Was bedeuten die neuen Datenschutzgesetze für Schweizer Unternehmen?
1. Prüfung | Treuhand | Steuern | Beratung
WAS BEDEUTEN DIE NEUEN
DATENSCHUTZGESETZE FÜR SCHWEIZER
UNTERNEHMEN?
Baggenstos IT Breakfast Briefing:
Sind Sie bereit für das neue Datenschutzgesetz?
KLAUS KROHMANN
20. März 2018
2. ENTWICKLUNG DER DATENMENGEN
400 h Videoupload / Minute
März 2018
Seite 2
Baggenstos IT Breakfast Briefing - Datenschutz
205 Milliarden Mails / Tag
Wikipedia enthält 5.35 Millionen Artikel
217 neue Internetteilnehmer / Minute
50 Milliarden Connected Devices in 2020
3. EU-DATENSCHUTZRICHTLINIE 1995 / DSG 1994
Im gleichen Jahr…
März 2018
Seite 3
Baggenstos IT Breakfast Briefing - Datenschutz
… Siemens S3 mit SMS …
… Windows 95 …
… 66MHz Prozessor und 80
MB Festplatten…
4. STATUS DER GESETZESENTWICKLUNG
März 2018
Seite 4
Baggenstos IT Breakfast Briefing - Datenschutz
Direktive
Anwendung DSGVODSGVO Übergangsfrist
25. Mai 201827. April 2016
Nationale
Ausführungs-
Erlasse
Anwendung Ausführungsrecht
Anwendung Ausführungsrecht
2016 2017 2018 2019
Land 1
Land 2
Vernehmlassung Botschaft/Parlament
Anwendung
Inkrafttreten?
5. Was ist neu?
Seite 5
März 2018Baggenstos IT Breakfast Briefing - Datenschutz
6. NEUERUNGEN DER DSGVO
Direkte Verbindlichkeit für die ganze EU
Gleiche Gesetzesnormen für alle direkt anwendbar; jedoch mit Möglichkeit für
länderspezifische Öffnungsnormen
Strengere Bussgelder
bis 4% des weltweiten Jahresumsatzes des ganzen Konzerns,
mind. bis zu EUR 20 Mio.!
Dokumentationspflichten
Insbesondere aus neuen Prinzipien der «Accountability» und «Privacy by
design»
Meldepflicht von Verletzungen
«Incident Reporting» innerhalb von 72 Stunden
März 2018
Seite 6
Baggenstos IT Breakfast Briefing - Datenschutz
7. … UND DAS AUCH NOCH:
Recht auf «Vergessenwerden»
Vorschriften und Pflicht zur Löschung
Recht auf Datenherausgabe
Erweiterte Kompetenzen der Aufsichtsbehörden
Beschränkte Pflicht für Einsetzung eines betrieblichen
Datenschutzverantwortlichen
Abschaffung formalistischer Meldepflichten
Abschaffung des Schutzes von Daten juristischer Personen (für Österreich)
März 2018
Seite 7
Baggenstos IT Breakfast Briefing - Datenschutz
8. WAS PLANT DIE SCHWEIZ?
Neue Bussgelder
bis zu CHF 250’000
Dokumentationspflichten
Insbesondere bei der Datenschutz-Folgenabschätzung
Meldepflicht von Verletzungen
Unbefugte Datenbearbeitung muss so rasch als möglich gemeldet werden
Recht auf Löschung
Erweiterte Kompetenzen der Aufsichtsbehörden
Möglichkeit zur Einsetzung eines Datenschutzberaters
Andere Meldepflichten
Abschaffung des Schutzes von Daten juristischer Personen
März 2018
Seite 8
Baggenstos IT Breakfast Briefing - Datenschutz
10. RÄUMLICHER ANWENDUNGSBEREICH
Anwendung auf die Verarbeitung personenbezogener Daten im Rahmen der
Tätigkeit
eines Verantwortlichen mit Niederlassung in der EU
eines Auftragsverarbeiters mit Niederlassung in der EU
und zwar unabhängig davon, ob die Verarbeitung in der EU oder nicht
stattfindet.
März 2018
Seite 10
Baggenstos IT Breakfast Briefing - Datenschutz
11. EXTRATERRITORIALER ANWENDUNGSBEREICH
März 2018Baggenstos IT Breakfast Briefing - Datenschutz
Seite 11
Anbieten von Waren und
Dienstleistungen an
Personen in der EU
Bearbeiten von personenbezogenen Daten
von Personen in der EU im Auftrag einer
EU Gesellschaft
Beobachten des
Verhaltens von
Personen in der EU
13. PERSONENBEZOGENE DATEN
Informationen, die sich auf eine identifizierbare natürliche Person
(«betroffene Person« [Data Subject] genannt) beziehen
März 2018
Seite 13
Baggenstos IT Breakfast Briefing - Datenschutz
Name
IP-Adresse
Merkmale
KFZ - Nummer
14. VERARBEITUNG
ist jeder - mit oder ohne Hilfe automatisierter Verfahren - ausgeführter
Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit
personenbezogenen Daten wie
das Erheben,
das Erfassen,
die Organisation,
das Ordnen,
die Speicherung,
die Verwendung,
das Auslesen,
das Abfragen,
März 2018
Seite 14
Baggenstos IT Breakfast Briefing - Datenschutz
die Anpassung oder Veränderung, die
Offenlegung durch Übermittlung,
Verbreitung oder eine andere Form
der Bereitstellung,
den Abgleich oder die Verknüpfung,
die Einschränkung,
das Löschen oder
die Vernichtung.
15. VERBOT DER BEARBEITUNG BESONDERER
KATEGORIEN [SPECIAL CATEGORIES]
Die Verarbeitung personenbezogener Daten, aus denen
die rassische und ethnische Herkunft,
politische Meinungen,
religiöse oder weltanschauliche Überzeugungen oder
die Gewerkschaftszugehörigkeit
hervorgehen sowie die Verarbeitung von
genetischen Daten,
biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person,
Gesundheitsdaten oder
Daten zum Sexualleben oder der sexuellen Orientierung
einer natürlichen Person ist untersagt.
Nationales Recht kann weitere Kategorien definieren.
März 2018
Seite 15
Baggenstos IT Breakfast Briefing - Datenschutz
16. BESONDERS SCHÜTZENSWERTE
PERSONENDATEN
Besonders schützenswerte Personendaten:
die rassische und ethnische Herkunft
politische Meinungen
religiöse oder weltanschauliche Überzeugungen oder
die Gewerkschaftszugehörigkeit
genetischen Daten,
biometrischen Daten zur Identifizierung einer natürlichen Person,
Gesundheitsdaten oder
Daten über die Intimsphäre
Daten über verwaltungs- oder strafrechtliche Verfolgungen und Sanktionen
Daten über Massnahmen der sozialen Hilfe
Annahme einer Persönlichkeitsverletzung, wenn besonders schützenswerte
Personendaten Dritten weiter gegeben werden.
März 2018
Seite 16
Baggenstos IT Breakfast Briefing - Datenschutz
17. INHALT DER PERSONENDATEN
UnbedeutendeLog-in-Daten
März 2018
Seite 17
Baggenstos IT Breakfast Briefing - Datenschutz
GeschäftlicheAdresse/Tf
PrivateAdresse
Vertrauensärztliche
Informationen
Besondersschützenswerte
Personendaten
Gehalt/Salärdaten
Zahlungsinformationen
fürdieBank
UmfassenderCV
Facebook«öffentlich»
Facebook«Freundeund
FreundevonFreunden»
Facebook«Nurbestimmte
Freunde»
Geburtstag
FotofürGeschäft
PrivateFotos
GeschäftlicheKorrespondenz
Nicht heikel Sehr heikel
18. RECHTFERTIGUNGSGRÜNDE
& INFORMATION
März 2018
Seite 18
Baggenstos IT Breakfast Briefing - Datenschutz
Umfassende vorgängige Information
Nicht heikel Sehr heikel
Ausdrückliche Zustimmung
Umstände
Einfache Zustimmung
Hohe Anforderungen an Rechtfertigungsgrund
19. EXKURS: EINWILLIGUNG
der betroffenen Person (Ausnahme Kinder)
freiwillig
für den bestimmten Fall
in informierter Weise
unmissverständlich abgegebenes
Einverständnis zur Verarbeitung
Muss nachweisbar sein
Ausdrücklich beim Datentransfer in Drittländer und besonderen
Kategorien von Personendaten sowie zur automatischen Verarbeitung
(Profiling)
Insb. bei elektronischen Erklärungen: knapp und klar ohne Unterbruch
des Dienstes
März 2018
Seite 19
Baggenstos IT Breakfast Briefing - Datenschutz
20. PSEUDONYMISIERUNG
Personenbezogenen Daten können ohne Hinzuziehung zusätzlicher
Informationen nicht mehr einer spezifischen betroffenen Person
zugeordnet werden.
März 2018
Seite 20
Baggenstos IT Breakfast Briefing - Datenschutz
Name Feriensaldo Land Gehalt
Hans Meier 25 CH 100’000
Fritz Müller 22 CH 120’000
Maria Schmid 15 DE 115’000
Marta Meier 23 CH 90’000
Heinz Muster 10 DE 140’000
Tobias Keller 11 CH 98’000
Ruth Schibli 30 DE 132’000
XXXXXX XX XX XXXX
Name Feriensaldo Land Gehalt
32432299 25 CH 100’000
56392372 22 CH 120’000
93279743 15 DE 115’000
98743503 23 CH 90’000
12398792 10 DE 140’000
70297524 11 CH 98’000
04395724 30 DE 132’000
XXXXXX XX XX XXXX
Name Feriensaldo Land Gehalt
32432299 25 CH 100’000
56392372 120 CH 120’000
93279743 15 DE 115’000
98743503 23 CH 90’000
12398792 10 DE 250’000
70297524 11 CH 70’000
04395724 30 DE 132’000
XXXXXX XX XX XXXX
21. VERANTWORTLICHER [CONTROLLER]
AUFTRAGSVERARBEITER [PROCESSOR]
Verantwortlicher
Person, die über die Zwecke und Mittel der Verarbeitung von
personenbezogenen Daten entscheidet
Auftragsverarbeiter
Auftragsbearbeiter
Person, die personenbezogene Daten im Auftrag des Verantwortlichen
verarbeitet (Outsourcing Provider).
März 2018
Seite 21
Baggenstos IT Breakfast Briefing - Datenschutz
22. DATEN VERSTORBENER PERSONEN
Einsichtsrecht der direkten Angehörigen einer verstorbenen Person unter
bestimmten Umständen.
Daneben können diese Personen auch die Löschung der Informationen
verlangen.
März 2018
Seite 22
Baggenstos IT Breakfast Briefing - Datenschutz
23. Ausgewählte Rechte und Pflichten
Seite 23
März 2018Baggenstos IT Breakfast Briefing - Datenschutz
24. SICHERHEIT VON PERSONENDATEN
Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete
technische und organisatorische Massnahmen eine dem Risiko angemessene
Datensicherheit.
Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu
vermeiden.
Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die
Datensicherheit.
März 2018
Seite 24
Baggenstos IT Breakfast Briefing - Datenschutz
25. DOKUMENTATIONSPFLICHT DES
VERANTWORTLICHEN
Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs,
der Umstände und der Zwecke der Verarbeitung sowie der unter-
schiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die
Rechte und Freiheiten natürlicher Personen geeignete technische und
organisatorische Maßnahmen um, um sicherzustellen und den Nachweis
dafür erbringen zu können, dass die Verarbeitung gemäß dieser
Verordnung erfolgt.
Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.
März 2018
Seite 25
Baggenstos IT Breakfast Briefing - Datenschutz
26. ACTON POINT - VERZEICHNIS VON
VERARBEITUNGSTÄTIGKEITEN
Jeder Verantwortliche führt ein Verzeichnis aller Verarbeitungstätigkeiten
mit folgenden Angaben:
Name und Kontaktdaten des Verantwortlichen
Zweck der Verarbeitung
Kategorien betroffener Personendaten
Kategorien von Empfängern
Dokumentierung geeigneter Garantien bei Übermittlung in ein Drittland
und Bezeichnung des Drittlandes
Fristen für die Löschung der Datenkategorien
Allgemeine Beschreibung der technischen und organisatorischen
Massnahmen
März 2018
Seite 26
Baggenstos IT Breakfast Briefing - Datenschutz
27. ACTON POINT - VERZEICHNIS VON
BEARBEITUNGSTÄTIGKEITEN
Die Verantwortlichen und Auftragsbearbeiter führen ein Verzeichnis ihrer
Bearbeitungstätigkeiten, welches mindestens enthält:
Identität des Verantwortlichen
Bearbeitungszweck
Kategorien betroffenen Personen und der Kategorien Personendaten
Kategorien von Empfängern
die Aufbewahrungsdauer
Dokumentierung geeigneter Garantien bei Übermittlung ins Ausland
sowie Angabe des Staates
eine allgemeine Beschreibung der technischen und organisatorischen
Massnahmen
März 2018
Seite 27
Baggenstos IT Breakfast Briefing - Datenschutz
29. DATENSCHUTZ FOLGENABSCHÄTZUNG
[PIA / PRIVACY IMPACT ASSESSMENT]
Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer
Technologien, aufgrund der Art, des Umfangs, der Umstände und der
Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte
und Freiheiten natürlicher Personen zur Folge, so führt der
Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen
Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.
Dies ist insbesondere nötigt bei:
automatisierte Verarbeitung, inkl. Profiling
besondere Kategorien personenbezogener Daten
systematische Überwachung öffentlich zugänglicher Bereiche
März 2018
Seite 29
Baggenstos IT Breakfast Briefing - Datenschutz
30. DATENSCHUTZ FOLGENABSCHÄTZUNG
[PIA / PRIVACY IMPACT ASSESSMENT]
Führt die vorgesehene Datenbearbeitung voraussichtlich zu einem hohem
Risiko für die Persönlichkeit oder die Grundechte der betroffenen Person,
so muss der Verantwortliche oder der Auftragsbearbeiter vorgängig eine
Datenschutz-Folgeabschätzung durchführen. Es lieg namentlich vor:
Bei umfangreichen Bearbeiten besonders schützenswerter
Personendaten
Bei einem Profiling
Wenn systematisch umfangreiche öffentliche Bereiche überwacht
werden
März 2018
Seite 30
Baggenstos IT Breakfast Briefing - Datenschutz
31. DATENSCHUTZBERATER
Möglichkeit der Befreiung von der Konsultation des Beauftragten [EDÖB]
bezüglich der Resultate von PIA, wenn ein Datenschutzbeauftragter
bestellt ist.
Der Datenschutzberater muss über Fachkenntnisse verfügen und seine
Funktion unabhängig ausüben. Die Bestellung eines Datenschutzberaters
ist dem EDÖB zu melden.
März 2018
Seite 31
Baggenstos IT Breakfast Briefing - Datenschutz
32. PRIVACY BY DEFAULT
Verantwortliche muss möglichst
schonend Daten sammeln:
Schutz von Personendaten ohne
Konfiguration
Benachrichtigung der betroffenen
Personen
Koppelungsverbot (EU)
Opt-in nicht Opt out!
März 2018
Seite 32
Baggenstos IT Breakfast Briefing - Datenschutz
Ich abonniere den Newsletter
Ich abonniere den Newsletter
Privacy by Design bedeutet
Datenschutzprobleme
schon bei der Entwicklung
neuer Technologien
prüfen
den Datenschutz von
vorneherein in die
Gesamtkonzeption
einbeziehen
PRIVACY BY DESGIN
33. BETROFFENENRECHTE
Betroffene Personen können in der Regel verlangen, dass Sie
innert 30 Tagen erhalten:
März 2018
Seite 33
Baggenstos IT Breakfast Briefing - Datenschutz
AUSKUNFT
über die
Kategorien und
Bearbeitung Ihrer
Daten
Bestätigung der
LÖSCHUNG
ihrer Daten
Bestätigung der
BERICHTIGUNG
Ihrer Daten
HERAUSGABE
ihrer elektronischen
Daten (nur EU)
34. MELDUNG VON VERLETZUNGEN
[INCIDENT RESPONSE]
Benachrichtigung der Aufsichtsbehörde unverzüglich und
möglichst binnen 72 Stunden (CH: möglichst rasch).
Der Auftragsverarbeiter alarmiert und informiert den für
die Verarbeitung Verantwortlichen unverzüglich nach
Feststellung einer Verletzung des Schutzes
personenbezogener Daten.
Im Anschluss: Der für die Verarbeitung Verantwortliche
benachrichtigt im Anschluss an die Meldung an die
Aufsichtsbehörde unverzüglich das Datensubjekt, sofern
der Schutz der personenbezogenen Daten, die
Privatsphäre oder die Rechte des Datensubjektes durch
eine Verletzung beeinträchtigt werden.
CH: Information des Datensubjekts, wenn für es für
dieses erforderlich ist oder der Beauftragte dies verlangt
CH: Eine Meldung darf in einem Strafverfahren gegen
den Meldepflichtigen nur mit dessen Einverständnis
verwendet werden.
Die Benachrichtigung enthält mindestens:
Eine Beschreibung der Art der Verletzung des Schutzes
personenbezogener Daten mit Angabe der Kategorien
und der Zahl der betroffenen Datensubjekte, der
betroffenen Datenkategorien und der Zahl der
betroffenen Datensätze;
Name und Kontaktdaten des Datenschutzbeauftragten
oder eines sonstigen Ansprechpartners;
eine Beschreibung der wahrscheinlichen Folgen der
Verletzung des Schutzes personenbezogener Daten;
gegebenenfalls eine Beschreibung der vorgeschlagenen
oder ergriffenen Massnahmen.
Grundlagen Inhalt der Benachrichtigung
März 2018Baggenstos IT Breakfast Briefing - Datenschutz
Seite 34
Vorbereitende Handlungen
für die Meldung
Checkliste bei Vorfällen
40. 4. SCHRITT
FESTLEGEN WEITERER NÖTIGER MASSNAHMEN
März 2018
Seite 40
Baggenstos IT Breakfast Briefing - Datenschutz
Verfahren Nr. 1
Schutzmassnahmen (tech./org.)
Zugriffsbeschränkungen
Pseudonymisierung
….
Kategorien
− Betroffene
− Daten
− Empfänger
Zweck
Datentransfer
Drittländer
Löschfristen
Risiko-
beurteilung
Abteilung / Bereich
Name und Kontaktdaten Verantwortlicher
Verfahrensübergreifende Schutzmassnahmen
Dokumentation der Garantien bei Übermittlung in Drittländer
Dokumentation der Sicherheiten bei Transfer der Daten an
Dritte (z.B. Outsourcing-Provider)
Erstellung von Bearbeitungsreglementen, insbesondere wenn
keine technischen Schutzmassnahmen möglich oder mit
vertretbarem Aufwand machbar sind
Sicherstellung der Überwachung und Alarmierung bei
sicherheitsrelevanten Vorfällen
Bei Verfahren mit hohem Risiko: vertiefte Abklärung und
umfassende Dokumentation
Regelmässige Überprüfung der korrekten Implementierung
Schutz Serverraum/Rechenzentrum / Gebäudesicherheit / …
43. ARE YOU READY?
Testen Sie mit einem Self Assessment der englischen Aufsichtsbehörde, dem UK
ICO (Information Commissioner’s Office), ob Sie die Vorgaben der EU bereits alle
erfüllen:
https://ico.org.uk/for-organisations/resources-and-support/data-protection-self-
assessment/getting-ready-for-the-gdpr/
März 2018Baggenstos IT Breakfast Briefing - Datenschutz
Seite 43
44. KLAUS KROHMANN
BDO AG
Schiffbaustrasse 2
CH-8031 Zürich
Tel +41 44 444 36 25
Mobile +41 76 436 44 47
Email klaus.Krohmann@bdo.ch
KONTAKTDATEN
März 2018Baggenstos IT Breakfast Briefing - Datenschutz
Seite 44