IT SICHERHEIT

• Schutz personenbezogener Daten

• Verhindert Missbrauch durch Dritte

• Bezieht sich nur auf Daten von Personen

• Schutz aller Daten

• Gewährleistet Vertraulichkeit, Verfügbarkeit und Integrität

• Umfasst nicht nur personenbezogene Daten, sondern alle Arten von Daten

Jede natürliche Person dessen Daten von Unternehemen oder Organisation verbreitet werden im Europäischen Raum

Nur personenbezogene Daten, die identifiziert oder identifizierbar sind.

👤 Betroffene Person → Dateninhaber, hat Rechte (z. B. Auskunft, Löschung)

🏢 Verantwortlicher → Entscheidet über Datenverarbeitung, haftet nach DSGVO

🛡️ Datenschutzbeauftragter (DSB) → Berät & überwacht intern, keine Strafen

📜 Landesdatenschutzbeauftragter (LDSB) → Aufsichtsbehörde, kann Prüfungen & Bußgelder verhängen

⚙️ Auftragsverarbeiter → Verarbeitet Daten im Auftrag des Verantwortlichen, braucht Vertrag (AVV)

TOMs (Technisch-organisatorische Maßnahmen) sind Schutzmaßnahmen nach Art. 32 DSGVO zur Sicherung personenbezogener Daten.

✅ Technische Maßnahmen: Verschlüsselung, Passwörter, Firewalls

✅ Organisatorische Maßnahmen: Schulungen, Datenschutzrichtlinien, Zugriffsrechte

🔐 Ziel: Schutz vor Datenverlust, Cyberangriffen & unbefugtem Zugriff.

🔹 Vertraulichkeit (Confidentiality) 🔒

• Schutz vor unbefugtem Zugriff

• Verschlüsselung, Passwörter, Firewalls

🔹 Integrität (Integrity) ✅

• Schutz vor Manipulation & Datenverfälschung

• Hash-Werte, digitale Signaturen, Malware-Schutz

🔹 Verfügbarkeit (Availability) ⏳

• Daten & Systeme müssen immer nutzbar sein

• Backups, DDoS-Schutz, Notfallpläne

✅ 1️⃣ Verzeichnis von Verarbeitungstätigkeiten (VVT) 📋

➡ Dokumentiert alle Prozesse, in denen personenbezogene Daten verarbeitet werden.

➡ Pflicht für Unternehmen nach Art. 30 DSGVO.

➡ Wofür? Übersicht über Datenverarbeitung & erster Schritt zur Risikobewertung.

📌 1️⃣ VVT (Verzeichnis von Verarbeitungstätigkeiten) – Dokumentation aller Datenverarbeitungen.

📌 2️⃣ Risikobewertung – Analyse der Risiken für Betroffene.

📌 3️⃣ DSFA (Datenschutz-Folgenabschätzung) – Detaillierte Prüfung bei hohem Risiko.

• Arbeitnehmerdatenschutz (Art. 88 DSGVO)

• Gesundheitsdaten (Art. 9 Abs. 4 DSGVO)

• Datenverarbeitung im öffentlichen Interesse (Art. 6 Abs. 2 DSGVO)

• Kinderschutz (Art. 8 DSGVO)

• Gilt für alle Unternehmen, die Daten von EU-Bürgern verarbeiten

• Unabhängig vom Standort des Unternehmens

• Verarbeitung automatisierter und nicht-automatisierter Daten

• Besonderer Schutz für sensible Daten (z. B. Gesundheitsdaten)

• Rechtmäßigkeit: Verarbeitung nur nach Rechtmäßigkeit

• Zweckbindung: Daten nur für festgelegte Zwecke verwenden

• Datenminimierung: Nur notwendige Daten erheben

• Richtigkeit: Daten aktuell und korrekt halten

📌 1️⃣ Vertraulichkeit 🔒 ➡ Daten dürfen nur von berechtigten Personen genutzt werden. ➡ Schutz vor Datenmissbrauch & unbefugtem Zugriff.

📌 2️⃣ Verfügbarkeit ⏳ ➡ Daten müssen nutzbar & abrufbar sein, wenn sie benötigt werden. ➡ Schutz vor Datenverlust & Ausfällen.

📌 3️⃣ Integrität ✅ ➡ Daten müssen richtig & unverändert bleiben. ➡ Schutz vor Fehlern, Manipulation & Korruption.

• Verarbeitung nach Treu und Glauben – Zuverlässig & transparent

• Zweckbindung – Nur für definierte & legitime Zwecke

• Datenminimierung – Nur das notwendige Maß speichern

• Sachliche Richtigkeit – Daten müssen richtig & aktuell sein

• Zeitliche Speicherbegrenzung – Nur so lange speichern, wie nötig

• Integrität & Vertraulichkeit – Daten müssen geschützt & unverändert bleiben

• Rechenschaftspflicht – Nachweispflicht für die Einhaltung der DSGVO

• Einwilligung (Art. 6 Abs. 1 lit. a) ➡ Verarbeitung erlaubt, wenn freiwillige & informierte Zustimmung vorliegt.

• Vertragserfüllung (Art. 6 Abs. 1 lit. b) ➡ Verarbeitung erlaubt, wenn für die Erfüllung eines Vertrags notwendig.

• Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c) ➡ Verarbeitung erlaubt, wenn eine gesetzliche Pflicht besteht.

• Schutz lebenswichtiger Interessen (Art. 6 Abs. 1 lit. d) ➡ Verarbeitung erlaubt, wenn Leben oder Gesundheit geschützt werden müssen.

• Öffentliches Interesse (Art. 6 Abs. 1 lit. e) ➡ Verarbeitung erlaubt, wenn es dem Allgemeinwohl dient.

• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) ➡ Verarbeitung erlaubt, wenn das Interesse schwerer wiegt als Betroffenenrechte.

•Recht auf (transparente) Informationen (Art. 12, 13, 14 DSGVO)

•Recht auf Auskunft (Art. 15 DSGVO)

•Recht auf Berichtigung (Art. 16 DSGVO)

•Recht auf Löschung (Recht auf Vergessenwerden) (Art. 17 DSGVO)

•Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

•Recht auf Mitteilung bei Löschung oder Einschränkung (Art. 19 DSGVO)

•Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

•Recht auf Widerspruch (,Widerspruchsrecht" Art. 21 DSGVO)

• Es sich um eine Behörde handelt.

• Eine umfangreiche, regelmäßige und systematische Überwachung von Personen erfolgt.

• Besondere Kategorien personenbezogener Daten (z. B. Gesundheitsdaten) oder strafrechtlich relevante Daten verarbeitet werden.

• Mindestens 20 Personen ständig personenbezogene Daten automatisiert verarbeiten.

• Ereignis, bei dem personenbezogene Daten falsch verarbeitet, gespeichert oder weitergegeben werden.

• Verstoß gegen Datenschutzbestimmungen oder Sicherheitsvorkehrungen.

• Kann zu unerlaubter Offenlegung, Veränderung, Verlust oder Zerstörung der Daten führen.

Beispiele für Datenschutzvorfälle:

• Datenverlust

• Datenleck

• Hackerangriffe

• Analyse zur Bewertung von Risiken für die Rechte und Freiheiten betroffener Personen bei der Datenverarbeitung.

• Ziel: Risiken minimieren und sichere Verarbeitung gewährleisten (Art. 25 DSGVO).

• Hohes Risiko für Betroffene (Art. 35 DSGVO).

• Automatisierte Verarbeitung (z. B. Profiling).

• Umfangreiche Verarbeitung besonderer Daten (z. B. Gesundheitsdaten).

• Überwachung öffentlicher Bereiche.

• Einsatz neuer Technologien.

• Verarbeitungen auf der Risikoliste der Aufsichtsbehörden (Blacklist).