Created
May 6, 2018 15:03
-
-
Save rohieb/74df1734b768d57ab3418b0445932bb1 to your computer and use it in GitHub Desktop.
Shownotes zum Webinar "Datenschutz-Grundverordnung für kleine Vereine"
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
Webinar: Datenschutz-Grundverordnung für kleine Vereine | |
https://www.youtube.com/watch?v=5NmiaDEg3o8 | |
(Shownotes by rohieb) | |
00:00:00 Einleitung | |
00.03:30 Agenda | |
00:05:00 Was ist Datenschutz? | |
- Abgeleitet aus Grundgesetz, Grundrecht auf Persönlichkeitsrecht | |
- Europäische Grundrechtecharta | |
- Ziel: Schutz des Einzelnen vor Beeinträchtigung des Persönlichkeitsrechts | |
durch Umgang mit personenbezogenen Daten | |
- Abgrenzung zu Datensicherheit (Safety; Backups, ungewollter Datenverlust etc.) | |
- Überschneidungen bei Hacking, Leaks | |
- 00:07:20 Grundsatz: Verbot mit Erlaubnisvorbehalt | |
- Erhebung, Verarbeitung, Nutzung personenbezogener Daten grundsätzlich verboten | |
- außer es wird durch Rechtsvorschfit erlaubt, oder Einwilligung der Betroffenen | |
- Beispiel: Meldegesetz, Kaufverträge, Einwilligung bei Schufa-Klausel, | |
Einwilligung bei Newslettern | |
- 00:10:15 Was sind personenbezogene Daten? | |
- Definition aus DS-GVO, Art. 4: | |
> „personenbezogene Daten“ [sind] alle Informationen, die sich auf eine | |
> identifizierte oder identifizierbare natürliche Person (im Folgenden | |
> „betroffene Person“) beziehen; als identifizierbar wird eine natürliche | |
> Person angesehen, die direkt oder indirekt, insbesondere mittels | |
> Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu | |
> Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren | |
> besonderen Merkmalen identifiziert werden kann, die Ausdruck der | |
> physischen, physiologischen, genetischen, psychischen, | |
> wirtschaftlichen, kulturellen oder sozialen Identität dieser | |
> natürlichen Person sind. | |
- Beispiel: Autonummer, IP- und MAC-Adresse, Versicherungsnummer | |
-> Es gibt fast nichts, was *nicht* unter den Bereich des Datenschutzes fällt | |
- 00:12:36 Welche personenbezogenen Daten haben Vereine? | |
- Name, Adresse, Telefon, Kontonummer, Sportart etc. | |
- von Vereinsmitgliedern, Mitarbeitern | |
- von Externen (z.B. Arzt, Angehörige, Daten anderer Vereine) | |
- bei jedem Merkmal: hat der Betroffene eingewilligt? Gibt es eine | |
Rechtsvorschrift, die die Erhebung erlaubt? (z.B. Gesetz, Vertrag, Satzung) | |
- wenn nicht: Daten löschen! | |
- 00:14:52 Was ist Datenverarbeitung? | |
- alles, was man mit Daten machen kann. | |
- z.B. Erheben, Verändern, Weitergeben, Nutzen, Anonymisieren, | |
Pseudonymisieren, Löschen, Einsatz von Dienstleistern | |
00:17:50 Was kommt mit der DS-GVO auf uns zu? | |
- Geltung ab 25. Mai 2018 | |
- keine EU-Richtlinie, die in nationales Recht überführt werden muss, sondern | |
Verordnung, die in jedem Mitgliedsstaat gleich und allgemein gilt | |
- Literaturempfehlung: Ehmann / Kranig: "Erste Hilfe zur | |
Datenschutz-Grundverordnung für Unternehmen und Vereine", Verlag C.H.Beck, | |
5,50€ | |
http://www.beck-shop.de/bayerischen-landesamt-fr-datenschutzaufsicht-erste-hilfe-datenschutz-grundverordnung-unternehmen-vereine/productview.aspx?product=25223528 | |
- 00:22:20 Verordnung gilt für ganz oder teilweise automatisierte Verarbeitung | |
personenbezogener Daten (i.e. per Computer) sowie nichtautomatisierte | |
Verarbeitung, wenn in einem Dateisystem (i.e. Karteikarten) gespeichert | |
-> Im Endeffekt kommt man da nicht raus. | |
- 00:26:21 Anforderungen an die Datenverarbeitung: | |
- Rechtmäßigkeit: Verbot mit Erlaubnisvorbehalt, siehe oben | |
- Bei bestehenden Mitgliedern ist Mitgliedsantrag o.ä. offenbar ausreichend. | |
- Transparenz, Informationspflichten bei Erhebung (Art. 13, 14) | |
- Welche Daten werden erhoben? Auf welcher Grundlage? Zu welchem Zweck? | |
Geplante Speicherdauer? (Wohin) wird übermittelt? | |
- Information über Betroffenenrechte (Auskunft, Löschung), | |
- Information über Beschwerderecht bei Datenschutztaufsichtsbehörde | |
- Kann im Rahmen des Mitgliedsantrags-Formulars passieren | |
- Informationspflicht auch für bestehende Mitglieder! | |
- 00:41:32 Ziel: Betroffene sollen wissen, was mit ihren persönlichen Daten | |
passiert, um informiert einwilligen/ablehnen zu können | |
- 00:45:35 Sicherheit der Verarbeitung | |
- technische und organisatorische Maßnahmen nach Stand der Technik | |
- jeder soll nur so viel Zugriff auf Daten haben, wie zur Erledigung | |
der eigenen Arbeit erforderlich ist | |
- dem Risiko angemessenes Schutzniveau (Sportverein vs. Arztpraxis) | |
- Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit herstellen | |
- Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der Maßnahmen | |
- z.B. Update der Firewall, Virenscanner | |
- Nachweis/Nachvollziehbarkeit gegenüber Behörden | |
- 00:49:45 Auftrags(daten)verarbeitung (Art. 28) | |
- Überblick, wer Zugriff auf welche Daten hat | |
- Betrifft IT-Administration (Hosting), Buchhalter, Steuerberater, … | |
- 00:55:14 Rechenschaftspflicht | |
- Nachweis der Einhaltung der Grundsätze für die Datenverarbeitung | |
- Beweislast bei der datenerhebenden Stelle | |
- z.B. nach Beschwerden bei der Datenschutzbehörde | |
- 00:57:33 Sicherstellung der Betroffenenrechte | |
- Recht auf Auskunft | |
- auf Antrag des Betroffenen | |
- Daten aus allen Einrichtungsteilen zusammentragen | |
- Tipp: einmal das Szenario durchspielen | |
- Identität des Anfragenden sicherstellen! | |
- Recht auf Berichtigung, Löschung, Widerruf der Einwilligung | |
- Beispiel: Visitenkarten | |
- 01:06:20 Verzeichnis der Verarbeitungstätigkeiten | |
- 01:08:30 Datenschutzbeauftragter | |
- nötig, wenn mindestens 10 Personen ständig mit automatisierter | |
Verarbeitung personenbezogener Daten beschäftigt sind | |
- Bsp. Handwerker: hat Adressen der Kunden, aber Hauptaufgabe ist | |
montieren, nicht Daten verarbeiten -> keine ständige Datenverarbeitung | |
- 01:15:28 Umgang mit Datenschutzverletzungen | |
- bspw. Hacking, Verlust, Diebstahl, Fehlversand, Softwarefehler, Schadcode, | |
Fehlentsorgung | |
- Meldepflicht innerhalb von 72 Stunden bei der Datenschutzaufsichtsbehörde, | |
dann gemeinsame Prüfung für weiteres Vorgehen | |
- ist die Erkennung von Datenschutzverletzungen möglich? | |
- wer kümmert sich um die Meldung? | |
- 01:19:12 Sanktionen (Art. 83) | |
- "in jedem Einzelfall wirksam, verhältnismäßig und abschreckend" | |
- bis 10 Mio. € bzw. 2% Jahresumsatz für formelle Verstöße, | |
bis 20 Mio. € bzw. 4% Jahresumsatz für materielle Verstöße | |
01:22:27 Umgang mit Bildern | |
- siehe Kunsturhebergesetz | |
- Grundsatz: Erlaubnis des Urhebers (Urheberrecht) und der abgebildeten | |
Personen (Persönlichkeitsrecht) | |
- ist eine Person zweifelsfrei identifizierbar (Gesicht, individuelle | |
Kleidung oder Frisur, …), oder z.B. nur von hinten zu sehen? | |
- Einwilligung unter Angabe der Zwecke (Informed Consent) | |
- konkludente Einwilligung reicht (z.B. durch fehlenden Widerspruch bei | |
Bezahlung von Models) | |
- bis 10 Jahre nach dem Tod der abgebildeten Personen: Einwilligung der | |
Angehörigen | |
- keine Einwilligung der abgebildeten Personen erforderlich bei | |
- Bildnissen der Zeitgeschichte | |
- Personen sind nur Beiwerk (z.B. Foto vom Kölner Dom mit Menschen davor) | |
- Bilder von Menschenmengen | |
- höheres Interesse der Kunst | |
- allerdings: Einwilligung der abgebildeten Personen erforderlich bei Verletzung | |
eines berechtigten Interesses der Abgebildeten (oder bei Tod Angehörigen) | |
- mündliche Einwilling ist prinzipiell ausreichend, aber schwer nachvollziehbar | |
bei Beschwerden | |
- 01:33:55 Muster Einwilligungserklärung bei Fotos | |
- https://www.lda.bayern.de/de/infoblaetter.html | |
01:34:17 Wer ist verantwortlich für die Einhaltung der DS-GVO? | |
- bei Vereinen: der Vorstand (Art. 4 Nr. 7) | |
- Datenschutzbeauftragter dient (falls bestellt) der internen Kontrolle | |
-> darf nicht dem Vorstand angehören | |
01:40:13 Rolle und Aufgabe der Datenschutzaufsicht | |
- Überblick und Statistik Bayerisches Landesamt für Datenschutzaufsicht | |
- Beschwerden: Tendenz steigend | |
- Materialien auf https://www.lda.bayern.de | |
- weiterführende Informationen und Infoblätter | |
- Muster für Datenschutzverfahrensverzeichnis | |
01:46:24 Empfehlungen zum Schluss | |
- Datenschutz ist Chefsache | |
- Datenschutz geht alle an | |
- Datenschutz gilt von Anfang an (Privacy by Design) | |
- Überblick über die Situation schaffen | |
- mit der Aufsichtsbehörde sprechen, sie muss beraten | |
01:49:24 Fragen |
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment