digital aber sicher - datensicherheit und datenschutz in ... · digital aber sicher -...
TRANSCRIPT
Digital aber sicher -
Datensicherheit und Datenschutz
in Ihrem KMU
Prof. Dr. Frank Ortmeier (OvGU Magdeburg)
Sebastian Nielebock (OvGU Magdeburg)
Mykhailo Nykolaichuk (OvGU Magdeburg)
25.10.2018
Hinweis
Alle in diesem Vortrag dargestellten Informationen entsprechen keiner
Rechtsberatung bzw. ersetzen keine rechtliche Beratung. Sie stellen lediglich die
persönliche Wahrnehmung des Vortragenden wider.
Der Vortragende übernimmt keine Haftung für eventuelle Folgeschäden,
insbesondere rechtlicher Natur, die aus fehlerhaften Handlungen, die aus diesem
Vortrag herrühren, entstehen.
https://heise.de/-4198972
Personenbezogene Daten (I)
– „alle Informationen, die sich auf eine identifizierte oder identifizierbare
natürliche Person […] beziehen“ (DSGVO – Artikel 4)
Direkt Indirekt
Personenbezogene Daten (II)
Datensicherheit vs. Datenschutz
5 Schritte zumDSGVO konformen Datenschutzkonzept
Datenschutz-konzept
Allgemein
• Datenschutzverantwortlicher notwendig
– ab 10 Mitarbeitern, die ständig auf personenbezogene Daten zugreifen
– bei besonders sensiblen personenbezogenen Daten
– ggf. extern
• Rechtsberatung
– Anwaltstermin
• IT-Experten
– Technische Maßnahmen
– Regelmäßiges Testen
– Verbesserung nach Stand der Technik
Datenschutzkonzept für die
Meier Elektrik GmbH
• gegründet 2008
• Unternehmen mit 8 Mitarbeitern
• ca. 1200 Kunden
• ca. 12 Zulieferer
• interne Buchführung
• externe Steuerberatung
IT-Infrastruktur Meier Elektrik GmbH
Geschäftsprozess – Auftrag anlegen
• Benötigte Daten• Legitimierung• Legitimierte Personen• Verwendung/Zweck• Speicherung der Daten• Kommunikation Daten• Datenweitergabe• Löschstrategie• Informationsrecht• Dokumentation• Technische und Organisatorische Maßnahmen
• Benötigte Daten• Legitimierung• Legitimierte Personen• Verwendung/Zweck• Speicherung der Daten• Kommunikation Daten• Datenweitergabe• Löschstrategie• Informationsrecht• Dokumentation• Technische und Organisatorische Maßnahmen
Geschäftsprozess – Auftrag anlegen (I)
Benötigte (personenbezogene) Daten
• Kundenname
• Kundenadresse
• Telefonnummer
• E-Mail-Adresse
• Anliegen/Auftragsinhalt
Geschäftsprozess – Auftrag anlegen (II)
Legitimierung
„DSGVO – Artikel 6 Rechtmäßigkeit der Verarbeitung
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der
nachstehenden. Bedingungen erfüllt ist:
[…]
b) Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen
Vertragspartei die betroffene Person ist, oder zur
Durchführung vorvertraglicher Maßnahmen erforderlich,
die auf Anfrage der betroffenen Person erfolgen;
[…]“
Geschäftsprozess – Auftrag anlegen (III)
Verwendungszweck
• Finanzbuchhaltung
• Kommunikation mit Kunde bspw. Terminabsprachen
• Anlegen von Folgeaufträgen
• Logistik/Einkauf
Geschäftsprozess – Auftrag anlegen (IV)
Speicherung der Daten
Wo• Rechner mit Netzwerkverzeichnis
• Name und Telefonnummer auf Firmen-
Smartphones
• Webseitenserver (Auftrag über
Webseitenformular)
• Finanzbuchhaltungssoftware
• Logistiksoftware
• E-Mail-Programm als Cloud-Lösung
Wie• Textuell
• Excel-Tabelle
• SQL-Datenbank
Geschäftsprozess – Auftrag anlegen (V)
Datenweitergabe
• Zulieferfirmen/Subunternehmen
– alle Auftragsdaten für Auftragszeit
• DATEV
– alle Auftragsdaten
• IT-Dienstleister
– Auftragsdaten über Webformular
Vertragliche Regelungen mit Partnern („Auftragsverarbeitung“)
Geschäftsprozess – Auftrag anlegen (VI)
Informationsrecht
• Datenschutzerklärung
– Webseite – Leitfaden des Kompetenzzentrums
Saarbrücken
• Auskunft über
– Verantwortlichen
– Daten
– Legitimation
– Zwecke
– Speicherorte
– Personenzugriffe/Weitergabe
– Rechte Betroffener
Geschäftsprozess – Auftrag anlegen (VII)
Dokumentation
• Datenschutzkonzept
• Datenzugriffe
• Umsetzung und Anpassung von
technischen und organisatorischen Maßnahmen
Datenschutzkonzept für Ihr Unternehmen
Mittelstand 4.0
• Blog-Eintrag• Leitfaden