2. Name: Benedikt Aichinger
Ausbildung: Wirtscha7sinforma:ker
2004 Diplomarbeit e-Government und DSG2000
2003 bis 2007 IT Prüfer (Cer:fied Informa:on Security Auditor) bei KPMG Linz
2007 Technische Projektleitung in der ARGE ELGA für das Dokumentenregister
2009 Anmeldung des ersten Informa:onsverbunds im Gesundheitswesen
2009 bis 2017 zahlreiche Projekte und Beratungen von Kunden im Gesundheitswesen und Organen der
Selbstverwaltung im Umgang mit sensiblen Gesundheitsdaten und den technischen Architekturen dafür.
2016 Gründung der Synca GmbH und 2017 Start von swync mit dem Ziel DSGVO konformes Kontaktmanagement zu
ermöglichen
3. ist NICHT für Unternehmer die:
Daten ihrer Kunden verkaufen oder im Adresshandel tä9g sind1.
Gesundheits2. -, biometrische, gene9sche Daten oder Daten von
Kindern verarbeiten
Big Data Analysen oder ein3. Profiling ihrer Kunden durchführen – also
Geld mit den Daten ihrer Kunden verdienen
4. Datenschutz
Rechtliche Rahmenbedingungen die den Umgang mit personenbezogenen
Daten regeln sollen.
IT Security
Technische Sicherungsmaßnahmen die immer nach „dem Stand der Technik“
und „wirtscha?lich sinnvoll“ sein sollen.
5. Art 4 DSGVO: Alle Informa4onen, die sich auf eine iden4fizierte oder
iden4fizierbare natürliche Person beziehen
Sämtliche Informa4onen, die mit einer Person in Verbindung stehen oder
in Verbindung gebracht werden können = persönliche Daten
Speichermedium, Dateiformat etc. für Datenbegriff irrelevant
7. Die Grundsätze und Vorschri2en zum Schutz natürlicher Personen bei
der Verarbeitung ihrer personenbezogenen Daten sollten
gewährleisten, dass ihre Grundrechte und Grundfreiheiten und
insbesondere ihr Recht auf Schutz personenbezogener Daten
ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsorts
gewahrt bleiben.
8. Natürliche Personen sollten die Kontrolle über ihre eigenen Daten besitzen.
Natürliche Personen, Wirtscha8 und Staat sollten in rechtlicher und
prak=scher Hinsicht über mehr Sicherheit verfügen.
Diese Verordnung gilt nicht für die Verarbeitung von personenbezogenen
Daten, die von einer natürlichen Person zur Ausübung ausschließlich
persönlicher oder familiärer Tä6gkeiten und somit ohne Bezug zu einer
beruflichen oder wirtscha8lichen Tä=gkeit vorgenommen wird.
9. Die Einwilligung sollte durch eine eindeu/ge bestä/gende Handlung erfolgen, mit
der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich
bekundet wird, dass die betroffene Person mit der Verarbeitung der sie
betreffenden personenbezogenen Daten einverstanden ist.... Dies könnte etwa
durch Anklicken eines Kästchens beim Besuch einer Internetseite, ... oder durch
eine andere Erklärung oder Verhaltensweise geschehen.... S/llschweigen, bereits
angekreuzte Kästchen oder Untä/gkeit der betroffenen Person sollten daher keine
Einwilligung darstellen. ... Wenn die Verarbeitung mehreren Zwecken dient, sollte
für alle diese Verarbeitungszwecke eine Einwilligung gegeben werden.
10. Art 6 DSGVO: Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder
mehrere besFmmte Zwecke gegeben;
b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung
vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
d) die Verarbeitung ist erforderlich, um lebenswich6ge Interessen der betroffenen Person oder einer anderen natürlichen Person zu
schützen; - z.B. medizinische NoPälle, Unfälle etc.
e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung
öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
f) die Verarbeitung ist zur Wahrung der berech6gten Interessen des Verantwortlichen oder eines DriTen erforderlich, sofern nicht die
Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern,
überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
11. Datenweitergabe an anderen Verantwortlichen oder Verwendung der
Daten für neuen Zweck = Übermi)lung
– Zus9mmung des Betroffenen oder Notwendigkeit zur Vertragserfüllung
Datenweitergaben an Dienstleister = Überlassung
– Viel einfacher möglich!
12. Grundsätzliche Zulässigkeit der Datenverarbeitung
Wenn bereits die Verarbeitung nicht rechtskonform ist, darf erst recht keine Überlassung der Daten erfolgen
Bei Zulässigkeit der Datenverwendung: Daten können an einen Dienstleister überlassen werden, der die
Kriterien des Art 28 DSGVO erfüllt:
– Dienstleister bietet ausreichend Gewähr für sichere Datenverarbeitung (sorgfälJge Auswahl!)
– Es werden die notwendigen Vereinbarungen zwischen Dienstleister und AuOraggeber geschlossen
– AuOraggeber hat sich von der Einhaltung der Sicherheitsmaßnahmen durch Dienstleister zu überzeugen
Vertrag über Au=ragsverarbeitung ist abzuschließen!
13. Transparenz
Personenbezogene Daten müssen auf rechtmäßige Weise, nach dem Grundsatz von Treu und Glauben und in
einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.
Zweckbindung
Daten müssen für festgelegte, eindeuAge und legiAme Zwecke erhoben werden und dürfen nicht in einer mit
diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.
Datenminimierung
Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der
Verarbeitung notwendige Maß beschränkt sein.
14. Rich%gkeit
Daten müssen sachlich rich/g und erforderlichenfalls auf dem neuesten Stand sein; dabei sind alle
angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer
Verarbeitung unrich/g sind, unverzüglich gelöscht oder berich/gt werden.
Speicherminimierung
Daten müssen in einer Form gespeichert werden, die die Iden/fizierung der betroffenen Personen nur so lange
ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.
Integrität und Vertraulichkeit
Die gespeicherten Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der
personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger
Verarbeitung und vor unbeabsich/gtem Verlust, unbeabsich/gter Zerstörung oder unbeabsich/gter
Schädigung durch geeignete technische und organisatorische Maßnahmen.
15. Design
”Ich beachte den Datenschutz bereits bei der Programmierung der
Applika:on”
Default
“Ich setze Op:onen so, dass sie grundsätzlich den maximalen Datenschutz
gewähren.”
16. Ausweitung durch DSGVO
Frist: grundsätzlich ein Monat
Rechte des Betroffenen ggü. Verantwortlichem
Recht auf AuskunD (Art. 15 DSGVO)•
Recht auf BerichIgung (Art. 16 DSGVO)•
Recht auf• Löschung (Art. 17 DSGVO)
Recht auf• Einschränkung der Verarbeitung (Art. 18 DSGVO)
Recht auf Widerspruch (Art. 21 DSGVO)•
17. Wich%ge Neuerung!
Ersatz• für DVR-Meldung
Verpflichtende• Führung eines Verzeichnisses von Verarbeitungstä?gkeiten, das
auf Anfrage der Aufsichtsbehörde vorzulegen ist.
Ä• ußere Form: Ähnlichkeit mit früherer DVR-Meldung
Laufende• Prüfung und Aktualisierung
18. Informa(onspflichten bei Erhebung vom Betroffenen: Art 13 DSGVO
a) den Namen und die Kontaktdaten des Verantwortlichen
… c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen,
sowie die Rechtsgrundlage für die Verarbeitung;
… f) gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen
Daten an ein DriPland oder eine interna(onale Organisa(on zu übermiPeln
19. Cookies
Einwilligung (Info welche Cookies!) und Anpassbarkeit -> Entspricht Regel “Privacy by D&D”
AuFragsverarbeiter? -> Verträge prüfen
Newsle*er
Wie bin ich zu den Email Adressen gekommen? Seit wann schicke ich schon? -> Regelung
wie bisher bei NewslePeranmeldung -> WichQg: Art 6, b) … Anfrage der Person und Zweck
20. Presseverteiler
Pressekontakte und Blogger haben ein Interesse an Neuerungen zu bes6mmten Themen /
Öffentliche Daten fallen nicht unter die DSGVO –> Gleiche Regel wie bei NewsleGer
(Abmeldung beachten)
Freiwilligenarbeit / Kostenlose Mitarbeiter
Grenzfall – weil keine gesetzliche Grundlage für Verarbeitung -> Einwilligung einholen für
Verarbeitung und zeitlich begrenzen. ODER: Vereinsstatuten ändern für Mitglieder
24. Quelle: Datenschutz Grundverordnung
Experian Data Quality 2015 Global Research Report
21%
falsche Kontaktdaten in
den Systemen
1,8 €
Kosten pro Kontakt im Jahr
20 MIO
Strafrahmen
Grundsätze der
Verarbeitung gelten EU-
weit ab 26. Mai 2018
Kontaktmanagement Risk Management
Verfahrensverzeichnis
und Datenschutz-
beauTragten
56%
„Kontaktdaten haben
einen direkten Einfluss
auf den Erfolg“
28. Slack: h)ps://slack.com/intl/de/gdpr
SugarCRM: h)ps://info.sugarcrm.com/GDPR-Guide-de.html
Mailchimp: h)ps://blog.mailchimp.com/gdpr-tools-from-mailchimp/ bietet auch eine eigene Vereinbarung an:
h)ps://mailchimp.com/legal/forms/data-processing-agreement/
Hubspot: h)ps://www.hubspot.com/data-privacy/gdpr/product-readiness
Wordpress: h)ps://de.wordpress.org/support/topic/eu-dsgvo/
Dropbox: h)ps://www.dropbox.com/security/GDPR
Direct Mailings: h)ps://www.post.at/geschaeHlich-dsgvo.php#21305
Google AnalyPcs: h)ps://medium.com/@subsign/google-analyPcs-and-gdpr-compliance-3fad792babf5
h)ps://www.google.com/about/company/consentstaging.html
29. Das Gesetz: h+p://eur-lex.europa.eu/legal-
content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=EN
ArOkel und Diskussionen zu den Tools:
h+ps://www.blogmojo.de/wordpress-plugins-dsgvo/
h+ps://elbnetz.com/dsgvo-mit-wordpress/ und
h+ps://www.facebook.com/groups/wordpress.dsgvo/ (FB-Gruppe mit vielen Inputs)
h+ps://www.mi+wald.de/blog/cms/wordpress/der-grosse-guide-zu-jetpack-dem-werkzeugkasten-
fuer-deinen-blog