SWISS GRC DAY
DIE NEUE DATENSCHUTZ-GRUNDVERORDNUNG (DSGVO) UND IHRE AUSWIRKUNGEN AUF DAS
RISIKO- UND COMPLIANCE MANAGEMENT
7. NOVEMBER 2017
01 DAS IST DIE SWISS INFOSEC AGZahlen und Werte zu Unternehmen und Team
02 UNSERE ANGEBOTSLANDSCHAFTDarstellung unserer Dienstleistung und Leistungsübersicht
03 EU-DATENSCHUTZ-GRUNDVERORDNUNGSo sind Sie gewappnet für die Umsetzungsfrist 28.05.2018
04 IHR KONTAKTIhre Problemlösung beginnt mit einem Kontakt bei uns: +41 41 984 12 12, [email protected]
AGENDATHEMENÜBERSICHT
Swiss Infosec AGHauptsitz in Sursee
Security@its bestSeit mehr als 25 Jahren befassen wir uns mit allem rund um Integrale Sicherheit. Mit der Swiss Infosec AG sind Sie sicher, dass Ihre Informationen so sicher sind wie nötig.
01SWISS INFOSEC AG
Reto C. ZbindenCEO, Rechtsanwalt
UNSERE WERTE
01SWISS INFOSEC AG
Sicherheit nach MassPraxisorientiert und kundennah
Unabhängig und neutralBest Practice-Umsetzung
Zielführend
UNSERE ASPEKTE
Mensch Organisation
RechtTechnik
Infrastruktur
UNSER TEAM
Seit über 25 Jahren25 Spezialisten
200 Jahren ErfahrungEffizient und eingespielt
Kompetent
INTEGRALE SICHERHEIT
KRISENMANAGEMENTKrisenkommunikation, Notfallmanagement,
Evakuation, Erste Hilfe
BUSINESS CONTINUITYMANAGEMENTISO 22301, BCMS
PHYSISCHE SICHERHEITData Center Security
AUSBILDUNGWissen generiert mehr Sicherheit:kompakt, flexibel, praxisorientiert
BERATUNGIhre Sicherheit im Fokus:
individuell, kompetent, unabhängig
SERVICESSecurity as a Service (SaaS): die flexible Personallösung auf Zeit
TOOLSManagement-Software und
Training-Tool für mehr Effizienz
RISIKOMANAGEMENT, INTERNES KONTROLLSYSTEM
INFORMATIONSSICHERHEITISO 27001, ISMS, Datenschutz, IT-Sicherheit, Cyber Security, Archivierung
02ANGEBOTSLANDSCHAFT
Die DSGVO wie auch das Schweizer Datenschutzgesetz verfolgen im wesentlichen dasselbe Ziel:
Sie liefern Regeln bezüglich der zulässigen Verarbeitung von personenbezogenen Daten (z.B. Rechtmässigkeits-, Zweckbindungs-, Datenminimierungsprinzip)
Grundrechte von natürlichen Personen (in der CH auch von juristischen Personen) sollen geschützt sein. (Art. 13 BV: Schutz der Privatsphäre)
Schutz der Persönlichkeit vor widerrechtlicher oder unverhältnismässiger Bearbeitung von Personendaten
03EU-DATENSCHUTZ-GRUNDVERORDNUNG
ZIEL DES DATENSCHUTZES
Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 (DSGVO)
zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten
löst die Datenschutzrichtlinie 95/46/EG ab
ist in allen EU-Staaten direkt anwendbar
88 Seiten, 176 Präambeln, 99 Artikel (Artikel 1 beginnt ab Seite 32)
in Kraft seit 24. Mai 2016
2 Jahre Umsetzungsfrist, d.h. DSGVO muss bis 25. Mai 2018(Art. 99 Abs. 2 DSGVO) umgesetzt sein.
03EU-DATENSCHUTZ-GRUNDVERORDNUNG
WAS IST DIE EU-DATENSCHUTZ-GRUNDVERORDNUNG?
Schweizer Datenschutzgesetz
Grundsätzlich kommt für Firmen mit Sitz in der Schweiz das schweizerische Recht zur Anwendung.
Bearbeiten von Personendaten: Anwendung Schweizer Datenschutzgesetz und Verordnung (DSG und VDSG)
Aktuell: Revision DSG. In Kraft 2018/2019
Ziel: Annäherung an europäische Gesetzgebung. Schweiz soll Status des «Sicheren Drittlands» beibehalten.
Datenschutz-Grundverordnung (EU 2016/679)
Neu: Extraterritoriale Anwendung. Anwendungsbereich wird ausgeweitet auf Unternehmen ausserhalb der EU
03EU-DATENSCHUTZ-GRUNDVERORDNUNG
ANWENDBARES RECHT FÜR EINE FIRMA MIT SITZ IN DER SCHWEIZ
Geltungsbereich DSGVO
Wer Kunden in der EU etwas anbietet (Marktortprinzip)
Wer das Verhalten von Menschen in der EU analysiert
Wer Daten in der CH im Auftrag eines Unternehmens der EU speichert oder bearbeitet
Beschränkt: Wenn Schweizer Unternehmen Daten in der EU speichern/verarbeiten lässt.
03GELTUNGSBEREICH DSGVO
SIND SIE BETROFFEN?
Personenbezogene DatenAlle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen
Begriff der verpflichteten Stellen“Für die Verarbeitung Verantwortlicher“ (“controller“) und “Auftragsverarbeiter“ (“processor“)
IP-Adressen und andere „Online-Identifier“ sind personenbezogene Daten
Genetische und biometrische Daten als sensitive Personendaten, sogenannte «besondere Kategorien personenbezogener Daten»
Profiling (Big Data): jegliche Form von automatisierter Datenverarbeitung, bei welcher die betreffenden Personendaten zur Analyse von gewissen persönlichen Aspekten einer natürlichen Person verwendet werden
Pseudonymisierung: Pseudonymisierte Daten sind KEINE anonymisierten Daten
Einwilligung: Freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich
03ALLGEMEINE BESTIMMUNGEN
BEGRIFFSDEFINITIONEN (ART. 4 DSGVO)
Hoher Bussenrahmen schafft Awareness
Diverse Grundlagen werden laufend erarbeitet und publiziert (WP29)
Mitgliedstaaten erlassen nun laufend Anpassungsgesetze
Schweizer DSG zur Zeit in Totalrevision, in Kraft frühestens 2019
In vielen Schweizer Unternehmen war Datenschutz nie Thema
Kaum personelle Ressourcen für den Datenschutz
Keine Übersicht über Datenverarbeitungen
Kaum datenschutzspezifische Prozesse
Kaum Datenschutzweisungen
Kaum entsprechende Intercompany-Vereinbarungen
03EU-DATENSCHUTZ-GRUNDVERORDNUNG
DSGVO KOMPAKT
Nicht viel Neues – aber
Nachweis der Einwilligung zur Datenverarbeitung nötig
Umfassende Informationspflichten zum Zeitpunkt der Einwilligung
«Data Breaches» sind ggf. innert 72 Stunden den Aufsichtsbehörden und evtl. den Betroffenen zu melden
Alle Datenverarbeitungen müssen in einem Verzeichnis inventarisiert und beschrieben werden
Zwingend: Verfahrensverzeichnis auch für Auftragsverarbeiter
Betroffene erhalten auf Antrag «ihre» Daten ("Datenportabilität")
Bei Computer-Entscheiden – Anspruch auf Beurteilung durch Menschen
Bei Vorhaben mit hohen Risiken muss eine Datenschutz-Folgenabschätzung vorgenommen werden – umfangreiche gesetzliche Vorgaben zu deren Inhalt und Information der Aufsichtsbehörden
03EU-DATENSCHUTZ-GRUNDVERORDNUNG
DSGVO KOMPAKT
Verbot der Verarbeitung sensitiver Personendaten
Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer Person oder Daten über Gesundheit oder Sexualleben und sexuelle Ausrichtung ist untersagt.
Ausnahmen
Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten ausdrücklich eingewilligt, es sei denn, nach den Rechtsvorschriften der Union oder eines Mitgliedstaats kann das Verbot der Verarbeitung durch die Einwilligung der betroffenen Person nicht aufgehoben werden
Arbeitsrecht und Recht der sozialen Sicherheit und des Sozialschutzes
Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen Person
Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person selber öffentlich gemacht hat, gerichtliche Auseinandersetzung, wichtige öffentliche Interessen, öffentliche Gesundheit, geschützte Bearbeitung NGO/NPO
Fachpersonen / Berufsgeheimnis
03EU-DATENSCHUTZ-GRUNDVERORDNUNG
VERBOTE UND AUSNAHMEN
Bezüglich Rechtmässigkeit der Datenverarbeitung stellt die DSGVO die Einwilligung des Datensubjektes in den Vordergrund.
Die Einwilligung muss durch eine ausdrückliche, aktive Handlung erfolgen (z.B. Ticken von Box, Häkchen muss jedoch aktiv gesetzt werden. Opt-out nicht ausreichend).
Die Einwilligungserklärungen müssen gut sicht- und lesbar getrennt von anderen Themen dargestellt werden.
Beweislast der gültigen Einwilligung bei der verarbeitenden Stelle
Möglichkeit des jederzeitigen Widerrufs
03EU-DATENSCHUTZ-GRUNDVERORDNUNG
EINWILLIGUNG
Informationspflicht bei sensitiven Personendaten “in leicht verständlicher Sprache“
Information über:
den Datenverarbeiter
den Zweck der Datenerhebung
allfällige Rechtfertigungsgründe für die Datenerhebung
die Kategorie der Datenempfänger
mögliche Datentransfers in Drittstaaten
die Dauer der Datenaufbewahrung
die Auskunfts-, Berichtigungs-, und Löschungsrechte
die Möglichkeit der Beschwerde an die zuständige Datenschutzbehörde
Folgen der Verweigerung der Einwilligung zur Datenerhebung
03EU-DATENSCHUTZ-GRUNDVERORDNUNG
UMFASSENDE INFORMATIONSPFLICHT
Ausdrückliche Statuierung des „Recht auf Vergessen“ in Artikel 17 DSGVO.
Löschpflicht nicht nur für Datenverarbeiter, der die entsprechenden Personendaten ursprünglich erhoben hat. Wurden die betreffenden Personendaten an Dritte weitergegeben oder öffentlich gemacht, muss der ursprüngliche Datenverarbeiter diese Drittpersonen über das Löschungsgesuch informieren. Er muss hierzu verhältnismässige Anstrengungen unternehmen.
Recht auf Daten: Betonung, dass Personendaten der betroffenen Person und nicht dem Datenverarbeiter gehören. Auf Gesuch müssen Datenverarbeiter der betroffenen Person ihre persönlichen Daten auf elektronischem Weg und in einem allgemein nutzbaren Format kostenfrei und schnell aushändigen.
03EU-DATENSCHUTZ-GRUNDVERORDNUNG
DAS MÜSSEN ORGANISATIONEN IN DER SCHWEIZ BEACHTEN
Der DSGVO unterliegende Organisationen haben einen Vertreter mit Sitz in der EU zu ernennen
Ausnahmen: Datenverarbeiter verarbeitet nur unregelmässig personenbezogene Daten im Sinne der DSGVO
Verarbeitung besonderer Kategorien personenbezogener Daten nur in geringem Umfang
Verarbeitung hat nur geringe Datenschutzrisiken
Interpretation der Ausnahmen fraglich bzw. noch zu klären
Vertreter kann auch Niederlassung des ausländischen Unternehmens in der EU sein
03EU-DATENSCHUTZ-GRUNDVERORDNUNG
DAS MÜSSEN ORGANISATIONEN IN DER SCHWEIZ BEACHTEN
Auftragsdatenverarbeitung muss durch einen Vertrag geregelt sein
Datenverarbeiter werden verpflichtet, ein Verzeichnis mit allen ihren Datenverarbeitungen zu erstellen
Obligatorische Meldung bei Datenschutzpannen innerhalb von 72 Stunden an die Aufsichtsbehörde
Falls Datenschutzpanne möglicherweise hohes Risiko für die Rechte der betroffenen Personen: Information des Datensubjektes ohne unnötige Verzögerung
«Data Protection Impact Assessment» (Datenschutz-Folgenabschätzung), falls Datenverarbeitungen neue Technologien nutzen oder hinsichtlich Natur, Umfang oder Kontext der Datenverarbeitung hohe Risiken bergen
03EU-DATENSCHUTZ-GRUNDVERORDNUNG
DAS MÜSSEN ORGANISATIONEN IN DER SCHWEIZ BEACHTEN
„Data Protection by Design” (Art. 25 Abs. 1 DSGVO) Es sollen geeignete technische und organisatorische Massnahmen getroffen werden, damit die datenschutzrechtlichen Prinzipien eingehalten werden. Pseudonymisierungwird als Beispiel genannt.
„Data Protection by Default” (Art. 25 Abs. 2 DSGVO)Voreinstellungen sollen so ausgestaltet werden, dass nur personenbezogene Daten erhoben werden, welche für den Zweck wirklich erforderlich sind.
03EU-DATENSCHUTZ-GRUNDVERORDNUNG
FOLGENDE PRINZIPIEN MÜSSEN ORGANISATIONEN IN DER SCHWEIZ BEACHTEN
Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn
die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmässige und systematische Beobachtung von betroffenen Personen erforderlich machen (Big Data)
die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten besteht, insbesondere Daten über
rassische und ethnische Herkunft
politische Meinungen, religiöse oder weltanschauliche Überzeugungen
Gewerkschaftszugehörigkeit
genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person,
Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung
03DAS MÜSSEN ORGANISATIONEN IN DER SCHWEIZ BEACHTEN
DER DATENSCHUTZBEAUFTRAGTE
Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann.
Der Datenschutzbeauftragte kann Beschäftigter des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags (bzw. Auftrag) erfüllen.
Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit.
03DAS MÜSSEN ORGANISATIONEN IN DER SCHWEIZ BEACHTEN
DER DATENSCHUTZBEAUFTRAGTE
Der Verantwortliche ist für die Einhaltung der Grundsätze verantwortlich und muss die Einhaltung nachweisen können.
Bei Nichtbeachtung der Grundsätze nach Art. 5 DSGVO und fehlender Rechenschaftspflicht «grosser» Bussenrahmen.
In anderen Worten: Die Unternehmen müssen nicht nur sicherstellen, dass sie «Datenschutz-compliant» sind, sondern die Compliance auch nachweisen können.
Entwurf CH-DSG sieht eine analoge Rechenschaftspflicht vor.
03EU-DATENSCHUTZ-GRUNDVERORDNUNG
RECHENSCHAFTSPFLICHT (ART. 5 ABS. 2 DSGVO)
Nachweispflicht der Einhaltung d. Grundsätze bei Auftragsverarbeitung! Nachweispflicht = Dokumentationspflicht!
Modewort: Good Governance
Unternehmen müssen beweisen können, dass sie geeignete Datenschutzweisungen und geeignete Datenschutzvorkehrungen umsetzen
Datenschutzweisung muss die Grundsätze der DSGVO widerspiegeln. Möglichkeit von Kontrollen und Sanktionen bei Nichteinhaltung der Weisung aufnehmen
Datenschutzweisung muss «gelebt» werden
Schulungen, E-Learning. Optimale Nachweismöglichkeit
Verpflichtung in Arbeitsverträgen
03EU-DATENSCHUTZ-GRUNDVERORDNUNG
RECHENSCHAFTSPFLICHT (ART. 5 ABS. 2 DSGVO)
Kontrolle und Sanktionen (auch wenn unbeliebt) notwendig, damit Nachweis der «Datenschutz-Compliance» erbracht werden kann.
Sowohl beim DSG wie auch bei der DSGVO muss die Datenverarbeitung rechtmässig sein.
Konzept ist anders:
DSGVO benötigt zwingend einen Rechtfertigungsgrund für die Datenverarbeitung
Gemäss CH-DSG darf durch eine Datenbearbeitung die Persönlichkeit nicht widerrechtlich verletzt werden.
Im Resultat jedoch vergleichbar und mit der Konsequenz, dass sowohl bei der DSGVO wie auch der CH-DSG der (Rechtfertigungs-) Grund für die Datenverarbeitung bekannt sein sollte.
Bei der DSGVO besteht jedoch eine zwingende Dokumentationspflicht der vorhandenen Rechtmässigkeit.
03RECHTMÄSSIGKEIT DER BEARBEITUNG VON PERSONENDATEN
RECHTMÄSSIGKEIT – VERGLEICH CH
Hohe Geldbussen: Je nach Verstoss bis zu EUR 20 Mio. oder (wenn höher) 4% des im vorangegangenen Geschäftsjahr weltweit erzielten Umsatzes
Anders für kleinere Unternehmen, wenn erstmals, fahrlässig und nicht grob verstossen wird
Gesamtschuldnerische Haftung zwischen Verantwortlichem und Auftragsverarbeiter!
Jedoch: Unschuldsbeweis möglich. Daher sollten zumindest Verantwortlichkeiten mit dem Auftraggeber vertraglich geregelt und bestehende Auftragsdatenverarbeitungsverträge angepasst werden.
Entwurf des CH-DSG sieht Busse von CHF 250’000 vor.
03EU-DATENSCHUTZ-GRUNDVERORDNUNG
BESCHWERDERECHT UND SANKTIONEN
Datensubjekt kann bei Verstössen gegen die DSGVO bei der Datenschutzbehörde seines Wohnsitzstaates Beschwerde einreichen
Jede nationale Aufsichtsbehörde (nicht gleich Gericht) kann Administrativsanktionen erlassen
Zivilrechtliche Ansprüche können (ebenfalls) gerichtlich eingeklagt werden.
mögliches Verfahren gegen schweizerische Organisation bei einer EU-Datenschutzbehörde. Jedoch fraglich, ob Aufsichtsbehörde Massnahmen gegen Unternehmen in der Schweiz direkt durchsetzen kann
03EU-DATENSCHUTZ-GRUNDVERORDNUNG
BESCHWERDERECHT UND SANKTIONEN
1. Überprüfen Sie, ob
die DSGVO auf Ihr Unternehmen anwendbar ist
gemäss sachlichem und räumlichem Geltungsbereich
ein Vertreter mit Sitz in der EU eingesetzt werden muss
ein Datenschutzbeauftragter ernannt werden muss
Inkl. Veröffentlichung Kontaktangaben
Intern od. extern möglich
03UMSETZUNG DSGVO
MASSNAHMEN
2. Passen Sie Ihre Weisungen und Verträge an
Datenschutzpolitik und Datenschutzweisung. Dokumentation von Datenverarbeitungen und Compliance-Massnahmen. Verantwortlicher trägt Beweislast, dass Prinzipien der DSGVO eingehalten werden.
Konzerninternen Datentransfer regeln
AGB’s anpassen (Erhöhte Anforderung an Einwilligung, separate Darstellung)
Datenschutzerklärungen (Erhöhte Anforderung an Informationspflicht)
Verzeichnis der Verarbeitungstätigkeiten
Auftragsdatenverarbeitung (Gesamtschuldnerische Haftung! Verantwortlichkeiten klar regeln) und Verträge mit Dritten überprüfen
03UMSETZUNG DSGVO
MASSNAHMEN
3. Passen Sie Ihre Prozesse an
Löschungsbegehren (Recht auf Vergessen)
Datenschutzverletzungen (Informationspflicht!)
Datenschutz-Folgenabschätzung
Privacy by Design und Privacy by Default
Profiling
Schulungs- und Awareness-Programme
03UMSETZUNG DSGVO
MASSNAHMEN
4. Halten Sie die Dokumentationspflichten ein
Auftragsverarbeitung nur im Rahmen der Weisung des Verantwortlichen. Weisung muss dokumentiert sein.
Führen eines Verzeichnisses von Verarbeitungstätigkeiten
Verletzungen des Schutzes personenbezogener Daten und damit verbundene Meldepflichten
Dokumentation der internen Datenschutzvorschriften bei der Übermittlung personenbezogener Daten an Drittländer
Beschreibung der Datenschutz-Folgenabschätzung
03UMSETZUNG DSGVO
MASSNAHMEN
5. Halten Sie die Nachweispflichten ein
Einhaltung der Datenschutzprinzipien
Nachweis der Einwilligung. Kinder unter 16 Jahren beachten.
Nachweispflicht des Verantwortlichen der Unangemessenheit eines Auskunftsrechts seitens der betroffenen Person
Nachweispflicht des Verantwortlichen, wenn trotz Widerspruch eine automatische Entscheidfindung durchgeführt wird.
Nachweis der genügenden technischen und organisatorischen Massnahmen
Nachweis der Kontrolle im Rahmen einer Auftragsdatenverarbeitung
03UMSETZUNG DSGVO
MASSNAHMEN
Welche Puzzleteile fehlen Ihnen noch?
Haben Sie Fragen zu
Anwendbarkeit auf Ihr Unternehmen
Datenschutzbeauftragten definieren
Privacy by Design
Privacy by Default
Datenschutz-Folgeabschätzung
Vorgehen Umsetzung bis 25. Mai 2018
03UMSETZUNG DSGVO
VIELES KLAR, EINIGES UNKLAR…
LuzernHauptgeschäftsstelle
Swiss Infosec AGCentralstrasse 8A6210 Sursee
+41 41 984 12 12
BernZweigstelle
Swiss Infosec AGBubenbergplatz 103011 Bern
ZürichZweigstelle
Swiss Infosec AGSteinstrasse 218036 Zürich
04UNSERE KONTAKTDATEN
IHRE PROBLEMLÖSUNG BEGINNT MIT EINEM KONTAKT BEI UNS
VIELEN DANK
MELDEN SIE SICH JETZT AN FÜR DIE KOSTENLOSE FACHVERANSTALTUNG
MEET SWISS INFOSEC!Sicherheit im Fokus
22. Januar 2018, Zürich Flughafen13 bis 17 Uhr, anschliessend Apérowww.infosec.ch/msi
Haben Sie schon den kostenlosen Newsletter abonniert?www.infosec.ch/news
VIELENDANK
I. Allgemeine Bestimmungen
II. Grundsätze
III. Rechte der betroffenen Personen
IV. Verantwortlicher und Auftragsverarbeiter
V. Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen
VI. Unabhängige Aufsichtsbehörden
VII. Zusammenarbeit und Kohärenz
VIII. Rechtsbehelfe, Haftung und Sanktionen
IX. Delegierte Rechtsakte und Durchführungsrechtsakte
X. Vorschriften für besondere Verarbeitungssituationen
XI. Schlussbestimmungen
05EU-DATENSCHUTZ-GRUNDVERORDNUNG
AUFBAU