Digital aber sicher - Datensicherheit und Datenschutz in Ihrem KMU Prof. Dr. Frank Ortmeier (OvGU Magdeburg) Sebastian Nielebock (OvGU Magdeburg) Mykhailo Nykolaichuk (OvGU Magdeburg) 25.10.2018
Hinweis Alle in diesem Vortrag dargestellten Informationen entsprechen keiner Rechtsberatung bzw. ersetzen keine rechtliche Beratung. Sie stellen lediglich die persönliche Wahrnehmung des Vortragenden wider. Der Vortragende übernimmt keine Haftung für eventuelle Folgeschäden, insbesondere rechtlicher Natur, die aus fehlerhaften Handlungen, die aus diesem Vortrag herrühren, entstehen.
https://heise.de/-4198972
Personenbezogene Daten (I) alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person [ ] beziehen (DSGVO Artikel 4) Direkt Indirekt
Personenbezogene Daten (II)
Datensicherheit vs. Datenschutz
5 Schritte zum DSGVO konformen Datenschutzkonzept
Datenschutzkonzept
Allgemein Datenschutzverantwortlicher notwendig ab 10 Mitarbeitern, die ständig auf personenbezogene Daten zugreifen bei besonders sensiblen personenbezogenen Daten ggf. extern Rechtsberatung Anwaltstermin IT-Experten Technische Maßnahmen Regelmäßiges Testen Verbesserung nach Stand der Technik
Datenschutzkonzept für die Meier Elektrik GmbH gegründet 2008 Unternehmen mit 8 Mitarbeitern ca. 1200 Kunden ca. 12 Zulieferer interne Buchführung externe Steuerberatung
IT-Infrastruktur Meier Elektrik GmbH
Geschäftsprozess Auftrag anlegen Benötigte Daten Legitimierung Legitimierte Personen Verwendung/Zweck Speicherung der Daten Kommunikation Daten Datenweitergabe Löschstrategie Informationsrecht Dokumentation Technische und Organisatorische Maßnahmen
Geschäftsprozess Auftrag anlegen (I) Benötigte (personenbezogene) Daten Kundenname Kundenadresse Telefonnummer E-Mail-Adresse Anliegen/Auftragsinhalt
Geschäftsprozess Auftrag anlegen (II) Legitimierung DSGVO Artikel 6 Rechtmäßigkeit der Verarbeitung (1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden. Bedingungen erfüllt ist: [ ] b) Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen [ ] Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
Geschäftsprozess Auftrag anlegen (III) Verwendungszweck Finanzbuchhaltung Kommunikation mit Kunde bspw. Terminabsprachen Anlegen von Folgeaufträgen Logistik/Einkauf
Geschäftsprozess Auftrag anlegen (IV) Speicherung der Daten Wo Rechner mit Netzwerkverzeichnis Name und Telefonnummer auf Firmen- Smartphones Webseitenserver (Auftrag über Webseitenformular) Finanzbuchhaltungssoftware Logistiksoftware E-Mail-Programm als Cloud-Lösung Wie Textuell Excel-Tabelle SQL-Datenbank
Geschäftsprozess Auftrag anlegen (V) Datenweitergabe Zulieferfirmen/Subunternehmen alle Auftragsdaten für Auftragszeit DATEV alle Auftragsdaten IT-Dienstleister Auftragsdaten über Webformular Vertragliche Regelungen mit Partnern ( Auftragsverarbeitung )
Geschäftsprozess Auftrag anlegen (VI) Informationsrecht Datenschutzerklärung Webseite Leitfaden des Kompetenzzentrums Saarbrücken Auskunft über Verantwortlichen Daten Legitimation Zwecke Speicherorte Personenzugriffe/Weitergabe Rechte Betroffener
Geschäftsprozess Auftrag anlegen (VII) Dokumentation Datenschutzkonzept Datenzugriffe Umsetzung und Anpassung von technischen und organisatorischen Maßnahmen
Datenschutzkonzept für Ihr Unternehmen Mittelstand 4.0 Blog-Eintrag Leitfaden