Erfahren Sie, was die Revision des Datenschutzgesetzes für Ihre Organisation bedeutet und wie Sie deren Anforderungen mit Microsoft 365 erfüllen können. Am Webinar werden die juristischen, organisatorischen und technischen Aspekte behandelt.
Aufzeichnung des Webinars hier: https://www.baggenstos.ch/de/news/dsg
3. Agenda
• Intro Datenverteilung / Lifecycle
• Einführung zum revidierten
Schweizer Datenschutzgesetz
(revDSG)
• Welche neuen Anforderungen
ergeben sich 2023 aufgrund des
revDSG?
• Welche Funktionen bietet Microsoft
in Microsoft 365, um Datenschutz/
Compliance / Security zu
unterstützen?
• Nächste Schritte: Workshop revDSG
• Fragen und Antworten
4. Es lohnt sich…
Feedbackformular
Nehmen Sie an der Umfrage am Ende des
Webinars teil und Sie erhalten einen
feinen Biraweggä der Bäckerei Baggenstos,
Uri.
QR Code folgt am Ende des Webinars
5. Intro
A. Baggenstos & Co AG
• DigitaleTransformationbasierend auf Microsoft Cloud Technologie
• Massgeschneiderte Managed Services
krm.swiss = KompetenzzentrumRecordsManagement AG
• Beratung für rechtskonformes Recordsmanagementund Archivierung
• DatenschutzBeratung und Einführung von Datenschutztools
• Microsoft Partner für Complianceund Records Management
• Information Governance - Praxisleitfädenund Training
9. Der Daten-Lifecycle
Daten werden erstellt Daten werden
auf Systemen gespeichert
Daten verlassen
die Firma
Kennen Sie Ihre Daten! Schützen Sie Ihre Daten!
Verhindern sie
Datenverlust
10. Kontext DSG Schweizer Datenschutzgesetz + EU DS-GVO
Beispiele
Beispiel 2:
Organisation
ist nur in CH tätig
=> CH DSG
Beispiel 1
Unternehmen
ist nur in der
EU aktiv =>
EU DSGVO
Beispiel 3:
CH Unternehmen mit
EU+CH Personendaten
(z.B. Tochter in EU)
=> Umsetzung
DSG + DSGVO
CH: DSG 1992 - Aug 2022 DSG 1. Sept 2022 -
EU DSGVO ab 2018
revDSG
11. Welche Anforderungen ergeben sich 2023 aufgrund des
revDSG? (Daniel)
Datenschutzanforderungensteigen auf vergleichbaresNiveau der EU DSGVO
• Anforderung Informations- und Dokumentationspflichten
• Datenschutz Management System (u.a. Verzeichnis der Bearbeitungstätigkeiten)
• Verträge mit Kunden, Dienstleistern etc.
• Anforderungen an Datensicherheitund korrekter/kontrollierterUmgang
mit Personendaten
• Lebenszyklus der Daten muss verwaltet werden (=> Löschung)
• CH: Strafen bis zu 250.000 CHF für die Verantwortlichenin der Organisation
• Auskunftsbegehren von Personen (z.B. Kunden/Mitarbeitern)müssen innert
30 Tage beantwortetwerden
• Prozesse und Suchfunktionennotwendig
• Umsetzung in der Organisationbis 1.9.2023 (keine Übergangsfrist)
12. Ausgewählte Aspekte DSG im Kontext M365 im Unternehmen
DSG AusgewählteAspekte
Art. 5 Begriffe • besonders schützenswerte Personendaten
(siehe Liste DSG)
• Profiling
• Verletzung der Datensicherheit
Art. 7 Datenschutz durch Technik und
datenschutzfreundlicheVoreinstellungen
„…mittelsgeeigneter Voreinstellungen sicherzustellen,
dass die Bearbeitung der Personendatenauf das für
den Verwendungszweck nötige Mindestmass
beschränkt ist.“
=> Funktionen M365 Richtlinien für Speicherorte
Art. 8 Datensicherheit „…geeignete technische und organisatorische
Massnahmen, um Verletzungen der Datensicherheitzu
vermeiden…“ => z.B. M365 Data Loss Prevention
Art. 9 Bearbeitung durch Auftragsbearbeiter • Prüfung der Verträge mit u.a. IT-Dienstleistern
13. Ausgewählte Aspekte DSG im Kontext M365 im Unternehmen
DSG AusgewählteAspekte
Art. 10 Datenschutzberaterinoder -berater Private Verantwortlichekönnen einen
Datenschutzberater:in ernennen.
Art. 12 Verzeichnis der Bearbeitungstätigkeiten Ausnahme für Organisationkleiner als 250
Mitarbeiter:innen und geringem Risiko von
Datenschutzverletzungen
(in der Praxis muss aber jede Organisation ihre Daten
kennen…)
Siehe M365 Datenklassifikation, Records Mgt
Art. 22 Datenschutz-Folgenabschätzung(DSFA) DSFA bei Bearbeitung mit hohem Risiko
=> DSFA im Kontext EinsatzM365 und Risiko «Cloud-
Act»
14. Ausgewählte Aspekte DSG im Kontext M365 im Unternehmen
DSG AusgewählteAspekte
Art. 23 Konsultationdes EDÖB Datenschutz-Folgenabschätzung=> hohes Risiko =>
Stellungnahme EDÖB
Art. 24 Meldung von Verletzungen der
Datensicherheit
Der Verantwortliche meldet dem EDÖB so rasch als
möglich eine Verletzung der Datensicherheit, die
voraussichtlich zu einem hohen Risiko für die
Persönlichkeit oder die Grundrechte der betroffenen
Person führt.
Art. 25 Auskunftsrecht Die Organisationmuss innert 30 Tagen einer Person
(z.B. Kunde, Mitarbeiter) Auskunft über die
Personendatengeben.
=> Microsoft Priva
Art. 28 Recht auf Datenherausgabeoder -
übertragung
Relevantz.B. für Online-Services
15. Ausgewählte Aspekte DSG im Kontext Unternehmenseinsatz M365
Informations-und Dokumentationspflichten DSG
Art. 60 Verletzung von Informations-, Auskunfts- und
Mitwirkungspflichten
Mit Busse bis zu 250 000 Franken werden private
Personen auf Antrag bestraft
Art. 61 Verletzung von Sorgfaltspflichten Siehe oben
Art. 62 Verletzung der beruflichen Schweigepflicht Siehe oben
16. Welche Funktionen bietet Microsoft in Microsoft 365, um
Datenschutz/Compliance/Security zu unterstützen?
Daten Klassifizieren
• Label geben Daten eine Klasse (Einordung)
• Wie sensitiv ist die Datei?
• Wer darf diese Information sehen?
• Wie soll diese Datei aufbewahrt werden?
• Label können auf unterschiedlicheWeise gesetzt werden
• Manuellwährend des Erstellens
17. Welche Funktionen bietet Microsoft in Microsoft 365, um
Datenschutz/Compliance/Security zu unterstützen? Eckhard
Daten Klassifizieren
• Label können auf unterschiedlicheWeise gesetzt werden
• Automatisch nach Speicherort
z.B. alles bekommt ein «HR» Label, das in einem Order oder einer
SharePointLibrary der AbteilungHR abgelegt wird
• Automatisch nach Inhalt
z.B. kann automatischauf Grund von Matchings im Text Klassen
vergeben werden
• Gespeicherte und deren Nutzung analysieren
• Die Werkzeuge «Content Explorer» und «Activity Explorer» helfen mir
sicher zu stellen, das Dateien nicht an falschen Orten liegen, oder z.B.
wie mit sensitiven Daten umgegangen wird.
-> Daten klassifizieren ist die Grundlage für ein modernes Datenschutzkonzept:
«Kennen Sie Ihre Daten»
18. Welche Funktionen bietet Microsoft in Microsoft 365, um
Datenschutz/Compliance/Security zu unterstützen?
Daten schützen
Regeln auf Label anwenden
- Darf ein Benutzer ein Label entfernen ?
- Darf eine Information aus einer bestimmten Klasse in einem Report/Index
erscheinen ? – z.B. PowerBI
- Soll eine Datei automatischeine Kennzeichnung erhalten? – z.B. Kopfzeile,
Fusszeile, Wasserzeichen etc
- Soll eine Datei verschlüsselt werden ?
-> Solche Regeln verbleibenauf der Datei,unabhängigvom Ort.
Signal 00:00
19. Welche Funktionen bietet Microsoft in Microsoft 365, um
Datenschutz/Compliance/Security zu unterstützen?
Datenverlust verhindern
Data Loss Prevention(DLP)
- Zusätzlich zu den Regeln eines Labels kannDLP regeln welche Information
geteilt wird und welche nicht
- Basierend auf Label, aber auch eigenständiginhaltlich
- Regeln aus Vorlagen erstellen (z.B. FinanzInformation, Health Care, etc) oder
eigene, firmenspezifische Policies
- Anwendbarfür Exchange, OneDrive, SharePoint,Teams
-> Wenn eine Regel greift, wird der Anwender Informiert / ein Teilen der Datei
oder der Info ist nicht möglich
Signal 00:00
20. Data Governance in der Microsoft Welt
Microsoft Purview: Compliance Funktionen und Data Governance
Daten in M365
Sharepoint -
OneDrive
Teamsetc.
Daten in Azure
Outlook Azure Services /Storage
M365 Purview: Compliance Portal
Compliance Funktionen+
Data Catalog, Data Map etc.
21. Relevante Funktionen Microsoft Purview (M365)
Relevante Module
M365 CompliancePortal Azure
Compliance Funktionen
Data Catalog
RecordsManagement
Data Life Cycle
Management
Data classification
Datenschutz(Priva)
Compliance Manager
(u.a.Templatesfür DSGVO)
Data Map
Data Estate Insights
Beispiel 2