Datenschutzschulung 2018 für Beschäftigte gesetzliche … · Datenschutzschulung 2018 für...

Kramer & Partner GbRDipl.-Ing. (FH) Sylvia Kramer und Joachim Kramer

Büro für Datenschutz und Datensicherheit © copyright by Kramer & Partner

Kramer & PartnerDipl.-Ing. (FH) Sylvia Kramer und Joachim Kramer GbR

Büro für Datenschutz und DatensicherheitRichard-Wagner-Straße 11

01445 RadebeulDatenschutz-Hotline: 0800 / 8 338 700

Filiale NRWElsternweg 2442555 Velbert

Fachwissen, Zuverlässigkeit und über 30 Jahre Erfahrung

Datenschutzschulung 2018 für Beschäftigte gesetzliche Vorschriften, Verhaltensmaßnahmen, Fälle aus der Praxis




EuGH Urteil vom 06.10.2015 zum Safe Harbor Abkommen

● der Europäische Gerichtshof erklärt das Safe Harbor Abkommen für ungültig

● das Übermitteln von personenbezogenen Daten an ein betroffenes Unternehmen stellt nun eine illegale Übermittlung in ein Drittland dar

● betroffene Unternehmen sind u. a.: - Microsoft - Google - Facebook

● Nachfolger das Privacy Shield seit dem 12.07.2016 in Kraft

● Unternehmen können sich ab 01.08.2016 bewerben

● EU-Datenschutzbeauftragter und die der Mitgliedstaaten üben Kritik




Aktuelle geltende Datenschutzgesetze

● bereits mit der EU-Richtlinie 95/47/EG von 1995 befasste sich die EU mit einheitlichen Datenschutzbestimmungen; diese wurden durch die Verordnung EU 2016/679 ersetzt (DSGVO)

● in Kraft treten der neuen EU-Datenschutzgrundverordnung (DSGVO) am 24.05.2016

● anwendbares Recht ab dem 25.05.2018 in allen EU-Staaten● BDSG (neu) wurde als Teil des Datenschutz-Anpassungs- und

-Umsetzungsgesetzes EU (DSAnpUG-EU) beschlossen. Diese neueste Fassung des BDSG wird am 25. Mai 2018 mit der Datenschutz-Grundverordnung (DSGVO) in Kraft treten und das noch aktuelle Bundesdatenschutzgesetz (BDSG) vollständig ersetzen.

● andere Gesetze behalten ihre Gültigkeit, insofern sie mit der DSGVO in Einklang stehen oder müssen angepasst werden (z. B.: SGB, StGB, Landesdatenschutzgesetze, kirchliche Datenschutzgesetze etc.)

● bis zum 24.05.2018 gilt das bisherige Bundesdatenschutzgesetz (BDSG)




Datenschutzstrukturen in Deutschlandfür wen gelten welche Gesetze

● Datenschutz ist Ländersache● jedes Bundesland hat eine eigene Aufsichtsbehörde

und einen bzw. eine Landesdatenschutzbeauftragte(n)● die Landesdatenschutzgesetze gelten nur

für öffentliche Stellen (öffentl. Schulen, Behörden,Ämter, gesetzliche Krankenkassen etc.)

● für nichtöffentliche Stellen gilt grundsätzlich das Bundesdatenschutzgesetz (BDSG neu) ab 25.05.2018 und die Datenschutzgrundverordnung (DSGVO)ab 25.05.2018

● das BDSG (neu) und die DSGVO enthalten auch Bestimmungen für den öffentlichen Dienst

● die Bundesdatenschutzbeauftragte, Frau Andrea Voßhoff, ist den Landesdatenschutzbeauftragten nicht vorgesetzt und hat die staatlichen Stellen unter sich (Post, Bahn, Bundeswehr, Bundesnachrichtendienst etc.)Merke: Datenschutz ist Ländersache. Es gilt das Marktortprinzip. (Art. 3 Abs. 2 DSGVO)




Datenkategorien

● anonyme Daten, anonymisierte Daten, Statistikdaten diese Daten finden keinerlei Anwendung im BDSG (neu) bzw. in der DSGVO, wenn ein Rückschluss auf eine Person ausgeschlossen werden kann

● pseudonymisierte Daten lassen einen Rückschluss auf eine Person zu und werden wie personenbezogene Daten behandelt, können aber unter bestimmten Umständen wir anonymisierte Daten verarbeitet werden

● personenbezogene Daten (Art. 4 Nr. 1 DSGVO)● Sozialdaten (§ 67 Abs. 1 SGB X)● besondere Daten (Art. 4 Nr. 13,14 und 15 DSGVO sowie Art. 9 Abs. 1 DSGVO) sind z. B.: Gesundheitsdaten, biometrische Daten, genetrische Daten, Sexual- daten, rassische und ethnische Herkunft, Gewerkschaftszugehörigkeiten, politische Meinungen und weltanschauliche Überzeugungen die Verarbeitung und der Schutz dieser Daten ist besonders geregelt

● Betriebs- und Geschäftsdaten (BGB, HGB, UWG, AO usw.)




Sensibilität der Daten

anonyme Daten

Adressdaten

pers. bez. Daten

Bankdaten

besondere Daten- z. B.: Gesundheitsdaten

im Datenschutz zu treffende Maßnahmen = niedrig

im Datenschutz zu treffende Maßnahmen = sehr hoch

Merke:Je sensibler die Daten sind bzw. je mehr Gefahren für die Rechte und schutzwürdigen Interessen der Betroffenen drohen, je höher müssen die technischen und organisatorischen Maßnahmen im Datenschutz sein.




Frage in die Runde:

Sie übernehmen die Vertretung für eine Kollegin oder einen Kollegen die/der zur Zeit krank ist und unterhalten sich mit dem Patienten bzw. Kunden, als dieser eine Frage stellt:

„Wo ist denn die nette Kollegin, die mich sonst immer betreut?“

Was antworten Sie?




Verarbeitung Daten● Erhebung von Daten ist:

Die Auf- oder Entgegennahme von Daten zum Zweck der Erfassung oder Verarbeitung.

● Verarbeitung von Daten ist:Das Erfassen, Speichern, Bearbeiten, Löschen, Sperren, Drucken, Aufbereiten oder Zusammenführen von Daten.

● Nutzung von Daten ist:Die Verwendung der Daten für einen bestimmten Zweck.

● Übermittlung von Daten ist:Die Übertragung von Daten zu einer internen oder externen Stelle für einen bestimmten Zweck.

Merke: Die DSGVO definiert in Art. 4 Nr. 2 die Verarbeitung. Diese beinhaltet alle oben genannten Punkte die früher, im alten BDSG, einzeln genannt waren.

Um Daten „verarbeiten“ zu können wird immer eine Rechtsgrundlage benötigt. Werden besondere Daten verarbeitet ist eine Datenschutz- folgeabschätzung notwendig.



Büro für Datenschutz und Datensicherheit

Rechtsgrundlagen für die Verarbeitung von Daten

● eine gesetzliche Regelung:Die Verarbeitung (Übermittlung) ist in einem Gesetz geregelt (z. B.: AO,SGB, DEÜV, DSGVO, BDSG (neu) etc.).

● die Einwilligung des Betroffenen:Der Betroffenen willigt schriftlich ein. Wichtig ist, dass die Einwilligungtransparent ist (Zweck, Empfänger, welche Daten etc.), die Einwilligung freiwillig erfolgt und auch ein Widerrufsrecht beinhaltet.

● Auftragsverarbeitung:Wird ein „Dritter“ bzw. ein „Dienstleister“ in die Verarbeitung involviert, kann dies mit Hilfe einer Vereinbarung zur Auftragsverarbeitung (Vertrag) gem. Art. 28 bzw. Art. 29 DSGVO und § 52 BDSG (neu) erfolgen. Wichtig ist, dass der Dienstleister (Auftragsverarbeiter) sorgfältig ausgewählt wird und ausreichend Garantien für die Durchführung der Verarbeitung übernimmt. Der Auftragsverarbeiter darf die Daten nur nach den Weisungen des Verantwortlichen (Auftraggeber) und für den im Vertrag genannten Zweck verarbeiten. Der Auftragsverarbeiter ist dem Betroffenen nach Art. 13 DSGVO mitzuteilen.

© copyright by Kramer & Partner




Auftragsverarbeitung nach Art. 28 und 29 DSGVOsowie § 62 BDSG (neu) bzw. § 80 SGB X

eKVDasi

privates Abrechnungszentrum




Verschwiegenheitspflichten

● Datengeheimnis § 53 BDSG (neu) gilt nur für Justiz/Strafvollzug/Polizei(in der DSGVO gibt es keine Verpflichtung auf das Datengeheimnis aber eine Öffnungsklausel in nationales Recht.)

● Sozialgeheimnis § 35 SGB I

● Wahrung des Privatgeheimnisses § 203 StGB(der § 203 StGB wurde im September 2017 novelliert und bietet nun den Berufsgeheimnisträgern Erleichterung beim Outsourcen bestimmter Dienstleistungen)

● Briefgeheimnis § 202 StGB

● Verletzung der Vertraulichkeit des Wortes § 201 StGB




neue Transparenzgebote

Es gibt neue Transparenzgebote nach Art. 13 DSGVO und § 32 BDSG (neu) wenn Daten direkt beim Betroffenen erhoben werden.

● Neuerdings muss ein Betroffener (Kunde, Patient, Mandant) bei der Erhebung seiner Daten über einige Punkte aufgeklärt werden.

● Diese Aufgabe hat auch auch ein Auftragsverarbeiter, wenn dieser nicht sicher sein kann, dass der Betroffene bereits Bescheid weiß, dass er in die Verarbeitung involviert ist (Art. 14 DSGVO bzw. § 33 BDSG (neu)).

● Im Rahmen der Nachweispflicht muss der Betroffene bestätigen, dass er aufgeklärt wurde (im Internet evtl. durch einen bestätigenden Klick – sonst evtl. durch Unterschrift auf einem Formular).

● Die Transparenzgebote stellen einen erhöhten bürokratischen Mehraufwand dar und ersetzen nicht die Betroffenenrechte.

Nach unserer Auffassung in der Praxis unpraktikabel und doppelt gut gemeint.




Rechte der Betroffenen

● Recht auf informationelle Selbstbestimmung Art. 2 Abs. 1 GG in Verbindung mit Art. 1 Abs. 1 GG

● Recht auf Auskunft (Art. 15 DSGVO und §§ 34, 57 BDSG (neu))

● Recht auf Berichtigung (Art. 16 DSGVO)

● Recht auf Löschung/Recht auf Vergessenwerden (Art. 17 DSGVO und§§ 35, 58 BDSG (neu))

● Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO und § 58 BDSG (neu))

● Recht auf Datenübertragbarkeit (Art. 20 DSGVO)(eine Berechnung ist evtl. zulässig)

● Widerspruchsrecht (Art. 21 DSGVO und § 36 BDSG (neu))

Merke: Die Transparenzgebote bei Datenerhebung und -verarbeitung sind zusammen mit den Betroffenenrechten und den damit verbunden Dokumentationspflichten zentrale Themen der neuen Datenschutzgesetze.




Frage in die Runde:

Ein Kunde bzw. Patient oder Mandant wendet sich an Sie und verlangt Auskunft über seine bei Ihnen gespeicherten Daten.

„Muss ich seinem Auskunftsersuchen nachkommen?“

a) ja, in vollem Umfang

b) ja, aber nur über Daten die elektronisch gespeichert sind

c) ja, in vollem Umfang aber es gibt Ausnahmen

d) nein, er wurde ja vorher über die Verwendung seiner Daten aufgeklärt




Frage in die Runde:

Sie kommen an Ihr Fahrzeug und stellen fest, dass dieses, während Sie beim Kunden waren, aufgebrochen wurde.

Bei der Durchsicht stellen Sie fest, dass Unterlagen/Akten entwendet wurden.

Wie verhalten Sie sich?




Meldepflicht bei Datenschutzpannen

● Passiert bei einem Auftragsverarbeiter eine Datenschutzpanne hat er seinen Auftraggeber davon unverzüglich zu unterrichten (Art. 33 Abs. 2 DSGVO und § 65 Abs. 2 BDSG (neu)).

● Führt die Datenschutzpanne zu einem Risiko für die Rechte und Freiheiten eines Betroffenen oder besteht eine Gefahr für die Rechtsgüter einer natürlichen Person ist die zuständige Aufsichtsbehörde innerhalb von 72 Stunden nach bekannt werden des Vorfalls zu informieren (Art. 33 Abs. 1 DSGVO und § 66 Abs. 1 BDSG (neu)).

● Ferner muss in den oben genannten Fällen der Verantwortliche die Betroffenen informieren (Art. 34 Abs. 1 DSGVO und § 66 Abs. 1 BDSG (neu)).

● Der Inhalt der Meldung ist klar definiert (Art. 33 Abs. 3 und § 65 Abs. 3 BDSG (neu))

Merke: Eine Meldung ist grundsätzlich bei der Verarbeitung besonderer Daten (Gesundheits-, Sexualdaten etc.) sowie bei Bank und Steuerdaten erforderlich. Jede Panne ist genau zu prüfen ob eine Meldung erforderlich ist.




Sicherheit in sozialen Netzen




Frage in die Runde:

Sie möchten sich mit einer Kollegin bzw. einem Kollegen über einen Kunden bzw. Patienten austauschen. Da Sie die Kollegin bzw. den Kollegen nicht persönlich oder telefonisch erreichen, schreiben Sie eine Nachricht per WhatsApp.

Was müssen Sie beachten?




Pizzabestellung im Überwachungsstaat

Frag „Alexa“ oderein Leben mit

Sprachassistenten

Quelle: X3.de




Private Nutzung dienstlicher Telekommunikationseinrichtungen

Das Verbot der privaten Nutzung von dienstlichen Kommunikationseinrichtungen ist kein böser Wille der Geschäftsleitung, sondern eine zwingende Notwendigkeit aus dem Telemedien- und Telekommunikationsgesetz.

Auch das Verbinden privater Datenträger mit dienstlicher Hardware kann strafrechtliche Folgen haben oder eine fristlose Kündigung nach sich ziehen.

Auf einer dienstlichen E-Mail-Adresse dürfen auch nur dienstliche Mails eingehen. Eine private Nutzung sollte verboten werden, da sonst keiner mehr an den E-Mail-Account eines Mitarbeiters, der vielleicht plötzlich erkrankt ist, heran darf. Auch dienstliche Mails können nicht mehr bearbeitet werden, da sich ja private Mails zwischen dienstlichen befinden könnten.




Verhaltensmaßnahmen im Datenschutz

● keine verfänglichen Gespräche in der Öffentlichkeit● Auskünfte am Telefon erst erteilen, wenn das Gegenüber identifiziert

und berechtigt ist● Wenn Faxe gesendet werden, die Zielnummer prüfen● kein Schriftgut in öffentlichen Bereichen liegen lassen● Schriftverkehr und wichtige Dokumente gehören nachts unter

Verschluss● keine Weitergabe von Passwörtern an andere Personen● private von dienstlichen Passwörtern trennen● keine Weitergabe von Schlüsseln für die Sie

verantwortlich sind● keine Schriftstücke, Akten oder Computer sichtbar im

Fahrzeug liegen lassen● das „clean desk“ Prinzip ist zu beherzigen




Frage in die Runde:

Sie haben Schriftstücke mit Personenbezug, die Sie nicht mehr benötigen und die keinen Aufbewahrungsfristen unterliegen?

Was machen Sie mit den Unterlagen?




Vernichtung von Datenträgern:

Unter Bin Raiding versteht man das systematische Durchsuchen von Papiermüll nach verwertbaren Informationen.● in der DIN 66399 wird die datenschutzgerechte Vernichtung von Datenträgern

geregelt● die DIN 66399-1regelt die Grundlagen und Begriffe, definiert die Schutzklassen

und Sicherheitsstufen, die DIN 66399-2 definiert die Anforderung an Maschinen, die zur Vernichtung eingesetzt werden, die DIN 66399-3 regelt den Prozess der Vernichtung

● es gibt 3 Schutzklassen, 6 Materialklassifizierungen und 7 Sicherheitsstufen● Gesundheitsdaten werden beispielsweise in die Schutzklasse 3 einsortiert● handelt es sich um Daten in Papierform ist die Materialklasse = P● werden z. B. nicht mehr benötigte Papierunterlagen vernichtet auf denen auch

Gesundheitsdaten stehen, ist die Sicherheitsstufe mindestens P-4

P-4 bedeutet: Materialteilchenfläche ≤ 160 mm² und für regelmäßige Partikel eine Streifenbreite ≤ 6 mm. Zudem ist noch ein Toleranzbereich angegeben.




Videoüberwachung

● Verbot von Überwachung am Arbeitsplatz (mit Ausnahmen !)● öffentlicher Raum darf nur von öffentlichen Stellen überwacht werden● Toiletten, Waschräume und Umkleiden dürfen nicht überwacht werden● Anbringung von Hinweisschildern erforderlich● vorherige Benachrichtigung der Beschäftigten● Videoüberwachung unterliegt einer Zweckbindung● eine Datenschutzfolgeabschätzung ist grundsätzlich durchzuführen




Mitarbeiterortung durch GPS oder Smartphonetracking

● Mitarbeiter müssen über die Möglichkeit der Ortung informiert werden

● Ortung außerhalb der Arbeitszeit ist verboten● der Zweck der Ortung muss offengelegt werden● die Ortung darf nicht der Mitarbeiterkontrolle dienen● eine Datenschutzfolgeabschätzung ist grundsätzlich

durchzuführen




Kompetenzen der Aufsichtsbehörde

● anlassfreie Kontrolle

● Zutritts- und Kontrollrechte

● Verbot einzelner Verfahren, die nicht datenschutzkonform sind

● Unterrichtung des Betroffenen bei Datenschutzverstößen

● Firmenschließung bei Nichteinhaltung von angeordneten Nachfristen

● Abberufung des Datenschutzbeauftragten

● Erteilung von Bußgeldern

● Bestimmung der Bußgeldhöhe

●Verhängung von Zwangsgeldern

● Strafantragsrecht




Bußgelder/Strafen bei Verstößen

● Bei Verstößen können, je nachdem gegen welchen Artikel der DSGVO verstoßen wurde, Bußgelder in Höhe von bis zu 10.000.000 € bzw. bis zu 20.000.000 € oder 2% bzw. 4% vom weltweiten Jahresumsatz des Unternehmens erhoben werden, je nachdem welcher Betrag höher ist Art. 83 DSGVO und § 43 BDSG (neu) (Strafen auch für Auftragsverarbeiter).

● Die Aufsichtsbehörde stellt sicher, dass die Strafe in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.

● Die Aufsichtsbehörde kann auch Zwangsgelder anordnen wenn Auskünfte der Behörde oder Betroffenen nicht rechtzeitig erteilt werden.

Merke: Nicht nur die Bußgelder sind in schwindelerregende Höhen gestiegen, auch der drohende Imageverlust können ein Unternehmen in den Konkurs treiben.




Die Datenschutzbeauftragten

Frau Dipl.-Ing. (FH) Sylvia Kramer, Herrn Joachim Kramer,

Herrn Stefan Hauzenberger oder Herrn Torsten Gaß

erreichen Sie wochentags von 09:00 – 17:00 Uhr unter der

Kostenlosen Hotline 0800 8338700Kostenlosen Hotline 0800 8338700

oder Sie schreiben eine E-Mail anoder Sie schreiben eine E-Mail an

[email protected]@datenschutz-kramer.de

www.datenschutz-kramer.dewww.datenschutz-kramer.de




Beantwortung von Fragen

Date post:	03-Aug-2018
Category:	Documents
Upload:	doandieu
View:	212 times
Download:	0 times

Datenschutzschulung 2018 für Beschäftigte gesetzliche … · Datenschutzschulung 2018 für...

Documents