Initial commit: IHK Ausbildung materials

2026-03-13 11:46:08 +01:00
commit eb4a13ef7c
67 changed files with 11361 additions and 0 deletions
--- a/1-Ausbildungsjahr/LF4-IT-Sicherheit/LF4-04-Datenschutz.md
+++ b/1-Ausbildungsjahr/LF4-IT-Sicherheit/LF4-04-Datenschutz.md
@@ -0,0 +1,245 @@
+# 4.4 Datenschutz (DSGVO)
+
+## DSGVO - Grundlagen
+
+Die **Datenschutz-Grundverordnung (DSGVO)** ist seit dem 25. Mai 2018 EU-weit gültig.
+
+### Grundprinzipien
+
+```
+DSGVO - Grundsätze (Art. 5)
+├── Rechtmäßigkeit, Transparenz
+├── Zweckbindung
+├── Datenminimierung
+├── Richtigkeit
+├── Speicherbegrenzung
+└── Integrität und Vertraulichkeit
+```
+
+### Anwendungsbereich
+
+| Bereich | Geltung |
+|---------|---------|
+| EU-Bürger | Weltweit |
+| EU-Unternehmen | Weltweit |
+| Drittland-Unternehmen | Bei Angebot in EU |
+
+---
+
+## Personenbezogene Daten
+
+### Definition
+
+> Alle Informationen, die sich auf eine **identifizierte** oder **identifizierbare** natürliche Person beziehen.
+
+### Kategorien
+
+| Kategorie | Beispiele |
+|-----------|----------|
+| Stammdaten | Name, Adresse, Geburtsdatum |
+| Kontaktdaten | Telefon, E-Mail |
+| Vertragsdaten | Kunden-Nr., Vertragsinhalt |
+| Nutzungsdaten | Logfiles, Cookies |
+| Gesundheitsdaten | Krankheit, Behinderung |
+| Biometrische Daten | Fingerabdruck, Face ID |
+| Politische Meinungen | Parteizugehörigkeit |
+| Religiöse Überzeugung | Konfession |
+
+### Besondere Kategorien
+
+```
+Art. 9 DSGVO - Besondere personenbezogene Daten
+├── Gesundheitsdaten
+├── Biometrische Daten
+├── Politische Meinungen
+├── Religiöse Überzeugung
+├── Gewerkschaftszugehörigkeit
+├── Ethnische Herkunft
+├── Sexualleben
+└── Strafrechtliche Verurteilungen
+```
+
+---
+
+## Betroffenenrechte
+
+### Rechte der Betroffenen
+
+| Recht | Beschreibung |
+|-------|-------------|
+| **Auskunft** (Art. 15) | Informationen über verarbeitete Daten |
+| **Berichtigung** (Art. 16) | Falsche Daten korrigieren |
+| **Löschung** (Art. 17) | "Recht auf Vergessenwerden" |
+| **Einschränkung** (Art. 18) | Verarbeitung sperren |
+| **Datenübertragung** (Art. 20) | Daten in maschinenlesbarem Format |
+| **Widerspruch** (Art. 21) | Widerspruch gegen Verarbeitung |
+| **Automatisierte Entscheidungen** (Art. 22) | Keine rein automatisierten Entscheidungen |
+
+### Informationspflichten
+
+```
+Art. 13, 14 DSGVO - Bei Erhebung mitzuteilen
+├── Verantwortlicher
+├── Datenschutzbeauftragter
+├── Zweck der Verarbeitung
+├── Rechtsgrundlage
+├── Empfänger oder Kategorien
+├── Speicherdauer
+├── Betroffenenrechte
+└── Beschwerderecht bei Behörde
+```
+
+---
+
+## Verantwortliche
+
+### Verantwortlicher
+
+> Natürliche oder juristische Person, die über die **Zwecke und Mittel** der Verarbeitung entscheidet.
+
+### Auftragsverarbeitung (Art. 28)
+
+```
+Auftragsverarbeiter (AV)
+├── Externe Dienstleister (Cloud, Hosting)
+├── Weisungsgebunden
+├── Auftragsverarbeitungsvertrag (AVV) erforderlich
+└── Kontroll- und Überwachungspflichten
+```
+
+### Datenschutzbeauftragter (DSB)
+
+| Unternehmen | Pflicht |
+|-------------|----------|
+| > 20 Mitarbeiter | Pflicht |
+| Verarbeitung besonderer Daten | Pflicht |
+| Öffentliche Stelle | Immer |
+
+---
+
+## Technische und organisatorische Maßnahmen (TOM)
+
+### Mindestanforderungen
+
+```
+Art. 32 DSGVO - Sicherheit der Verarbeitung
+├── Pseudonymisierung
+├── Verschlüsselung
+├── Vertraulichkeit
+├── Integrität
+├── Verfügbarkeit
+└── Rasche Wiederherstellbarkeit
+```
+
+### Beispiele für TOM
+
+| Maßnahme | Beschreibung |
+|----------|-------------|
+| Zutrittskontrolle | Zugang zum Serverraum |
+| Zugriffskontrolle | Berechtigungskonzept |
+| Weitergabekontrolle | TLS-Verschlüsselung |
+| Eingabekontrolle | Protokollierung |
+| Verfügbarkeitskonzept | Backup, USV |
+| Trennungsgebot | Test-/Produktivumgebung |
+
+---
+
+## Datenschutz-Folgenabschätzung (DSFA)
+
+### Wann erforderlich?
+
+```
+Art. 35 DSGVO - Pflicht zur DSFA
+├── Verarbeitung besonderer Kategorien
+├── Umfangreiches Profiling
+├── Systematisches Monitoring
+├── Neue Technologien
+└── Risikoreiche Verarbeitung
+```
+
+### Durchführung
+
+```
+DSFA-Schritte
+1. Beschreibung der Verarbeitung
+2. Bewertung der Erforderlichkeit
+3. Risiken für Betroffene identifizieren
+4. Maßnahmen zur Risikominimierung
+5. Stellungnahme DSB
+6. Dokumentation
+```
+
+---
+
+## Datenschutzverletzungen
+
+### Meldepflicht
+
+```
+Art. 33 DSGVO - Meldung an Behörde
+├── Innerhalb von 72 Stunden
+├── Beschreibung der Verletzung
+├── Kategorien betroffener Daten
+├── Anzahl Betroffener
+├── Wahrscheinliche Folgen
+└── Ergriffene Maßnahmen
+```
+
+### Benachrichtigungspflicht
+
+```
+Art. 34 DSGVO - Benachrichtigung Betroffener
+├── Wenn hohe Risiken für Rechte
+├── Sofortige Benachrichtigung
+└── In verständlicher Sprache
+```
+
+---
+
+## Bußgeld und Strafen
+
+### DSGVO-Bußgelder
+
+```
+Art. 83 DSGVO - Geldbußen
+├── Bis zu 20 Mio. EUR oder
+├── Bis zu 4% des weltweiten Jahresumsatzes
+└── Je nach Schwere des Verstoßes
+```
+
+### Bußgeld-Kategorien
+
+| Verstoß | Maximales Bußgeld |
+|----------|-------------------|
+| Grundprinzipien | 10 Mio. oder 2% |
+| Rechte der Betroffenen | 10 Mio. oder 2% |
+| Übermittlung in Drittland | 20 Mio. oder 4% |
+| Sonstige Verstöße | 20 Mio. oder 4% |
+
+---
+
+## Checkliste Datenschutz
+
+```
+□ Verarbeitungsverzeichnis (Art. 30)
+□ Datenschutzbeauftragter benannt (falls nötig)
+□ Auftragsverarbeitungsverträge (Art. 28)
+□ Technische Maßnahmen implementiert
+□ Mitarbeiter geschult
+□ Datenschutz-Folgenabschätzung (falls nötig)
+□ Prozesse für Betroffenenrechte
+□ Datenschutzerklärung auf Website
+□ Verletzungsmanagement dokumentiert
+```
+
+---
+
+## Querverweise
+
+- [[LF4-03-Sicherheitskonzepte|Zurück: Sicherheitskonzepte]]
+- [[LF3-Datenbanken|Datenbanken: Datensicherheit]]
+- [[Wissen/Wirtschafts-Sozialkunde/WISO-Zusammenfassung|WISO: Rechtliche Grundlagen]]
+
+---
+
+*Stand: 2024*