GDPR und das neue Datenschutzgesetz: Auswirkungen auf Unternehmen in der Schweiz Ralf Winzer ing. Informaticien EPFL CISA, CISM, CRISC, CISSP
DATENSCHUTZ 4.0 Was bedeutet die digitale Transformation im Datenschutz für Unternehmen in der Schweiz? Ralf Winzer ing. Informaticien EPFL CISA, CISM, CRISC, CISSP
Der Referent Ralf Winzer Ing. informaticien EPFL CISA, CISM, CISSP, CRISC GRCS-Beratung und IT-Audit (u.a. Ernst & Young) CISO (u.a. Helsana, Raiffeisen Schweiz)
Inhalt Überblick Entwicklungen im Datenschutz: GDPR, Revision Schweizer DSG, Datenschutzkonvention (SEV 108) Auswirkungen für Unternehmen in der Schweiz Business Governance IT Identifizierung relevanter Unternehmensbelange Geschäftsfelder Datenbestände Sourcing-Beziehungen Governance-Strukturen
Entwicklungen im Datenschutz EU Datenschutz-Grundverordnung (Weiterentwicklung EU Datenschutzdirektive) Totalrevision Schweizerisches Datenschutzgesetz Revision Datenschutzkonvention des Europarates (SEV 108) Vernehmlassung bis 09.04.2017 SEV108 In Kraft seit 25.05.2016 Neue SEV108 DSG Neues DSG Finalisiert Ende 2016 DSGVO Nationales Recht Richtlinie 95/48/EG Nationales Recht Umsetzung bis 2018
Kerninhalte VE-DSG und GDPR Datenminimierung Privacy by Design Privacy by Default Auskunftsrecht bzw. Auskunftspflicht Datenportabilität (GDPR) Meldepflicht Privacy-Breaches Sanktionen Kompetenzen Aufsichtsbehörden Privacy Impact Assessments Dokumentation der Bearbeitung Recht auf Gehör bei automatisierter Bearbeitung Etc.
Auswirkungen auf Unternehmen in der Schweiz Handhabung Kundenbeziehungen im EU-Raum Handhabung Personendaten aus dem EU-Raum Schwerwiegende Sanktionen durch Aufsichtsbehörden Umgang mit (ICT-)Subcontractors im EU-Raum Business Anpassung Geschäftsabläufe, Governance-Frameworks und IT-Systeme (Weisungswesen, Rollen und Gremien, Geschäftsprozesse) Auswirkungen auf bestehen IT-Systeme (Löschfunktionen) und zukünftige IT- Projekte (DPIA) Informatik Neues DSG Compliance
Relevante Geschäftsfelder Geschäftsaktivitäten mit (Besonders) schützenswerten Personendaten Personenprofilen Bezug zur EU Einbezug von ICT-Partnern aus der EU, der Schweiz und anderen Ländern Länderübergreifendem Datentransfer
Datenbestände 60% Gekennzeichnete oder klassifizierte Daten 17% Unternehmenskritische Daten 43% ROT-Daten* 40% Dark Data *ROT: Redundant, Obsolete, Trivial
Datenbestände ERHEBUNG, ASSESSMENT Datenbestände Strukturiert (DBMS, Trx-Systeme) Schwach strukturiert, unstrukturiert Lokale Server, Remote-Server, Cloud-Ablage, BYOD Backup-Systeme Kundendaten HR-Daten Business-Daten (Daten von Drittpersonen) Private Daten
IT-Belange Sourcing Housing IaaS, PaaS, SaaS, XaaS Architektur Funktionalitäten (selektive Löschfunktionen) Projekte Dokumentation, Vorgaben und Guidelines Telco-Provider Remote-Access, Remote- Support Sourcing-Partner im Ausland Cloud-Services Monitoring, Protokollierung, IDS, DLP Kommunikationswege, Verschlüsselung, CASB Privacy Impact Assessment
Governance-Strukturen Verträge (Sourcing, Kundenverträge, AGB etc.) Beziehungen zu Aufsichtsbehörden (EDÖB, EU-Instanzen) ISMS, Risk-Mgmt, DPMS Weisungswesen Rollen und Gremien Geschäftsprozesse Datenschutz Schulungen, Awareness- Massnahmen
Weiterführende Informationen Bundesamt für Justiz (erläuternder Bericht, Regulierungsfolgenabschätzung) Interessantes von Homburger bzw. David Rosenthal zum neuen Datenschutz Übersicht neues Datenschutzrecht von Dr. Michael Reinle (Bühlmann Rechtsanwälte) Stellungnahme von Privatim (Vereinigung der schweizerischen Datenschutzbeauftragten) EU Digital Privacy
Das neue Datenschutzrecht: Ein umfassender Persönlichkeitsschutz Ihre Fragen Danke für Ihre Aufmerksamkeit