Datenschutz, was kommt auf die KMUs zu? E-DSG und DSGVO

Transkript

1 Datenschutz, was kommt auf die KMUs zu? E-DSG und DSGVO Gemeinde Trimbach 8. Mai 2017 RA Ursula Sury Prof. an der HSLU 1

2 Zur Person Prof. Ursula Sury, RA Gründung, Aufbau und Führung der Anwaltskanzlei Die Advokatur Sury AG (seit 1993), unter anderem spezialisiert auf Datenschutz, Urheberrecht, IT-Recht, Legal Risk Management und Vertragsmanagement Auf- und Ausbau des Schwerpunktes Informatik- und Datenschutzrecht an der Hochschule Luzern (seit 1993) Aufbau und Leitung CC Management & Law an der Hochschule Luzern ( ) Fachexpertin SQS für Datenschutzaudits (seit 2007) Datenschutz- und Öffentlichkeitsbeauftragte des Kantons Wallis Vorstandsmitglied von swissvr seit 2012 Seit 2016 Vizepräsidentin von Clusis Seit 2016 Vizedirektorin und Leiterin Weiterbildung an der Hochschule Luzern Informatik Die Advokatur Sury AG 2

3 Inhaltsverzeichnis Teil I: Was heisst Datenschutz? Teil II: Welche Erlasse haben KMUs zu beachten? Teil III: Was kommt datenschutzrechtlich auf die KMUs zu? Die Advokatur Sury AG 3

4 Teil I: Was heisst Datenschutz? Die Advokatur Sury AG 4

5 Auf was kommt es beim Datenschutz an? Datenschutz = Persönlichkeitsschutz Gesetzliche Grundlage Zweck Einwilligung Verhältnismässigkeit Richtigkeit Sicherheit Bearbeiten = jeder Umgang mit Daten 5

6 Welches sind die Bearbeitungsprinzipien? Wann ist eine Datenbearbeitung erlaubt? Wenn Sie alle diese Fragen bez. einer Datenbearbeitung mit Ja beantworten können, dann ist diese erlaubt. - Ist die von mir vorgesehene Bearbeitung der Daten rechtmässig? - Dient die von mir vorgesehene Bearbeitung dem richtigen Zweck? - Ist die von mir vorgesehene Bearbeitung verhältnismässig? - Sind die von mir verwendeten Daten korrekt? Die Advokatur Sury AG 6

7 Was versteht man unter Datenbearbeitung? Eine Datenbearbeitung ist jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen Aufbewahren Verwenden Umarbeiten Bekannt geben Archivieren und Vernichten von Daten. Die Advokatur Sury AG 7

8 Was versteht man unter Datenbearbeitung? Erhalten Interne Bearbeitung Weitergeben Ablegen Archivieren Die Advokatur Sury AG 8

9 Warum muss ich mich als Inhaber eines KMUs um den Datenschutz kümmern? Worin liegt meine Verantwortung? Verantwortliche Mitarbeitende des Unternehmens Kunden Geschäftspartner Strategie Management Prozess Geschäftsführung Verwaltungsrat Art. 716a OR/ Art.754 OR Klienten Geschäftsprozess Aktionäre Leistung Innovation Marketing Prozessunterstützung Lieferanten Int. Service Personal Infrastruktur Mitarbeiter 9

10 Warum muss ich mich als Inhaber eines KMUs um den Datenschutz kümmern? Worin liegt meine Verantwortung? Art. 716 / 716a OR Verwaltungsrat CEO CFO CIO Positive Gesamtverantwortung für: Oberleitung der Gesellschaft Festlegung der Organisation Rechnungswesen und Finanzen etc. 10

11 Wann ist der Datenexport erlaubt? X Art. 4 DSG Art. 10a DSG Dritte Art DSG Art. 6 DSG Inland Ausland X Dritte 11

12 Teil II: Welche Erlasse haben KMUs zu beachten? Die Advokatur Sury AG 12

13 DSGVO (EU) Gilt ab 25. Mai 2018 Weitestgehende Ersetzung der nationalen Datenschutzgesetze Direkte Anwendbarkeit in allen EU- Mitgliedstaaten Auch Einfluss auf CH-Unternehmen, wenn in EU-Mitgliedsstaaten tätig Die Advokatur Sury AG 13

14 DSG (CH) Am 21. Dezember 2016 schickte der Bundesrat den Vorentwurf für das neue DSG in die Vernehmlassung. Die Vernehmlassung dauerte bis am 4. April Annäherung an die EU-DSGVO. Inkrafttreten frühestens anfangs 2019 zu erwarten. Die Advokatur Sury AG 14

15 Teil III: Was kommt datenschutzrechtlich auf die KMUs zu? Die Advokatur Sury AG 15

16 Wann ist die DSGVO auf Schweizer Unternehmen anwendbar? Faustregel Bearbeitung von EU-Personendaten Bearbeitung von Personendaten mit Wohnsitz in EU Betrieb und Bearbeitung in CH; Angebot, Produkt oder Dienstleistung in EU Verhaltensbeobachtung in EU Nicht betroffen Bearbeitung von CH-Personendaten in CH Art. 3 DSGVO Die Advokatur Sury AG 16

17 Wer wird durch den Datenschutz geschützt? Nur natürliche Personen Schutz von juristischen Personen fällt weg Art. 2 VE-DSG Die Advokatur Sury AG 17

18 Was ändert sich durch die neuen Regelungen in der Schweiz und der EU für Schweizer KMUs? EU Die Advokatur Sury AG 18

19 1. Welche Auswirkungen haben die neuen Regeln für die Datenbearbeitung? EU Die Advokatur Sury AG 19

20 1. Welche Auswirkungen haben die neuen Regeln für die Datenbearbeitung? Betroffene Personen Datenbearbeitung KMU Einwilligung Betroffenenrechte (z.b. Informationsrechte) Automatisierte Einzelentscheidungen Art VE-DSG; Art. 7 f. und DSGVO Die Advokatur Sury AG 20

21 2. Wann muss ein Vertreter in der EU bestellt werden? Wozu dient er? EU Die Advokatur Sury AG 21

22 2. Wann muss ein Vertreter in der EU bestellt werden? Wozu dient er? Vertreter KMU EU grds. wenn Anwendbarkeit DSGVO auf CH Unternehmen Ausnahmen nur gelegentliche Verarbeitung keine besonders schützenswerten Personendaten keine Risiken für Rechte Betroffener Art. 27 DSGVO Die Advokatur Sury AG 22

23 3. Wann muss ein Datenschutzbeauftragter ernannt werden? EU Die Advokatur Sury AG 23

24 3. Wann muss ein Datenschutzbeauftragter ernannt werden? (DSGVO) Wenn Anwendbarkeit DSGVO auf CH Unternehmen und (alternativ) Geschäft basiert auf Überwachung von Personen oder Bearbeitung sensitiver Personendaten Outsourcing möglich Art. 37 DSGVO Die Advokatur Sury AG 24

25 4. Welche neuen Datenschutzprinzipien gibt es? EU Die Advokatur Sury AG 25

26 4. Welche neuen Datenschutzprinzipien gibt es? Privacy by Design Privacy Impact Assessment (PIA) Privacy by Default Art. 18 VE-DSG; Art. 25 DSGVO Die Advokatur Sury AG 26

27 5. Was ist eine Datenschutz-Folgenabschätzung? EU Die Advokatur Sury AG 27

28 5. Was ist eine Datenschutz-Folgenabschätzung? Abschätzung der Folgen von Datenverarbeitungen für den Schutz personenbezogener Daten Bei hohen Risiken Konsultation Datenschutzbehörde Dokumentation von Schutzmassnahmen Art. 16 VE-DSG; Art. 35 DSGVO Die Advokatur Sury AG 28

29 6. Was bedeutet die Dokumentationspflicht für KMUs? EU Die Advokatur Sury AG 29

30 6. Was bedeutet die Dokumentationspflicht für KMUs? Positiver Nachweis der Einhaltung des Datenschutzes (Rechenschaftspflicht) Wenn mehr als 250 MA Pflicht zur Führung eines Verzeichnisses der Verarbeitungstätigkeiten Art. 19 VE-DSG; Art. 30 DSGVO Die Advokatur Sury AG 30

31 7. Wann besteht eine Meldepflicht? EU Die Advokatur Sury AG 31

32 7. Wann besteht eine Meldepflicht? Verletzung des Schutzes personenbezogener Daten Fristen EU innerhalb von 72 h an zuständige Behörde CH unverzügliche Meldung an zuständige Behörde Zusätzlich Information an Betroffene Art. 17 VE-DSG; Art. 33 DSGVO Die Advokatur Sury AG 32

33 8. Was sind Empfehlungen der guten Praxis? EU Die Advokatur Sury AG 33

34 8. Was sind Empfehlungen der guten Praxis? KMU Empfehlungen des EDÖB Guideline für Datenbearbeiter Schaffung von Rechtssicherheit Art. 8 VE-DSG Die Advokatur Sury AG 34

35 9. Welche Sanktionen sehen die neuen Datenschutzerlasse vor? EU Die Advokatur Sury AG 35

36 9. Welche Sanktionen sehen die neuen Datenschutzerlasse vor? KMU EU Je nach Verstoss bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres (bei Unternehmen) oder oder bis zu 20 Mio EUR Art. 83 DSGVO Die Advokatur Sury AG 36

37 9. Welche Sanktionen sehen die neuen Datenschutzerlasse vor? KMU CH Bussen bis zu 500'000 Fr Freiheitsstrafe bis zu drei Jahren oder Geldstrafe Art. 50 ff. VE-DSG Die Advokatur Sury AG 37

38 Was ändert sich durch die neuen Regelungen in der Schweiz und der EU für Schweizer KMUs? Betroffene Personen Meldepflicht Datenschutzfolgenabschätzung Vertreter EU Dokumentationspflicht Privacy by Design Privacy by Default Empfehlungen der guten Praxis Datenschutzbeauftragter Sanktionen Die Advokatur Sury AG 38

39 Fragen? 39

40 Danke Publikationen: Handbücher für die Anwaltspraxis Haftung und Versicherung, Kapitel IT- Fehler von Ursula Sury Helbling & Lichtenhahn Verlag, 2015 Prinzipen des Vertragsrechts, Kapitel IT-Outsourcing Verträge von Ursula Sury Schulthess-Verlag, 2015 Immaterialgüterrecht in kommentierten Leitentscheiden, Kapitel BGE 125 III 263: Softwarelizenz: Wie weit reichen die Nutzungsrechte der Lizenznehmerin? von Ursula Sury Schulthess-Verlag,

41 Danke Publikationen: Kurzeinführung ins Arbeitsrecht - von der Vertragsanbahnung bis zur Kündigung Sprenger/Sury/Seger, Stämpfli Verlag, 2013 Informatikrecht Sury Ursula, Stämpfli Verlag, 2013 Beitrag Recht im Offshoring, In: IT-Offshoring - Potenziale, Risiken, Erfahrungsberichte Sury Ursula, Orell Füssli Verlag Zürich,

42 Danke Beiträge Ursula Sury in: IT-business Datenschutzrevisionen und Auswirkungen auf die Softwareentwicklung Ausgabe 1/2017 Home Office und Arbeitsrecht Ausgabe 4/2013 aus der Cloud für KMU eine gute Alternative? Ausgabe 3/2013 Die rechtlichen Aspekte der elektronischen Archivierung Ausgabe 2/2013 Datenschutzrechtliche Aspekte zur Software as a Service (SaaS) Ausgabe 1/2013 Umsicht bei Open Source Ausgabe 4/2012 IT-Sicherheit im KMU aus technischer und rechtlicher Sicht Ausgabe 3/2012 Beiträge Ursula Sury in: Informatik Spektrum (Springer-Verlag) Internet of Things und Recht Heft 3/2017 Revision Datenschutz in der Schweiz Heft 2/2017 Die Auswirkungen der Digitalsierung auf den Staat und das Staatsverständnis Heft 1/2017 Künstliche Intelligenz und Datenschutz Heft 6/2016 Blockchain und Recht Heft 5/2016 Datenschutz Die EU macht vorwärts Heft 4/2016 Die Haftung für Roboterfehler Heft 3/

43 Danke RA Ursula Sury, Prof. an der HSLU Die Advokatur Sury AG Alpenquai Luzern 43

44 Anhang: Was ist (als KMU) zu tun? Die Advokatur Sury AG 44

45 Was ist zu tun? Datenschutzerklärungen, Verträge mit Kunden und sonstige Materialien (Vorlagen), welche über die Verarbeitung personenbezogener Daten informieren oder eine Einwilligung verlangen, sind zu überprüfen und anzupassen Sind die neuen, erhöhten Voraussetzungen für die Einwilligung erfüllt? Werden die neuen Informationspflichten umgesetzt? Die Advokatur Sury AG 45

46 Was ist zu tun? Verfahren und (u.a. technische) Massnahmen müssen sicherstellen, dass die Rechte von Betroffenen bei der Datenbearbeitung eingehalten werden. Zugang Datenportabilität Recht auf Löschung Etc. Kunden für automatisierte Einzelentscheidungen Merkblatt abgeben Die Advokatur Sury AG 46

47 Was ist zu tun? Schaffung einer betriebsinternen Datenschutzstelle Überprüfen wie das Unternehmen in der Lage ist die Einhaltung der Bearbeitungsprinzipien und der Regeln der DSGVO zu dokumentieren, sofern DSGVO Anwendung findet ("Rechenschaftspflicht") Dokumentation der eigenen Datenschutzbearbeitungen Wer bearbeitet wie welche Daten aus welchem Grund? Die Advokatur Sury AG 47

48 Was ist zu tun? Verträge mit Providern müssen auf die Einhaltung des E-DSG und des DSGVO geprüft und angepasst werden Prüfung vertraglicher Vereinbarungen mit Konzerngesellschaften und Partnern, mit denen Daten ausgetauscht werden (insbesondere grenzüberschreitend) Technische und organisatorische Sicherheitsmassnahmen müssen überprüft werden; Vorgehen bei Datenschutzverletzungen muss vorgesehen werden. Die Advokatur Sury AG 48

49 Was ist zu tun? Evtl. Bestellung eines Datenschutzbeauftragten Evtl. Bestellung eines Vertreters in der EU Die Advokatur Sury AG 49