Die neue Datenschutz-Grundverordnung (DSGVO/GDPR) und ihre Auswirkungen

MEET SWISS INFOSEC!22. JANUAR 2018

Dr. iur. Michèle BalthasarRechtsanwältin, EMBA, Head of Legal and Privacy Consulting

Rechtsanwältin, Head Legal & Privacy Consulting, Member of the Executive Board

CV-Auszug

Über 15 Jahre Berufserfahrung als Juristin in verschiedenen Organisationen

Seit 2017 bei der Swiss Infosec AG

2008 bis 2016: Div. Funktionen bei Alpiq und Axpo

2003 bis 2007: Verband Electrosuisse

EMBA in Utility Management zu IT-Sicherheit und Datenschutz

Zürcher Anwaltspatent

Dozentin am institute of management in technology(iimt) der Universität Freiburg

PORTRAIT

DR. IUR. MICHÈLE BALTHASAR

22.01.2018 2

01 EU-DATENSCHUTZ-GRUNDVERORDNUNGEinleitung, Ziele, Verhältnis Schweiz

02 DSGVO KOMPAKTNicht viel Neues - aber

03 ANWENDUNGSBEREICHSachlicher und räumlicher Anwendungsbereich

04 GRUNDPRINZIPIENDie wichtigsten Grundprinzipien

05 UMSETZUNG DSGVODie Strategie in der Schweiz,Massnahmen, Umsetzungsschritte, Chancen

06 IHR KONTAKTIhre Problemlösung beginnt mit einem Kontakt bei uns: +41 41 984 12 12, infosec@infosec.ch

AGENDATHEMENÜBERSICHT

Swiss Infosec AGHauptsitz in Sursee

22.01.2018 3

Die DSGVO wie auch das schweizerische Datenschutzgesetz verfolgen im wesentlichen dasselbe Ziel:

Sie liefern Regeln bezüglich der zulässigen Verarbeitung von personenbezogenen Daten (z.B. Rechtmässigkeits-, Zweckbindungs-, Datenminimierungsprinzip)

Grundrechte von natürlicher Personen (in der CH auch von juristischen Personen) sollen geschützt sein (Art. 13 BV: Schutz der Privatsphäre)

Schutz der Persönlichkeit vor widerrechtlicher oder unverhältnismässiger Bearbeitung von Personendaten

01EU-DATENSCHUTZ-GRUNDVERORDNUNG

ZIEL DES DATENSCHUTZES

22.01.2018 4

Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 (DSGVO) zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten

löst die Datenschutzrichtlinie 95/46/EG ab

ist in allen EU-Staaten direkt anwendbar

88 Seiten, 173 Präambeln, 99 Artikel (Artikel 1 beginnt ab Seite 32)

in Kraft seit 24. Mai 2016

2 Jahre Umsetzungsfrist, d.h. DSGVO muss bis 25. Mai 2018 umgesetzt sein (Art. 99 Abs. 2 DSGVO)

01EU-DATENSCHUTZ-GRUNDVERORDNUNG

WAS IST DIE EU-DATENSCHUTZ-GRUNDVERORDNUNG?

22.01.2018 5

Aktuelle Situation

Ratifizierung des revidierten Übereinkommens zum Schutz der Menschen bei der automatischen Bearbeitung personenbezogener Daten (SEV 108)

Übernahme Richtlinie der EU zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung (EU 680/2016)

Umsetzung Schweiz bis August 2018

01EU-DATENSCHUTZ-GRUNDVERORDNUNG

DSGVO VERHÄLTNIS ZUR SCHWEIZ

Ziel Revision CH-DSG: Annäherung an Europäische Gesetzgebung mit Ziel der Ratifizierung des SEV 108. Schweiz soll Status des «Sicheren Drittlands» beibehalten.

22.01.2018 6

Aktuelle Situation

15. September 2017: Entwurf Botschaft totalrevidiertes Datenschutzgesetz 15. September 2017

12. Januar 2018: Antrag der Staatspolitischen Kommission des Nationalrats (SPK-N) ist auf die Totalrevision des Datenschutzgesetzes (DSG) zu etappieren:

1. Etappe: Umsetzung der Verpflichtungen, welche im Rahmen des Schengen-Acquis zwingend bis 1. August 2018 umzusetzen sind > Richtlinie [EU] 2016/680;

2. Etappe: Umsetzung des restlichen Teils

01EU-DATENSCHUTZ-GRUNDVERORDNUNG

DSGVO VERHÄLTNIS ZUR SCHWEIZ

Ordnungsantrag der SPK-N auf Etappierung der Totalrevision

22.01.2018 7

01EU-DATENSCHUTZ-GRUNDVERORDNUNG

ANFORDERUNGEN DSG / EU-DSGVO

TotalrevisionDSG

Totalrevidiertes DSGin Kraft

Umsetzungspflicht Totalrevidiertes DSG

Datenschutzgesetz (DSG)

• Generelle Annäherung an EU-Recht• Verbot von Subcontractors nur mit Einwilligung• Verarbeitungsverzeichnis (Wegfall Bearbeitungsreglemente)• Förderung Selbstregulierung• Stärkere Stellung der betroffenen Person

EU-DSGVOin Kraft

EU-DSGVOSofern anwendbar, muss EU-DSGVO umgesetzt sein

• Datenschutzbeauftragter• Meldung an EDÖB oder Registrierung• Inventar der Datensammlungen• Bearbeitungsreglemente für einzelne Datensammlungen

• Data Privacy by design and by default• Aufhebung Schutz juristische Person• 25x höhere Busse (bis CHF 250’000)• Rechenschaftspflicht• Meldung von Auslandbekanntgaben

• Schriftlichkeit Auftragsdatenbearbeitung• Angemessene Technische und Organisatorische Massnahmen (TOM)• Vergewisserung Einhaltung Technische und Organisatorische Massnahmen• Busse bis CHF 10’000

• Einwilligung betroffene Person• Informationspflichten• Datenschutzfolgeabschätzung• Ausbau Befugnisse EDÖB• Data Breach Notification

25. Mai 2018

• Datenschutzfolgeabschätzung• Verarbeitungsverzeichnis • Verbot der Bearbeitung besonderer

Personendaten, Einverständnis, Information• Sanktionen bis 20 Millionen oder – falls höher –

4% weltweiter Umsatz• Umfassende Rechte betroffener Personen:

Einwilligung, Widerspruch, Datenübertragung, Löschung, Datenportabilität

Verbindlich und muss für folgende Unternehmen bzw. für einzelne Verfahren umgesetzt sein:• Wenn Sie Kunden in der EU etwas anbieten und

Personendaten bearbeiten• Wenn Sie das Verhalten von Personen in der EU analysieren• Wenn Sie Personendaten in der EU speichern oder

bearbeiten (oder umgekehrt)• Wenn Sie Daten in der Schweiz im Auftrag eines

Unternehmens aus der EU speichern oder bearbeiten

• Umfassende Anforderungen an Verträge mit Auftragsdatenverarbeitern

• Rechenschaftspflicht• Data Privacy by design and by default• Data Breach Notification• Pflicht zur Einsetzung eines

Datenschutzbeauftragten in einzelnen Fällen

ca. 1. Januar 2019 ca. 1. Januar 2021

22.01.2018 8

Nicht viel Neues – aber

Auch anwendbar für viele Schweizer Firmen

Nachweis der Einwilligung zur Datenverarbeitung nötig

Umfassende Informationspflichten

Rechte der betroffenen Personen («Recht auf Vergessen», Berichtigung, Auskunftsrecht, Datenportabilität, etc.)

Data Breaches sind ggf. innert 72 Stunden den Behörden und evtl. den Betroffenen zu melden

Alle Datenverarbeitungen müssen inventarisiert und beschrieben werden; neu zwingend: Verarbeitungsverzeichnis auch für Auftragsverarbeiter

Bei Computer-Entscheiden - Anspruch auf Beurteilung durch Menschen

02DSGVO KOMPAKT

DSGVO KOMPAKT

22.01.2018 9

Bei Vorhaben mit hohen Risiken muss eine Datenschutz-Folgenabschätzung vorgenommen werden – umfangreiche gesetzliche Vorgaben zu deren Inhalt und Information der Aufsichtsbehörden

Verantwortlicher muss Compliance beweisen (Data Governance)

Verträge mit Auftragsverarbeitern: Ausführliche inhaltliche Vorgaben

Neu ist das Vetorecht bezüglich Zuzug von Subprocessors

Firmen, die Personen tracken oder sensitive Personendaten verarbeiten, müssen einen Datenschutzbeauftragten einsetzen

Gegebenenfalls Pflicht Benennung eines EU-Vertreters

Hohe Bussen

02DSGVO KOMPAKT

DSGVO KOMPAKT

22.01.2018 10

Begriffsdefinitionen (Art. 4 DSGVO)

Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Begriff der verpflichteten Stellen: “Für die Verarbeitung Verantwortlicher“ (“controller“) und “Auftragsverarbeiter“ (“processor“ )

IP-Adressen und andere „Online-Identifier“ sind personenbezogene Daten

Genetische und biometrische Daten als sensitive Personendaten, sogenannte «besondere Kategorien personenbezogener Daten»

Profiling (Big Data): jegliche Form von automatisierter Datenverarbeitung, bei welcher die betreffenden Personendaten zur Analyse von gewissen persönlichen Aspekten einer natürlichen Person verwendet werden.

Pseudonymisierung: Pseudonymisierte Daten sind KEINE anonymisierten Daten

Einwilligung: Freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich.

02

NEUE BEGRIFFE

DSGVO KOMPAKT

22.01.2018 11

Sachlicher Anwendungsbereich (Art. 2 DSGVO)

Die DSGVO gilt für die

ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten, sowie

für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

03

ANWENDUNGSBEREICH DSGVO

ANWENDUNGSBEREICH

22.01.2018 12

Räumlicher Anwendungsbereich (Art. 3 DSGVO)

Datensubjekt in der EU

Die DSGVO findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht

a) betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;

b) das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt. (Art. 3 Abs. 2 DSGVO)

03

ANWENDUNGSBEREICH DSGVO

ANWENDUNGSBEREICH

22.01.2018 13

Kriterium der Anwendbarkeit: Zielmarkt – Waren und Dienstleistungen

EuGH (Rechtssachen C-585/08 und C-144/09) hat folgende Faktoren berücksichtigt:

die Angabe einer Telefonnummer mit internationaler Vorwahl,

die Wegbeschreibung aus einem Mitgliedstaat zu dem Ort, wo der Dienst angeboten wird (z. B. Beschreibung der Anreise aus dem Ausland zu einem Hotel in der Schweiz),

die Erwähnung auf der Website einer internationalen Kundschaft mit Sitz in verschiedenen EU-Mitgliedstaaten,

die Nutzung einer anderen First-Level-Domain als derjenigen des Mitgliedstaats, in dem der Dienst angeboten wird (z. B. www.beispiel.ch ist auch unter www.beispiel.fr und www.beispiel.eu abrufbar).

03

ÜBERSICHT DSGVO

ANWENDUNGSBEREICH

22.01.2018 14

Prinzipien der Datenverarbeitung (Art. 5 DSGVO)

Rechtmässigkeit, Verarbeitung nach Treu und Glauben, Transparenz

Zweckbindung

Datenminimierung

Richtigkeit

Speicherbegrenzung

Integrität und Vertraulichkeit

04

GRUNDPRINZIPIEN

GRUNDPRINZIPIEN

Entspricht den Grundsätzen nach Art. 4, 5 und 7 CH-DSG

DSGVO mit konkreter Nennung der Datenminimierung.

Weitere Angleichung im Entwurf CH-DSG.

22.01.2018 15

Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO)

Der Verantwortliche ist für die Einhaltung der Grundsätze verantwortlich und muss die Einhaltung nachweisen können.

In anderen Worten: Die Unternehmen müssen nicht nur sicherstellen, dass sie «Datenschutz-compliant» sind, sondern die Compliance auch nachweisen können.

Entwurf CH-DSG sieht eine analoge Rechenschaftspflicht vor.

Bei Nichtbeachtung der Grundsätze nach Art. 5 DSGVO und fehlender Rechenschaftspflicht «grosser» Bussenrahmen.

04

GRUNDPRINZIPIEN

GRUNDPRINZIPIEN

Nachweispflicht der Einhaltung der Grundsätze bei Auftragsverarbeitung! Nachweispflicht = Dokumentationspflicht!

22.01.2018 16

Rechtmässigkeit der Verarbeitung (Art. 6 DSGVO)

Einwilligung;

Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Massnahmen erforderlich;

Erfüllung einer rechtlichen Verpflichtung;

erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt;

Wahrung der berechtigten Interessen des für die Verarbeitung Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz; personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Dies gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.

04

GRUNDPRINZIPIEN

GRUNDPRINZIPIEN

22.01.2018 17

Erhöhte Anforderung an Einwilligung

ohne Zwang, für den konkreten Fall, in Kenntnis der Sachlage

Nur durch ausdrückliche – nicht konkludente – Willensbekundung

Ausdrücklich: Keine „vorausgefüllte Checkbox“

Möglichkeit der unwirksamen Einwilligung bei Koppelungsverträgen

Unwirksamkeit bei erheblichem Ungleichgewicht zwischen der verarbeitenden Stelle und der betroffenen Person

Beweislast der gültigen Einwilligung bei der verarbeitenden Stelle

Möglichkeit des jederzeitigen Widerrufs

Kinder unter 16 Jahre benötigen Zustimmung der Eltern (Art. 8 DSGVO)

04

GRUNDPRINZIPIEN

GRUNDPRINZIPIEN

Verantwortlicher muss eine erfolgte Einwilligung nachweisen können.

22.01.2018 18

Strengere Anforderungen bei Verarbeitung sensitiver Personendaten Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische

Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer Person oder Daten über Gesundheit oder Sexualleben und sexuelle Ausrichtung ist grundsätzlich untersagt.

Ausnahme: Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen

Daten ausdrücklich eingewilligt, es sei denn, nach den Rechtsvorschriften der Union oder eines Mitgliedstaats kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden, oder

Arbeitsrecht und Recht der sozialen Sicherheit und des Sozialschutzes Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen Person Selber veröffentlicht, gerichtliche Auseinandersetzung, wichtige öffentliche Interessen,

öffentliche Gesundheit, geschützte Bearbeitung NGO/NPO Fachpersonen / Berufsgeheimnis

04

GRUNDPRINZIPIEN

GRUNDPRINZIPIEN

22.01.2018 19

Strategie in der Schweiz, sofern EU-DSGVO anwendbar ist

Totalrevision des schweizerischen Datenschutzgesetzes wird frühestens 2019 in Kraft treten.

Anpassungen gehen in dieselbe Richtung wie die DSGVO.

Die notwendigen Grundlagenarbeiten werden also für das revidierte CH-DSG und die DSGVO dieselben sein.

Empfehlung: DSGVO als Ziel verfolgen. Einzelne Ausnahmen (bspw. für ‘rein’ schweizerische Datenbearbeitungen) können sich ggf. ergeben.

05UMSETZUNG DSGVO

UMSETZUNG DSGVO

22.01.2018 20

Überprüfen Sie, …

Ob die DSGVO auf Ihr Unternehmen anwendbar ist

gemäss sachlichem und räumlichem Geltungsbereich

Ob ein Vertreter mit Sitz in der EU eingesetzt werden muss

Ob ein Datenschutzbeauftragter ernannt werden muss

Inkl. Veröffentlichung Kontaktangaben

Intern od. extern möglich

05UMSETZUNG DSGVO

UMSETZUNG DSGVO

22.01.2018 21

05UMSETZUNG DSGVO

UMSETZUNGSSCHRITTE DSGVO

22.01.2018 22

Passen Sie Ihre Weisungen und Verträge an

Datenschutzpolitik und Datenschutzweisung. Dokumentation von Datenbearbeitung und Compliance-Massnahmen. Verantwortlicher trägt Beweislast, dass Prinzipien der DSGVO eingehalten werden

Konzerninternen Datentransfer regeln

AGB anpassen (Erhöhte Anforderung an Einwilligung, separate Darstellung)

Auftragsdatenverarbeitung (Gesamtschuldnerische Haftung! Verantwortlichkeiten klar regeln) und Verträge mit Dritten überprüfen

Überprüfen, wie Einwilligung bis anhin eingeholt wird und passen Sie diese den Voraussetzungen der DSGVO an

05UMSETZUNG DSGVO

MASSNAHMEN

22.01.2018 23

Erarbeiten Sie ein Verarbeitungsverzeichnis mit folgendem Inhalt

den Namen und die Kontaktdaten des Verantwortlichen

die Zwecke der Verarbeitung

eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten

die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschliesslich Empfänger in Drittländern oder internationalen Organisationen

gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschliesslich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei die Dokumentierung geeigneter Garantien

wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien

wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Massnahmen

05UMSETZUNG DSGVO

MASSNAHMEN

22.01.2018 24

Überprüfen Sie Ihre Informationspflichten

In Verträgen und Datenschutzbestimmungen (Webseite)

Im Zusammenhang mit Einwilligung

In leicht verständlicher Weise

Beachten Sie die Pflicht zur Veröffentlichung der Kontaktdaten des DPO

Informationspflicht bei Datenschutzverletzungen

Einführung von Prozessen zur Erkennung und Vorgehen bei Verletzungen

Kurze Zeit beachten (72h)

Zuständiges Team, Ansprechpartner, Erreichbarkeit regeln.

05UMSETZUNG DSGVO

MASSNAHMEN

22.01.2018 25

Passen Sie ihre Prozesse an

Auskunftsbegehren

Löschbegehren (Recht auf Vergessen)

Recht auf Datenrückgabe ("Portabilität")

Automatisierte Entscheide

Data Breaches (Informationspflicht!)

Datenschutz-Folgenabschätzung

Privacy by Design und Privacy by Default

Profiling

Schulungs- und Awareness-Programme

05UMSETZUNG DSGVO

MASSNAHMEN: ANPASSUNG VON PROZESSEN

22.01.2018 26

Halten Sie die Dokumentationspflichten ein

Auftragsverarbeitung nur im Rahmen der Weisung des Verantwortlichen. Weisung muss dokumentiert sein.

Führen eines Verzeichnisses von Verarbeitungstätigkeiten

Verletzungen des Schutzes personenbezogener Daten und damit verbundene Meldepflichten

Dokumentation der internen Datenschutzvorschriften bei der Übermittlung personenbezogener Daten an Drittländer

Beschreibung der Datenschutz-Folgenabschätzung

05UMSETZUNG DSGVO

MASSNAHMEN

22.01.2018 27

Nutzen die DSGVO als Chance

Aufgrund Bussenrahmen Awareness vorhanden

Diverse Soll-Vorgaben

Möglichkeit der Schaffung einer guten Datenschutzkultur innerhalb der UG

Auch «rein» CH-Firmen können die DSGVO als «Hilfswerk» benutzen.

05UMSETZUNG DSGVO

VIELES KLAR, EINIGES UNKLAR…

22.01.2018 28

VIELEN DANK

michele.balthasar@infosec.ch | +41 79 675 00 63

MEET SWISS INFOSEC!Sicherheit im Fokuswww.infosec.ch/msi

Swiss Infosec AGCentralstrasse 8A, 6210 Sursee+41 41 984 12 12

infosec@infosec.chwww.infosec.ch

06IHR KONTAKT