Digital aber sicher -

Datensicherheit und Datenschutz

in Ihrem KMU

Prof. Dr. Frank Ortmeier (OvGU Magdeburg)

Sebastian Nielebock (OvGU Magdeburg)

Mykhailo Nykolaichuk (OvGU Magdeburg)

25.10.2018

Hinweis

Alle in diesem Vortrag dargestellten Informationen entsprechen keiner

Rechtsberatung bzw. ersetzen keine rechtliche Beratung. Sie stellen lediglich die

persönliche Wahrnehmung des Vortragenden wider.

Der Vortragende übernimmt keine Haftung für eventuelle Folgeschäden,

insbesondere rechtlicher Natur, die aus fehlerhaften Handlungen, die aus diesem

Vortrag herrühren, entstehen.

https://heise.de/-4198972

Personenbezogene Daten (I)

– „alle Informationen, die sich auf eine identifizierte oder identifizierbare

natürliche Person […] beziehen“ (DSGVO – Artikel 4)

Direkt Indirekt

Personenbezogene Daten (II)

Datensicherheit vs. Datenschutz

5 Schritte zumDSGVO konformen Datenschutzkonzept

Datenschutz-konzept

Allgemein

• Datenschutzverantwortlicher notwendig

– ab 10 Mitarbeitern, die ständig auf personenbezogene Daten zugreifen

– bei besonders sensiblen personenbezogenen Daten

– ggf. extern

• Rechtsberatung

– Anwaltstermin

• IT-Experten

– Technische Maßnahmen

– Regelmäßiges Testen

– Verbesserung nach Stand der Technik

Datenschutzkonzept für die

Meier Elektrik GmbH

• gegründet 2008

• Unternehmen mit 8 Mitarbeitern

• ca. 1200 Kunden

• ca. 12 Zulieferer

• interne Buchführung

• externe Steuerberatung

IT-Infrastruktur Meier Elektrik GmbH

Geschäftsprozess – Auftrag anlegen

• Benötigte Daten• Legitimierung• Legitimierte Personen• Verwendung/Zweck• Speicherung der Daten• Kommunikation Daten• Datenweitergabe• Löschstrategie• Informationsrecht• Dokumentation• Technische und Organisatorische Maßnahmen

• Benötigte Daten• Legitimierung• Legitimierte Personen• Verwendung/Zweck• Speicherung der Daten• Kommunikation Daten• Datenweitergabe• Löschstrategie• Informationsrecht• Dokumentation• Technische und Organisatorische Maßnahmen

Geschäftsprozess – Auftrag anlegen (I)

Benötigte (personenbezogene) Daten

• Kundenname

• Kundenadresse

• Telefonnummer

• E-Mail-Adresse

• Anliegen/Auftragsinhalt

Geschäftsprozess – Auftrag anlegen (II)

Legitimierung

„DSGVO – Artikel 6 Rechtmäßigkeit der Verarbeitung

(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der

nachstehenden. Bedingungen erfüllt ist:

[…]

b) Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen

Vertragspartei die betroffene Person ist, oder zur

Durchführung vorvertraglicher Maßnahmen erforderlich,

die auf Anfrage der betroffenen Person erfolgen;

[…]“

Geschäftsprozess – Auftrag anlegen (III)

Verwendungszweck

• Finanzbuchhaltung

• Kommunikation mit Kunde bspw. Terminabsprachen

• Anlegen von Folgeaufträgen

• Logistik/Einkauf

Geschäftsprozess – Auftrag anlegen (IV)

Speicherung der Daten

Wo• Rechner mit Netzwerkverzeichnis

• Name und Telefonnummer auf Firmen-

Smartphones

• Webseitenserver (Auftrag über

Webseitenformular)

• Finanzbuchhaltungssoftware

• Logistiksoftware

• E-Mail-Programm als Cloud-Lösung

Wie• Textuell

• Excel-Tabelle

• SQL-Datenbank

Geschäftsprozess – Auftrag anlegen (V)

Datenweitergabe

• Zulieferfirmen/Subunternehmen

– alle Auftragsdaten für Auftragszeit

• DATEV

– alle Auftragsdaten

• IT-Dienstleister

– Auftragsdaten über Webformular

Vertragliche Regelungen mit Partnern („Auftragsverarbeitung“)

Geschäftsprozess – Auftrag anlegen (VI)

Informationsrecht

• Datenschutzerklärung

– Webseite – Leitfaden des Kompetenzzentrums

Saarbrücken

• Auskunft über

– Verantwortlichen

– Daten

– Legitimation

– Zwecke

– Speicherorte

– Personenzugriffe/Weitergabe

– Rechte Betroffener

Geschäftsprozess – Auftrag anlegen (VII)

Dokumentation

• Datenschutzkonzept

• Datenzugriffe

• Umsetzung und Anpassung von

technischen und organisatorischen Maßnahmen

Datenschutzkonzept für Ihr Unternehmen

Mittelstand 4.0

• Blog-Eintrag• Leitfaden