Schreckgespenst neuer Datenschutz 49. Bildungswoche der österreichischen Holzbau und Zimmermeister in Alpbach

Transkript

1 Schreckgespenst neu Datenschutz 49. Bildungswoche d östreichischen Holzbau und Zimmmeist in Alpbach Mag. Florian Brutt Jänn 2018

2 Schutz des Menschen Jedmann hat, insbesonde auch im Hinblick auf die Achtung seines Privatund Familienlebens, Anspruch auf Geheimhaltung sein psonenbezogenen Daten (Grundrecht auf Datenschutz) Kunden und Mitarbeit Untnehmen Anspruch auf Geheimhaltung Vpflichtung zur Geheimhaltung (aktiv und passiv)

3 Grundlagen Psonenbezogene Daten (normale Daten) Alle Informationen, die sich auf eine natürliche Pson beziehen ( betroffene Pson ) Identifizibar ist eine Pson z.b. üb: Wohnadresse, Passnumm, Telefonnumm, -Adresse, IP-Adresse, Foto, Kfz-Kennzeichen, Geburtsdatum, Größe, Gewicht, Ausbildung, Einkommen- und Vmögensvhältnisse, Sozialvsichungsnumm, Familienstand, Vtrauenspsonen, Vorlieben, Wünsche, Erwartungen, Geschäftsbearbeitung durch Mitarbeit Das technische Format, mit dem psonenbezogene Daten varbeitet wden, ist nicht von Belang (z.b. angekaufte od selbst programmite Software, Excel, Access, Word, Outlook, Foto, Videoaufnahme, Audioaufnahme od Papiordn od -listen)

4 Grundlagen Sensible Daten (besonds geschützte Daten) Rassische und ethnische Hkunft politische Meinungen religiöse od weltanschauliche Übzeugungen Gewkschaftszugehörigkeit genetische Daten biometrische Daten Daten zum Sexualleben od zur sexuellen Orientiung Gesundheitsdaten Weite Begriffsauslegung, d.h. nicht nur Behindungen und Beeinträchtigungen sondn z.b. auch Diagnosen, Allgien, Unvträglichkeiten, subjektive Beschwden, Alkohol- und Medikamentenmissbrauch

5 Östreich Datenschutzgesetz 1. Jänn 1980 Datenschutzgesetz Jänn 2000 EU-DSGVO + Datenschutzgesetz 25. Mai 2018

6 1. Rechtsgrundlagen Sensible Daten Nicht sensible Daten Gesetzliche Regelungen (z.b. Medizinproduktegesetz) Gesetzliche Regelungen (z.b. Aufenthaltsabgabegesetz) Geltendmachung, Ausübung bzw. Vteidigung von Rechtsansprüchen Erfüllung vtraglich Pflichten (z.b. Kauf-, Wk-, od Behbgungsvtrag) Abwicklung Arbeits- und Sozialrecht Übwiegende bechtigte Intessen (insb. Direktmarketing) Einwilligung d betroffenen Pson Einwilligung d betroffenen Pson

7 Vzeichnis d Varbeitungstätigkeiten D Vantwortliche hat ein Vzeichnis üb alle in sein Zuständigkeit liegenden Varbeitungstätigkeiten zu führen, das folgende Angaben enthält: a) Namen und Kontaktdaten des Untnehmens, des Vtrets des Vantwortlichen sowie eines allfälligen Datenschutzbeauftragten b) Die Zwecke d Varbeitung c) Eine Beschreibung d Kategorien betroffen Psonen und d Kategorien psonenbezogen Daten d) Die Kategorien von n, gegenüb denen die psonenbezogenen Daten offengelegt worden sind od noch offengelegt wden, einschließlich in Drittländn (z.b. Auftraggeb od Kunden) od intnationalen Organisationen e) Übmittlungen von psonenbezogenen Daten an ein Drittland (gesondte Auflistung d Länd) od an eine intnationale Organisation im Drittland f) Wenn möglich, die vorgesehenen Fristen für die Löschung d vschiedenen Datenkategorien g) Wenn möglich, eine allgemeine Beschreibung d getroffenen Sichheitsmaßnahmen

8 Varbeitungsvzeichnis Kategorien d betroffenen Psonengruppe aus Punkt 1 des C-Blattes Lfd. Nr. Datenkategorien Besonde Datenkategorien isd Art 9 DSGVO, strafrechtlich relevant isd Art 10 DSGVO 1 1 (od Angabe d Psonenkategorie aus Punkt 1 des C- Blattes, zb Kunden )

9 Vzeichnis d Varbeitungstätigkeiten Must d Wirtschaftskamm Östreich Datenschutz-Grundvordnung:-Dokumentationspflicht.html Standard- und Must- Vordnung 2004 Orientiung an registriten Meldungen in DVR-Online

10 4. Geeignete technische und organisatorische Maßnahmen (TOMs) Mke: Im sten Schritt ist zu prüfen, ob die Datenvarbeitung rechtmäßig ist (siehe zuvor die Rechtsgrundlagen). Im zweiten Schritt ist die Rechtmäßigkeit durch entsprechende Maßnahmen abzusichn Mke: Bei d Auswahl d Maßnahmen ist zumindest eine qualitative Risikobewtung vorzunehmen, die die Schwe des Risikos für die Rechte und Freiheiten d betroffenen Psonen bücksichtigt und zu ein d beiden Risikoklassen normal od hoch führt Bei d Varbeitung von sensiblen Daten od von Daten, den Varbeitung für die Betroffenen bedeutende Auswirkungen haben können, ist genell die Risikoklasse hoch zu untstellen, wenn eine Vielzahl von Psonen betroffen ist und auch mehre Mitarbeit des Untnehmens an d Datenvarbeitung beteiligt sind o z.b. Varbeitung von Gesundheitsdaten, Kreditscoring und Übprüfungen/Ztifiziungen) Mke: TOMs sind regelmäßig zu evaluien und gegebenenfalls anzupassen (Audit)

11 Bewbdatenbank

12 Umgang mit Mitarbeitdaten

13 Anpassungen im Psonalbeich

14 Datensichheitsmaßnahmen Datenträg, Ordn, und sensible Information abgesprt vwahren Sensible Informationen vnichten Keine Passwortweitgabe Sofortige Bildschirmspre Clear Desk Policy Fehlausdrucke im Druck abholen Online-Ratgeb It-Safe it-safe.wkoratgeb.at IT-Sichheitshandbuch für Mitarbeit Östreichisches Informationssichheitshandbuch

15 Clear Desk Policy

16 Nützliche links Informationsangebot d Wirtschaftskammn Online-Ratgeb DSGVO ab dsgvo.wkoratgeb.at Ratgeb zu den Informationspflichten DSGVO ab dsgvo-informationsvpflichtungen.wkoratgeb.at Online-Ratgeb It-Safe it-safe.wkoratgeb.at Östreichisches Informationssichheitshandbuch