233 lines
7.4 KiB
Markdown
233 lines
7.4 KiB
Markdown
[Datenschutz - Grundverordnung]{style="font-size: 95%"}
|
||
============================================================
|
||
|
||
Bedeutung für kleine Unternehmen
|
||
--------------------------------
|
||
|
||
Inhalt
|
||
------
|
||
|
||
- Was ist die DSGVO
|
||
- Definitionen
|
||
- Personenbezogene / Sensible Daten
|
||
- Verarbeitung
|
||
- Umgang mit und Erfassung von personenbezogenen Daten
|
||
- Verantwortlichkeiten & Haftungen
|
||
- Rechte und Pflichten
|
||
- Verarbeitungsverzeichnis
|
||
- Datenschutzbeauftragter
|
||
- Fragen?
|
||
|
||
Was ist die DSGVO
|
||
-----------------
|
||
|
||
- Rechtlich Bindende Verordnung der EU
|
||
- Als Verordnung direkt in allen EU-Staaten rechtlich bindend
|
||
- Gültig ab 24. Mai 2016
|
||
- Bindend ab 25. Mai 2018
|
||
- Regelt die Prozesse, Verantwortungen & Strafen bei der Verarbeitung
|
||
von personenbezogenen Daten
|
||
- Ersetzt die DSG2000
|
||
- Verschärfte Haftung bei Verstößen und Fahrlässigkeiten
|
||
|
||
<aside class="notes">
|
||
- Erfassung = Verarbeitung
|
||
- Nicht nur elektronisch, auch strukturiert auf Papier
|
||
- Strukturiert = mit Index, als Formular z.B.
|
||
- DSG2000: Vieles bereits dort geregelt
|
||
- Unternehmen werden stärker in die Verantwortung genommen
|
||
|
||
</aside>
|
||
Definitionen
|
||
============
|
||
|
||
Personenbezogene Daten
|
||
----------------------
|
||
|
||
- Alle Informationen die sich auf eine natürliche Person beziehen
|
||
- Name, Geburtsdatum, Geschlecht, Haarfarbe, Finanzinformationen,
|
||
E-Mail, …
|
||
- Und diese direkt oder indirekt identifizierbar machen
|
||
|
||
<aside class="notes">
|
||
Beispiel:
|
||
|
||
- Direkt: per Name + Geburtsdatum
|
||
- Indirekt: im Unternehmen 15 Männer, 2 Frauen, im Fragebogen M/W zur
|
||
Auswahl
|
||
|
||
</aside>
|
||
Sensible Daten
|
||
--------------
|
||
|
||
- Personenbezogene Daten, deren bekannt werden einen potentiellen
|
||
Nachteil mit sich bringen können
|
||
- Sexuelle Identität, Religiosität, politische Meinung,
|
||
Gewerkschaftszugehörigkeit, Gesundheitsdaten, Fotos und Videos,
|
||
…
|
||
- Gesundheitsdaten bedeuten auch Krankenstandsmeldung!
|
||
- Sobald signifikater Teil der Verarbeitung sensible Daten umfasst:
|
||
Datenschutzbeauftragter Pflicht!
|
||
|
||
<aside class="notes">
|
||
- Signifikant: Streitpunkt, wird erst noch von DSB geregelt
|
||
- Fotos: Im Mitarbeiterverzeichnis, E-Mail ok, in Verbindung mit
|
||
Gehaltsdaten unzulässig
|
||
|
||
</aside>
|
||
Verarbeitung
|
||
============
|
||
|
||
Umgang mit personenbezogenen Daten
|
||
----------------------------------
|
||
|
||
- Zugriff darf nur bestimmten Personen gestattet sein
|
||
- Nur im Rahmen der Tätigkeit wenn begründet
|
||
- Keine Daten ausserhalb des unbedingt benötigten
|
||
- Absicherung nach Stand der Technik
|
||
- Jede Verarbeitung braucht einen Prozess, der im
|
||
Verfahrensverzeichnis dokumentiert ist
|
||
|
||
<aside class="notes">
|
||
- Für Verarbeitung von Gehaltsdaten ist kein Zugriff auf Geschlecht
|
||
oder Alter notwendig.
|
||
- Ausnahmen bestätigen die Regel
|
||
- Details zu Verfahrensverzeichnis später
|
||
|
||
</aside>
|
||
Erfassung von personenbezogenen Daten
|
||
-------------------------------------
|
||
|
||
- Opt-In: nur erfassen, wenn Person dem zustimmt
|
||
- Informiertes Einverständnis: Person muss informiert werden, welche
|
||
Daten zu welchem Zweck erfasst werden
|
||
- Minimale Erfassung: Anwendungen dürfen nur das unbedingt notwendige
|
||
erfassen.
|
||
|
||
Verantwortlichkeiten & Haftungen
|
||
--------------------------------
|
||
|
||
- Hauptverantwortlich: Geschäftsführer
|
||
- Kann Umsetzung delegieren
|
||
- Haftung kann nicht komplett abgegeben werden
|
||
- Strafen
|
||
- 4% des Jahresumsatzes des Unternehmens
|
||
- € 20 Mio.
|
||
- Je nachdem was mehr ist!
|
||
- Tatsächliche Strafe im Ermessen der Datenschutzbehörde
|
||
<aside class="notes">
|
||
Abgegebene Verantwortung kann nur soweit übernommen werden wie
|
||
entsprechende Ausbildung vorhanden ist Strafen für vorsätzliches
|
||
Fehlverhalten sicher höher als einfache Versäumnisse Schlecht
|
||
geführtes Verfahrensverzeichnis < kein Verfahrensverzeichnis Zu
|
||
lasche Zugriffssicherung < Keine Zugriffssicherung
|
||
</aside>
|
||
|
||
Verantwortlichkeiten & Haftungen
|
||
--------------------------------
|
||
|
||
- Auskunftspflicht an Datenschutzbehörde
|
||
- Meldepflicht für neue Anwendungen entfällt
|
||
- Verarbeitungsverzeichnis ist Pflicht!
|
||
|
||
<aside class="notes">
|
||
DSG2000: Jede Verarbeitung muss vorher gemeldet werden. Entfällt bei
|
||
DSGVO DSB kann jederzeit ohne Ankündigung Kontrollen durchführen
|
||
</aside>
|
||
Rechte und Pflichten
|
||
====================
|
||
|
||
Rechte und Pflichten
|
||
--------------------
|
||
|
||
- Recht auf Auskunft: jede Person kann jederzeit über jede
|
||
Kontaktmöglichkeit Auskunft über ihre verarbeitete Daten verlangen
|
||
- Innerhalb von 4 Wochen ab Eingang zu erledigen
|
||
- In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
|
||
<aside class="notes">
|
||
Jede! Kontaktmöglichkeit! Telefon, Fax, Email, Brief, …
|
||
**Aber**: Person muss ggf. genug Angaben für exakte
|
||
Identifikation bekannt geben, und muss ggf. Identität nachweisen
|
||
(Ausweiskopie, …) Prozess muss ggf auch ins
|
||
Verfahrensverzeichnis Antwort muss bei sensiblen Daten gesichert
|
||
sein: physisches Medium / verschlüsselt / verschlossener Brief
|
||
</aside>
|
||
|
||
Rechte und Pflichten
|
||
--------------------
|
||
|
||
- Recht auf Vergessen / Löschung: jede Person kann jederzeit über jede
|
||
Kontaktmöglichkeit die Löschung ihrer Daten verlangen
|
||
- Innerhalb von 4 Wochen ab Eingang zu erledigen
|
||
- In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
|
||
- Ausnahme: Löschung aus rechtlichen Gründen nicht möglich
|
||
|
||
<aside class="notes">
|
||
Rechnungsdaten z.B. 7 Jahre aufzuheben Alles andere ist zu löschen!
|
||
|
||
Sonst gelten gleiche Bedingungen wie bei Auskunft
|
||
</aside>
|
||
Rechte und Pflichten
|
||
--------------------
|
||
|
||
- Recht auf Übertragung: jede Person kann jederzeit über jede
|
||
Kontaktmöglichkeit die Ausfertigung ihrer Daten in einem
|
||
maschinenlesbaren Format verlangen, zur Übertragung an ein anderes
|
||
Unternehmen
|
||
- Innerhalb von 4 Wochen ab Eingang zu erledigen
|
||
- In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
|
||
<aside class="notes">
|
||
Gleiche Bedingungen wie bei Auskunft
|
||
</aside>
|
||
|
||
Rechte und Pflichten
|
||
--------------------
|
||
|
||
- Informationspflicht:
|
||
- bei Datenverlusten (Datendiebstahl) ist innerhalb von 72h ab
|
||
bekannt werden die Datenschutzbehörde zu informieren
|
||
- bei sensiblen Daten auch die betroffenen Personen
|
||
|
||
Verarbeitungsverzeichnis
|
||
========================
|
||
|
||
Verarbeitungsverzeichnis
|
||
------------------------
|
||
|
||
- Aufzeichnung aller Verarbeitungsvorgänge
|
||
- Nicht unter 250 Mitarbeitern
|
||
- Ausnahme
|
||
- Rechte oder Freiheiten der betroffenen Personen gefährdet
|
||
- Wenn Daten nicht nur gelegentlich verarbeitet werden
|
||
- Im Zweifel ist es besser eines zu führen
|
||
|
||
<aside class="notes">
|
||
- Rechte und Freiheiten: z.B. Gesundheitsdaten oder Finanzdaten als
|
||
Hauptverarbeitung
|
||
- Nicht nur gelegentlich: Eine Buchhaltungsfirma, die typischerweise
|
||
Gehaltsdaten verarbeitet, hat eines zu führen
|
||
|
||
</aside>
|
||
Verarbeitungsverzeichnis
|
||
------------------------
|
||
|
||
<aside class="notes">
|
||
Bild eines Verzeichnisses
|
||
</aside>
|
||
Datenschutzbeauftragter
|
||
============================
|
||
|
||
Datenschutzbeauftragter
|
||
----------------------------
|
||
|
||
- Pflicht für Firmen mit >250 MA *oder*
|
||
- 10 MA hauptsächlich mit der Verarbeitung beschäftigt sind *oder*
|
||
- Hauptsächtlich sensible Daten verarbeitet werden
|
||
- Aufgaben:
|
||
- Führung des Verarbeitungsverzeichnisses
|
||
- Kontrolle und Dokumentation der Verarbeitungsprozesse, schon bei
|
||
der Konzeption
|
||
|
||
Fragen?
|
||
=======
|