Datenschutzreform in der EU und der Schweiz: Neuer Fokus Datensicherheit (Schutzmassnahmen und «Data Breach Response»)

Ähnliche Dokumente
Wesentliche Neuerungen im EU- Datenschutzrecht

DSGVO ante portas: Bin ich bereit für die neuen Regeln des Datenschutzes?

Neue Meldepflichten bei Datenschutzverstößen

IT-Ziviltechniker Dr. Wolfgang Prentner. DI (FH) Oliver Pönisch.

DATENSCHUTZ in der Praxis

Aufgepasst IT-Leiter! Kennen Sie Ihre Pflichten aus der neuen EU DSGVO?

Datenschutz neu MAG. STEFANIE DÖRNHÖFER, LL.M.

Brennpunkt Medizin. Datenschutzgrundverordnung brandneu. Mag. Markus Dörfler, LL.M. Rechtsanwalt

Die erheblichen Einflüsse der Datenschutz-Grundverordnung auf die IT

Tendenzen im Datenschutz: Mehr Privatsphäre oder mehr Administration?

DS-GVO: Anforderungen an Unternehmen aus Sicht der Aufsicht

Datennutzung und Datenschutz: Top-Themen auf Chefetagen dank EU-DSGVO

2. CEMA Online IT.special: EU-Datenschutz-Grundverordnung

Modul 3, 13. Oktober DSGVO Geltungsbereich, Bearbeitungsgrundsätze, Informationspflichten. David Rosenthal

Kurzüberblick und Zeitplan

Das Wichtigste zur neuen Datenschutz-Grundverordnung

Rechtsanwalt Christoph Bork Fachanwalt für Medizin- und Strafrecht WEIMER I BORK. Rechtsanwälte Fachanwälte

Technischer Datenschutz

Das neue Datenschutzrecht - nur zusätzlicher administrativer Aufwand oder auch eine Chance für Schweizer Unternehmen?

Datenschutzrecht - Schauen Sie genau hin! Michael Tschudin / Claudia Keller

Merkblatt für Schweizer Unternehmen

Vortrag zur Umsetzung des Datenschutz- Gesetz 2018 (DSGVO) in Unternehmen


Die neue Datenschutzgrundverordnung DSGVO. Hessischer Immobilientag IVD Mitte e.v. Referent: Eric Drissler

Raum für Investitionen. Herzlich Willkommen. Datenschutzgrundverordnung Was ist jetzt noch zu tun? Tichelpark Cinemas - 7.

Datenschutz und Datenübertragbarkeit

DSGVO und DSG-Revision

DSGVO und DSG-Revision

Die neue EU-Datenschutz- Grundverordnung EU-DSGVO

Die Europäische Datenschutz- Grundverordnung. Schulung am

DSGVO und DSG-Revision Datenschutz im Wandel. GVD-Anlass vom 28. Juni 2018 Zacharias Zwahlen, Rechtsanwalt

EU-Datenschutz-Grundverordnung. KOMDAT Datenschutz und Datensicherheit 2016 Ronald Kopecky Dr. Franz Jandl 1

Datenschutz- Grundverordnung 2016/679 DS-GVO

AUF EINEN BLICK. Die EU-Datenschutz- Grundverordnung (EU-DSGVO)

INFORMATIONSBLATT DATENSCHUTZ. EU DATENSCHUTZ GRUNDVERORDNUNG Nr. 679/2016

Umsetzung der DSGVO Handlungsbedarf aus technisch-organisatorischer Sicht

Die GDPR aus der Sicht des Service Providers Und was das Schweizer Recht dazu sagt

EU Datenschutzgrundverordnung (DSGVO) Was bedeutet das für mich? (Kurzvortrag) IVD West e.v. Immobilienkongress. Referent: Eric Drissler

Neues Datenschutzrecht umsetzen Stichtag

Business Breakfast Graz Auswirkungen der Datenschutz-Grundverordnung auf das HR-Management

CYBER-RISKS VERANTWORTUNG VON UNTERNEHMEN

Startschuss DSGVO: Was muss ich wissen?

Die EU Datenschutzgrundverordnung Was gilt es zu beachten?

Datenschutz aus Europa geänderte Spielregeln für besseren Datenschutz, Rechte der Betroffenen, Pflichten der Verarbeiter

iubenda DSGVO Was Sie über die neue Datenschutzgrundverordnung wissen sollten Philip M. Weiss Carl H.

Die neue Datenschutzgrundverordnung Folgen für den Einkauf

Die DSGVO Was kommt auf uns zu? Notwendige Maßnahmen als Erfolgsfaktor! Jörg Schlißke, LL.B.

Implementierung einer neuen Datenschutz Strategie robust, sicher, compliant und digital transformation-ready

Auswirkungen der Datenschutz- Revisionen auf Treuhänder. David Vasella 23. Oktober 2018

Unterschätzte Anforderungen der Datenschutz- Grundverordnung an den technischen Datenschutz

Prof. Dr. Winfried Kluth IWE GK. Universität Halle-Wittenberg

Die neue Grundverordnung des europäischen Datenschutzes

Datenschutz und IT-Sicherheit im Krankenhaus

Arbeitshilfe zur Meldung von Datenpannen

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Aareon-Fokus auf Datenschutzund Datensicherheit am Beispiel EU-DSGVO

EU-Datenschutz-Grundverordnung Infobrief - Nr. 7 Fragebogen zur Umsetzung der DS-GVO

Die neue EU-Datenschutzgrundverordnung (EU DS-GVO) - Lösungen für Unternehmen

NEUE ENTWICKLUNGEN IM DATENSCHUTZ DATENSCHUTZ VERTRAUENSRÄUME SCHAFFEN. Dorothee Schrief, it-sa Nürnberg,

DIE NEUE EU-DATENSCHUTZ- GRUNDVERORDNUNG: WAS KOMMT AUF IHR UNTERNEHMEN ZU WAS IST ZU TUN?

Europas Datenschutzreform - Auswirkungen auf den privatrechtlichen Datenschutz. 21. Symposium on Privacy and Security

Kurz und Kompakt: Das 1x1 der Datenschutz- Grundverordnung (DSGVO) Dr. Peter Kubanek Datenschutz-Convention Wien Oktober 2017

Herausforderungen und Konsequenzen der EU-DSGVO für IT-Infrastrukturen

Die neue EU-Datenschutz- Grundverordnung Die wichtigsten Neuerungen im Überblick und wie diese in der Raiffeisen Informatik umgesetzt werden.

Wesentliche Neuerungen durch die EU-Datenschutz-Grundverordnung

Datenschutz-Richtlinie der SenVital

DACH-Compliance-Tagung Workshop. EU-DSGVO: Auswirkungen auf die Compliance- Organisation. Building Competence. Crossing Borders.

Auswirkungen der EU-DSGVO auf die IT in Unternehmen. RA Robert Niedermeier CIPP/E CIPT CIPM FIP

EU-Datenschutz-Grundverordnung Was kommt jetzt auf die Unternehmen zu?

Die Datenschutz-Grundverordnung Auswirkungen auf die Praxis

Checkliste zur Datenschutzgrundverordnung

Die neue EU-Datenschutzgrundverordnung (DS-GVO)

EU-Datenschutz- Grundverordnung

Verzeichnis von Verarbeitungstätigkeiten mit personenbezogenen Daten [1] gem. Artikel 30 DS-GVO

Datenschutzgrundverordnung - DSGVO

Dr. Sybille Wünsche, Steuerberater. WJ-Themenabend: Datenschutzgrundverordnung. 1Bautzen,

Die Datenschutzgrundverordnung verändert alles

Ein kurzer Blick auf die EU-Datenschutzgrundverordnung (DSGVO) Was bleibt, was ändert sich?

WIR VERFÜGEN ÜBER EIN LANGJÄHRIGES KNOW-HOW

EU-Datenschutz- Grundverordnung

Der Countdown läuft! EU-Datenschutz- Grundverordnung jetzt umsetzen!

DIE DATENSCHUTZ- GRUNDVERORDNUNG. Keine Angst vor der DSGVO!

Grundprinzipien des Datenschutzes & Auswirkungen auf Finanzdienstleister

Anwendungsbeispiel für ein Verzeichnis von Verarbeitungstätigkeiten 1 gem. Art. 30 DS-GVO

BigData RA Mag. Michael Lanzinger

Datenschutz Grundverordnung (EU DSGVO) Nicht amtliche Gliederung

Datenschutzrecht. Revision und Herausforderungen. RA Dr. David Vasella, CIPP/E 23. November 2017

Anforderungen an die Dokumentation im Lichte der datenschutzrechtlichen Änderungen

GDPR-Datenschutz-Compliance:

Operative Umsetzung des Datenschutzes nach EU-DSGVO. Rheinischer Unternehmertag

DSGVO: Anforderungen bei der Einschaltung von Auftragsverarbeitern , Governikus Jahrestagung 2017 RA Bernhard Kloos

DATENSCHUTZ DIE WORKSHOP-REIHE

HPC und EU-DSGVO. Konzenquenzen der neuen EU-Datenschutzgrundverordnung für den Betrieb von HPC-Systemen. Dr. Loris Bennett, FU Berlin

Das neue DSG: Was uns erwartet

CHECKLISTE DATENSCHUTZ

Datenschutz NEU EU-Datenschutz-Grundverordnung / Datenschutz-Anpassungsgesetz

Dokumentationspflichten im neuen Datenschutzrecht

Transkript:

Datenschutzreform in der EU und der Schweiz: Neuer Fokus Datensicherheit (Schutzmassnahmen und «Data Breach Response») simsa Provider Day 2016 Zürich, 8. Juni 2016 Dr. Thomas Steiner, LL.M. (Berkeley) Rechtsanwalt, VISCHER AG

Übersicht 1. EU Datenschutzgrundverordnung (wichtige Neuerungen) 2. Revision des Schweizer Datenschutzgesetzes (vorgeschlagene Neuerungen soweit bekannt) 3. Neuer Fokus Datensicherheit: Schutzmassnahmen, Compliance-Nachweise und «Data Breach Notice» 4. «Data Breach Response»: Vorbild Kalifornien und Best Practice für die Schweiz 8. Juni 2016 Thomas Steiner VISCHER AG 2

EU Datenschutzgrundverordnung (DS-GVO) anwendbar auf Schweizer Provider 99 Artikel, 88 Seiten Gilt ab 25. Mai 2018 in allen EU-Mitgliedstaaten Persönlichkeitsschutz im Zusammenhang mit der Verarbeitung personenbezogener Daten Anwendbar auf Schweizer Provider: Datenverarbeitung «im Zusammenhang mit» Angebot von Dienstleistungen für (oder Überwachung von) Kunden in der EU 8. Juni 2016 Thomas Steiner VISCHER AG 3

EU DS-GVO wichtige Neuerungen Erweiterte Informationspflichten, freiwillige und eindeutige Einwilligung, Recht auf Vergessenwerden, Datenportabilität Privacy by Design und Privacy by Default Risiko-/Folgenabschätzung und neuer Fokus auf Sicherheit der (automatisierten) Datenverarbeitung: Risikobasierter Ansatz Data Breach Notice Nachweis über Compliance («Accountability») Hohe Geldbussen: Bis zu EUR 10 Mio. bzw. 20 Mio. oder (wenn höher) 2% bzw. 4% des im vorangegangenen Geschäftsjahrs weltweit erzielten Umsatzes 8. Juni 2016 Thomas Steiner VISCHER AG 4

Revision des Schweizer DSG Aktueller Stand der Revision und Hintergrund Endkonsultation EJPD intern: Ende Juni 2016 Vernehmlassung: 3 Monate ab Ende August 2016 Sicherung des Adäquanz-Status: Anpassung an EU DS-GVO Anpassungen an EU Richtlinie zum Datenschutz in der Strafverfolgung (Schengen-Besitzstand) Umsetzung des revidierten Übereinkommens 108 des Europarats (insb. Transparenz, Stärkung des Auskunftsrechts, Nachweis der Compliance, Risikoabschätzung, Datensicherheit; Befugnisse der Aufsichtsbehörde ggf. Sanktionen) 8. Juni 2016 Thomas Steiner VISCHER AG 5

Revision des Schweizer DSG wichtige Neuerungen (Vorschläge Stand 3. Juni 2016) Aufhebung des Schutzes für juristische Personen Erweiterte Informationspflichten (Transparenz) «Herrschaft» über Daten stärken (Recht auf Vergessenwerden, erweitertes Auskunftsrecht, Datenportabilität) Risiko-/Folgenabschätzung, Privacy by Design und Privacy by Default; neuer Fokus Datensicherheit: Risikobasierter Ansatz Data Breach Notice Nachweis der Compliance («Accountability») Verschärfung der (bestehenden/allenfalls neue?) Strafnormen/ Bussen, Strafbarkeit des Unternehmens 8. Juni 2016 Thomas Steiner VISCHER AG 6

Fokus Datensicherheit: Schutzmassnahmen (gemäss EU DSG-GVO) «technische und organisatorische Schutzmassnahmen»: Risikobasierter Ansatz (abhängig von Art, Umfang, Umständen und Zwecken der Verarbeitung sowie der Eintrittswahrscheinlichkeit und der Schwere des Risikos für Betroffene) Sicherheitsmassnahmen: (a) Pseudonymisierung und Verschlüsselung, (b) Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste sicherstellen, (c) Verfügbarkeit und Zugang bei physischem oder technischem Zwischenfall rasch wiederherstellen können, (d) Verfahren zur regelmässigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Massnahmen Nachweis der Compliance («Accountability») 8. Juni 2016 Thomas Steiner VISCHER AG 7

Fokus Datensicherheit: «Data Breach» Melde- / Benachrichtigungspflicht (gemäss EU DS-GVO) «Data Breach» : Unbefugter Zugang («access») zu personenbezogenen Daten genügt als Auslöser Meldung an Datenschutz-Aufsichtsbehörde unverzüglich, «möglichst binnen 72 Stunden» Benachrichtigung der betroffenen Personen wenn: «voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen» besteht Hohes Risiko wahrscheinlicher bei Aneignung bzw. Verlust oder Offenlegung (ggf. bei Vernichtung, Veränderung) Hosting Provider als Auftragsdatenbearbeiter: Pflicht zur Meldung an Kunden («unverzüglich») 8. Juni 2016 Thomas Steiner VISCHER AG 8

«Data Breach»: Ausnahmen von der Benachrichtigungspflicht (gemäss EU DS-GVO) Meldung an Aufsichtsbehörde, aber keine Benachrichtigung der betroffenen Personen wenn: «technische und organisatorische Sicherheitsvorkehrungen» auf die vom Data Breach betroffenen Personendaten angewandt; oder nach Entdeckung des Data Breach durch Massnahmen sicher gestellt, dass für die betroffenen Personen «aller Wahrscheinlichkeit nach» kein hohes Risiko mehr besteht 8. Juni 2016 Thomas Steiner VISCHER AG 9

«Data Breach» Melde-/Benachrichtigungspflicht gemäss DSG (Vorschlag Stand 3. Juni 2016) «Data Breach» Definition weit gefasst unberechtigter Zugang genügt (vgl. EU DS-GVO und Übereinkunft 108) (zumindest) Meldung an EDÖB («unverzüglich») Benachrichtigung der betroffenen Personen bei hohem Risiko für Persönlichkeit und Grundrechte Keine generellen Ausnahmen analog EU DS-GVO vorgesehen Entscheid über Benachrichtigung der betroffenen Personen in Absprache und in Kooperation mit EDÖB 8. Juni 2016 Thomas Steiner VISCHER AG 10

Datensicherheit und «Data Breach»: Risikobasierter Ansatz als Chance Bedürfnis und Pflicht der Kunden: Verschlüsselung, Systemintegrität, Back-up Systeme, Incident Response- Prozesse, Beratung, Kooperation mit Provider und EDÖB Chance für Hosting Provider / IT-Infrastrukturanbieter: Verschlüsselung, Zugangskontrollen (Data Center und Systeme), Beratung, Mitarbeiter-Schulung, Systeme und Prozess für Verarbeitungs-Logs 8. Juni 2016 Thomas Steiner VISCHER AG 11

California Data Security Breach Notification aus Erfahrung lernen (1 2) California Data Security Breach Notification Statute (2002): Modell für andere U.S. Gliedstaaten (und für die Schweiz?) Benachrichtigung der betroffenen Personen ausnahmslos, aber nur bei begründetem Verdacht auf unberechtigte Aneignung («acquisition») von «unencrypted personal information» (seit 2012) Meldung an CA-Staatsanwaltschaft wenn mehr als 500 Kalifornier betroffen sind 2012 2015 wurden 657 Data Breaches gemeldet 8. Juni 2016 Thomas Steiner VISCHER AG 12

California Data Security Breach Notification aus Erfahrung lernen (2 2) California Data Breach Report 2016 (2012 2015) Malware und Hacking (unerlaubtes Eindringen in IT- System) 54% der Fälle, 90% der betroffenen Datensätze Beispiele (2015): Anthem, UCLA Health, T-Mobile USA Verlust oder Diebstahl (physisch) 22% der Fälle, 6% der betroffenen Datensätze Fehler von Mitarbeitern (Falscher E-Mail-Empfänger oder unbeabsichtigte Veröffentlichung auf Website) 17% der Fälle, 4% der betroffenen Datensätze Missbrauch bzw. unautorisierte Nutzung von Zugangsrechten (intern) 7% der Fälle, <1% der betroffenen Datensätze 8. Juni 2016 Thomas Steiner VISCHER AG 13

«Data Breach Response» - Best Practice (1 3) Art des Data Breach und der betroffenen Datenkategorien ermitteln Sofortmassnahmen: Weitere unerlaubte Zugriffe auf bzw. Offenlegung von Daten verhindern (ungefähre) Zahl betroffener Personen und personenbezogener Datensätze ermitteln Risikoabschätzung / Beschreibung der wahrscheinlichen Folgen des Data Breach 8. Juni 2016 Thomas Steiner VISCHER AG 14

«Data Breach Response» - Best Practice (2 3) Meldung an EDÖB (bei Auftragsverarbeitung an Kunden) Entscheid über Benachrichtigung der betroffenen Personen in Kooperation mit EDÖB Beweismaterial sichern (Dokumentation/Nachweis der getroffenen Schutzmassnahmen; eventuell Strafanzeige) Interne Untersuchung des Data Breach Anpassung und regelmässige Kontrolle der organisatorischen und technischen Schutzmassnahmen 8. Juni 2016 Thomas Steiner VISCHER AG 15

«Data Breach Response» - Best Practice (3 3) Musterformular (California Data Breach Notification) Company Name Notice of Data Breach What happened? What information was involved? What we are doing What you can do For more information (vgl. auch Mindestinformationen gemäss EU DS-GVO) 8. Juni 2016 Thomas Steiner VISCHER AG 16

Ihr Kontakt bei VISCHER Dr. Thomas Steiner, LL.M. Rechtsanwalt, Senior Associate tsteiner@vischer.com +41 58 211 34 00 8. Juni 2016 Thomas Steiner VISCHER AG 17

Herzlichen Dank. Zürich Schützengasse 1 CH-8021 Zürich Tel +41 58 211 34 00 Fax +41 58 211 34 10 Basel Aeschenvorstadt 4 CH-4010 Basel Tel +41 58 211 33 00 Fax +41 58 211 33 10

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback