«Wir befinden uns im Jahre 2018 n.chr. eingenommen Ganz Europa? Nein!»

Größe: px

Ab Seite anzeigen:

Download "«Wir befinden uns im Jahre 2018 n.chr. eingenommen Ganz Europa? Nein!»"

Ella Böhme
vor 5 Jahren
Abrufe

1 «Wir befinden uns im Jahre 2018 n.chr. Ganz Europa ist von der DSGVO eingenommen Ganz Europa? Nein!» Die DSGVO aus Sicht der Schweizer Bundesverwaltung: «Alles neu» oder «Alles halb so wild»? Dr. iur. Sandra Husi, LLM, EMPA Datenschutz-, Informationsschutz- und Öffentlichkeitsberaterin des EJPD

2 Inhalt der Präsentation Grundüberlegungen der Schweizer Revision Schreckgespenst «internationaler Druck» Stand der Schweizer Revisionsarbeiten Prognose: Die wesentlichsten Neuerungen aus Verwaltungsperspektive Fazit: Das dereinst revidierte DSG im Verwaltungs- Alltag Ihre Fragen

3 Grundüberlegungen der Schweizer Revision Das Datenschutzrecht in das digitale Zeitalter überführen Schutz der von Datenbearbeitungen betroffenen Personen Wirtschaftsinteressen berücksichtigen Datenfluss ermöglichen Technikneutralität, um weitere Entwicklungen ohne Revisionen abzudecken Balance-Akt zwischen Schweizer Rechtstradition, Verpflichtungen gegenüber der EU und der Schweizer Wirtschaft

4 Schreckgespenst «internationaler Druck» oder: Was die Schweiz übernehmen muss und was nicht (aber sollte?) DSGVO: Nicht schengen-relevant, keine Übernahme-Pflicht. Aber: Angemessenheitsbeschluss für die Schweiz als EU-Drittstaat ist im Interesse der Schweizer Wirtschaft. Knackpunkt der aktuellen Debatte Aber: Anwendbarkeit für Bundesverwaltung, sofern Dienstleitungen explizit für EU-Bürgerinnen und Bürger angeboten. neue Datenschutz-Richtlinie EU: Polizeibereich, schengenrelevant, Pflicht zur Übernahme. Europaratskonvention: Bisher von Schweiz ratifiziert, auch revidierte Version wird wohl ratifiziert werden.

5 Stand der Revisionsarbeiten (oder: Es ist kompliziert ) Entscheid: Aufteilung der Revisionsvorlage in zwei Teile. - Teil 1: Schengen-Revision: Nur die schengen-relevanten Punkte werden umgesetzt. «Ergänzendes Schengen- Datenschutzgesetz» für Strafverfolgungsbehörden des Bundes. Verabschiedet am 28. September Teil 2: DSGVO-Revision: Läuft derzeit. Es wird geprüft, was aus der DSGVO übernommen werden soll.

6 Prognose: Die wesentlichsten Neuerungen aus Verwaltungsperspektive Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (privacy by design/privacy by default) Datenschutzfolgenabschätzung (Risikofolgenabschätzung) Meldepflicht bei Verletzungen der Datensicherheit Kompetenzen Eidg. Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Diskussion um den Sanktionenkatalog

7 Die wesentlichsten Neuerungen: Privacy by design / Privacy by default Geräte, Applikationen, Informationssysteme etc. müssen bereits bei ihrer technischen Entwicklung so konzipiert werden, dass sie möglichst datenschutzfreundlich sind. Wo möglich Informationen anonymisiert erfassen, nur das absolut notwendige Minimum an Daten erheben, Schutzsoftware einbauen etc. Geräte und Applikationen verfügen bei ihrer ersten Inbetriebnahme durch die Nutzerinnen und Nutzer über die strengst-mögliche Datenschutzvoreinstellungen. Es muss seitens Nutzerinnen und Nutzer nichts mehr getan werden, um ein Optimum an Datenschutz zu erhalten wer weniger Datenschutz möchte, muss die jeweiligen Einstellungen selbst anpassen.

8 Die wesentlichsten Neuerungen: Privacy by design / Privacy by default Beispiel privacy by design: Das Internetportal der Schweizerischen Bundesbahnen ermöglicht den Kauf einer Fahrkarte ohne die Angabe des Namens der Käuferin dieser wird für den Transport nicht benötigt. Beispiel privacy by default: Bei der Eröffnung eines Dienstleistungs-Accounts bei der Post sind die Grundeinstellungen so, dass die Informationen der Kundinnen und Kunden nicht für Werbezwecke ausgewertet werden.

9 Die wesentlichsten Neuerungen: Datenschutzfolgenabschätzung Projektphase prüfen, ob «hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person durch die Bearbeitung» wenn ja, dann frühzeitiges Berücksichtigen und Konzipieren besonderer Datenschutzvorkehrungen, Einholen STN EDÖB. Hintergrund: Datenschutzanliegen gehen oftmals in der Projektphase vergessen und können dann aus Kosten- oder technischen Gründen nicht mehr berücksichtigt werden. Auf Bundesebene bereits «gelebt», nun institutionalisiert.

10 Die wesentlichsten Neuerungen: Meldepflichten Meldung an den EDÖB bei «Verletzungen der Datensicherheit» (z.b. durch Hacker), sofern voraussichtlich hohes Risiko für die betroffenen Personen. Datensicherheit: Technische und organisatorische Massnahmen gewährleisten eine angemessene Datensicherheit. Meldung an betroffene Person, sofern erforderlich oder vom EDÖB verlangt.

11 Die wesentlichsten Neuerungen: Kompetenzen des EDÖB Wie bisher: Untersuchungen von Amtes wegen oder auf Anzeige hin auch gegen Bundesorgane. Neu: Befugnisse, sofern Amt Mitwirkung verweigert: - Zugang zu Unterlagen, Räumen und Anlagen - Zeugeneinvernahmen - Begutachtungen Neu: Vorsorgliche Massnahmen anordnen und vollstrecken lassen.

12 Die wesentlichsten Neuerungen: Kompetenzen des EDÖB Verwaltungsmassnahmen: Verfügung (nicht mehr bloss Empfehlung), dass Bearbeitung angepasst, unterbrochen oder abgebrochen wird dass Personendaten gelöscht oder vernichtet werden. Anordnung von - Information über geplante Bekanntgabe - Sicherheitsvorkehrungen - Information der Betroffenen - Datenschutzfolgenabschätzung

13 Die wesentlichsten Neuerungen: Diskussion um den Sanktionenkatalog Aktuell: Gegen natürliche Personen bis CHF (= ) für vorsätzliche Erteilung falscher oder unvollständiger Auskunft, unterlassene Meldung von Verletzung Datensicherheit, Verletzung Sorgfaltspflicht bei Übermittlung ins Ausland, mangelnde Absicherung bei Auftragsdatenbearbeitung und Missachtung Vorgaben zur Datensicherheit. Grösster Kritikpunkt: Keine Unternehmenshaftung! Sanktionshöhe eher gering «angemessen» aus EU-Sicht? Strafrecht oder Verwaltungsstrafrecht?

14 Fazit: Das dereinst revidierte DSG im Verwaltungs-Alltag Eidgenössisches Justiz- und Polizeidepartement EJPD Im Beschaffungswesen und bei hausinternen Projekten Datenschutzfolgenabschätzung verlangen bzw. erstellen und v.a. ernst nehmen Privacy by design and default verlangen bzw. selbst konzipieren Einhaltung der allgemeinen Grundsätze des Datenschutzrechts einfordern Beim «daily business des Datenbearbeitens» Die allgemeinen Grundsätze des Datenschutzrechts berücksichtigen Informations- und Meldepflichten wahrnehmen Kein blinder Technik-Gehorsam: Was brauchen wir für unsere Aufgabenerfüllung?

15 Ihre Fragen

Ähnliche Dokumente

DSGVO und DSG-Revision

DSGVO und DSG-Revision Auswirkungen auf Schweizer Unternehmen im digitalen Umfeld Anlässlich der Generalversammlung tcbe.ch, ICT Cluster Bern Bern, 14. März 2018 Dr. Monique Sturny Übersicht I. Datenschutz