Tendenzen im Datenschutz: Mehr Privatsphäre oder mehr Administration?

Transkript

1 Tendenzen im Datenschutz: Mehr Privatsphäre oder mehr Administration? Cloud 2017, Seedamm Plaza, Pfäffikon SZ 26. Oktober 2017 Dr. Rolf Auf der Maur, Rechtsanwalt, VISCHER AG Übersicht Ausgangslage und Treiber der Datenschutz Revision Grundsätzliche Unterschiede zwischen Schweiz und EU Gemeinsame Herausforderungen./. USA Neuer Schwerpunkt: Datensicherheit Regelungspunkte und Anwendbarkeit der EU-DSGVO Was gilt für Kunden und Cloud Service Anbieter? Was ist von der DSG Revision in der Schweiz zu erwarten? Fördert der Datenschutz die Innovationskraft? Tendenzen im Datenschutz, Cloud

2 Regelungsinteresse beim DSG 1992: Schutz vor dem Überwachungsstaat Tendenzen im Datenschutz, Cloud Regelungsinteresse beim DSG 1992: Schutz vor dem Überwachungsstaat Schutz der Persönlichkeit (Private und Unternehmen) Schutz vor dem Staat ("Fichenaffäre 1989) Föderalismus (DSG für Private und Bund, kantonale Gesetze für kantonale Behörden) Technologischer Stand: Nachkriegszeit Schweiz 1992 als "Nachzügler" in Europa Tendenzen im Datenschutz, Cloud

3 Treiber der DSG Revision 2017: Angst vor Kontrollverlust bei Big Data Analytics Tendenzen im Datenschutz, Cloud Treiber der DSG Revision 2017: Angst vor Kontrollverlust bei Big Data Analytics Daten als Rohstoff für digitale Geschäftsmodelle Big Data und Data Analytics auf dem Vormarsch Migration von Daten in die "Cloud" Wachsende Risiken für die Datensicherheit Algorithmen übernehmen Selektionen und führen automatisierte Entscheide aus Tendenzen im Datenschutz, Cloud

4 Personendaten im Fokus der Regulierung Informationen Ohne jeglichen Personenbezug Anonyme Daten Betroffene Person kann nicht mehr identifiziert werden Pseudonyme Daten Ohne zusätzliche Informationen keine Zuordnung der Daten möglich Personendaten Beziehen sich auf identifizierte oder identifizierbare natürliche Person Tendenzen im Datenschutz, Cloud Grundsätzliche Unterschiede Schweiz./. EU Schweiz (DSG) EU (DSGVO) Datenbearbeitung erlaubt unter Einhaltung bestimmter Voraussetzungen (Zweckbindung, Verhältnismässigkeit, Rechtmässigkeit) EDÖB heute ohne Verfügungskompetenz, soll diese aber neu erhalten (Sanktionskompetenz soll bei kantonalen Strafverfolgungsbehörden bleiben) Nationale Wirkung für Bund und Private DSG 39 Artikel / E-DSG 63 Artikel auf 40 Seiten Verbotsgesetz mit Erlaubnisvorbehalt (Einwilligung, gesetzliche Pflicht oder überwiegendes Interesse als Resultat einer Interessenabwägung) Sanktionen bis 4% des weltweiten Jahresumsatzes oder EUR 20 Mio. bei Verletzungen gegen DSGVO Pflichten. Ausgestaltet als Verwaltungssanktionen Extraterritoriale Wirkung 99 Artikel plus 173 Erwägungen auf 88 Seiten Tendenzen im Datenschutz, Cloud

5 Gemeinsame Herausforderungen./. USA: "The Privacy Paradox" und Cybersecurity Tendenzen im Datenschutz, Cloud The Privacy Paradox Wie gehen die USA mit dem Thema um? "The Privacy Paradox": Das Unbehagen über mangelnde Privatsphäre wächst, aber Nutzer nehmen Möglichkeiten zur Einflussnahme auf Datenbearbeitung nicht wahr. Der durchschnittliche US Internet User müsste 25 Tage und Nächte pro Jahr lesen, wollte er alle AGB und Privacy Policies sämtlicher Plattformen lesen, die er nutzt. Einwilligungsgläubigkeit überfordert User und bevorteilt globale "Log-in" Giganten (bei gleichzeitiger Benachteiligung kleinerer und nationaler/regionaler Online Plattformen). Regulierung der USA zielt auf Cyber Security (auf Ebene Bundesstaaten) und Bereiche mit besonderen Risiken (Kinder, Gesundheitsdaten) Tendenzen im Datenschutz, Cloud

6 Neuer Schwerpunkt: Datensicherheit Tendenzen im Datenschutz, Cloud Datensicherheit als neues Regulierungsthema Ziel: Vertraulichkeit, Verfügbarkeit und Integrität der Daten Technische und organisatorische Massnahmen: Pseudonymisierung Verschlüsselung / Passwörter / mehrstufige Authentifizierung Datenwiederherstellungssysteme / Back-Ups Zugriffskontrollen Weisungen, Schulungen, Merkblätter Zertifizierung periodische Überprüfung der Wirksamkeit der Massnahmen Schriftliche Vereinbarung mit Auftragsbearbeitern Transparenz: Pflicht zur Meldung von Data Breaches an Behörden und Betroffene Tendenzen im Datenschutz, Cloud

7 EU-DSGVO: Regelungspunkte im Überblick Datensicherheit Informationspflichten Einwilligung Auslandsdatentransfer Outsourcing Proifiling / automat. Einzelentscheide Data Breach Notification DSFA Recht des Betroffenen Dokumentationspflichten Mitarbeiterdaten Datenschutzbeauftragter Tendenzen im Datenschutz, Cloud Extraterritoriale Wirkung der DSGVO Betroffen sind Schweizer Unternehmen, die: natürlichen Personen in der EU Produkte oder Dienstleistungen anbieten (entgeltlich oder unentgeltlich) das Verhalten von Nutzern ihrer Website/App aus der EU analysieren an der Datenverarbeitung von EU-Unternehmen teilnehmen (z.b. als Auftragsverarbeiter oder als Schweizer Konzerngesellschaft) Bussenrisiko: bis zu EUR 20 Mio. oder 4% des weltweiten Umsatzes Reputationsrisiko Tendenzen im Datenschutz, Cloud

8 Pflichten der Auftragsverarbeiter (Processor) Bearbeitung nach Instruktionen des Verantwortlichen nur zu Zwecken des Verantwortlichen Datenverarbeitung ausserhalb der EU nur mit Absicherung Genehmigung für Unterbeauftragung «Data Breach» an Verantwortlichen melden Sicherheit / Vertraulichkeit Datenbearbeitungsvertrag Unterstützungspflichten Verzeichnispflicht / Audits Aber nicht: Auskunfts-, Berichtigungs- und Löschungspflicht Tendenzen im Datenschutz, Cloud Pflichten des Verantwortlichen (Controller) Auswahl des Anbieters / Auswahl und Testen der Applikation Klare und dokumentierte Instruktionen Regelmässige und dokumentierte Kontrolle / Audits Sicherheit / Vertraulichkeit Dokumentation Datenverarbeitung ausserhalb der EU Verantwortlicher bleibt für die verantwortlich vgl. FINMA Rundschreiben 17/xx Outsourcing Banken und Versicherer Tendenzen im Datenschutz, Cloud

9 Was ist vom neuen DSG zu erwarten? Annäherung an EU DSGVO Standard Verzicht auf hohe Bussen, dafür Straftatbestände für verantwortliche (natürliche) Personen bei vorsätzlicher Begehung «Swiss Finish» im E-DSG weitgehend vermieden, aber: «Profiling» nur mit ausdrücklicher Zustimmung (unter Ausschluss anderer Rechtfertigungsgründe) Tendenzen im Datenschutz, Cloud Sanktionen: was muss guter Datenschutz kosten? Tendenzen im Datenschutz, Cloud

10 Sanktionen in der EU Bussen bis 20 Mio. Euro bzw. 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist Durchsetzbarkeit noch nicht klar Strafbestimmung bezieht sich auf viele und zum Teil unbestimmte Tatbestände (u.a. Grundprinzipien) Für Schweizer Unternehmen: Verbot in Art. 271 StGB Sanktionierung über Rechtshilfeweg? Tendenzen im Datenschutz, Cloud Sanktionen in der Schweiz Heute: Vorsätzliche Verletzung der Auskunfts- Melde- und Mitwirkungspflichten wird mit Busse bis CHF Revisionsentwurf: verzichtet auf Sanktionskompetenz der Behörde und setzt stattdessen auf einen Ausbau der Straftatbestände bei vorsätzlicher Verletzung administrativer Nebenpflichten sowie bei Verletzung von Verfügungen des EDÖB mit Busse bis Tendenzen im Datenschutz, Cloud

11 Fördert der Datenschutz die Innovation? Tendenzen im Datenschutz, Cloud Ihr Kontakt bei VISCHER Dr. Rolf Auf der Maur Rechtsanwalt, Partner Tendenzen im Datenschutz, Cloud

12 VISCHER: Your Team for Swiss Law Tendenzen im Datenschutz, Cloud Herzlichen Dank. Zürich Schützengasse 1 CH-8021 Zürich Tel Fax Basel Aeschenvorstadt 4 CH-4010 Basel Tel Fax