VSD: Datenschutz und ISO Anforderungen an Druckdienstleister

Transkript

1 VSD: Datenschutz und ISO Anforderungen an Druckdienstleister Datenschutz und Informationssicherheit proaktiv und systematisch umgesetzt Pascal Tschachtli, lic. iur. DMC Data Management Consulting GmbH 22. Oktober 2015

2 Agenda Begrüssung Einführung in das Thema Datenschutzgrundlagen Outsourcing ISO Managementsysteme Fazit - Empfehlungen Fragen/Bemerkungen/Diskussion 2

3 Einführung in das Thema VSD: Datenschutz und ISO Oktober

4 Einführung in das Thema Quelle: VSD: Datenschutz und ISO Oktober

5 Datenschutz Was ist Datenschutz? Ziel des Datenschutzes ist nicht der Schutz von Daten sondern der Schutz der Persönlichkeitsrechte von natürlichen und juristischen *) Personen ( informationelles Selbstbestimmungsrecht ). *) Die Ausdehnung des Geltungsbereichs des Datenschutzes auf juristische Personen ist eine Spezialität, welche neben der schweizerischen Rechtsordnung nur wenige andere Rechtsordnungen kennen (bspw. Österreich). VSD: Datenschutz und ISO Oktober

6 Datenschutz Gesetzliche Grundlagen Schweizerische Bundesverfassung (BV) Bundesgesetz über den Datenschutz (DSG) Verordnung zum Bundesgesetz über den Datenschutz (VDSG) Verordnung über die Datenschutzzertifizierungen (VDSZ) Datenschutzbestimmungen in anderen Gesetzen (Arbeitsrecht, Krankenversicherungsrecht, etc.) Kantonale Datenschutzgesetze Ausländische Datenschutzregeln (Übermittlung ins Ausland) VSD: Datenschutz und ISO Oktober

7 Datenschutz Begriffe (Art. 3 DSG) Personendaten: Angaben über bestimmte oder bestimmbare Personen Bearbeiten: Jeder Umgang mit Personendaten (z.b. erheben, speichern, verändern, weitergeben, vernichten) Besonders schützenswerte Personendaten: Religion, politische Ansichten, Gesundheit, Rasse, Intimsphäre, Sozialhilfe, Strafregister u.a. VSD: Datenschutz und ISO Oktober

8 Datenschutz Begriffe Persönlichkeitsprofile: Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt Datensammlung: Datenbestand, der nach Personen erschliessbar ist Inhaber der Datensammlung (Controller): Personen oder Organe, die über den Zweck und den Inhalt einer Datensammlung entscheiden VSD: Datenschutz und ISO Oktober

9 Datenschutz Grundsätze des Datenschutzes Grundsätze von Rechtmässigkeit und Treu und Glauben Grundsatz der Erkennbarkeit (Transparenz) Grundsatz der Zweckbindung Grundsatz der Verhältnismässigkeit Grundsatz der Datenrichtigkeit VSD: Datenschutz und ISO Oktober

10 Datenschutz Grundsatz der Rechtmässigkeit (Art. 4 Abs. 1 DSG) Die Bearbeitung von Personendaten darf die Persönlichkeit der betroffenen Person nicht widerrechtlich verletzen. Keine Widerrechtlichkeit liegt vor, wenn ein Rechtfertigungsgrund vorliegt. Grundsatz von Treu und Glauben (Art. 4 Abs. 2 DSG) Die Datenbearbeitung muss ohne Zwang erfolgen und darf nicht irreführend sein. VSD: Datenschutz und ISO Oktober

11 Datenschutz Grundsatz der Erkennbarkeit (Art. 4 Abs. 4 DSG) Die Datenbearbeitung (Umfang, Zweck und die an der Datenbearbeitung beteiligten Stellen) muss für die betroffene Person erkennbar sein. VSD: Datenschutz und ISO Oktober

12 Datenschutz Grundsatz der Zweckbindung (Art. 4 Abs. 3 DSG) Die Personendaten dürfen nur zu den Zwecken bearbeitet werden, die bei der Beschaffung angegeben worden sind (Information); durch Gesetz vorgegeben sind; oder durch die Umstände ersichtlich sind. VSD: Datenschutz und ISO Oktober

13 Datenschutz Grundsatz der Verhältnismässigkeit (Art. 4 Abs. 2 DSG) 1. Datensparsamkeit Es dürfen nur diejenigen Daten bearbeitet werden, die für die Erreichung des angegebenen Zwecks tatsächlich notwendig sind. 2. Datenzugriffe Es dürfen nur diejenigen Personen auf die Daten zugreifen, welche diese Daten zur Erfüllung ihrer Aufgaben benötigen. VSD: Datenschutz und ISO Oktober

14 Datenschutz Grundsatz der Datenrichtigkeit (Art. 5 DSG) Wer Daten bearbeitet, hat sich über deren Richtigkeit zu vergewissern und alle zumutbaren Massnahmen zu treffen, um fehlerhafte (d.h. falsche oder unvollständige) Daten zu berichtigen. VSD: Datenschutz und ISO Oktober

15 Datenschutz Datenübermittlung ins Ausland (Art. 6 DSG) Voraussetzung: Keine schwerwiegende Gefährdung der Persönlichkeit der betroffenen Person durch die Übermittlung ins Ausland. Dies wäre namentlich dann der Fall, wenn das Empfängerland über keine gleichwertige Datenschutzgesetzgebung verfügt. Gilt insbesondere auch für Outsourcing ins Ausland. VSD: Datenschutz und ISO Oktober

16 Datenschutz Pflicht zur Meldung von Datensammlungen (Art. 11a DSG) Voraussetzungen : Bearbeitung von besonders schützenswerten Personendaten und/oder Persönlichkeitsprofilen Regelmässige Bekanntgabe von Personendaten an Dritte Bundesorgane müssen alle Datensammlungen anmelden Anmeldung erfolgt vor der Eröffnung der Datensammlung. Das Register ist öffentlich zugänglich (Homepage des EDÖB). VSD: Datenschutz und ISO Oktober

17 Datenschutz Ausnahmen von der Meldepflicht (Art. 11a Abs. 5 DSG) Gesetzliche Pflicht zur Datenbearbeitung Ausnahme durch Verordnung Medienprivileg Ernennung eines betrieblichen Datenschutzverantwortlichen (intern oder extern) Datenschutzzertifizierung (nach VDSZ) VSD: Datenschutz und ISO Oktober

18 Datenschutz Informationspflichten (Art. 14 DSG) Grundsatz: Wer besonders schützenswerte Personendaten oder Persönlichkeitsprofile bearbeitet und nutzt, muss die betroffene Person darüber informieren (auch wenn die Daten bei Dritten beschafft werden). Ausnahmen: Betroffene Person ist bereits informiert Gesetzliche Pflicht zur Datenbearbeitung Unverhältnismässiger Aufwand (i.d.r. nicht monetär) VSD: Datenschutz und ISO Oktober

19 Datenschutz Persönlichkeitsverletzungen (Art. 12 DSG) Datenbearbeitung entgegen den Datenschutz-Grundsätzen Bearbeitung gegen den ausdrücklichen Willen der betroffenen Person Bekanntgabe von besonders schützenswerten Personendaten und/oder Persönlichkeitsprofile an Dritte Übermittlung in ein Land ohne Datenschutzgesetzgebung Die genannten Persönlichkeitsverletzungen können durch Rechtfertigungsgründe geheilt werden. VSD: Datenschutz und ISO Oktober

20 Datenschutz Rechtfertigungsgründe (Art. 13 DSG) Gesetz Einwilligung der betroffenen Person Überwiegendes öffentliches oder privates Interesse, z.b. (nicht abschliessend) Vertragsverhältnis Wirtschaftlicher Wettbewerb Prüfung der Kreditwürdigkeit Medienprivileg VSD: Datenschutz und ISO Oktober

21 Datenschutz Einwilligung der betroffenen Person (Art. 13 Abs. 1 DSG) Die Einwilligung muss freiwillig und unter Kenntnis der genauen Umstände erfolgen ( informierte Zustimmung ). Bei der Bearbeitung von besonders schützenswerten Personendaten und/oder Persönlichkeitsprofilen muss die Einwilligung zudem ausdrücklich erfolgen (aber: keine Anforderung an die Form). VSD: Datenschutz und ISO Oktober

22 Datenschutz Rechte der betroffenen Person (Art. 8 und 15 DSG) Auskunftsrecht (Art. 8 DSG): Jede Person kann vom Dateninhaber Auskunft darüber verlangen, ob Daten über sie bearbeitet werden. Das Auskunftsrecht ist höchstpersönlich und benötigt grundsätzlich keinen Nachweis eines berechtigten Interesses. Weitere Rechte (Art. 15 DSG), namentlich: Recht auf Datenberichtigung (u.u. Bestreitungsvermerk) Verbot der Datenbearbeitung/-weitergabe Recht auf Datenlöschung VSD: Datenschutz und ISO Oktober

23 Datenschutz Empfehlungen: Vor der Datenerhebung definieren, welche Ziele mit einer Datenbearbeitung erreicht werden sollen. Basierend darauf kann festgestellt werden, welche Daten dazu benötigt werden. Zeitnaher Einbezug des Datenschutzes in relevante Projekte. Die Anforderungen des Business müssen einbezogen werden. Wenn immer möglich anonymisierte Daten verwenden, Personenbezug entfernen, sobald dieser nicht mehr nötig ist. Aus Beweisgründen wenn immer möglich dokumentierte Einwilligungen einholen. VSD: Datenschutz und ISO Oktober

24 Outsourcing Datenbearbeitung durch Dritte, Art. 10a DSG Mit der Bearbeitung von Personendaten kann vertraglich ein Dritter beauftragt werden, sofern keine gesetzliche oder vertragliche Geheimhaltungspflicht dies verbietet. VSD: Datenschutz und ISO Oktober

25 Outsourcing Abgrenzung Inhaber (Controller)/Beauftragter (Processor) Auftraggeber bleibt Inhaber der Daten (Controller) Beauftragter (Processor) erwirbt kein Eigentum an den Daten und hat keine Verfügungsberechtigung über die Daten Daten dürfen nur so bearbeitet werden, wie es der Auftraggeber gemäss DSG oder selbst auch tun dürfte Inhaber muss sich über die Gewährleistung der angemessenen technischen und organisatorischen Informationssicherheitsmassnahmen vergewissern (bspw. durch ein ISO Zertifikat) VSD: Datenschutz und ISO Oktober

26 Outsourcing Outsourcing ins Ausland Bei Outsourcing ins Ausland gilt Art. 6 DSG. EU-Standardvertragsklauseln sind zwischen dem Inhaber der Daten und dem Beauftragten abzuschliessen. Die Ermächtigung, die Datenschutzpflichten an Unterbeauftragten weiterzureichen, muss im Hauptvertrag bereits vorgesehen sein. VSD: Datenschutz und ISO Oktober

27 Outsourcing Schlussfolgerungen Outsourcing Auftragsdatenbearbeiter ist nicht Inhaber der Daten und hat deshalb keine eigenen Verfügungsrechte an den Daten. Die Details zur Bearbeitung der Daten sind im Hauptvertrag zu regeln. Auftraggeber bleibt auch beim Outsourcing immer dafür verantwortlich, dass das Gesetz eingehalten wird. Auftraggeber ist verpflichtet, den Beauftragten sorgfältig auszuwählen, zu instruieren und zu kontrollieren. VSD: Datenschutz und ISO Oktober

28 Datenschutz Neueste Entwicklungen Schweiz: Teilrevision des DSG aufgrund der Evaluationsberichts 2011 EU: Datenschutz-Grundverordnung soll die Richtlinie 95/46/EG (Datenschutzrichtlinie) ablösen Entscheid des EuGH zu Safe Harbor-Abkommen VSD: Datenschutz und ISO Oktober

29 Datenschutz und Outsourcing Fragen? VSD: Datenschutz und ISO Oktober

30 ISO Managementsysteme Was ist ISO 27001? Internationale Norm, welche die Anforderungen für die Errichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines Informationssicherheitsmanagementsystems (ISMS) festlegt. Das ISMS wahrt die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen unter Anwendung eines Risikomanagementprozesses. VSD: Datenschutz und ISO Oktober

31 ISO Managementsysteme Aufbau der Norm Anforderungen an ein ISMS ISO wendet die Grundstrukturen, den Basistext, die gemeinsamen Benennungen und die Basisdefinitionen für den Gebrauch von Managementsystemen an und stellt so die Kompatibilität mit anderen Managementsystemen sicher. Referenzmassziele und massnahmen (ISO 27002) In der Norm ISO (Anhang A zur ISO 27001) wurden geeignete, konkrete Massnahmen für die Sicherstellung der Informationssicherheit erarbeitet. VSD: Datenschutz und ISO Oktober

32 ISO Managementsysteme Anforderungen an ein ISMS Führung Informationssicherheits-Politik (Bekenntnis der Geschäftsleitung) Organisation Planung Informationssicherheits-Risikoerhebung und -beurteilung Informationssicherheits-Ziele und Planung der Umsetzung VSD: Datenschutz und ISO Oktober

33 ISO Managementsysteme Anforderungen an ein ISMS Unterstützung Ausreichende Ressourcen (personell, finanziell) Kompetenz und Bewusstsein der Mitarbeitenden (Eintritt, Schulung) Kommunikation (intern und extern) Dokumentation (Dokumentenlenkung) Betrieb Planung und Steuerung Informationsrisikobehandlung VSD: Datenschutz und ISO Oktober

34 ISO Managementsysteme Anforderungen an ein ISMS Bewertung der Leistung Überwachung, Messung, Analyse, Bewertung (Nachweise) Internes Audit (Auditbericht) Managementbewertung (Management-Review) Verbesserung Nichtkonformität und Korrekturmassnahmen Fortlaufende Verbesserung (Plan, Do, Check, Act) VSD: Datenschutz und ISO Oktober

35 ISO Managementsysteme Der Deming-Kreis Kontinuierlicher Verbesserungsprozess (KVP) VSD: Datenschutz und ISO Oktober

36 ISO Managementsysteme Fragen? VSD: Datenschutz und ISO Oktober

37 Fazit - Empfehlungen Für Druckdienstleister ist eine ISO Zertifizierung wesentlich sinnvoller als eine Datenschutzzertifizierung (beauftragter Datenbearbeiter). Druckdienstleister, die bereits ISO zertifiziert sind (bspw. ISO 9001, ISO 14001) werden Synergien sowohl beim Aufbau eines ISMS als auch bei Zertifizierungsaudits durch Zusammenlegen der Audits nutzen können. Es ist sinnvoll, unterschiedliche Managementsysteme soweit möglich zu integrieren (Reduktion Pflegeaufwand, Vermeidung von Redundanzen bzw. Widersprüchen).. VSD: Datenschutz und ISO Oktober

38 Fazit - Empfehlungen Regelung der datenschutzrechtlichen Anforderungen an ein Outsourcing in den eigenen AGB (als Dienstleistung gegenüber den Kunden). Sensibilisierung der Mitarbeitenden bezüglich des vertragskonformen Umgangs mit personenbezogenen Daten. VSD: Datenschutz und ISO Oktober

39 Nützliche Links Datenschutz EDÖB: Think Data: Managementsysteme International Organization for Standardization VSD: Datenschutz und ISO Oktober

40 Kontakt VSD: Datenschutz und ISO Oktober

41 Schluss Fragen Bemerkungen Diskussion VSD: Datenschutz und ISO Oktober