Die neue Datenschutz-Grundverordnung (DSGVO/GDPR) und ihre Auswirkungen
MEET SWISS INFOSEC!22. JANUAR 2018
Dr. iur. Michèle BalthasarRechtsanwältin, EMBA, Head of Legal and Privacy Consulting
Rechtsanwältin, Head Legal & Privacy Consulting, Member of the Executive Board
CV-Auszug
Über 15 Jahre Berufserfahrung als Juristin in verschiedenen Organisationen
Seit 2017 bei der Swiss Infosec AG
2008 bis 2016: Div. Funktionen bei Alpiq und Axpo
2003 bis 2007: Verband Electrosuisse
EMBA in Utility Management zu IT-Sicherheit und Datenschutz
Zürcher Anwaltspatent
Dozentin am institute of management in technology(iimt) der Universität Freiburg
PORTRAIT
DR. IUR. MICHÈLE BALTHASAR
22.01.2018 2
01 EU-DATENSCHUTZ-GRUNDVERORDNUNGEinleitung, Ziele, Verhältnis Schweiz
02 DSGVO KOMPAKTNicht viel Neues - aber
03 ANWENDUNGSBEREICHSachlicher und räumlicher Anwendungsbereich
04 GRUNDPRINZIPIENDie wichtigsten Grundprinzipien
05 UMSETZUNG DSGVODie Strategie in der Schweiz,Massnahmen, Umsetzungsschritte, Chancen
06 IHR KONTAKTIhre Problemlösung beginnt mit einem Kontakt bei uns: +41 41 984 12 12, [email protected]
AGENDATHEMENÜBERSICHT
Swiss Infosec AGHauptsitz in Sursee
22.01.2018 3
Die DSGVO wie auch das schweizerische Datenschutzgesetz verfolgen im wesentlichen dasselbe Ziel:
Sie liefern Regeln bezüglich der zulässigen Verarbeitung von personenbezogenen Daten (z.B. Rechtmässigkeits-, Zweckbindungs-, Datenminimierungsprinzip)
Grundrechte von natürlicher Personen (in der CH auch von juristischen Personen) sollen geschützt sein (Art. 13 BV: Schutz der Privatsphäre)
Schutz der Persönlichkeit vor widerrechtlicher oder unverhältnismässiger Bearbeitung von Personendaten
01EU-DATENSCHUTZ-GRUNDVERORDNUNG
ZIEL DES DATENSCHUTZES
22.01.2018 4
Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 (DSGVO) zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten
löst die Datenschutzrichtlinie 95/46/EG ab
ist in allen EU-Staaten direkt anwendbar
88 Seiten, 173 Präambeln, 99 Artikel (Artikel 1 beginnt ab Seite 32)
in Kraft seit 24. Mai 2016
2 Jahre Umsetzungsfrist, d.h. DSGVO muss bis 25. Mai 2018 umgesetzt sein (Art. 99 Abs. 2 DSGVO)
01EU-DATENSCHUTZ-GRUNDVERORDNUNG
WAS IST DIE EU-DATENSCHUTZ-GRUNDVERORDNUNG?
22.01.2018 5
Aktuelle Situation
Ratifizierung des revidierten Übereinkommens zum Schutz der Menschen bei der automatischen Bearbeitung personenbezogener Daten (SEV 108)
Übernahme Richtlinie der EU zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung (EU 680/2016)
Umsetzung Schweiz bis August 2018
01EU-DATENSCHUTZ-GRUNDVERORDNUNG
DSGVO VERHÄLTNIS ZUR SCHWEIZ
Ziel Revision CH-DSG: Annäherung an Europäische Gesetzgebung mit Ziel der Ratifizierung des SEV 108. Schweiz soll Status des «Sicheren Drittlands» beibehalten.
22.01.2018 6
Aktuelle Situation
15. September 2017: Entwurf Botschaft totalrevidiertes Datenschutzgesetz 15. September 2017
12. Januar 2018: Antrag der Staatspolitischen Kommission des Nationalrats (SPK-N) ist auf die Totalrevision des Datenschutzgesetzes (DSG) zu etappieren:
1. Etappe: Umsetzung der Verpflichtungen, welche im Rahmen des Schengen-Acquis zwingend bis 1. August 2018 umzusetzen sind > Richtlinie [EU] 2016/680;
2. Etappe: Umsetzung des restlichen Teils
01EU-DATENSCHUTZ-GRUNDVERORDNUNG
DSGVO VERHÄLTNIS ZUR SCHWEIZ
Ordnungsantrag der SPK-N auf Etappierung der Totalrevision
22.01.2018 7
01EU-DATENSCHUTZ-GRUNDVERORDNUNG
ANFORDERUNGEN DSG / EU-DSGVO
TotalrevisionDSG
Totalrevidiertes DSGin Kraft
Umsetzungspflicht Totalrevidiertes DSG
Datenschutzgesetz (DSG)
• Generelle Annäherung an EU-Recht• Verbot von Subcontractors nur mit Einwilligung• Verarbeitungsverzeichnis (Wegfall Bearbeitungsreglemente)• Förderung Selbstregulierung• Stärkere Stellung der betroffenen Person
EU-DSGVOin Kraft
EU-DSGVOSofern anwendbar, muss EU-DSGVO umgesetzt sein
• Datenschutzbeauftragter• Meldung an EDÖB oder Registrierung• Inventar der Datensammlungen• Bearbeitungsreglemente für einzelne Datensammlungen
• Data Privacy by design and by default• Aufhebung Schutz juristische Person• 25x höhere Busse (bis CHF 250’000)• Rechenschaftspflicht• Meldung von Auslandbekanntgaben
• Schriftlichkeit Auftragsdatenbearbeitung• Angemessene Technische und Organisatorische Massnahmen (TOM)• Vergewisserung Einhaltung Technische und Organisatorische Massnahmen• Busse bis CHF 10’000
• Einwilligung betroffene Person• Informationspflichten• Datenschutzfolgeabschätzung• Ausbau Befugnisse EDÖB• Data Breach Notification
25. Mai 2018
• Datenschutzfolgeabschätzung• Verarbeitungsverzeichnis • Verbot der Bearbeitung besonderer
Personendaten, Einverständnis, Information• Sanktionen bis 20 Millionen oder – falls höher –
4% weltweiter Umsatz• Umfassende Rechte betroffener Personen:
Einwilligung, Widerspruch, Datenübertragung, Löschung, Datenportabilität
Verbindlich und muss für folgende Unternehmen bzw. für einzelne Verfahren umgesetzt sein:• Wenn Sie Kunden in der EU etwas anbieten und
Personendaten bearbeiten• Wenn Sie das Verhalten von Personen in der EU analysieren• Wenn Sie Personendaten in der EU speichern oder
bearbeiten (oder umgekehrt)• Wenn Sie Daten in der Schweiz im Auftrag eines
Unternehmens aus der EU speichern oder bearbeiten
• Umfassende Anforderungen an Verträge mit Auftragsdatenverarbeitern
• Rechenschaftspflicht• Data Privacy by design and by default• Data Breach Notification• Pflicht zur Einsetzung eines
Datenschutzbeauftragten in einzelnen Fällen
ca. 1. Januar 2019 ca. 1. Januar 2021
22.01.2018 8
Nicht viel Neues – aber
Auch anwendbar für viele Schweizer Firmen
Nachweis der Einwilligung zur Datenverarbeitung nötig
Umfassende Informationspflichten
Rechte der betroffenen Personen («Recht auf Vergessen», Berichtigung, Auskunftsrecht, Datenportabilität, etc.)
Data Breaches sind ggf. innert 72 Stunden den Behörden und evtl. den Betroffenen zu melden
Alle Datenverarbeitungen müssen inventarisiert und beschrieben werden; neu zwingend: Verarbeitungsverzeichnis auch für Auftragsverarbeiter
Bei Computer-Entscheiden - Anspruch auf Beurteilung durch Menschen
02DSGVO KOMPAKT
DSGVO KOMPAKT
22.01.2018 9
Bei Vorhaben mit hohen Risiken muss eine Datenschutz-Folgenabschätzung vorgenommen werden – umfangreiche gesetzliche Vorgaben zu deren Inhalt und Information der Aufsichtsbehörden
Verantwortlicher muss Compliance beweisen (Data Governance)
Verträge mit Auftragsverarbeitern: Ausführliche inhaltliche Vorgaben
Neu ist das Vetorecht bezüglich Zuzug von Subprocessors
Firmen, die Personen tracken oder sensitive Personendaten verarbeiten, müssen einen Datenschutzbeauftragten einsetzen
Gegebenenfalls Pflicht Benennung eines EU-Vertreters
Hohe Bussen
02DSGVO KOMPAKT
DSGVO KOMPAKT
22.01.2018 10
Begriffsdefinitionen (Art. 4 DSGVO)
Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Begriff der verpflichteten Stellen: “Für die Verarbeitung Verantwortlicher“ (“controller“) und “Auftragsverarbeiter“ (“processor“ )
IP-Adressen und andere „Online-Identifier“ sind personenbezogene Daten
Genetische und biometrische Daten als sensitive Personendaten, sogenannte «besondere Kategorien personenbezogener Daten»
Profiling (Big Data): jegliche Form von automatisierter Datenverarbeitung, bei welcher die betreffenden Personendaten zur Analyse von gewissen persönlichen Aspekten einer natürlichen Person verwendet werden.
Pseudonymisierung: Pseudonymisierte Daten sind KEINE anonymisierten Daten
Einwilligung: Freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich.
02
NEUE BEGRIFFE
DSGVO KOMPAKT
22.01.2018 11
Sachlicher Anwendungsbereich (Art. 2 DSGVO)
Die DSGVO gilt für die
ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten, sowie
für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
03
ANWENDUNGSBEREICH DSGVO
ANWENDUNGSBEREICH
22.01.2018 12
Räumlicher Anwendungsbereich (Art. 3 DSGVO)
Datensubjekt in der EU
Die DSGVO findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht
a) betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;
b) das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt. (Art. 3 Abs. 2 DSGVO)
03
ANWENDUNGSBEREICH DSGVO
ANWENDUNGSBEREICH
22.01.2018 13
Kriterium der Anwendbarkeit: Zielmarkt – Waren und Dienstleistungen
EuGH (Rechtssachen C-585/08 und C-144/09) hat folgende Faktoren berücksichtigt:
die Angabe einer Telefonnummer mit internationaler Vorwahl,
die Wegbeschreibung aus einem Mitgliedstaat zu dem Ort, wo der Dienst angeboten wird (z. B. Beschreibung der Anreise aus dem Ausland zu einem Hotel in der Schweiz),
die Erwähnung auf der Website einer internationalen Kundschaft mit Sitz in verschiedenen EU-Mitgliedstaaten,
die Nutzung einer anderen First-Level-Domain als derjenigen des Mitgliedstaats, in dem der Dienst angeboten wird (z. B. www.beispiel.ch ist auch unter www.beispiel.fr und www.beispiel.eu abrufbar).
03
ÜBERSICHT DSGVO
ANWENDUNGSBEREICH
22.01.2018 14
Prinzipien der Datenverarbeitung (Art. 5 DSGVO)
Rechtmässigkeit, Verarbeitung nach Treu und Glauben, Transparenz
Zweckbindung
Datenminimierung
Richtigkeit
Speicherbegrenzung
Integrität und Vertraulichkeit
04
GRUNDPRINZIPIEN
GRUNDPRINZIPIEN
Entspricht den Grundsätzen nach Art. 4, 5 und 7 CH-DSG
DSGVO mit konkreter Nennung der Datenminimierung.
Weitere Angleichung im Entwurf CH-DSG.
22.01.2018 15
Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO)
Der Verantwortliche ist für die Einhaltung der Grundsätze verantwortlich und muss die Einhaltung nachweisen können.
In anderen Worten: Die Unternehmen müssen nicht nur sicherstellen, dass sie «Datenschutz-compliant» sind, sondern die Compliance auch nachweisen können.
Entwurf CH-DSG sieht eine analoge Rechenschaftspflicht vor.
Bei Nichtbeachtung der Grundsätze nach Art. 5 DSGVO und fehlender Rechenschaftspflicht «grosser» Bussenrahmen.
04
GRUNDPRINZIPIEN
GRUNDPRINZIPIEN
Nachweispflicht der Einhaltung der Grundsätze bei Auftragsverarbeitung! Nachweispflicht = Dokumentationspflicht!
22.01.2018 16
Rechtmässigkeit der Verarbeitung (Art. 6 DSGVO)
Einwilligung;
Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Massnahmen erforderlich;
Erfüllung einer rechtlichen Verpflichtung;
erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt;
Wahrung der berechtigten Interessen des für die Verarbeitung Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz; personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Dies gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.
04
GRUNDPRINZIPIEN
GRUNDPRINZIPIEN
22.01.2018 17
Erhöhte Anforderung an Einwilligung
ohne Zwang, für den konkreten Fall, in Kenntnis der Sachlage
Nur durch ausdrückliche – nicht konkludente – Willensbekundung
Ausdrücklich: Keine „vorausgefüllte Checkbox“
Möglichkeit der unwirksamen Einwilligung bei Koppelungsverträgen
Unwirksamkeit bei erheblichem Ungleichgewicht zwischen der verarbeitenden Stelle und der betroffenen Person
Beweislast der gültigen Einwilligung bei der verarbeitenden Stelle
Möglichkeit des jederzeitigen Widerrufs
Kinder unter 16 Jahre benötigen Zustimmung der Eltern (Art. 8 DSGVO)
04
GRUNDPRINZIPIEN
GRUNDPRINZIPIEN
Verantwortlicher muss eine erfolgte Einwilligung nachweisen können.
22.01.2018 18
Strengere Anforderungen bei Verarbeitung sensitiver Personendaten Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische
Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer Person oder Daten über Gesundheit oder Sexualleben und sexuelle Ausrichtung ist grundsätzlich untersagt.
Ausnahme: Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen
Daten ausdrücklich eingewilligt, es sei denn, nach den Rechtsvorschriften der Union oder eines Mitgliedstaats kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden, oder
Arbeitsrecht und Recht der sozialen Sicherheit und des Sozialschutzes Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen Person Selber veröffentlicht, gerichtliche Auseinandersetzung, wichtige öffentliche Interessen,
öffentliche Gesundheit, geschützte Bearbeitung NGO/NPO Fachpersonen / Berufsgeheimnis
04
GRUNDPRINZIPIEN
GRUNDPRINZIPIEN
22.01.2018 19
Strategie in der Schweiz, sofern EU-DSGVO anwendbar ist
Totalrevision des schweizerischen Datenschutzgesetzes wird frühestens 2019 in Kraft treten.
Anpassungen gehen in dieselbe Richtung wie die DSGVO.
Die notwendigen Grundlagenarbeiten werden also für das revidierte CH-DSG und die DSGVO dieselben sein.
Empfehlung: DSGVO als Ziel verfolgen. Einzelne Ausnahmen (bspw. für ‘rein’ schweizerische Datenbearbeitungen) können sich ggf. ergeben.
05UMSETZUNG DSGVO
UMSETZUNG DSGVO
22.01.2018 20
Überprüfen Sie, …
Ob die DSGVO auf Ihr Unternehmen anwendbar ist
gemäss sachlichem und räumlichem Geltungsbereich
Ob ein Vertreter mit Sitz in der EU eingesetzt werden muss
Ob ein Datenschutzbeauftragter ernannt werden muss
Inkl. Veröffentlichung Kontaktangaben
Intern od. extern möglich
05UMSETZUNG DSGVO
UMSETZUNG DSGVO
22.01.2018 21
Passen Sie Ihre Weisungen und Verträge an
Datenschutzpolitik und Datenschutzweisung. Dokumentation von Datenbearbeitung und Compliance-Massnahmen. Verantwortlicher trägt Beweislast, dass Prinzipien der DSGVO eingehalten werden
Konzerninternen Datentransfer regeln
AGB anpassen (Erhöhte Anforderung an Einwilligung, separate Darstellung)
Auftragsdatenverarbeitung (Gesamtschuldnerische Haftung! Verantwortlichkeiten klar regeln) und Verträge mit Dritten überprüfen
Überprüfen, wie Einwilligung bis anhin eingeholt wird und passen Sie diese den Voraussetzungen der DSGVO an
05UMSETZUNG DSGVO
MASSNAHMEN
22.01.2018 23
Erarbeiten Sie ein Verarbeitungsverzeichnis mit folgendem Inhalt
den Namen und die Kontaktdaten des Verantwortlichen
die Zwecke der Verarbeitung
eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschliesslich Empfänger in Drittländern oder internationalen Organisationen
gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschliesslich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei die Dokumentierung geeigneter Garantien
wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Massnahmen
05UMSETZUNG DSGVO
MASSNAHMEN
22.01.2018 24
Überprüfen Sie Ihre Informationspflichten
In Verträgen und Datenschutzbestimmungen (Webseite)
Im Zusammenhang mit Einwilligung
In leicht verständlicher Weise
Beachten Sie die Pflicht zur Veröffentlichung der Kontaktdaten des DPO
Informationspflicht bei Datenschutzverletzungen
Einführung von Prozessen zur Erkennung und Vorgehen bei Verletzungen
Kurze Zeit beachten (72h)
Zuständiges Team, Ansprechpartner, Erreichbarkeit regeln.
05UMSETZUNG DSGVO
MASSNAHMEN
22.01.2018 25
Passen Sie ihre Prozesse an
Auskunftsbegehren
Löschbegehren (Recht auf Vergessen)
Recht auf Datenrückgabe ("Portabilität")
Automatisierte Entscheide
Data Breaches (Informationspflicht!)
Datenschutz-Folgenabschätzung
Privacy by Design und Privacy by Default
Profiling
Schulungs- und Awareness-Programme
05UMSETZUNG DSGVO
MASSNAHMEN: ANPASSUNG VON PROZESSEN
22.01.2018 26
Halten Sie die Dokumentationspflichten ein
Auftragsverarbeitung nur im Rahmen der Weisung des Verantwortlichen. Weisung muss dokumentiert sein.
Führen eines Verzeichnisses von Verarbeitungstätigkeiten
Verletzungen des Schutzes personenbezogener Daten und damit verbundene Meldepflichten
Dokumentation der internen Datenschutzvorschriften bei der Übermittlung personenbezogener Daten an Drittländer
Beschreibung der Datenschutz-Folgenabschätzung
05UMSETZUNG DSGVO
MASSNAHMEN
22.01.2018 27
Nutzen die DSGVO als Chance
Aufgrund Bussenrahmen Awareness vorhanden
Diverse Soll-Vorgaben
Möglichkeit der Schaffung einer guten Datenschutzkultur innerhalb der UG
Auch «rein» CH-Firmen können die DSGVO als «Hilfswerk» benutzen.
05UMSETZUNG DSGVO
VIELES KLAR, EINIGES UNKLAR…
22.01.2018 28
VIELEN DANK
[email protected] | +41 79 675 00 63
MEET SWISS INFOSEC!Sicherheit im Fokuswww.infosec.ch/msi
Swiss Infosec AGCentralstrasse 8A, 6210 Sursee+41 41 984 12 12
06IHR KONTAKT