jleibl/ihk-ausbildung
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
eb4a13ef7c70e5f78a93e697e5099375245ac549
ihk-ausbildung/1-Ausbildungsjahr/LF4-IT-Sicherheit/LF4-04-Datenschutz.md

246 lines
5.6 KiB
Markdown
Raw Blame History

This file contains invisible Unicode characters
This file contains invisible Unicode characters that are indistinguishable to humans but may be processed differently by a computer. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.
# 4.4 Datenschutz (DSGVO)
## DSGVO - Grundlagen
Die **Datenschutz-Grundverordnung (DSGVO)** ist seit dem 25. Mai 2018 EU-weit gültig.
### Grundprinzipien
```
DSGVO - Grundsätze (Art. 5)
├── Rechtmäßigkeit, Transparenz
├── Zweckbindung
├── Datenminimierung
├── Richtigkeit
├── Speicherbegrenzung
└── Integrität und Vertraulichkeit
```
### Anwendungsbereich
| Bereich | Geltung |
|---------|---------|
| EU-Bürger | Weltweit |
| EU-Unternehmen | Weltweit |
| Drittland-Unternehmen | Bei Angebot in EU |
---
## Personenbezogene Daten
### Definition
> Alle Informationen, die sich auf eine **identifizierte** oder **identifizierbare** natürliche Person beziehen.
### Kategorien
| Kategorie | Beispiele |
|-----------|----------|
| Stammdaten | Name, Adresse, Geburtsdatum |
| Kontaktdaten | Telefon, E-Mail |
| Vertragsdaten | Kunden-Nr., Vertragsinhalt |
| Nutzungsdaten | Logfiles, Cookies |
| Gesundheitsdaten | Krankheit, Behinderung |
| Biometrische Daten | Fingerabdruck, Face ID |
| Politische Meinungen | Parteizugehörigkeit |
| Religiöse Überzeugung | Konfession |
### Besondere Kategorien
```
Art. 9 DSGVO - Besondere personenbezogene Daten
├── Gesundheitsdaten
├── Biometrische Daten
├── Politische Meinungen
├── Religiöse Überzeugung
├── Gewerkschaftszugehörigkeit
├── Ethnische Herkunft
├── Sexualleben
└── Strafrechtliche Verurteilungen
```
---
## Betroffenenrechte
### Rechte der Betroffenen
| Recht | Beschreibung |
|-------|-------------|
| **Auskunft** (Art. 15) | Informationen über verarbeitete Daten |
| **Berichtigung** (Art. 16) | Falsche Daten korrigieren |
| **Löschung** (Art. 17) | "Recht auf Vergessenwerden" |
| **Einschränkung** (Art. 18) | Verarbeitung sperren |
| **Datenübertragung** (Art. 20) | Daten in maschinenlesbarem Format |
| **Widerspruch** (Art. 21) | Widerspruch gegen Verarbeitung |
| **Automatisierte Entscheidungen** (Art. 22) | Keine rein automatisierten Entscheidungen |
### Informationspflichten
```
Art. 13, 14 DSGVO - Bei Erhebung mitzuteilen
├── Verantwortlicher
├── Datenschutzbeauftragter
├── Zweck der Verarbeitung
├── Rechtsgrundlage
├── Empfänger oder Kategorien
├── Speicherdauer
├── Betroffenenrechte
└── Beschwerderecht bei Behörde
```
---
## Verantwortliche
### Verantwortlicher
> Natürliche oder juristische Person, die über die **Zwecke und Mittel** der Verarbeitung entscheidet.
### Auftragsverarbeitung (Art. 28)
```
Auftragsverarbeiter (AV)
├── Externe Dienstleister (Cloud, Hosting)
├── Weisungsgebunden
├── Auftragsverarbeitungsvertrag (AVV) erforderlich
└── Kontroll- und Überwachungspflichten
```
### Datenschutzbeauftragter (DSB)
| Unternehmen | Pflicht |
|-------------|----------|
| > 20 Mitarbeiter | Pflicht |
| Verarbeitung besonderer Daten | Pflicht |
| Öffentliche Stelle | Immer |
---
## Technische und organisatorische Maßnahmen (TOM)
### Mindestanforderungen
```
Art. 32 DSGVO - Sicherheit der Verarbeitung
├── Pseudonymisierung
├── Verschlüsselung
├── Vertraulichkeit
├── Integrität
├── Verfügbarkeit
└── Rasche Wiederherstellbarkeit
```
### Beispiele für TOM
| Maßnahme | Beschreibung |
|----------|-------------|
| Zutrittskontrolle | Zugang zum Serverraum |
| Zugriffskontrolle | Berechtigungskonzept |
| Weitergabekontrolle | TLS-Verschlüsselung |
| Eingabekontrolle | Protokollierung |
| Verfügbarkeitskonzept | Backup, USV |
| Trennungsgebot | Test-/Produktivumgebung |
---
## Datenschutz-Folgenabschätzung (DSFA)
### Wann erforderlich?
```
Art. 35 DSGVO - Pflicht zur DSFA
├── Verarbeitung besonderer Kategorien
├── Umfangreiches Profiling
├── Systematisches Monitoring
├── Neue Technologien
└── Risikoreiche Verarbeitung
```
### Durchführung
```
DSFA-Schritte
1. Beschreibung der Verarbeitung
2. Bewertung der Erforderlichkeit
3. Risiken für Betroffene identifizieren
4. Maßnahmen zur Risikominimierung
5. Stellungnahme DSB
6. Dokumentation
```
---
## Datenschutzverletzungen
### Meldepflicht
```
Art. 33 DSGVO - Meldung an Behörde
├── Innerhalb von 72 Stunden
├── Beschreibung der Verletzung
├── Kategorien betroffener Daten
├── Anzahl Betroffener
├── Wahrscheinliche Folgen
└── Ergriffene Maßnahmen
```
### Benachrichtigungspflicht
```
Art. 34 DSGVO - Benachrichtigung Betroffener
├── Wenn hohe Risiken für Rechte
├── Sofortige Benachrich­tigung
└── In verständlicher Sprache
```
---
## Bußgeld und Strafen
### DSGVO-Bußgelder
```
Art. 83 DSGVO - Geldbußen
├── Bis zu 20 Mio. EUR oder
├── Bis zu 4% des weltweiten Jahresumsatzes
└── Je nach Schwere des Verstoßes
```
### Bußgeld-Kategorien
| Verstoß | Maximales Bußgeld |
|----------|-------------------|
| Grundprinzipien | 10 Mio. oder 2% |
| Rechte der Betroffenen | 10 Mio. oder 2% |
| Übermittlung in Drittland | 20 Mio. oder 4% |
| Sonstige Verstöße | 20 Mio. oder 4% |
---
## Checkliste Datenschutz
```
□ Verarbeitungsverzeichnis (Art. 30)
□ Datenschutzbeauftragter benannt (falls nötig)
□ Auftragsverarbeitungsverträge (Art. 28)
□ Technische Maßnahmen implementiert
□ Mitarbeiter geschult
□ Datenschutz-Folgenabschätzung (falls nötig)
□ Prozesse für Betroffenenrechte
□ Datenschutzerklärung auf Website
□ Verletzungsmanagement dokumentiert
```
---
## Querverweise
- [[LF4-03-Sicherheitskonzepte|Zurück: Sicherheitskonzepte]]
- [[LF3-Datenbanken|Datenbanken: Datensicherheit]]
- [[Wissen/Wirtschafts-Sozialkunde/WISO-Zusammenfassung|WISO: Rechtliche Grundlagen]]
---
*Stand: 2024*
Reference in New Issue View Git Blame Copy Permalink