GDPR und das neue Datenschutzgesetz: Auswirkungen auf Unternehmen in der Schweiz. Ralf Winzer ing. Informaticien EPFL CISA, CISM, CRISC, CISSP

Transkript

1 GDPR und das neue Datenschutzgesetz: Auswirkungen auf Unternehmen in der Schweiz Ralf Winzer ing. Informaticien EPFL CISA, CISM, CRISC, CISSP

2 DATENSCHUTZ 4.0 Was bedeutet die digitale Transformation im Datenschutz für Unternehmen in der Schweiz? Ralf Winzer ing. Informaticien EPFL CISA, CISM, CRISC, CISSP

3 Der Referent Ralf Winzer Ing. informaticien EPFL CISA, CISM, CISSP, CRISC GRCS-Beratung und IT-Audit (u.a. Ernst & Young) CISO (u.a. Helsana, Raiffeisen Schweiz)

4 Inhalt Überblick Entwicklungen im Datenschutz: GDPR, Revision Schweizer DSG, Datenschutzkonvention (SEV 108) Auswirkungen für Unternehmen in der Schweiz Business Governance IT Identifizierung relevanter Unternehmensbelange Geschäftsfelder Datenbestände Sourcing-Beziehungen Governance-Strukturen

5 Entwicklungen im Datenschutz EU Datenschutz-Grundverordnung (Weiterentwicklung EU Datenschutzdirektive) Totalrevision Schweizerisches Datenschutzgesetz Revision Datenschutzkonvention des Europarates (SEV 108) Vernehmlassung bis SEV108 In Kraft seit Neue SEV108 DSG Neues DSG Finalisiert Ende 2016 DSGVO Nationales Recht Richtlinie 95/48/EG Nationales Recht Umsetzung bis 2018

6 Kerninhalte VE-DSG und GDPR Datenminimierung Privacy by Design Privacy by Default Auskunftsrecht bzw. Auskunftspflicht Datenportabilität (GDPR) Meldepflicht Privacy-Breaches Sanktionen Kompetenzen Aufsichtsbehörden Privacy Impact Assessments Dokumentation der Bearbeitung Recht auf Gehör bei automatisierter Bearbeitung Etc.

7 Auswirkungen auf Unternehmen in der Schweiz Handhabung Kundenbeziehungen im EU-Raum Handhabung Personendaten aus dem EU-Raum Schwerwiegende Sanktionen durch Aufsichtsbehörden Umgang mit (ICT-)Subcontractors im EU-Raum Business Anpassung Geschäftsabläufe, Governance-Frameworks und IT-Systeme (Weisungswesen, Rollen und Gremien, Geschäftsprozesse) Auswirkungen auf bestehen IT-Systeme (Löschfunktionen) und zukünftige IT- Projekte (DPIA) Informatik Neues DSG Compliance

8 Relevante Geschäftsfelder Geschäftsaktivitäten mit (Besonders) schützenswerten Personendaten Personenprofilen Bezug zur EU Einbezug von ICT-Partnern aus der EU, der Schweiz und anderen Ländern Länderübergreifendem Datentransfer

9 Datenbestände 60% Gekennzeichnete oder klassifizierte Daten 17% Unternehmenskritische Daten 43% ROT-Daten* 40% Dark Data *ROT: Redundant, Obsolete, Trivial

10 Datenbestände ERHEBUNG, ASSESSMENT Datenbestände Strukturiert (DBMS, Trx-Systeme) Schwach strukturiert, unstrukturiert Lokale Server, Remote-Server, Cloud-Ablage, BYOD Backup-Systeme Kundendaten HR-Daten Business-Daten (Daten von Drittpersonen) Private Daten

11 IT-Belange Sourcing Housing IaaS, PaaS, SaaS, XaaS Architektur Funktionalitäten (selektive Löschfunktionen) Projekte Dokumentation, Vorgaben und Guidelines Telco-Provider Remote-Access, Remote- Support Sourcing-Partner im Ausland Cloud-Services Monitoring, Protokollierung, IDS, DLP Kommunikationswege, Verschlüsselung, CASB Privacy Impact Assessment

12 Governance-Strukturen Verträge (Sourcing, Kundenverträge, AGB etc.) Beziehungen zu Aufsichtsbehörden (EDÖB, EU-Instanzen) ISMS, Risk-Mgmt, DPMS Weisungswesen Rollen und Gremien Geschäftsprozesse Datenschutz Schulungen, Awareness- Massnahmen

13 Weiterführende Informationen Bundesamt für Justiz (erläuternder Bericht, Regulierungsfolgenabschätzung) Interessantes von Homburger bzw. David Rosenthal zum neuen Datenschutz Übersicht neues Datenschutzrecht von Dr. Michael Reinle (Bühlmann Rechtsanwälte) Stellungnahme von Privatim (Vereinigung der schweizerischen Datenschutzbeauftragten) EU Digital Privacy

14 Das neue Datenschutzrecht: Ein umfassender Persönlichkeitsschutz Ihre Fragen Danke für Ihre Aufmerksamkeit