Basisschulung DSGVO Schritt 1 von 12 8% Herzlich willkommen zur DSGVO SchulungUnternehmensname Teilnehmer/in Vorname Nachname Abteilung Ihre E-Mail Adresse Diese benötigen wir, um Ihnen Ihr Zertifikat zuzuschicken. Inhalt Was ist die EU-Datenschutzgrundverordnung? Was ist Datenschutz? Was sind personenbezogene Daten? Wer sind die Akteure im Datenschutz Was sind die Grundsätze der Verarbeitung personenbezogener Daten? Was ist der Unterschied zwischen Data Protection by Design & by Default Rechte der betroffenen Person und Pflichten des Verantwortlichen Datenübermittlung ins Nicht-EU-Ausland Sonderthemen Allgemeine IT-Sicherheit Was ist die EU-Datenschutzgrundverordnung? Die DSGVO ist eine Verordnung der EU und gilt in allen Mitgliedstaaten unmittelbar seit dem 25.05.2018. Zum Einen sollen die personenbezogenen Daten von Bürgern geschützt werden und zum Anderen soll der Verkehr der Daten innerhalb der EU vereinheitlicht und vereinfacht werden. Aus der EU-DSGVO: „Um ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und die Hemmnisse für den Verkehr personenbezogener Daten in der Union zu beseitigen, sollte das Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten gleichwertig sein.“ Es gilt das Marktortprinzip, d.h. es ist entscheidend, wer die Datensubjekte sind. An die DSGVO müssen sich alle Unternehmen halten, welche von Bürgern Daten erheben, die sich in der EU befinden. Der Sitz des Unternehmens ist also nicht relevant für den Geltungsbereich der DSGVO. Ausschließlich persönliche Nutzung zu privaten Zwecken ist kein Gegenstand der Verordnung. Was ist Datenschutz? Beim Datenschutz geht es um den sorgfältigen und sicheren Umgang mit personenbezogenen Daten. Es geht also hauptsächlich um Daten, die zu Personen gehören. Datenschutz kann aber auch sensible unternehmensinterne Daten umfassen, dies ist aber nicht Fokus dieser Schulung. Die Verarbeitung von personenbezogenen Daten mit Hilfe von automatisierten elektronischen Systemen stellt ein besonderes Gefährdungspotential für die betroffene Person dar. Dort ist also Datenschutz besonders wichtig und angebracht, die gesetzlichen Regelungen der DSGVO und BDSG (neu) greifen hier ein. Im weiteren Verlauf ist mit Datenschutz immer der Schutz von personenbezogenen Daten gemeint. Daten von juristischen Personen (z.B. Firmenname) sind explizit nicht durch die DSGVO geschützt. FragenWo ist die DSGVO anwendbar?* Frau Schulze erfasst die E-Mail Adressen ihrer Hausbewohner, um eine Gartenaktion zu planen. Die Muster AG sammelt E-Mail Adressen für einen deutschsprachigen Newsletter ein. Die Muster AG erfasst die Mitarbeiter ihrer Kunden und Lieferanten in Deutschland. Der "Weiter" Button erscheint nur bei der richtigen Beantwortung.Datenschutz ist für Unternehmen aus folgenden Gründen wichtig:* Einhaltung von gesetzlichen Bestimmungen. Ausschließlich zum Schutz von unternehmensinternen Daten. Schutz der Daten von natürlichen Personen. Der "Weiter" Button erscheint nur bei der richtigen Beantwortung. Was sind personenbezogene Daten? Definition Aus der EU-DSGVO: “„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;” Das bedeutet, es geht immer um die Person selbst. Personenbezogene Daten sind nach dieser Definition also auch Daten, die einen Menschen identifizierbar machen. Also z.B. auch Profile, (statische) IP-Adressen, Kundennummer. Beispiele für personenbezogene Daten: Name einer Person Name eines Unternehmens (wenn Personen-Firma) Geburtsort und Geburtsdatum Wohnanschrift Sozialversicherungsnummer Gewerkschaftszugehörigkeit Religionsbekenntnis Fingerabdruck Geburtsdatum E-Mailadresse Telefonnummer Bankdaten Fotografien Werturteile Besondere Kategorien personenbezogener Daten Es gibt lt. Gesetz Kategorien von Daten, welche besonderer Vorsichtsmaßnahmen bedürfen. Sie können nicht ohne weiteres verarbeitet werden und müssen mit besonderen technischen und organisatorischen Maßnahmen geschützt werden. Diese sind: Rassische und ethnische Herkunft Politische Meinungen Religiöse oder weltanschauliche Überzeugungen Gewerkschaftszugehörigkeit Genetische Daten Biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person Gesundheitsdaten Daten zum Sexualleben oder der sexuellen Orientierung FrageWas sind personenbezogene Daten?* Anschrift Spitznamen Unternehmensbilanz Anzahl der Mitarbeiter eines Unternehmens Passfoto eines Mitarbeiters Der "Weiter" Button erscheint nur bei der richtigen Beantwortung. Wer sind die Akteure im Datenschutz? Die betroffene Person Dies umfasst alle natürlichen Personen, deren personenbezogene Daten erhoben bzw. im weiteren Sinne verarbeitet werden. Es handelt sich also immer um Menschen. Verantwortlicher Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Auftragsverarbeiter Alle Stellen, die im Auftrag des Verantwortlichen personenbezogene Daten verarbeiten. Z.B. Hosting Dienstleister, Buchhalter. Empfänger Natürliche oder juristische Personen, die Daten übermittelt bekommen. Diese können intern oder extern sein. Z.B. Marketingabteilung, Inkassobüro. Datenschutzaufsicht bzw. -behörden Unabhängige Stelle, die die Einhaltung der Regelungen nach DSGVO unabhängig überwacht. In Deutschland sind dies die Bundesbehörde und die einzelnen Landesdatenschutzbeauftragten. Was sind die Grundsätze der Verarbeitung personenbezogener Daten? Der Verantwortliche ist zur Einhaltung dieser Grundsätze verpflichtet und muss sie im Zweifel nachweisen können. Rechtmäßigkeit Es gibt ein Verarbeitungsverbot mit Erlaubnisvorbehalt. D.h. die Verarbeitung muss immer rechtlich legitimiert werden. Dies kann z.B. durch ein Gesetz geschehen oder auf Grund von sog. berechtigten Interessen des Verantwortlichen. Nach Treu und Glauben Redlicher und anständiger Umgang mit den Daten des Betroffenen. Transparenz Die betroffene Person wurde umfassend und transparent aufgeklärt und kann Einblick in den Prozess nehmen. Richtigkeit Die Daten müssen sachlich richtig und aktuell sein. Falsche Daten müssen berichtigt oder gelöscht werden. Zweckbindung Personenbezogene Daten müssen für einen bestimmten Zweck und nicht willkürlich erhoben werden. Die Zwecke müssen vor der Erhebung klar sein und dürfen nachträglich nur mit Zustimmung des Betroffenen geändert werden. Datenminimierung Es sollen nur so viele Daten erhoben werden, wie für den Zweck erforderlich und angemessen. Wenn die personenbezogenen Daten nicht mehr benötigt werden, sollten diese auch gelöscht werden. Speicherbegrenzung Personenbezogene Daten sind nur so lange aufzubewahren wie durch den Zweck oder eine rechtliche Verpflichtung erforderlich. Ist der Zweck erfüllt oder die Mindestaufbewahrungspflicht überschritten, so sind die Daten zu löschen oder zu anonymisieren. Integrität, Vertraulichkeit und Sicherheit Die Sicherheit, Vertraulichkeit und Integrität der personenbezogenen Daten ist vom Verantwortlichen durch geeignete technische und organisatorische Maßnahmen sicher zu stellen. Die Daten sollen also z.B. vor Verlust, Fälschung, Offenlegung oder unrechtmäßiger Änderung geschützt werden.FrageWelche der folgenden Aussagen ist richtig? Daten können wir so lange speichern, wie wir wollen. Ein Nutzer muss nicht wissen, was wir mit seinen Daten machen. Wir müssen uns als Firma fair gegenüber dem Kunden verhalten, auch was die Verarbeitung seiner Daten angeht. Wir sind nicht dafür verantwortlich, dass alles richtig ist, was in unserer Datenbank steht. Der "Weiter" Button erscheint nur bei der richtigen Beantwortung. Was ist der Unterschied zwischen Data Protection by Design & by Default Datenschutz durch Technikgestaltung (Data Protection by Design) Durch geeignete technische und organisatorische Maßnahmen wird sichergestellt, dass der Verantwortliche den Anforderungen der DSGVO gerecht wird und er die Rechte der betroffenen Person schützt. Datenschutz durch datenschutzfreundliche Voreinstellungen (Data Protection by Default) Voreinstellungen bei Hard- und Software sollten so gesetzt werden, dass sie möglichst datenschutzfreundlich, also z.B. sparsam sind.FrageWelchem Prinzip entspricht der folgende Sachverhalt: Ein Kontaktformular hat nur ein Textfeld und eine Antwort E-Mail Adresse als Pflichtfeld.* Privacy by Default Privacy by Design Der "Weiter" Button erscheint nur bei der richtigen Beantwortung. Rechte der betroffenen Person und Pflichten des Verantwortlichen Recht auf Information / Auskunft Werden personenbezogene Daten erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit: den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters; gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten; die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung; gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen: die Verarbeitungszwecke; die Kategorien personenbezogener Daten, die verarbeitet werden; die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer; das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung; das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde; wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten; das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling Recht auf Berichtigung Die betroffene Person kann jederzeit verlangen, dass falsche, veraltete oder unvollständige Informationen über sie berichtigt werden. Recht auf Löschung („Recht auf Vergessenwerden“) Wenn eine betroffene Person seine Zustimmung zur Verarbeitung seiner Daten widerruft oder die Zweckbestimmung seiner Daten nicht mehr vorliegt, sind diese zu löschen, insofern keine gesetzlichen oder vertraglichen Verpflichtungen entgegenstehen. Recht auf Einschränkung der Verarbeitung Die betroffene Person kann die Verarbeitung seiner Daten jederzeit einschränken, insofern keine gesetzlichen oder vertraglichen Verpflichtungen entgegenstehen. Recht auf Widerspruch Die betroffene Person kann eine einmal gewährte Einwilligung jederzeit ohne Angabe von Gründen widerrufen. Recht auf Datenübertragbarkeit Der Betroffene hat das Recht einen maschinenlesbaren, übertragbaren Datensatz vom Verantwortlichen zu erhalten. Recht auf Schadenersatz Sollte ein Verstoß gegen die DSGVO vorliegen, so kann der Betroffene Schadenersatz geltend machen.FrageWelches sind keine Rechte eines Betroffenen gem. DSGVO? Recht auf Veröffentlichung. Recht auf Einsichtnahme in Datensätzen von Familienmitgliedern. Recht auf Vergessenwerden. Der "Weiter" Button erscheint nur bei der richtigen Beantwortung. Datenübermittlung ins Nicht-EU-Ausland Eine Übermittlung in EU-Staaten ist grundsätzlich unkritisch. Sollten allerdings Daten ins nicht-EU Ausland übertragen werden, muss geprüft werden, ob das Schutzniveau dem in der EU entspricht. Sollte dies nicht gegeben sein, ist eine Übertragung zu unterlassen. Drittstaaten sind z.B. die USA, China oder Japan. Eine Übertragung kann trotzdem in folgenden Fällen erfolgen: Feststellung der Angemessenheit des Datenschutzniveaus im Drittstaat durch die Kommission z.B. Kanada, Schweiz, Neuseeland Vorliegen geeigneter Garantien, z.B. durch Verträge Der Betroffene hat ausdrücklich zugestimmt, dass eine Übertragung stattfindet und wurde informiert. FrageSie möchten Daten von Kunden zu einem französischen Marketingdienstleister zur Analyse schicken, dürfen Sie das?* Ja, denn es handelt sich um eine Übertragung in ein EU-Land. Nein, ich muss zu erst das Datenschutzniveau als angemessen feststellen lassen. Nehmen Sie an, dass ein Auftragsverarbeitervertrag besteht und auch sonst nichts gegen die Übertragung spricht. Der "Weiter" Button erscheint nur bei der richtigen Beantwortung. SonderthemenDer Datenschutzbeauftragte Der DSB überwacht die Einhaltung des Datenschutzes im Unternehmen. Er steht dem Verantwortlichen beratend zur Seite und kann auch Sonderaufgaben, wie die Dokumentation von Datenschutzmaßnahmen oder die Kommunikation mit den Datenschutzbehörden übernehmen. Er ist allerdings nicht für die Einhaltung des Datenschutzes verantwortlich, dies ist nach wie vor der Verantwortliche. Dokumentation und DSGVO Nach DSGVO gibt es umfangreiche Dokumentationspflichten, welche eingehalten werden müssen. Unter anderem muss ein Verzeichnis aller Verarbeitungen angelegt werden und die technischen und organisatorischen Maßnahmen erfasst werden. Wenn etwas schief geht (Datenpannen) Bei Datenpannen ist unverzüglich der Vorgesetzte zu informieren. Diese informiert dann die verantwortliche Stelle und ggf. den DSB. Bestimmte Pannen müssen innerhalb von 72 Stunden gemeldet werden, weswegen eine unverzügliche Meldung an den Vorgesetzten notwendig ist. Pannen können Hackerangriffe sein, ein versehentliches Löschen oder aber auch ein Veröffentlichen von Informationen sein. Datenschutzgerechter Einsatz von Mobilgeräten Private Mobilgeräte sind grundsätzlich nicht für betriebliche Zwecke einzusetzen. Moderne Mobilgeräte (vor allem Smartphones) greifen auf viele Daten auf dem Mobilgerät zu und stellen somit ein Datenschutzrisiko dar. Vor allem Dienste, die Daten in die USA übertragen, wie z.B. WhatsApp oder Googlemail sind im betrieblichen Kontext kritisch zu sehen. Betriebseigene Mobilgeräte sollten auf Apps geprüft werden, welche Daten in unsichere Drittstaaten exportieren könnten. Bußgelder und Strafen Datenschutzverstöße sind keine Kavaliersdelikte. Für Unternehmen kann ein Datenschutzverstoß zu hohen Bußgeldern führen. Der gesetzliche Maximalrahmen sieht 20 Millionen Euro vor oder 2% des Jahresumsatzes. Der Imageschaden ist dabei noch gar nicht eingerechnet. Für Angestellte können Datenschutzverstöße arbeitsrechtliche Folgen wie Abmahnungen oder fristlose Kündigungen bedeuten, je nach Schwere des Verstoßes. Für Lieferanten oder Auftragsverarbeiter können Verstöße zu Schadenersatzforderungen oder zur Kündigung von Verträgen führen.FrageSie haben eine E-Mail an 300 firmenfremde Empfänger in CC verschickt, wie gehen Sie vor?* Ich melde die Panne meinem Vorgesetzten. Ich schreibe eine neue Mail an alle Empfänger und entschuldige mich. Ich schreibe die Aufsichtsbehörde direkt an und kläre den Sachverhalt. Der "Weiter" Button erscheint nur bei der richtigen Beantwortung. Allgemeine IT-Sicherheit Passwortsicherheit Sichere Passwörter und die Aufbewahrung dieser ist ein wichtiger Grundpfeiler der IT-Sicherheit. Viele Angreifer machen sich zu kurze oder zu einfache Passwörter zu nutze, um in IT-Systeme einzudringen. Ein sicheres Passwort hat folgende Eigenschaften: Mindestlänge (z.B. 10 Zeichen) Komplexitätsanforderungen (z.B. Groß-/Kleinbuchstaben, Sonderzeichen und Zahlen) Regelmäßige Änderung von Passwörtern (z.B. alle 90 Tage) Geheimhaltung von Passwörtern (keine Aufbewahrung auf Post-Its) Ein Passwortmanager ist außerdem zu empfehlen. Der Einsatz sollte allerdings mit der IT-Abteilung abgesprochen werden. Systemsicherheit Cyber Attacken sind ein großes Problem und können ernste Konsequenzen haben. Im Folgenden sollen einige kleine Maßnahmen aufgezeigt werden, die Ihnen helfen, sich und andere vor Attacken zu schützen. Geben Sie nie Passwörter weiter, auch nicht, wenn sie ein Vorgesetzter auffordert. versuchen Sie eine solche Anfrage möglichst über einen weiteren Weg, z.B. Telefon zu verifizieren. Zögern Sie Updates nicht heraus. Sollten Updates für Ihre Software verfügbar sein, installieren Sie diese auch, wenn Ihnen die IT-Abteilung die Freigabe gibt. Alte Software bietet ein großes Einfallstor für Angreifer! Anhänge in E-Mails. Öffnen Sie niemals Anhänge von Absendern, die Sie nicht kennen oder von denen Sie keine Datei angefordert haben. Auch Dateiformate, die nicht PDFs sind grundsätzlich verdächtig. Virenscanner. Installieren Sie Antivirus Software und halten Sie diese aktuell. Eine aktuelle Software erkennt Bedrohungen in der Regel schnell und sicher und hält Ihnen so Schädlinge vom Hals. Sperren Sie Ihren Computer, wenn Sie den Platz verlassen. Ihr Computer kann von jedem bedient werden, wenn Sie ihn nicht sperren. Dies ist nicht nur aus Sicherheitsgründen relevant sondern auch aus datenschutzrechtlichen Erwägungen.FragenSie können sich Ihr 12-Zeichen Passwort für Ihren Arbeits-PC nicht merken, was machen Sie?* Ich schreibe es auf einen Post-It und pinne es an meinen PC-Monitor. Ich installiere einen Passwortmanager in Absprache mit meiner IT-Abteilung oder meinem Vorgesetzten. Ich ändere mein Passwort in 121212121212 ab. Der "Weiter" Button erscheint nur bei der richtigen Beantwortung.Eine ehemalige Kollegin schickt Ihnen eine Mail, die keinen Text enthält aber einen Anhang im .exe Format, was machen Sie?* Ich lösche die E-Mail sofort. Ich öffne die Mail, ich habe schon lange nichts von ihr gehört und sie war immer nett zu mir. Ich leite sie an meinen Vorgesetzten weiter, er kann ja prüfen, ob die Mail in Ordnung ist. Der "Weiter" Button erscheint nur bei der richtigen Beantwortung. Vielen Dank für Ihre Teilnahme!Klicken Sie auf "Absenden", Sie erhalten im Anschluss Ihr Zertifikat als PDF an die E-Mail Adresse geschickt.