SWISS GRC DAY 7. NOVEMBER 2017 DIE NEUE DATENSCHUTZ-GRUNDVERORDNUNG (DSGVO) UND IHRE AUSWIRKUNGEN AUF DAS RISIKO- UND COMPLIANCE MANAGEMENT

Transkript

1 SWISS GRC DAY 7. NOVEMBER 2017 DIE NEUE DATENSCHUTZ-GRUNDVERORDNUNG (DSGVO) UND IHRE AUSWIRKUNGEN AUF DAS RISIKO- UND COMPLIANCE MANAGEMENT

2 AGENDA THEMENÜBERSICHT 01 DAS IST DIE SWISS INFOSEC AG Zahlen und Werte zu Unternehmen und Team 02 UNSERE ANGEBOTSLANDSCHAFT Darstellung unserer Dienstleistung und Leistungsübersicht 03 EU-DATENSCHUTZ-GRUNDVERORDNUNG So sind Sie gewappnet für die Umsetzungsfrist IHR KONTAKT Ihre Problemlösung beginnt mit einem Kontakt bei uns: , Swiss Infosec AG Hauptsitz in Sursee

3 01 SWISS INFOSEC AG best Seit mehr als 25 Jahren befassen wir uns mit allem rund um Integrale Sicherheit. Mit der Swiss Infosec AG sind Sie sicher, dass Ihre Informationen so sicher sind wie nötig. Reto C. Zbinden CEO, Rechtsanwalt

4 01 SWISS INFOSEC AG UNSERE WERTE UNSERE ASPEKTE UNSER TEAM Sicherheit nach Mass Praxisorientiert und kundennah Unabhängig und neutral Best Practice-Umsetzung Zielführend Mensch Organisation Recht Technik Infrastruktur Seit über 25 Jahren 25 Spezialisten 200 Jahren Erfahrung Effizient und eingespielt Kompetent

5 02 ANGEBOTSLANDSCHAFT INTEGRALE SICHERHEIT RISIKOMANAGEMENT, INTERNES KONTROLLSYSTEM INFORMATIONSSICHERHEIT ISO 27001, ISMS, Datenschutz, IT-Sicherheit, Cyber Security, Archivierung BUSINESS CONTINUITY MANAGEMENT ISO 22301, BCMS KRISENMANAGEMENT Krisenkommunikation, Notfallmanagement, Evakuation, Erste Hilfe PHYSISCHE SICHERHEIT Data Center Security BERATUNG Ihre Sicherheit im Fokus: individuell, kompetent, unabhängig AUSBILDUNG Wissen generiert mehr Sicherheit: kompakt, flexibel, praxisorientiert SERVICES Security as a Service (SaaS): die flexible Personallösung auf Zeit TOOLS Management-Software und Training-Tool für mehr Effizienz

6 EU-DATENSCHUTZ-GRUNDVERORDNUNG ZIEL DES DATENSCHUTZES Die DSGVO wie auch das Schweizer Datenschutzgesetz verfolgen im wesentlichen dasselbe Ziel: Sie liefern Regeln bezüglich der zulässigen Verarbeitung von personenbezogenen Daten (z.b. Rechtmässigkeits-, Zweckbindungs-, Datenminimierungsprinzip) Grundrechte von natürlichen Personen (in der CH auch von juristischen Personen) sollen geschützt sein. (Art. 13 BV: Schutz der Privatsphäre) Schutz der Persönlichkeit vor widerrechtlicher oder unverhältnismässiger Bearbeitung von Personendaten

7 EU-DATENSCHUTZ-GRUNDVERORDNUNG WAS IST DIE EU-DATENSCHUTZ-GRUNDVERORDNUNG? Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 (DSGVO) zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten löst die Datenschutzrichtlinie 95/46/EG ab ist in allen EU-Staaten direkt anwendbar 88 Seiten, 176 Präambeln, 99 Artikel (Artikel 1 beginnt ab Seite 32) in Kraft seit 24. Mai Jahre Umsetzungsfrist, d.h. DSGVO muss bis 25. Mai 2018 (Art. 99 Abs. 2 DSGVO) umgesetzt sein.

8 EU-DATENSCHUTZ-GRUNDVERORDNUNG ANWENDBARES RECHT FÜR EINE FIRMA MIT SITZ IN DER SCHWEIZ Schweizer Datenschutzgesetz Grundsätzlich kommt für Firmen mit Sitz in der Schweiz das schweizerische Recht zur Anwendung. Bearbeiten von Personendaten: Anwendung Schweizer Datenschutzgesetz und Verordnung (DSG und VDSG) Aktuell: Revision DSG. In Kraft 2018/2019 Ziel: Annäherung an europäische Gesetzgebung. Schweiz soll Status des «Sicheren Drittlands» beibehalten. Datenschutz-Grundverordnung (EU 2016/679) Neu: Extraterritoriale Anwendung. Anwendungsbereich wird ausgeweitet auf Unternehmen ausserhalb der EU

9 GELTUNGSBEREICH DSGVO SIND SIE BETROFFEN? Geltungsbereich DSGVO Wer Kunden in der EU etwas anbietet (Marktortprinzip) Wer das Verhalten von Menschen in der EU analysiert Wer Daten in der CH im Auftrag eines Unternehmens der EU speichert oder bearbeitet Beschränkt: Wenn Schweizer Unternehmen Daten in der EU speichern/verarbeiten lässt.

10 ALLGEMEINE BESTIMMUNGEN BEGRIFFSDEFINITIONEN (ART. 4 DSGVO) Personenbezogene Daten Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen Begriff der verpflichteten Stellen Für die Verarbeitung Verantwortlicher ( controller ) und Auftragsverarbeiter ( processor ) IP-Adressen und andere Online-Identifier sind personenbezogene Daten Genetische und biometrische Daten als sensitive Personendaten, sogenannte «besondere Kategorien personenbezogener Daten» Profiling (Big Data): jegliche Form von automatisierter Datenverarbeitung, bei welcher die betreffenden Personendaten zur Analyse von gewissen persönlichen Aspekten einer natürlichen Person verwendet werden Pseudonymisierung: Pseudonymisierte Daten sind KEINE anonymisierten Daten Einwilligung: Freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich

11 EU-DATENSCHUTZ-GRUNDVERORDNUNG DSGVO KOMPAKT Hoher Bussenrahmen schafft Awareness Diverse Grundlagen werden laufend erarbeitet und publiziert (WP29) Mitgliedstaaten erlassen nun laufend Anpassungsgesetze Schweizer DSG zur Zeit in Totalrevision, in Kraft frühestens 2019 In vielen Schweizer Unternehmen war Datenschutz nie Thema Kaum personelle Ressourcen für den Datenschutz Keine Übersicht über Datenverarbeitungen Kaum datenschutzspezifische Prozesse Kaum Datenschutzweisungen Kaum entsprechende Intercompany-Vereinbarungen

12 EU-DATENSCHUTZ-GRUNDVERORDNUNG DSGVO KOMPAKT Nicht viel Neues aber Nachweis der Einwilligung zur Datenverarbeitung nötig Umfassende Informationspflichten zum Zeitpunkt der Einwilligung «Data Breaches» sind ggf. innert 72 Stunden den Aufsichtsbehörden und evtl. den Betroffenen zu melden Alle Datenverarbeitungen müssen in einem Verzeichnis inventarisiert und beschrieben werden Zwingend: Verfahrensverzeichnis auch für Auftragsverarbeiter Betroffene erhalten auf Antrag «ihre» Daten ("Datenportabilität") Bei Computer-Entscheiden Anspruch auf Beurteilung durch Menschen Bei Vorhaben mit hohen Risiken muss eine Datenschutz-Folgenabschätzung vorgenommen werden umfangreiche gesetzliche Vorgaben zu deren Inhalt und Information der Aufsichtsbehörden

13 EU-DATENSCHUTZ-GRUNDVERORDNUNG VERBOTE UND AUSNAHMEN Verbot der Verarbeitung sensitiver Personendaten Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer Person oder Daten über Gesundheit oder Sexualleben und sexuelle Ausrichtung ist untersagt. Ausnahmen Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten ausdrücklich eingewilligt, es sei denn, nach den Rechtsvorschriften der Union oder eines Mitgliedstaats kann das Verbot der Verarbeitung durch die Einwilligung der betroffenen Person nicht aufgehoben werden Arbeitsrecht und Recht der sozialen Sicherheit und des Sozialschutzes Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen Person Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person selber öffentlich gemacht hat, gerichtliche Auseinandersetzung, wichtige öffentliche Interessen, öffentliche Gesundheit, geschützte Bearbeitung NGO/NPO Fachpersonen / Berufsgeheimnis

14 EU-DATENSCHUTZ-GRUNDVERORDNUNG EINWILLIGUNG Bezüglich Rechtmässigkeit der Datenverarbeitung stellt die DSGVO die Einwilligung des Datensubjektes in den Vordergrund. Die Einwilligung muss durch eine ausdrückliche, aktive Handlung erfolgen (z.b. Ticken von Box, Häkchen muss jedoch aktiv gesetzt werden. Opt-out nicht ausreichend). Die Einwilligungserklärungen müssen gut sicht- und lesbar getrennt von anderen Themen dargestellt werden. Beweislast der gültigen Einwilligung bei der verarbeitenden Stelle Möglichkeit des jederzeitigen Widerrufs

15 EU-DATENSCHUTZ-GRUNDVERORDNUNG UMFASSENDE INFORMATIONSPFLICHT Informationspflicht bei sensitiven Personendaten in leicht verständlicher Sprache Information über: den Datenverarbeiter den Zweck der Datenerhebung allfällige Rechtfertigungsgründe für die Datenerhebung die Kategorie der Datenempfänger mögliche Datentransfers in Drittstaaten die Dauer der Datenaufbewahrung die Auskunfts-, Berichtigungs-, und Löschungsrechte die Möglichkeit der Beschwerde an die zuständige Datenschutzbehörde Folgen der Verweigerung der Einwilligung zur Datenerhebung

16 EU-DATENSCHUTZ-GRUNDVERORDNUNG DAS MÜSSEN ORGANISATIONEN IN DER SCHWEIZ BEACHTEN Ausdrückliche Statuierung des Recht auf Vergessen in Artikel 17 DSGVO. Löschpflicht nicht nur für Datenverarbeiter, der die entsprechenden Personendaten ursprünglich erhoben hat. Wurden die betreffenden Personendaten an Dritte weitergegeben oder öffentlich gemacht, muss der ursprüngliche Datenverarbeiter diese Drittpersonen über das Löschungsgesuch informieren. Er muss hierzu verhältnismässige Anstrengungen unternehmen. Recht auf Daten: Betonung, dass Personendaten der betroffenen Person und nicht dem Datenverarbeiter gehören. Auf Gesuch müssen Datenverarbeiter der betroffenen Person ihre persönlichen Daten auf elektronischem Weg und in einem allgemein nutzbaren Format kostenfrei und schnell aushändigen.

17 EU-DATENSCHUTZ-GRUNDVERORDNUNG DAS MÜSSEN ORGANISATIONEN IN DER SCHWEIZ BEACHTEN Der DSGVO unterliegende Organisationen haben einen Vertreter mit Sitz in der EU zu ernennen Ausnahmen: Datenverarbeiter verarbeitet nur unregelmässig personenbezogene Daten im Sinne der DSGVO Verarbeitung besonderer Kategorien personenbezogener Daten nur in geringem Umfang Verarbeitung hat nur geringe Datenschutzrisiken Interpretation der Ausnahmen fraglich bzw. noch zu klären Vertreter kann auch Niederlassung des ausländischen Unternehmens in der EU sein

18 EU-DATENSCHUTZ-GRUNDVERORDNUNG DAS MÜSSEN ORGANISATIONEN IN DER SCHWEIZ BEACHTEN Auftragsdatenverarbeitung muss durch einen Vertrag geregelt sein Datenverarbeiter werden verpflichtet, ein Verzeichnis mit allen ihren Datenverarbeitungen zu erstellen Obligatorische Meldung bei Datenschutzpannen innerhalb von 72 Stunden an die Aufsichtsbehörde Falls Datenschutzpanne möglicherweise hohes Risiko für die Rechte der betroffenen Personen: Information des Datensubjektes ohne unnötige Verzögerung «Data Protection Impact Assessment» (Datenschutz-Folgenabschätzung), falls Datenverarbeitungen neue Technologien nutzen oder hinsichtlich Natur, Umfang oder Kontext der Datenverarbeitung hohe Risiken bergen

19 EU-DATENSCHUTZ-GRUNDVERORDNUNG FOLGENDE PRINZIPIEN MÜSSEN ORGANISATIONEN IN DER SCHWEIZ BEACHTEN Data Protection by Design (Art. 25 Abs. 1 DSGVO) Es sollen geeignete technische und organisatorische Massnahmen getroffen werden, damit die datenschutzrechtlichen Prinzipien eingehalten werden. Pseudonymisierung wird als Beispiel genannt. Data Protection by Default (Art. 25 Abs. 2 DSGVO) Voreinstellungen sollen so ausgestaltet werden, dass nur personenbezogene Daten erhoben werden, welche für den Zweck wirklich erforderlich sind.

20 DAS MÜSSEN ORGANISATIONEN IN DER SCHWEIZ BEACHTEN DER DATENSCHUTZBEAUFTRAGTE Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmässige und systematische Beobachtung von betroffenen Personen erforderlich machen (Big Data) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten besteht, insbesondere Daten über rassische und ethnische Herkunft politische Meinungen, religiöse oder weltanschauliche Überzeugungen Gewerkschaftszugehörigkeit genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung

21 DAS MÜSSEN ORGANISATIONEN IN DER SCHWEIZ BEACHTEN DER DATENSCHUTZBEAUFTRAGTE Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann. Der Datenschutzbeauftragte kann Beschäftigter des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags (bzw. Auftrag) erfüllen. Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit.

22 EU-DATENSCHUTZ-GRUNDVERORDNUNG RECHENSCHAFTSPFLICHT (ART. 5 ABS. 2 DSGVO) Der Verantwortliche ist für die Einhaltung der Grundsätze verantwortlich und muss die Einhaltung nachweisen können. Bei Nichtbeachtung der Grundsätze nach Art. 5 DSGVO und fehlender Rechenschaftspflicht «grosser» Bussenrahmen. In anderen Worten: Die Unternehmen müssen nicht nur sicherstellen, dass sie «Datenschutz-compliant» sind, sondern die Compliance auch nachweisen können. Entwurf CH-DSG sieht eine analoge Rechenschaftspflicht vor. Nachweispflicht der Einhaltung d. Grundsätze bei Auftragsverarbeitung! Nachweispflicht = Dokumentationspflicht!

23 EU-DATENSCHUTZ-GRUNDVERORDNUNG RECHENSCHAFTSPFLICHT (ART. 5 ABS. 2 DSGVO) Modewort: Good Governance Unternehmen müssen beweisen können, dass sie geeignete Datenschutzweisungen und geeignete Datenschutzvorkehrungen umsetzen Datenschutzweisung muss die Grundsätze der DSGVO widerspiegeln. Möglichkeit von Kontrollen und Sanktionen bei Nichteinhaltung der Weisung aufnehmen Datenschutzweisung muss «gelebt» werden Schulungen, E-Learning. Optimale Nachweismöglichkeit Verpflichtung in Arbeitsverträgen Kontrolle und Sanktionen (auch wenn unbeliebt) notwendig, damit Nachweis der «Datenschutz-Compliance» erbracht werden kann.

24 RECHTMÄSSIGKEIT DER BEARBEITUNG VON PERSONENDATEN RECHTMÄSSIGKEIT VERGLEICH CH Sowohl beim DSG wie auch bei der DSGVO muss die Datenverarbeitung rechtmässig sein. Konzept ist anders: DSGVO benötigt zwingend einen Rechtfertigungsgrund für die Datenverarbeitung Gemäss CH-DSG darf durch eine Datenbearbeitung die Persönlichkeit nicht widerrechtlich verletzt werden. Im Resultat jedoch vergleichbar und mit der Konsequenz, dass sowohl bei der DSGVO wie auch der CH-DSG der (Rechtfertigungs-) Grund für die Datenverarbeitung bekannt sein sollte. Bei der DSGVO besteht jedoch eine zwingende Dokumentationspflicht der vorhandenen Rechtmässigkeit.

25 EU-DATENSCHUTZ-GRUNDVERORDNUNG BESCHWERDERECHT UND SANKTIONEN Hohe Geldbussen: Je nach Verstoss bis zu EUR 20 Mio. oder (wenn höher) 4% des im vorangegangenen Geschäftsjahr weltweit erzielten Umsatzes Anders für kleinere Unternehmen, wenn erstmals, fahrlässig und nicht grob verstossen wird Gesamtschuldnerische Haftung zwischen Verantwortlichem und Auftragsverarbeiter! Jedoch: Unschuldsbeweis möglich. Daher sollten zumindest Verantwortlichkeiten mit dem Auftraggeber vertraglich geregelt und bestehende Auftragsdatenverarbeitungsverträge angepasst werden. Entwurf des CH-DSG sieht Busse von CHF vor.

26 EU-DATENSCHUTZ-GRUNDVERORDNUNG BESCHWERDERECHT UND SANKTIONEN Datensubjekt kann bei Verstössen gegen die DSGVO bei der Datenschutzbehörde seines Wohnsitzstaates Beschwerde einreichen Jede nationale Aufsichtsbehörde (nicht gleich Gericht) kann Administrativsanktionen erlassen Zivilrechtliche Ansprüche können (ebenfalls) gerichtlich eingeklagt werden. mögliches Verfahren gegen schweizerische Organisation bei einer EU-Datenschutzbehörde. Jedoch fraglich, ob Aufsichtsbehörde Massnahmen gegen Unternehmen in der Schweiz direkt durchsetzen kann

27 UMSETZUNG DSGVO MASSNAHMEN 1. Überprüfen Sie, ob die DSGVO auf Ihr Unternehmen anwendbar ist gemäss sachlichem und räumlichem Geltungsbereich ein Vertreter mit Sitz in der EU eingesetzt werden muss ein Datenschutzbeauftragter ernannt werden muss Inkl. Veröffentlichung Kontaktangaben Intern od. extern möglich

28 UMSETZUNG DSGVO MASSNAHMEN 2. Passen Sie Ihre Weisungen und Verträge an Datenschutzpolitik und Datenschutzweisung. Dokumentation von Datenverarbeitungen und Compliance-Massnahmen. Verantwortlicher trägt Beweislast, dass Prinzipien der DSGVO eingehalten werden. Konzerninternen Datentransfer regeln AGB s anpassen (Erhöhte Anforderung an Einwilligung, separate Darstellung) Datenschutzerklärungen (Erhöhte Anforderung an Informationspflicht) Verzeichnis der Verarbeitungstätigkeiten Auftragsdatenverarbeitung (Gesamtschuldnerische Haftung! Verantwortlichkeiten klar regeln) und Verträge mit Dritten überprüfen

29 UMSETZUNG DSGVO MASSNAHMEN 3. Passen Sie Ihre Prozesse an Löschungsbegehren (Recht auf Vergessen) Datenschutzverletzungen (Informationspflicht!) Datenschutz-Folgenabschätzung Privacy by Design und Privacy by Default Profiling Schulungs- und Awareness-Programme

30 UMSETZUNG DSGVO MASSNAHMEN 4. Halten Sie die Dokumentationspflichten ein Auftragsverarbeitung nur im Rahmen der Weisung des Verantwortlichen. Weisung muss dokumentiert sein. Führen eines Verzeichnisses von Verarbeitungstätigkeiten Verletzungen des Schutzes personenbezogener Daten und damit verbundene Meldepflichten Dokumentation der internen Datenschutzvorschriften bei der Übermittlung personenbezogener Daten an Drittländer Beschreibung der Datenschutz-Folgenabschätzung

31 UMSETZUNG DSGVO MASSNAHMEN 5. Halten Sie die Nachweispflichten ein Einhaltung der Datenschutzprinzipien Nachweis der Einwilligung. Kinder unter 16 Jahren beachten. Nachweispflicht des Verantwortlichen der Unangemessenheit eines Auskunftsrechts seitens der betroffenen Person Nachweispflicht des Verantwortlichen, wenn trotz Widerspruch eine automatische Entscheidfindung durchgeführt wird. Nachweis der genügenden technischen und organisatorischen Massnahmen Nachweis der Kontrolle im Rahmen einer Auftragsdatenverarbeitung

32 UMSETZUNG DSGVO VIELES KLAR, EINIGES UNKLAR Welche Puzzleteile fehlen Ihnen noch? Haben Sie Fragen zu Anwendbarkeit auf Ihr Unternehmen Datenschutzbeauftragten definieren Privacy by Design Privacy by Default Datenschutz-Folgeabschätzung Vorgehen Umsetzung bis 25. Mai 2018

33 04 UNSERE KONTAKTDATEN IHRE PROBLEMLÖSUNG BEGINNT MIT EINEM KONTAKT BEI UNS Luzern Hauptgeschäftsstelle Swiss Infosec AG Centralstrasse 8A 6210 Sursee Bern Zweigstelle Swiss Infosec AG Bubenbergplatz Bern Zürich Zweigstelle Swiss Infosec AG Steinstrasse Zürich

34 VIELEN DANK VIELEN DANK MELDEN SIE SICH JETZT AN FÜR DIE KOSTENLOSE FACHVERANSTALTUNG MEET SWISS INFOSEC! Sicherheit im Fokus 22. Januar 2018, Zürich Flughafen 13 bis 17 Uhr, anschliessend Apéro Haben Sie schon den kostenlosen Newsletter abonniert?

35 05 EU-DATENSCHUTZ-GRUNDVERORDNUNG AUFBAU I. Allgemeine Bestimmungen II. III. IV. Grundsätze Rechte der betroffenen Personen Verantwortlicher und Auftragsverarbeiter V. Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen VI. VII. Unabhängige Aufsichtsbehörden Zusammenarbeit und Kohärenz VIII. Rechtsbehelfe, Haftung und Sanktionen IX. Delegierte Rechtsakte und Durchführungsrechtsakte X. Vorschriften für besondere Verarbeitungssituationen XI. Schlussbestimmungen