33
www.sevian7.com/ www.dsgvo2018.at / www.digital-coaches.at / derschenner.at Verfasser: Gerald Kortschak Thema: DSGVO/DSG (Was – Wie – bitte konkret)
www.sevian7.com/www.dsgvo2018.at/www.digital-coaches.at /derschenner.at
Verfasser:GeraldKortschakThema:DSGVO/DSG(Was– Wie– bittekonkret)
www.sevian7.com/www.dsgvo2018.at/www.digital-coaches.at /derschenner.at
Dipl.-Ing.GeraldKortschak,BSc,CMC
• Selbständigseit2001• IT-Systeme&Unternehmensberatung• Zertifizierungen:CMC,CDISE,CDC,geprüfterDatenschutzexperte• IT-SecurityExpertGroup,Spr.Ö• FH-Lektor:FHSt.Pölten• DSGVO-Vorträge&Workshops• DSGVO-Begleitung(0-2400MA)
www.sevian7.com/www.dsgvo2018.at/www.digital-coaches.at /derschenner.at
Quelle:WKÖInformationsfolderJuni2017
FAKTEN
www.sevian7.com/www.dsgvo2018.at/www.digital-coaches.at /derschenner.at
WelcheTeilesindbetroffen?
Quelle:https://www.wko.at/branchen/information-consulting/unternehmensberatung-buchhaltung-informationstechnologie/it-dienstleistung/it-dienstleister-als-datenschutzbeauftragter.html
www.sevian7.com/www.dsgvo2018.at/www.digital-coaches.at /derschenner.at
AnleitungVdV – Die8Ws!• (weralsVerantwortlicherbenanntwird)WER• (welcheDaten-Kategorienerfasstwerden)WAS• (Datengespeichertundverarbeitetwerden– betroffeneSysteme,)WO• (wasistderRechtsgrundderzurAnwendungkommt)WARUM•(ZweckderjeweiligenDatenverarbeitung)WOZU• (wennDatenweitergegebenwerden- anwenwerdendieDatenübergeben,auchobinnerhalbderEUoderDrittland)WOHIN
• (werdenDatengespeichert– welcheLöschfristenkommenzurAnwendung)WIELANGE• (welcheDatensicherheitsmaßnahmenwerdenergriffen).WIESICHER
www.sevian7.com/www.dsgvo2018.at/www.digital-coaches.at /derschenner.at
RolleninderDSGVO
VERANTWORTLICHER(Auftraggeber)
AUFTRAGSVERARBEITER(Auftragnehmer)
BETROFFENE(R)Dritte/r
EMPFÄNGER
?
www.sevian7.com/www.dsgvo2018.at/www.digital-coaches.at /derschenner.at
UmwelcheDatengehtesüberhaupt?
www.sevian7.com/www.dsgvo2018.at/www.digital-coaches.at /derschenner.at
physiologische
UmwelcheDatengehtes?alleInformationen,diesichaufeineidentifizierteoderidentifizierbarenatürlichePerson beziehen:
physische wirtschaftliche
psychische
soziale
kulturellegenetische
Name, Adresse, Geburtsdatum, Bankdaten, etc.
www.sevian7.com/www.dsgvo2018.at/www.digital-coaches.at /derschenner.at
ethnischeHerkunft
rassischeHerkunft
politischeMeinung
Religion
Weltanschauung
Gewerkschafts-zugehörigkeit
sexuelleOrientierung
„genetische Daten“ personenbezogene Daten zu den ererbten odererworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutigeInformationen über die Physiologie oder die Gesundheit dieser natürlichenPerson liefern und insbesondere aus der Analyse einer biologischen Probe derbetreffenden natürlichen Person gewonnen wurden.
„biometrische Daten“mit speziellen technischen Verfahren gewonnene personenbezogene Daten zuden physischen, physiologischen oder verhaltenstypischen Merkmalen einernatürlichen Person, die die eindeutige Identifizierung dieser natürlichen Personermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten.
„Gesundheitsdaten“personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheiteiner natürlichen Person, einschließlich der Erbringung vonGesundheitsdienstleistungen, beziehen und aus denen Informationen über derenGesundheitszustand hervorgehen.
www.sevian7.com/www.dsgvo2018.at/www.digital-coaches.at /derschenner.at
WasbedeutetDatenverarbeitung?jedermitoderohneHilfeautomatisierterVerfahrenausgeführterVorgangimZusammenhangmitpersonenbezogenenDaten
Speichern
Erheben
OrdnenAbfragen
Verbreiten
Löschen
Einschränken
VernichtenOrganisieren
!AuchmanuelleDaten unterliegenderDSGVO,wennsieineinemDateisystemgespeichertsindundeinergewissenOrdnungunterliegen.
TC
www.sevian7.com/www.dsgvo2018.at/www.digital-coaches.at /derschenner.at
DIEDSGVOUNTERSAGT
DIEVERARBEITUNG
außer...
www.sevian7.com/www.dsgvo2018.at/www.digital-coaches.at /derschenner.at
RechtmäßigkeitderVerarbeitung1/2
lebenswichtigesInteressedesBetroffenen
z.B.:MedizinischerBereich
ErfüllungrechtlicherVerpflichtung,z.B.:
Rechnungslegung(Finanzrecht) Mitarbeiter-Abrechnung(Sozialversicherungsnummer)
VerarbeitungfürErfüllungeinesVertragesnotwendig
z.B.:Online-Bestellungà Lieferadresse Angebotslegung,Auftragserfüllung,...
GenerellVerbotsgesetz,außer:
www.sevian7.com/www.dsgvo2018.at/www.digital-coaches.at /derschenner.at
RechtmäßigkeitderVerarbeitung2/2GenerellVerbotsgesetz,außer:
EinwilligungseitensdesBetroffenenliegtvor
BedingungenfürEinwilligungerfüllen! Achtung:EigeneBedingungenfürEinwilligungeinesKindes
AnonymisierteVerarbeitung
KeineIdentifizierungderbetroffenenPersonmöglich
WahrungeinesberechtigtenInteressesdesVerantwortlichen
Betrugsverhinderung(ErwG:47) Direktwerbung(ErwG:47)
www.sevian7.com/www.dsgvo2018.at/www.digital-coaches.at /derschenner.at
Zustimmungserklärungwie?
WelcheDatenarten(Name,Geburtsdatum,...)werden
zuwelchemZweck(zBNewsletter)gespeichertund/oder
anwenübermittelt?(Firma,Land,Zweck)
Widerrufsbelehrung
schriftlichempfohlen!
www.sevian7.com/www.dsgvo2018.at/www.digital-coaches.at /derschenner.at
TOMs(techn.&organ.Maßnahmen
www.sevian7.com/www.dsgvo2018.at/www.digital-coaches.at /derschenner.at
“geeignete“TOM–techn.undorg.Maßnahmen
• diePseudonymisierung undVerschlüsselung personenbezogenerDaten;• dieFähigkeit,dieVertraulichkeit,Integrität,VerfügbarkeitundBelastbarkeit derSystemeundDiensteimZusammenhangmitderVerarbeitungaufDauersicherzustellen;• dieFähigkeit,dieVerfügbarkeitderpersonenbezogenenDatenunddenZugangzuihnen beieinemphysischenodertechnischenZwischenfallraschwiederherzustellen;• einVerfahrenzurregelmäßigenÜberprüfung,BewertungundEvaluierungderWirksamkeitdertechnischenundorganisatorischenMaßnahmenzurGewährleistungderSicherheitderVerarbeitung.
x
www.sevian7.com/www.dsgvo2018.at/www.digital-coaches.at /derschenner.at
Datensicherheitsmaßnahmen(§54DSG[fürBehörden])
Risikobewertung Maßnahme
Zugangskontrolle
Datenträgerkontrolle
Speicherkontrolle
Benutzerkontrolle
Zugriffskontrolle
Übertragungskontrolle
Eingabekontrolle
Transportkontrolle
Wiederherstellung
stabilesSystem:Zuverlässigkeit/Datenintegrität
www.sevian7.com/www.dsgvo2018.at/www.digital-coaches.at /derschenner.at
TOMS
• BeispielKundenkarteiinPapierformNotebook,Tablet,SmartphoneUSB-Sticks...• BeiIT-Systemsindinsbesondere,Zugriffskontrollen(sicherePasswörter),Pseudonymisierung undVerschlüsselungssysteme,Firewalls,Spam-Filter,Anti-Viren-ProgrammeundBackupswichtig.
www.sevian7.com/www.dsgvo2018.at/www.digital-coaches.at /derschenner.at
DruckeralsSicherheitslücke
www.sevian7.com/www.dsgvo2018.at/www.digital-coaches.at /derschenner.at
Transaktionsdruck
• Einleger• Schreiber• Zusammenstellung• divweiterePartner
KontrolledesDatenflusseserschwert.PotentialfürOEMslt.Druckerhersteller-Branche.
www.sevian7.com/www.dsgvo2018.at/www.digital-coaches.at /derschenner.at
RechtederBetroffenen
www.sevian7.com/www.dsgvo2018.at/www.digital-coaches.at /derschenner.at
DSGVO– RechtederbetroffenenPersonenAuskunftsrecht(Art.15)
Berichtigung(Art.16)
Löschung(Art.17)– RechtaufVergessenwerden
Widerspruch(Art.21)
EinschränkungderVerarbeitung(Art.18)
RechtaufDatenübertragbarkeit(Art.20)
WK
www.sevian7.com/www.dsgvo2018.at/www.digital-coaches.at /derschenner.at
RechtaufLöschungDemVerlangenistgrundsätzlichFolgezuleisten,esseidennspezielleAblehnungsgründeliegenvor.DerwichtigsteAblehnungsgrundsind
diegesetzlichen Aufbewahrungsfristen.
Daten,dienuraufgrundeinerEinwilligunglängeralsdiegesetzlichenFristengespeichertwurden,sindaufVerlangendesBetroffenenumgehendzulöschen.
ImVerarbeitungsverzeichnissinddieAufbewahrungsfristen,wennmöglich,ebenfalls
anzuführen.
www.sevian7.com/www.dsgvo2018.at/www.digital-coaches.at /derschenner.at
Aufbewahrungsfristen- Allgemein• SteuerrechtlicheAufbewahrungspflichtnach§ 132Abs 1BAO: 7Jahre• UnternehmensrechtlicheAufbewahrungspflichtnach§§ 190,212UGB: 7Jahre• AllgemeinerSchadenersatznach§ 1489ABGB(Entschädigungsklagen):3Jahre (wennSchadenundSchädigerbekannt)/ansonsten 30Jahre
www.sevian7.com/www.dsgvo2018.at/www.digital-coaches.at /derschenner.at
RechtaufDatenübertragbarkeit
• Beispiel:EinKundemöchtedieDruckereiwechselnundseineDatenmitnehmen.UmdiePflichtzuerfüllenreichtesaus,ihmdieDatenineinemgängigenFormat(Word,Excel,…elektronisch(E-Mail,USB-Stick,…)zukommenzulassen.
• PDFssolltenhierfürnichtverwendetwerden
• Voraussetzung:• automatisierteVerarbeitung• giltnichtfürPapier
www.sevian7.com/www.dsgvo2018.at/www.digital-coaches.at /derschenner.at
Datenschutzbeauftrager &Risiko
www.sevian7.com/www.dsgvo2018.at/www.digital-coaches.at /derschenner.at
FAZIT
www.sevian7.com/www.dsgvo2018.at/www.digital-coaches.at /derschenner.at
10WegpunktezurDSGVOFeststellungIST-Zustand
BestellungDatenschutzbeauftragterja/nein
DokumentationderVerarbeitungsvorgänge
Datenschutz-Folgenabschätzung
MeldungvonVerstößen
VerträgemitAuftragsverarbeitern
FormulareprüfenundAnpassen
Informationspflichten/Betroffenenrechte
Sicherheitsmaßnahmen
Mitarbeiterschulungen
www.sevian7.com/www.dsgvo2018.at/www.digital-coaches.at /derschenner.at
Verfahrensverzeichnis
Stammdatenblatt
Logbuch AntworttexteBegehren
Data-Breach-Notification
TOMs Verträge
www.sevian7.com/www.dsgvo2018.at/www.digital-coaches.at /derschenner.at
WKhilft
BP
Förderungfür:WIFI-KurseBeratungen(FokusC)vonCertifiedData&ITSecurityExpert50%bismax.€1.000,--Potential-Analysezu100%gefördert(CertifiedDigitalConsultant)
OnlineHilfestellungenundTipps:• wko.at/datenschutz
MitRatundTat:RechtsserviceWK-STMK0316/601- 601
IhreFachgruppe
www.sevian7.com/www.dsgvo2018.at/www.digital-coaches.at /derschenner.at
www.sevian7.com/www.dsgvo2018.at/www.digital-coaches.at /derschenner.at
Ing.DI(FH)HaraldSCHENNER,CMCundDIGeraldKortschak,BSc,CMCwww.derSchenner.at |www.sevian7.com
www.dsgvo2018.at
GeprüfteDatenschutz-Experten
www.sevian7.com/www.dsgvo2018.at/www.digital-coaches.at /derschenner.at
Wirweisenausdrücklichdaraufhin,dassessichbeidenvorliegendenUnterlagenumeinunentgeltlichesServicederAutorenhandeltunddieInformationenkeineUnternehmensberatungdarstellen.JeglicheHaftungfürdieAktualität,RichtigkeitundVollständigkeitderdargestelltenInformationenwirdausgeschlossen.
AlleRechte,insbesonderedasRechtderVervielfältigungundVerbreitungsowiederÜbersetzung,vorbehalten.KeinTeildieserPowerPoint-PräsentationdarfinirgendeinerForm(durchFotokopie,MikrofilmodereinanderesVerfahren)ohneschriftlicheGenehmigungderAutorenreproduziertoderunterVerwendungelektronischerSystemegespeichert,verarbeitet,vervielfältigtoderverbreitetwerden.
DiefürSchulenundHochschulenvorgesehenefreieWerknutzung„VervielfältigungzumeigenenSchulgebrauch“giltfürdiesesWerknicht,weilesseinerBeschaffenheitundBezeichnungnachnichtzumUnterrichtsgebrauchbestimmtist.
