, im Fragebogen M/W zur Auswahl
|
||
</aside>
|
||
## Sensible Daten
|
||
|
||
* Personenbezogene Daten, deren bekannt werden einen potentiellen Nachteil mit sich bringen können
|
||
* Sexuelle Identität, Religiosität, politische Meinung, Gewerkschaftszugehörigkeit, Gesundheitsdaten, Fotos und Videos, …
|
||
* Gesundheitsdaten bedeuten auch Krankenstandsmeldung!
|
||
* Sobald signifikater Teil der Verarbeitung sensible Daten umfasst: Datenschutzbeauftragter Pflicht!
|
||
|
||
<aside class="notes">
|
||
Signifikant: Streitpunkt, wird erst noch von DSB geregelt
|
||
Fotos: Im Mitarbeiterverzeichnis, E-Mail ok, in Verbindung mit Gehaltsdaten unzulässig
|
||
</aside>
|
||
|
||
# Verarbeitung
|
||
## Umgang mit personenbezogenen Daten
|
||
|
||
* Zugriff darf nur bestimmten Personen gestattet sein
|
||
* Nur im Rahmen der Tätigkeit wenn begründet
|
||
* Keine Daten ausserhalb des unbedingt benötigten
|
||
* Absicherung nach Stand der Technik
|
||
* Jede Verarbeitung braucht einen Prozess, der im Verfahrensverzeichnis dokumentiert ist
|
||
|
||
<aside class="notes">
|
||
Für Verarbeitung von Gehaltsdaten ist kein Zugriff auf Geschlecht oder Alter notwendig.
|
||
Ausnahmen bestätigen die Regel
|
||
</aside>
|
||
## Erfassung von personenbezogenen Daten
|
||
|
||
* Opt-In: nur erfassen, wenn Person dem zustimmt
|
||
* Informiertes Einverständnis: Person muss informiert werden, welche Daten zu welchem Zweck erfasst werden
|
||
* Minimale Erfassung: Anwendungen dürfen nur das unbedingt notwendige erfassen.
|
||
|
||
## Verantwortlichkeiten & Haftungen
|
||
|
||
* Hauptverantwortlich: Geschäftsführer
|
||
* Kann Umsetzung delegieren
|
||
* Haftung kann nicht komplett abgegeben werden
|
||
* Strafen
|
||
* 4% des Jahresumsatzes des Unternehmens
|
||
* € 20 Mio.
|
||
* Je nachdem was mehr ist!
|
||
* Tatsächliche Strafe im Ermessen der Datenschutzbehörde
|
||
|
||
## Verantwortlichkeiten & Haftungen
|
||
|
||
* Auskunftspflicht an Datenschutzbehörde
|
||
* Meldepflicht entfällt
|
||
* Verarbeitungsverzeichnis ist Pflicht!
|
||
|
||
# Rechte und Pflichten
|
||
|
||
## Rechte und Pflichten
|
||
|
||
* Recht auf Auskunft: jede Person kann jederzeit über jede Kontaktmöglichkeit Auskunft über ihre verarbeitete Daten verlangen
|
||
* Innerhalb von 4 Wochen ab Eingang zu erledigen
|
||
* In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
|
||
|
||
## Rechte und Pflichten
|
||
|
||
* Recht auf Vergessen / Löschung: jede Person kann jederzeit über jede Kontaktmöglichkeit die Löschung ihrer Daten verlangen
|
||
* Innerhalb von 4 Wochen ab Eingang zu erledigen
|
||
* In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
|
||
* Ausnahme: Löschung aus rechtlichen Gründen nicht möglich
|
||
|
||
<aside class="notes">
|
||
Rechnungsdaten z.B. 7 Jahre aufzuheben
|
||
Alles andere ist zu löschen!
|
||
</aside>
|
||
|
||
## Rechte und Pflichten
|
||
|
||
* Recht auf Übertragung: jede Person kann jederzeit über jede Kontaktmöglichkeit die Ausfertigung ihrer Daten in einem maschinenlesbaren Format verlangen, zur Übertragung an ein anderes Unternehmen
|
||
* Innerhalb von 4 Wochen ab Eingang zu erledigen
|
||
* In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
|
||
|
||
## Rechte und Pflichten
|
||
|
||
* Informationspflicht:
|
||
* bei Datenverlusten (Datendiebstahl) ist innerhalb von 72h ab bekannt werden die Datenschutzbehörde zu informieren
|
||
* bei sensiblen Daten auch die betroffenen Personen
|
||
|
||
# Verarbeitungsverzeichnis
|
||
|
||
## Verarbeitungsverzeichnis
|
||
|
||
* Aufzeichnung aller Verarbeitungsvorgänge
|
||
* Nicht unter 250 Mitarbeitern
|
||
* Ausnahme
|
||
* Rechte oder Freiheiten der betroffenen Personen gefährdet
|
||
* Wenn Daten nicht nur gelegentlich verarbeitet werden
|
||
* Im Zweifel ist es besser eines zu führen
|
||
|
||
<aside class="notes">
|
||
* Rechte und Freiheiten: z.B. Gesundheitsdaten oder Finanzdaten als Hauptverarbeitung
|
||
* Nicht nur gelegentlich: Eine Buchhaltungsfirma, die typischerweise Gehaltsdaten verarbeitet, hat eines zu führen
|
||
</aside>
|
||
|
||
## Verarbeitungsverzeichnis
|
||
|
||
<aside class="notes"> Bild eines Verzeichnisses </aside>
|
||
|
||
# Datenschutzbeauftragter
|
||
|
||
## Datenschutzbeauftragter
|
||
|
||
* Pflicht für Firmen mit >250 MA *oder*
|
||
* 10 MA hauptsächlich mit der Verarbeitung beschäftigt sind *oder*
|
||
* Hauptsächtlich sensible Daten verarbeitet werden
|
||
* Aufgaben:
|
||
* Führung des Verarbeitungsverzeichnisses
|
||
* Kontrolle und Dokumentation der Verarbeitungsprozesse, schon bei der Konzeption
|
||
|
||
# Fragen?
|