SWISS GRC DAY

DIE NEUE DATENSCHUTZ-GRUNDVERORDNUNG (DSGVO) UND IHRE AUSWIRKUNGEN AUF DAS

RISIKO- UND COMPLIANCE MANAGEMENT

7. NOVEMBER 2017

01 DAS IST DIE SWISS INFOSEC AGZahlen und Werte zu Unternehmen und Team

02 UNSERE ANGEBOTSLANDSCHAFTDarstellung unserer Dienstleistung und Leistungsübersicht

03 EU-DATENSCHUTZ-GRUNDVERORDNUNGSo sind Sie gewappnet für die Umsetzungsfrist 28.05.2018

04 IHR KONTAKTIhre Problemlösung beginnt mit einem Kontakt bei uns: +41 41 984 12 12, infosec@infosec.ch

AGENDATHEMENÜBERSICHT

Swiss Infosec AGHauptsitz in Sursee

Security@its bestSeit mehr als 25 Jahren befassen wir uns mit allem rund um Integrale Sicherheit. Mit der Swiss Infosec AG sind Sie sicher, dass Ihre Informationen so sicher sind wie nötig.

01SWISS INFOSEC AG

Reto C. ZbindenCEO, Rechtsanwalt

UNSERE WERTE

01SWISS INFOSEC AG

Sicherheit nach MassPraxisorientiert und kundennah

Unabhängig und neutralBest Practice-Umsetzung

Zielführend

UNSERE ASPEKTE

Mensch Organisation

RechtTechnik

Infrastruktur

UNSER TEAM

Seit über 25 Jahren25 Spezialisten

200 Jahren ErfahrungEffizient und eingespielt

Kompetent

INTEGRALE SICHERHEIT

KRISENMANAGEMENTKrisenkommunikation, Notfallmanagement,

Evakuation, Erste Hilfe

BUSINESS CONTINUITYMANAGEMENTISO 22301, BCMS

PHYSISCHE SICHERHEITData Center Security

AUSBILDUNGWissen generiert mehr Sicherheit:kompakt, flexibel, praxisorientiert

BERATUNGIhre Sicherheit im Fokus:

individuell, kompetent, unabhängig

SERVICESSecurity as a Service (SaaS): die flexible Personallösung auf Zeit

TOOLSManagement-Software und

Training-Tool für mehr Effizienz

RISIKOMANAGEMENT, INTERNES KONTROLLSYSTEM

INFORMATIONSSICHERHEITISO 27001, ISMS, Datenschutz, IT-Sicherheit, Cyber Security, Archivierung

02ANGEBOTSLANDSCHAFT

Die DSGVO wie auch das Schweizer Datenschutzgesetz verfolgen im wesentlichen dasselbe Ziel:

Sie liefern Regeln bezüglich der zulässigen Verarbeitung von personenbezogenen Daten (z.B. Rechtmässigkeits-, Zweckbindungs-, Datenminimierungsprinzip)

Grundrechte von natürlichen Personen (in der CH auch von juristischen Personen) sollen geschützt sein. (Art. 13 BV: Schutz der Privatsphäre)

Schutz der Persönlichkeit vor widerrechtlicher oder unverhältnismässiger Bearbeitung von Personendaten

03EU-DATENSCHUTZ-GRUNDVERORDNUNG

ZIEL DES DATENSCHUTZES

Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 (DSGVO)

zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten

löst die Datenschutzrichtlinie 95/46/EG ab

ist in allen EU-Staaten direkt anwendbar

88 Seiten, 176 Präambeln, 99 Artikel (Artikel 1 beginnt ab Seite 32)

in Kraft seit 24. Mai 2016

2 Jahre Umsetzungsfrist, d.h. DSGVO muss bis 25. Mai 2018(Art. 99 Abs. 2 DSGVO) umgesetzt sein.

03EU-DATENSCHUTZ-GRUNDVERORDNUNG

WAS IST DIE EU-DATENSCHUTZ-GRUNDVERORDNUNG?

Schweizer Datenschutzgesetz

Grundsätzlich kommt für Firmen mit Sitz in der Schweiz das schweizerische Recht zur Anwendung.

Bearbeiten von Personendaten: Anwendung Schweizer Datenschutzgesetz und Verordnung (DSG und VDSG)

Aktuell: Revision DSG. In Kraft 2018/2019

Ziel: Annäherung an europäische Gesetzgebung. Schweiz soll Status des «Sicheren Drittlands» beibehalten.

Datenschutz-Grundverordnung (EU 2016/679)

Neu: Extraterritoriale Anwendung. Anwendungsbereich wird ausgeweitet auf Unternehmen ausserhalb der EU

03EU-DATENSCHUTZ-GRUNDVERORDNUNG

ANWENDBARES RECHT FÜR EINE FIRMA MIT SITZ IN DER SCHWEIZ

Geltungsbereich DSGVO

Wer Kunden in der EU etwas anbietet (Marktortprinzip)

Wer das Verhalten von Menschen in der EU analysiert

Wer Daten in der CH im Auftrag eines Unternehmens der EU speichert oder bearbeitet

Beschränkt: Wenn Schweizer Unternehmen Daten in der EU speichern/verarbeiten lässt.

03GELTUNGSBEREICH DSGVO

SIND SIE BETROFFEN?

Personenbezogene DatenAlle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen

Begriff der verpflichteten Stellen“Für die Verarbeitung Verantwortlicher“ (“controller“) und “Auftragsverarbeiter“ (“processor“)

IP-Adressen und andere „Online-Identifier“ sind personenbezogene Daten

Genetische und biometrische Daten als sensitive Personendaten, sogenannte «besondere Kategorien personenbezogener Daten»

Profiling (Big Data): jegliche Form von automatisierter Datenverarbeitung, bei welcher die betreffenden Personendaten zur Analyse von gewissen persönlichen Aspekten einer natürlichen Person verwendet werden

Pseudonymisierung: Pseudonymisierte Daten sind KEINE anonymisierten Daten

Einwilligung: Freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich

03ALLGEMEINE BESTIMMUNGEN

BEGRIFFSDEFINITIONEN (ART. 4 DSGVO)

Hoher Bussenrahmen schafft Awareness

Diverse Grundlagen werden laufend erarbeitet und publiziert (WP29)

Mitgliedstaaten erlassen nun laufend Anpassungsgesetze

Schweizer DSG zur Zeit in Totalrevision, in Kraft frühestens 2019

In vielen Schweizer Unternehmen war Datenschutz nie Thema

Kaum personelle Ressourcen für den Datenschutz

Keine Übersicht über Datenverarbeitungen

Kaum datenschutzspezifische Prozesse

Kaum Datenschutzweisungen

Kaum entsprechende Intercompany-Vereinbarungen

03EU-DATENSCHUTZ-GRUNDVERORDNUNG

DSGVO KOMPAKT

Nicht viel Neues – aber

Nachweis der Einwilligung zur Datenverarbeitung nötig

Umfassende Informationspflichten zum Zeitpunkt der Einwilligung

«Data Breaches» sind ggf. innert 72 Stunden den Aufsichtsbehörden und evtl. den Betroffenen zu melden

Alle Datenverarbeitungen müssen in einem Verzeichnis inventarisiert und beschrieben werden

Zwingend: Verfahrensverzeichnis auch für Auftragsverarbeiter

Betroffene erhalten auf Antrag «ihre» Daten ("Datenportabilität")

Bei Computer-Entscheiden – Anspruch auf Beurteilung durch Menschen

Bei Vorhaben mit hohen Risiken muss eine Datenschutz-Folgenabschätzung vorgenommen werden – umfangreiche gesetzliche Vorgaben zu deren Inhalt und Information der Aufsichtsbehörden

03EU-DATENSCHUTZ-GRUNDVERORDNUNG

DSGVO KOMPAKT

Verbot der Verarbeitung sensitiver Personendaten

Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer Person oder Daten über Gesundheit oder Sexualleben und sexuelle Ausrichtung ist untersagt.

Ausnahmen

Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten ausdrücklich eingewilligt, es sei denn, nach den Rechtsvorschriften der Union oder eines Mitgliedstaats kann das Verbot der Verarbeitung durch die Einwilligung der betroffenen Person nicht aufgehoben werden

Arbeitsrecht und Recht der sozialen Sicherheit und des Sozialschutzes

Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen Person

Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person selber öffentlich gemacht hat, gerichtliche Auseinandersetzung, wichtige öffentliche Interessen, öffentliche Gesundheit, geschützte Bearbeitung NGO/NPO

Fachpersonen / Berufsgeheimnis

03EU-DATENSCHUTZ-GRUNDVERORDNUNG

VERBOTE UND AUSNAHMEN

Bezüglich Rechtmässigkeit der Datenverarbeitung stellt die DSGVO die Einwilligung des Datensubjektes in den Vordergrund.

Die Einwilligung muss durch eine ausdrückliche, aktive Handlung erfolgen (z.B. Ticken von Box, Häkchen muss jedoch aktiv gesetzt werden. Opt-out nicht ausreichend).

Die Einwilligungserklärungen müssen gut sicht- und lesbar getrennt von anderen Themen dargestellt werden.

Beweislast der gültigen Einwilligung bei der verarbeitenden Stelle

Möglichkeit des jederzeitigen Widerrufs

03EU-DATENSCHUTZ-GRUNDVERORDNUNG

EINWILLIGUNG

Informationspflicht bei sensitiven Personendaten “in leicht verständlicher Sprache“

Information über:

den Datenverarbeiter

den Zweck der Datenerhebung

allfällige Rechtfertigungsgründe für die Datenerhebung

die Kategorie der Datenempfänger

mögliche Datentransfers in Drittstaaten

die Dauer der Datenaufbewahrung

die Auskunfts-, Berichtigungs-, und Löschungsrechte

die Möglichkeit der Beschwerde an die zuständige Datenschutzbehörde

Folgen der Verweigerung der Einwilligung zur Datenerhebung

03EU-DATENSCHUTZ-GRUNDVERORDNUNG

UMFASSENDE INFORMATIONSPFLICHT

Ausdrückliche Statuierung des „Recht auf Vergessen“ in Artikel 17 DSGVO.

Löschpflicht nicht nur für Datenverarbeiter, der die entsprechenden Personendaten ursprünglich erhoben hat. Wurden die betreffenden Personendaten an Dritte weitergegeben oder öffentlich gemacht, muss der ursprüngliche Datenverarbeiter diese Drittpersonen über das Löschungsgesuch informieren. Er muss hierzu verhältnismässige Anstrengungen unternehmen.

Recht auf Daten: Betonung, dass Personendaten der betroffenen Person und nicht dem Datenverarbeiter gehören. Auf Gesuch müssen Datenverarbeiter der betroffenen Person ihre persönlichen Daten auf elektronischem Weg und in einem allgemein nutzbaren Format kostenfrei und schnell aushändigen.

03EU-DATENSCHUTZ-GRUNDVERORDNUNG

DAS MÜSSEN ORGANISATIONEN IN DER SCHWEIZ BEACHTEN

Der DSGVO unterliegende Organisationen haben einen Vertreter mit Sitz in der EU zu ernennen

Ausnahmen: Datenverarbeiter verarbeitet nur unregelmässig personenbezogene Daten im Sinne der DSGVO

Verarbeitung besonderer Kategorien personenbezogener Daten nur in geringem Umfang

Verarbeitung hat nur geringe Datenschutzrisiken

Interpretation der Ausnahmen fraglich bzw. noch zu klären

Vertreter kann auch Niederlassung des ausländischen Unternehmens in der EU sein

03EU-DATENSCHUTZ-GRUNDVERORDNUNG

DAS MÜSSEN ORGANISATIONEN IN DER SCHWEIZ BEACHTEN

Auftragsdatenverarbeitung muss durch einen Vertrag geregelt sein

Datenverarbeiter werden verpflichtet, ein Verzeichnis mit allen ihren Datenverarbeitungen zu erstellen

Obligatorische Meldung bei Datenschutzpannen innerhalb von 72 Stunden an die Aufsichtsbehörde

Falls Datenschutzpanne möglicherweise hohes Risiko für die Rechte der betroffenen Personen: Information des Datensubjektes ohne unnötige Verzögerung

«Data Protection Impact Assessment» (Datenschutz-Folgenabschätzung), falls Datenverarbeitungen neue Technologien nutzen oder hinsichtlich Natur, Umfang oder Kontext der Datenverarbeitung hohe Risiken bergen

03EU-DATENSCHUTZ-GRUNDVERORDNUNG

DAS MÜSSEN ORGANISATIONEN IN DER SCHWEIZ BEACHTEN

„Data Protection by Design” (Art. 25 Abs. 1 DSGVO) Es sollen geeignete technische und organisatorische Massnahmen getroffen werden, damit die datenschutzrechtlichen Prinzipien eingehalten werden. Pseudonymisierungwird als Beispiel genannt.

„Data Protection by Default” (Art. 25 Abs. 2 DSGVO)Voreinstellungen sollen so ausgestaltet werden, dass nur personenbezogene Daten erhoben werden, welche für den Zweck wirklich erforderlich sind.

03EU-DATENSCHUTZ-GRUNDVERORDNUNG

FOLGENDE PRINZIPIEN MÜSSEN ORGANISATIONEN IN DER SCHWEIZ BEACHTEN

Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn

die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmässige und systematische Beobachtung von betroffenen Personen erforderlich machen (Big Data)

die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten besteht, insbesondere Daten über

rassische und ethnische Herkunft

politische Meinungen, religiöse oder weltanschauliche Überzeugungen

Gewerkschaftszugehörigkeit

genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person,

Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung

03DAS MÜSSEN ORGANISATIONEN IN DER SCHWEIZ BEACHTEN

DER DATENSCHUTZBEAUFTRAGTE

Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann.

Der Datenschutzbeauftragte kann Beschäftigter des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags (bzw. Auftrag) erfüllen.

Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit.

03DAS MÜSSEN ORGANISATIONEN IN DER SCHWEIZ BEACHTEN

DER DATENSCHUTZBEAUFTRAGTE

Der Verantwortliche ist für die Einhaltung der Grundsätze verantwortlich und muss die Einhaltung nachweisen können.

Bei Nichtbeachtung der Grundsätze nach Art. 5 DSGVO und fehlender Rechenschaftspflicht «grosser» Bussenrahmen.

In anderen Worten: Die Unternehmen müssen nicht nur sicherstellen, dass sie «Datenschutz-compliant» sind, sondern die Compliance auch nachweisen können.

Entwurf CH-DSG sieht eine analoge Rechenschaftspflicht vor.

03EU-DATENSCHUTZ-GRUNDVERORDNUNG

RECHENSCHAFTSPFLICHT (ART. 5 ABS. 2 DSGVO)

Nachweispflicht der Einhaltung d. Grundsätze bei Auftragsverarbeitung! Nachweispflicht = Dokumentationspflicht!

Modewort: Good Governance

Unternehmen müssen beweisen können, dass sie geeignete Datenschutzweisungen und geeignete Datenschutzvorkehrungen umsetzen

Datenschutzweisung muss die Grundsätze der DSGVO widerspiegeln. Möglichkeit von Kontrollen und Sanktionen bei Nichteinhaltung der Weisung aufnehmen

Datenschutzweisung muss «gelebt» werden

Schulungen, E-Learning. Optimale Nachweismöglichkeit

Verpflichtung in Arbeitsverträgen

03EU-DATENSCHUTZ-GRUNDVERORDNUNG

RECHENSCHAFTSPFLICHT (ART. 5 ABS. 2 DSGVO)

Kontrolle und Sanktionen (auch wenn unbeliebt) notwendig, damit Nachweis der «Datenschutz-Compliance» erbracht werden kann.

Sowohl beim DSG wie auch bei der DSGVO muss die Datenverarbeitung rechtmässig sein.

Konzept ist anders:

DSGVO benötigt zwingend einen Rechtfertigungsgrund für die Datenverarbeitung

Gemäss CH-DSG darf durch eine Datenbearbeitung die Persönlichkeit nicht widerrechtlich verletzt werden.

Im Resultat jedoch vergleichbar und mit der Konsequenz, dass sowohl bei der DSGVO wie auch der CH-DSG der (Rechtfertigungs-) Grund für die Datenverarbeitung bekannt sein sollte.

Bei der DSGVO besteht jedoch eine zwingende Dokumentationspflicht der vorhandenen Rechtmässigkeit.

03RECHTMÄSSIGKEIT DER BEARBEITUNG VON PERSONENDATEN

RECHTMÄSSIGKEIT – VERGLEICH CH

Hohe Geldbussen: Je nach Verstoss bis zu EUR 20 Mio. oder (wenn höher) 4% des im vorangegangenen Geschäftsjahr weltweit erzielten Umsatzes

Anders für kleinere Unternehmen, wenn erstmals, fahrlässig und nicht grob verstossen wird

Gesamtschuldnerische Haftung zwischen Verantwortlichem und Auftragsverarbeiter!

Jedoch: Unschuldsbeweis möglich. Daher sollten zumindest Verantwortlichkeiten mit dem Auftraggeber vertraglich geregelt und bestehende Auftragsdatenverarbeitungsverträge angepasst werden.

Entwurf des CH-DSG sieht Busse von CHF 250’000 vor.

03EU-DATENSCHUTZ-GRUNDVERORDNUNG

BESCHWERDERECHT UND SANKTIONEN

Datensubjekt kann bei Verstössen gegen die DSGVO bei der Datenschutzbehörde seines Wohnsitzstaates Beschwerde einreichen

Jede nationale Aufsichtsbehörde (nicht gleich Gericht) kann Administrativsanktionen erlassen

Zivilrechtliche Ansprüche können (ebenfalls) gerichtlich eingeklagt werden.

mögliches Verfahren gegen schweizerische Organisation bei einer EU-Datenschutzbehörde. Jedoch fraglich, ob Aufsichtsbehörde Massnahmen gegen Unternehmen in der Schweiz direkt durchsetzen kann

03EU-DATENSCHUTZ-GRUNDVERORDNUNG

BESCHWERDERECHT UND SANKTIONEN

1. Überprüfen Sie, ob

die DSGVO auf Ihr Unternehmen anwendbar ist

gemäss sachlichem und räumlichem Geltungsbereich

ein Vertreter mit Sitz in der EU eingesetzt werden muss

ein Datenschutzbeauftragter ernannt werden muss

Inkl. Veröffentlichung Kontaktangaben

Intern od. extern möglich

03UMSETZUNG DSGVO

MASSNAHMEN

2. Passen Sie Ihre Weisungen und Verträge an

Datenschutzpolitik und Datenschutzweisung. Dokumentation von Datenverarbeitungen und Compliance-Massnahmen. Verantwortlicher trägt Beweislast, dass Prinzipien der DSGVO eingehalten werden.

Konzerninternen Datentransfer regeln

AGB’s anpassen (Erhöhte Anforderung an Einwilligung, separate Darstellung)

Datenschutzerklärungen (Erhöhte Anforderung an Informationspflicht)

Verzeichnis der Verarbeitungstätigkeiten

Auftragsdatenverarbeitung (Gesamtschuldnerische Haftung! Verantwortlichkeiten klar regeln) und Verträge mit Dritten überprüfen

03UMSETZUNG DSGVO

MASSNAHMEN

3. Passen Sie Ihre Prozesse an

Löschungsbegehren (Recht auf Vergessen)

Datenschutzverletzungen (Informationspflicht!)

Datenschutz-Folgenabschätzung

Privacy by Design und Privacy by Default

Profiling

Schulungs- und Awareness-Programme

03UMSETZUNG DSGVO

MASSNAHMEN

4. Halten Sie die Dokumentationspflichten ein

Auftragsverarbeitung nur im Rahmen der Weisung des Verantwortlichen. Weisung muss dokumentiert sein.

Führen eines Verzeichnisses von Verarbeitungstätigkeiten

Verletzungen des Schutzes personenbezogener Daten und damit verbundene Meldepflichten

Dokumentation der internen Datenschutzvorschriften bei der Übermittlung personenbezogener Daten an Drittländer

Beschreibung der Datenschutz-Folgenabschätzung

03UMSETZUNG DSGVO

MASSNAHMEN

5. Halten Sie die Nachweispflichten ein

Einhaltung der Datenschutzprinzipien

Nachweis der Einwilligung. Kinder unter 16 Jahren beachten.

Nachweispflicht des Verantwortlichen der Unangemessenheit eines Auskunftsrechts seitens der betroffenen Person

Nachweispflicht des Verantwortlichen, wenn trotz Widerspruch eine automatische Entscheidfindung durchgeführt wird.

Nachweis der genügenden technischen und organisatorischen Massnahmen

Nachweis der Kontrolle im Rahmen einer Auftragsdatenverarbeitung

03UMSETZUNG DSGVO

MASSNAHMEN

Welche Puzzleteile fehlen Ihnen noch?

Haben Sie Fragen zu

Anwendbarkeit auf Ihr Unternehmen

Datenschutzbeauftragten definieren

Privacy by Design

Privacy by Default

Datenschutz-Folgeabschätzung

Vorgehen Umsetzung bis 25. Mai 2018

03UMSETZUNG DSGVO

VIELES KLAR, EINIGES UNKLAR…

LuzernHauptgeschäftsstelle

Swiss Infosec AGCentralstrasse 8A6210 Sursee

+41 41 984 12 12

infosec@infosec.chwww.infosec.ch

BernZweigstelle

Swiss Infosec AGBubenbergplatz 103011 Bern

ZürichZweigstelle

Swiss Infosec AGSteinstrasse 218036 Zürich

04UNSERE KONTAKTDATEN

IHRE PROBLEMLÖSUNG BEGINNT MIT EINEM KONTAKT BEI UNS

VIELEN DANK

MELDEN SIE SICH JETZT AN FÜR DIE KOSTENLOSE FACHVERANSTALTUNG

MEET SWISS INFOSEC!Sicherheit im Fokus

22. Januar 2018, Zürich Flughafen13 bis 17 Uhr, anschliessend Apérowww.infosec.ch/msi

Haben Sie schon den kostenlosen Newsletter abonniert?www.infosec.ch/news

VIELENDANK

I. Allgemeine Bestimmungen

II. Grundsätze

III. Rechte der betroffenen Personen

IV. Verantwortlicher und Auftragsverarbeiter

V. Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen

VI. Unabhängige Aufsichtsbehörden

VII. Zusammenarbeit und Kohärenz

VIII. Rechtsbehelfe, Haftung und Sanktionen

IX. Delegierte Rechtsakte und Durchführungsrechtsakte

X. Vorschriften für besondere Verarbeitungssituationen

XI. Schlussbestimmungen

05EU-DATENSCHUTZ-GRUNDVERORDNUNG

AUFBAU