Die GDPR aus der Sicht des Service Providers Und was das Schweizer Recht dazu sagt

Größe: px

Ab Seite anzeigen:

Download "Die GDPR aus der Sicht des Service Providers Und was das Schweizer Recht dazu sagt"

Damian Steinmann
vor 5 Jahren
Abrufe

1 Die GDPR aus der Sicht des Service Providers Und was das Schweizer Recht dazu sagt David Rosenthal Naht da ein Tsunami...? Quelle: Pixabay / NeuPaddy 2 1

2 Was geht es uns an? Einige Fragen an die Managed Service Provider Wer verfügt über eine Datensicherheit nach dem Stand der Technik? Wer meldet jede Verletzung der Datensicherheit den Kunden sofort? Wer hat Datenübermittlung in unsichere Drittstaaten vertraglich geregelt? Wer hat einen Datenschutzvertrag mit seinen Kunden? Wer unterstützt seine Kunden bei Anfragen betroffener Personen? Wer unterstützt seine Kunden bei Datenschutz-Folgenabschätzungen? Wer hat ein Verzeichnis der Datenbearbeitungen seiner Kunden? Wer bietet den Kunden ein Vetorecht bei neuen Subunternehmern? Wer hat einen Datenschutzbeauftragten? Wer hat alles zusammen? 3 Zwei neue Regelwerke EU Datenschutz-Grundverordnung (DSGVO) EU General Data Protection Regulation (GDPR) In Kraft ab 25. Mai 2018 Sieht als Sanktionsrahmen für Verstösse von 2% (oder EUR 10 Mio.) bzw. 4% (oder EUR 20 Mio.) des weltweiten Umsatzes vor Soll bewusst auch extraterritoriale Geltung haben Datenschutzgesetz (DSG) Totalrevision analog der GDPR, am Schluss hoffentlich ohne "Swiss Finish" Bundesrat hat am 15. September 2017 einen Entwurf vorgelegt Soll bereits 2018 verabschiedet werden, Arbeiten im Parlament laufen schon Vermutlich ab 2019 in Kraft, vielleicht aber schon 2018 Sieht als Sanktionsrahmen Bussen für verantwortliche Einzelpersonen von bis zu CHF 250'000 vor 4 2

3 Geltungsbereich GDPR Kunde (i.d.r. der Verantwortliche) vs. Provider (i.d.r. der Auftragsbearbeiter) Provider in der Schweiz der im Auftrag von Kunden in der EU Personendaten bearbeitet der Subunternehmer in der EU benutzt Auf Provider vertraglich anwendbar Provider in der Schweiz der Kunden hat, die ProdukteDienste in der EU anbieten oder Profile dortiger Personen erstellen Auf Provider vertraglich anwendbar Provider in der Schweiz, der seine Dienste auf Private in der EU ausrichtet Auf Provider direkt anwendbar 5 Was ändert sich? Datenerhebung muss nicht mehr nur transparent erfolgen, sondern zahlreiche Pflichtinformationen müssen mitgeteilt werden Jede Datenbearbeitung muss in ein Inventar aufgenommen werden Pflicht zur Datenschutz-Folgenabschätzung, ggf. mit Behörden-Meldung Pflicht zur Behörden-Meldung von Sicherheitsverstössen Regeln für Voreinstellungen bei Datenbearbeitungen ("Privacy by Default") Bei gewichtigeren Computerentscheiden Anspruch auf menschliches Gehör Bussen sowie Interventionsmöglichkeit und -pflicht der Datenschutzbehörde Einwilligungen müssen separat eingeholt werden, ohne vorangekreuztes Kästchen, aber mit Hinweis auf die jederzeitige Widerrufbarkeit * Benutzer erhalten die bei ihrer zur Nutzung des Service erhobenen Daten in maschinenlesbarer Form zur eigenen Verwendung (Datenportabilität) * * Bisher nur gemäss GDPR, nicht DSG 6 3

4 Wer hat welche Pflichten? Pflicht gemäss GDPR und DSG Kunde Provider Transparenz, Information der betroffenen Personen, Zweckbindung Verhältnismässigkeit (inkl. Datenminimierung, Dauer der Aufbewahrung) Rechtsgrundlage nach GDPR, Rechtfertigungsgrund gemäss DSG Datenrichtigkeit Datensicherheit Rechenschaftspflicht betr. Einhaltung der Vorgaben Vorgaben für Übermittlungen ins Ausland Erfüllung der Rechte der betroffenen Personen (Auskunft, Löschung, etc.) Unterstützung Privacy by Default, Privacy by Design Datenschutz-Folgenabschätzung Unterstützung Pflichten betr. Auftragsbearbeitung (Vertrag, etc.) Meldung von Verletzungen der Datensicherheit Bestellung eines betrieblichen Datenschutzbeauftragten nach GDPR Verzeichnis der Bearbeitungstätigkeiten Kooperation mit den Aufsichtsbehörden 7 Pflichten gegenüber Kunden 1 Wie bisher: Gewährleistung der Datensicherheit Daten des Kunden müssen nach dem Stand der Technik geschützt sein Risikoorientierter Schutz vor ob unbeabsichtigt oder unrechtmässig Vernichtung, Verlust, Veränderung, unbefugter Offenlegung und unbefugtem Zugang von übermittelten, gespeicherten oder sonst bearbeiteten Daten Neu: Bundesrat wird Mindestvorgaben erlassen in CH bussenbewehrt! Neu: Erkennt der Provider eine Verletzung der Datensicherheit, muss er sie "unverzüglich" dem Kunden melden, auch wenn sie nicht gravierend ist Wie bisher: Gewährleistung des Datenschutzes auch im Ausland Falls ein Provider selbst Daten ins Ausland weitergibt oder vom Ausland her den Zugriff erlaubt, muss er den Datenschutz vertraglich sicherstellen, falls das jeweilige Land kein hinreichendes Datenschutzrecht hat Kunden wollen regelmässig wissen, wo ihre Daten sind (nicht nur "at rest") 8 4

5 Pflichten gegenüber Kunden 2 Wie bisher: Den Datenschutz mit dem Kunden vertraglich regeln Datenbearbeitung nur für die Zwecke des Kunden Datenbearbeitung nur nach den Weisungen des Kunden Gewährleistung der Datensicherheit Neu: Keine Unterbeauftragung ohne VetorechtZustimmung des Kunden Neu: Keine Datenexporte ohne WeisungZustimmung des Kunden Neu: Mitarbeiter müssen zur Geheimhaltung verpflichtet sein Neu: Rückgabe oder Löschung der Daten nach Auftragsende Neu: Unterstützung des Kunden bei Erfüllung der Betroffenenrechte Neu: Unterstützung des Kunden bei der Erfüllung seiner Pflichten zur Meldung von Data Breaches und zur Datenschutz-Folgenabschätzung Neu: Nachweis der Befolgung der Vorgaben, Zulassung von Kundenaudits Neu: Warnung, falls Provider abweichende gesetzliche Pflichten hat Optional: Verantwortlichkeiten des Kunden, Pflicht zur Schadloshaltung 9 Interne Vorkehrungen 1 Neu: Erstellung eines Verzeichnisses der Bearbeitungstätigkeiten (Inventar) Name und Kontaktdaten der Kunden (inkl. andere Auftragsbearbeiter) Kategorien von Bearbeitungen, die für diese Kunden durchgeführt werden Etwaige Auslandsübermittlungen (inkl. vertraglicher Absicherungen) Beschreibung der Massnahmen zur Datensicherheit Der Kunde muss selbst ebenfalls ein (umfassenderes) Inventar erstellen Neu: Bestellung eines EU-Vertreters nach Art. 27 GDPR Soll Ansprechpartner von Nicht-EU-Firmen innerhalb der EU sein Kann in einem beliebigen Land der EU sein (sollte aber nicht in einem Land sein, in welchem dieser stellvertretend verantwortlich gemacht werden kann) Kann eine Konzerngesellschaft sein, muss es aber nicht Kein Vertreter erforderlich bei nur "gelegentlicher" Bearbeitung von Daten unter der GDPR, die nicht heikel sind und nicht sensitive Daten betreffen 10 5

6 Interne Vorkehrungen 2 Neu: Bestellung eines Datenschutzbeauftragten nach Art. 37 GDPR Falls Kerntätigkeit eine umfangreiche regelmässige systematische und regelmässige Überwachung betroffener Personen oder eine umfangreiche Bearbeitung besonders schützenswerter Personendaten erfordert Mitgliedsstaaten können diese Pflicht ausweiten (wie z.b. in Deutschland) Schweiz: Keine Pflicht zum Datenschutzbeauftragter vorgesehen Kooperation mit Aufsichtsbehörden Wie bisher: EDÖB untersucht Beschwerden, trifft ggf. Anordnungen Neu: Nationale Aufsichtsbehörden der EU-Mitglieder (soweit Personen mit Wohnsitz in deren Land betroffen sind); beschränkte Handlungsmöglichkeiten Pro memoria: Auch eigene Datenbearbeitungen unterliegen dem Datenschutz Auf Mitarbeiterdaten wird i.d.r. nur Schweizer Recht anwendbar sein Hierbei hat der Provider dieselben Pflichten wie seine Kunden 11 Schlussbemerkungen GDPR bedeutet primär mehr Dokumentation und Bürokratie Grundsätze der Bearbeitung von Daten ändern sich nicht Outsourcing, auch in die Cloud, bleibt weiterhin ohne Weiteres möglich Systeme im Hinblick auf den Datenschutz (Informationspflichten, Wahl-, Korrektur- und Sperrmöglichkeiten, etc.) gestalten Was die GDPR verlangt, wird bald auch das Schweizer Recht verlangen Sanktionen sorgen zwar für Aufmerksamkeit sollten aber nicht der Fokus sein Jedenfalls in der Schweiz werden sie die Ausnahme sein Unternehmen in der Schweiz werden sich primär auf den EDÖB ausrichten Niemand hält den Datenschutz immer ein, daher "risikobasiert" handeln Gehen Sie auf Ihre Kunden zu, passen Sie Ihre Verträge an, erklären Sie, wie Sie die Anforderungen der GDPR und des künftigen DSG erfüllen Machen Sie hinsichtlich der Dokumentation ihre Hausaufgaben 12 6

7 Danke für Ihre Aufmerksamkeit! David Rosenthal T Homburger AG Prime Tower Hardstrasse 201 CH-8005 Zürich 7

Ähnliche Dokumente

GDPR: Chancen und Herausforderung für Schweizer Unternehmen

GDPR: Chancen und Herausforderung für Schweizer Unternehmen RSA SecurID Suite und GDPR Roadshow David Rosenthal Naht da ein Tsunami? 2 Drei neue Regelwerke EU Datenschutz-Grundverordnung (DSGVO) EU General