SlideShare ist ein Scribd-Unternehmen logo
1 von 44
Downloaden Sie, um offline zu lesen
Prüfung | Treuhand | Steuern | Beratung
WAS BEDEUTEN DIE NEUEN
DATENSCHUTZGESETZE FÜR SCHWEIZER
UNTERNEHMEN?
Baggenstos IT Breakfast Briefing:
Sind Sie bereit für das neue Datenschutzgesetz?
KLAUS KROHMANN
20. März 2018
ENTWICKLUNG DER DATENMENGEN
400 h Videoupload / Minute
März 2018
Seite 2
Baggenstos IT Breakfast Briefing - Datenschutz
205 Milliarden Mails / Tag
Wikipedia enthält 5.35 Millionen Artikel
217 neue Internetteilnehmer / Minute
50 Milliarden Connected Devices in 2020
EU-DATENSCHUTZRICHTLINIE 1995 / DSG 1994
Im gleichen Jahr…
März 2018
Seite 3
Baggenstos IT Breakfast Briefing - Datenschutz
… Siemens S3 mit SMS …
… Windows 95 …
… 66MHz Prozessor und 80
MB Festplatten…
STATUS DER GESETZESENTWICKLUNG
März 2018
Seite 4
Baggenstos IT Breakfast Briefing - Datenschutz
Direktive
Anwendung DSGVODSGVO Übergangsfrist
25. Mai 201827. April 2016
Nationale
Ausführungs-
Erlasse
Anwendung Ausführungsrecht
Anwendung Ausführungsrecht
2016 2017 2018 2019
Land 1
Land 2
Vernehmlassung Botschaft/Parlament
Anwendung
Inkrafttreten?
Was ist neu?
Seite 5
März 2018Baggenstos IT Breakfast Briefing - Datenschutz
NEUERUNGEN DER DSGVO
 Direkte Verbindlichkeit für die ganze EU
Gleiche Gesetzesnormen für alle direkt anwendbar; jedoch mit Möglichkeit für
länderspezifische Öffnungsnormen
 Strengere Bussgelder
bis 4% des weltweiten Jahresumsatzes des ganzen Konzerns,
mind. bis zu EUR 20 Mio.!
 Dokumentationspflichten
Insbesondere aus neuen Prinzipien der «Accountability» und «Privacy by
design»
 Meldepflicht von Verletzungen
«Incident Reporting» innerhalb von 72 Stunden
März 2018
Seite 6
Baggenstos IT Breakfast Briefing - Datenschutz
… UND DAS AUCH NOCH:
 Recht auf «Vergessenwerden»
Vorschriften und Pflicht zur Löschung
 Recht auf Datenherausgabe
 Erweiterte Kompetenzen der Aufsichtsbehörden
 Beschränkte Pflicht für Einsetzung eines betrieblichen
Datenschutzverantwortlichen
 Abschaffung formalistischer Meldepflichten
 Abschaffung des Schutzes von Daten juristischer Personen (für Österreich)
März 2018
Seite 7
Baggenstos IT Breakfast Briefing - Datenschutz
WAS PLANT DIE SCHWEIZ?
 Neue Bussgelder
bis zu CHF 250’000
 Dokumentationspflichten
Insbesondere bei der Datenschutz-Folgenabschätzung
 Meldepflicht von Verletzungen
Unbefugte Datenbearbeitung muss so rasch als möglich gemeldet werden
 Recht auf Löschung
 Erweiterte Kompetenzen der Aufsichtsbehörden
 Möglichkeit zur Einsetzung eines Datenschutzberaters
 Andere Meldepflichten
 Abschaffung des Schutzes von Daten juristischer Personen
März 2018
Seite 8
Baggenstos IT Breakfast Briefing - Datenschutz
Anwendungsbereich
Seite 9
März 2018Baggenstos IT Breakfast Briefing - Datenschutz
RÄUMLICHER ANWENDUNGSBEREICH
Anwendung auf die Verarbeitung personenbezogener Daten im Rahmen der
Tätigkeit
 eines Verantwortlichen mit Niederlassung in der EU
 eines Auftragsverarbeiters mit Niederlassung in der EU
und zwar unabhängig davon, ob die Verarbeitung in der EU oder nicht
stattfindet.
März 2018
Seite 10
Baggenstos IT Breakfast Briefing - Datenschutz
EXTRATERRITORIALER ANWENDUNGSBEREICH
März 2018Baggenstos IT Breakfast Briefing - Datenschutz
Seite 11
Anbieten von Waren und
Dienstleistungen an
Personen in der EU
Bearbeiten von personenbezogenen Daten
von Personen in der EU im Auftrag einer
EU Gesellschaft
Beobachten des
Verhaltens von
Personen in der EU
Wichtige Begriffe
Seite 12
März 2018Baggenstos IT Breakfast Briefing - Datenschutz
PERSONENBEZOGENE DATEN
Informationen, die sich auf eine identifizierbare natürliche Person
(«betroffene Person« [Data Subject] genannt) beziehen
März 2018
Seite 13
Baggenstos IT Breakfast Briefing - Datenschutz
Name
IP-Adresse
Merkmale
KFZ - Nummer
VERARBEITUNG
ist jeder - mit oder ohne Hilfe automatisierter Verfahren - ausgeführter
Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit
personenbezogenen Daten wie
 das Erheben,
 das Erfassen,
 die Organisation,
 das Ordnen,
 die Speicherung,
 die Verwendung,
 das Auslesen,
 das Abfragen,
März 2018
Seite 14
Baggenstos IT Breakfast Briefing - Datenschutz
 die Anpassung oder Veränderung, die
Offenlegung durch Übermittlung,
 Verbreitung oder eine andere Form
der Bereitstellung,
 den Abgleich oder die Verknüpfung,
 die Einschränkung,
 das Löschen oder
 die Vernichtung.
VERBOT DER BEARBEITUNG BESONDERER
KATEGORIEN [SPECIAL CATEGORIES]
Die Verarbeitung personenbezogener Daten, aus denen
 die rassische und ethnische Herkunft,
 politische Meinungen,
 religiöse oder weltanschauliche Überzeugungen oder
 die Gewerkschaftszugehörigkeit
hervorgehen sowie die Verarbeitung von
 genetischen Daten,
 biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person,
 Gesundheitsdaten oder
 Daten zum Sexualleben oder der sexuellen Orientierung
einer natürlichen Person ist untersagt.
Nationales Recht kann weitere Kategorien definieren.
März 2018
Seite 15
Baggenstos IT Breakfast Briefing - Datenschutz
BESONDERS SCHÜTZENSWERTE
PERSONENDATEN
Besonders schützenswerte Personendaten:
 die rassische und ethnische Herkunft
 politische Meinungen
 religiöse oder weltanschauliche Überzeugungen oder
 die Gewerkschaftszugehörigkeit
 genetischen Daten,
 biometrischen Daten zur Identifizierung einer natürlichen Person,
 Gesundheitsdaten oder
 Daten über die Intimsphäre
 Daten über verwaltungs- oder strafrechtliche Verfolgungen und Sanktionen
 Daten über Massnahmen der sozialen Hilfe
Annahme einer Persönlichkeitsverletzung, wenn besonders schützenswerte
Personendaten Dritten weiter gegeben werden.
März 2018
Seite 16
Baggenstos IT Breakfast Briefing - Datenschutz
INHALT DER PERSONENDATEN
UnbedeutendeLog-in-Daten
März 2018
Seite 17
Baggenstos IT Breakfast Briefing - Datenschutz
GeschäftlicheAdresse/Tf
PrivateAdresse
Vertrauensärztliche
Informationen
Besondersschützenswerte
Personendaten
Gehalt/Salärdaten
Zahlungsinformationen
fürdieBank
UmfassenderCV
Facebook«öffentlich»
Facebook«Freundeund
FreundevonFreunden»
Facebook«Nurbestimmte
Freunde»
Geburtstag
FotofürGeschäft
PrivateFotos
GeschäftlicheKorrespondenz
Nicht heikel Sehr heikel
RECHTFERTIGUNGSGRÜNDE
& INFORMATION
März 2018
Seite 18
Baggenstos IT Breakfast Briefing - Datenschutz
Umfassende vorgängige Information
Nicht heikel Sehr heikel
Ausdrückliche Zustimmung
Umstände
Einfache Zustimmung
Hohe Anforderungen an Rechtfertigungsgrund
EXKURS: EINWILLIGUNG
 der betroffenen Person (Ausnahme Kinder)
 freiwillig
 für den bestimmten Fall
 in informierter Weise
 unmissverständlich abgegebenes
 Einverständnis zur Verarbeitung
 Muss nachweisbar sein
 Ausdrücklich beim Datentransfer in Drittländer und besonderen
Kategorien von Personendaten sowie zur automatischen Verarbeitung
(Profiling)
 Insb. bei elektronischen Erklärungen: knapp und klar ohne Unterbruch
des Dienstes
März 2018
Seite 19
Baggenstos IT Breakfast Briefing - Datenschutz
PSEUDONYMISIERUNG
Personenbezogenen Daten können ohne Hinzuziehung zusätzlicher
Informationen nicht mehr einer spezifischen betroffenen Person
zugeordnet werden.
März 2018
Seite 20
Baggenstos IT Breakfast Briefing - Datenschutz
Name Feriensaldo Land Gehalt
Hans Meier 25 CH 100’000
Fritz Müller 22 CH 120’000
Maria Schmid 15 DE 115’000
Marta Meier 23 CH 90’000
Heinz Muster 10 DE 140’000
Tobias Keller 11 CH 98’000
Ruth Schibli 30 DE 132’000
XXXXXX XX XX XXXX
Name Feriensaldo Land Gehalt
32432299 25 CH 100’000
56392372 22 CH 120’000
93279743 15 DE 115’000
98743503 23 CH 90’000
12398792 10 DE 140’000
70297524 11 CH 98’000
04395724 30 DE 132’000
XXXXXX XX XX XXXX
Name Feriensaldo Land Gehalt
32432299 25 CH 100’000
56392372 120 CH 120’000
93279743 15 DE 115’000
98743503 23 CH 90’000
12398792 10 DE 250’000
70297524 11 CH 70’000
04395724 30 DE 132’000
XXXXXX XX XX XXXX
VERANTWORTLICHER [CONTROLLER]
AUFTRAGSVERARBEITER [PROCESSOR]
Verantwortlicher
Person, die über die Zwecke und Mittel der Verarbeitung von
personenbezogenen Daten entscheidet
Auftragsverarbeiter
Auftragsbearbeiter
Person, die personenbezogene Daten im Auftrag des Verantwortlichen
verarbeitet (Outsourcing Provider).
März 2018
Seite 21
Baggenstos IT Breakfast Briefing - Datenschutz
DATEN VERSTORBENER PERSONEN
Einsichtsrecht der direkten Angehörigen einer verstorbenen Person unter
bestimmten Umständen.
Daneben können diese Personen auch die Löschung der Informationen
verlangen.
März 2018
Seite 22
Baggenstos IT Breakfast Briefing - Datenschutz
Ausgewählte Rechte und Pflichten
Seite 23
März 2018Baggenstos IT Breakfast Briefing - Datenschutz
SICHERHEIT VON PERSONENDATEN
Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete
technische und organisatorische Massnahmen eine dem Risiko angemessene
Datensicherheit.
Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu
vermeiden.
Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die
Datensicherheit.
März 2018
Seite 24
Baggenstos IT Breakfast Briefing - Datenschutz
DOKUMENTATIONSPFLICHT DES
VERANTWORTLICHEN
Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs,
der Umstände und der Zwecke der Verarbeitung sowie der unter-
schiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die
Rechte und Freiheiten natürlicher Personen geeignete technische und
organisatorische Maßnahmen um, um sicherzustellen und den Nachweis
dafür erbringen zu können, dass die Verarbeitung gemäß dieser
Verordnung erfolgt.
Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.
März 2018
Seite 25
Baggenstos IT Breakfast Briefing - Datenschutz
ACTON POINT - VERZEICHNIS VON
VERARBEITUNGSTÄTIGKEITEN
Jeder Verantwortliche führt ein Verzeichnis aller Verarbeitungstätigkeiten
mit folgenden Angaben:
 Name und Kontaktdaten des Verantwortlichen
 Zweck der Verarbeitung
 Kategorien betroffener Personendaten
 Kategorien von Empfängern
 Dokumentierung geeigneter Garantien bei Übermittlung in ein Drittland
und Bezeichnung des Drittlandes
 Fristen für die Löschung der Datenkategorien
 Allgemeine Beschreibung der technischen und organisatorischen
Massnahmen
März 2018
Seite 26
Baggenstos IT Breakfast Briefing - Datenschutz
ACTON POINT - VERZEICHNIS VON
BEARBEITUNGSTÄTIGKEITEN
Die Verantwortlichen und Auftragsbearbeiter führen ein Verzeichnis ihrer
Bearbeitungstätigkeiten, welches mindestens enthält:
 Identität des Verantwortlichen
 Bearbeitungszweck
 Kategorien betroffenen Personen und der Kategorien Personendaten
 Kategorien von Empfängern
 die Aufbewahrungsdauer
 Dokumentierung geeigneter Garantien bei Übermittlung ins Ausland
sowie Angabe des Staates
 eine allgemeine Beschreibung der technischen und organisatorischen
Massnahmen
März 2018
Seite 27
Baggenstos IT Breakfast Briefing - Datenschutz
BEISPIEL VERZEICHNIS VON
VERARBEITUNGSTÄTIGKEITEN
März 2018Baggenstos IT Breakfast Briefing - Datenschutz
Seite 28
DATENSCHUTZ FOLGENABSCHÄTZUNG
[PIA / PRIVACY IMPACT ASSESSMENT]
Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer
Technologien, aufgrund der Art, des Umfangs, der Umstände und der
Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte
und Freiheiten natürlicher Personen zur Folge, so führt der
Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen
Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.
Dies ist insbesondere nötigt bei:
 automatisierte Verarbeitung, inkl. Profiling
 besondere Kategorien personenbezogener Daten
 systematische Überwachung öffentlich zugänglicher Bereiche
März 2018
Seite 29
Baggenstos IT Breakfast Briefing - Datenschutz
DATENSCHUTZ FOLGENABSCHÄTZUNG
[PIA / PRIVACY IMPACT ASSESSMENT]
Führt die vorgesehene Datenbearbeitung voraussichtlich zu einem hohem
Risiko für die Persönlichkeit oder die Grundechte der betroffenen Person,
so muss der Verantwortliche oder der Auftragsbearbeiter vorgängig eine
Datenschutz-Folgeabschätzung durchführen. Es lieg namentlich vor:
 Bei umfangreichen Bearbeiten besonders schützenswerter
Personendaten
 Bei einem Profiling
 Wenn systematisch umfangreiche öffentliche Bereiche überwacht
werden
März 2018
Seite 30
Baggenstos IT Breakfast Briefing - Datenschutz
DATENSCHUTZBERATER
Möglichkeit der Befreiung von der Konsultation des Beauftragten [EDÖB]
bezüglich der Resultate von PIA, wenn ein Datenschutzbeauftragter
bestellt ist.
Der Datenschutzberater muss über Fachkenntnisse verfügen und seine
Funktion unabhängig ausüben. Die Bestellung eines Datenschutzberaters
ist dem EDÖB zu melden.
März 2018
Seite 31
Baggenstos IT Breakfast Briefing - Datenschutz
PRIVACY BY DEFAULT
Verantwortliche muss möglichst
schonend Daten sammeln:
 Schutz von Personendaten ohne
Konfiguration
 Benachrichtigung der betroffenen
Personen
 Koppelungsverbot (EU)
Opt-in nicht Opt out!
März 2018
Seite 32
Baggenstos IT Breakfast Briefing - Datenschutz
 Ich abonniere den Newsletter
 Ich abonniere den Newsletter

Privacy by Design bedeutet
 Datenschutzprobleme
schon bei der Entwicklung
neuer Technologien
prüfen
 den Datenschutz von
vorneherein in die
Gesamtkonzeption
einbeziehen
PRIVACY BY DESGIN
BETROFFENENRECHTE
Betroffene Personen können in der Regel verlangen, dass Sie
innert 30 Tagen erhalten:
März 2018
Seite 33
Baggenstos IT Breakfast Briefing - Datenschutz
AUSKUNFT
über die
Kategorien und
Bearbeitung Ihrer
Daten
Bestätigung der
LÖSCHUNG
ihrer Daten
Bestätigung der
BERICHTIGUNG
Ihrer Daten
HERAUSGABE
ihrer elektronischen
Daten (nur EU)
MELDUNG VON VERLETZUNGEN
[INCIDENT RESPONSE]
 Benachrichtigung der Aufsichtsbehörde unverzüglich und
möglichst binnen 72 Stunden (CH: möglichst rasch).
 Der Auftragsverarbeiter alarmiert und informiert den für
die Verarbeitung Verantwortlichen unverzüglich nach
Feststellung einer Verletzung des Schutzes
personenbezogener Daten.
 Im Anschluss: Der für die Verarbeitung Verantwortliche
benachrichtigt im Anschluss an die Meldung an die
Aufsichtsbehörde unverzüglich das Datensubjekt, sofern
der Schutz der personenbezogenen Daten, die
Privatsphäre oder die Rechte des Datensubjektes durch
eine Verletzung beeinträchtigt werden.
CH: Information des Datensubjekts, wenn für es für
dieses erforderlich ist oder der Beauftragte dies verlangt
 CH: Eine Meldung darf in einem Strafverfahren gegen
den Meldepflichtigen nur mit dessen Einverständnis
verwendet werden.
Die Benachrichtigung enthält mindestens:
 Eine Beschreibung der Art der Verletzung des Schutzes
personenbezogener Daten mit Angabe der Kategorien
und der Zahl der betroffenen Datensubjekte, der
betroffenen Datenkategorien und der Zahl der
betroffenen Datensätze;
 Name und Kontaktdaten des Datenschutzbeauftragten
oder eines sonstigen Ansprechpartners;
 eine Beschreibung der wahrscheinlichen Folgen der
Verletzung des Schutzes personenbezogener Daten;
 gegebenenfalls eine Beschreibung der vorgeschlagenen
oder ergriffenen Massnahmen.
Grundlagen Inhalt der Benachrichtigung
März 2018Baggenstos IT Breakfast Briefing - Datenschutz
Seite 34
 Vorbereitende Handlungen
für die Meldung
 Checkliste bei Vorfällen
Empfohlene Massnahmen
Seite 35
März 2018Baggenstos IT Breakfast Briefing - Datenschutz
ERSTE MASSNAHMEN
März 2018Baggenstos IT Breakfast Briefing - Datenschutz
Seite 36
2. Übersicht gewinnen und Prioritäten festlegen:
 Verfahrensverzeichnis erstellen
 Risiken abschätzen
 Technische und organisatorische Massnahmen der IT dokumentieren
 Weitere Massnahmen ableiten und Prioritäten festlegen
3. Prozesse einrichten:
 Incident Reporting
 Auskunftsbegehren
 Löschbegehren
 Berichtigungsbegehren
 Neue IT Systeme / Änderungen
1. Verantwortlichkeiten festlegen:
 Projektverantwortlichen bestimmen
 Ressourcen freistellen
 Interne & externe Unterstützung
 Reporting
1. SCHRITT
VERZEICHNIS VERARBEITUNGSTÄTIGKEITEN
März 2018
Seite 37
Baggenstos IT Breakfast Briefing - Datenschutz
Verfahren Nr. 1
 Kategorien
− Betroffene
− Daten
− Empfänger
 Zweck
 Datentransfer
Drittländer
 Löschfristen
Abteilung / Bereich
Name und Kontaktdaten Verantwortlicher
Verfahren Nr. …
 Kategorien
− Betroffene
− Daten
− Empfänger
 Zweck
 Datentransfer
Drittländer
 Löschfristen
Verfahren Nr. 2
 Kategorien
− Betroffene
− Daten
− Empfänger
 Zweck
 Datentransfer
Drittländer
 Löschfristen
2. SCHRITT
RISIKO-BEWERTUNG
März 2018
Seite 38
Baggenstos IT Breakfast Briefing - Datenschutz
Verfahren Nr. 1
 Kategorien
− Betroffene
− Daten
− Empfänger
 Zweck
 Datentransfer
Drittländer
 Löschfristen
Risiko-
beurteilung
Abteilung / Bereich
Name und Kontaktdaten Verantwortlicher
Verfahren Nr. …
 Kategorien
− Betroffene
− Daten
− Empfänger
 Zweck
 Datentransfer
Drittländer
 Löschfristen
Risiko-
beurteilung
Verfahren Nr. 2
 Kategorien
− Betroffene
− Daten
− Empfänger
 Zweck
 Datentransfer
Drittländer
 Löschfristen
Risiko-
beurteilung
3. SCHRITT
BESTIMMUNG SCHUTZMASSNAHMEN
März 2018
Seite 39
Baggenstos IT Breakfast Briefing - Datenschutz
Verfahren Nr. 1
Schutzmassnahmen (tech./org.)
 Zugriffsbeschränkungen
 Pseudonymisierung
 ….
 Kategorien
− Betroffene
− Daten
− Empfänger
 Zweck
 Datentransfer
Drittländer
 Löschfristen
Risiko-
beurteilung
Abteilung / Bereich
Name und Kontaktdaten Verantwortlicher / Grundlegende Massnahmen zur Datensicherheit
Verfahrensübergreifende Schutzmassnahmen
Schutz Serverraum/Rechenzentrum / Gebäudesicherheit / …
Verfahren Nr. …
Schutzmassnahmen (tech./org.)
 Zugriffsbeschränkungen
 Pseudonymisierung
 ….
 Kategorien
− Betroffene
− Daten
− Empfänger
 Zweck
 Datentransfer
Drittländer
 Löschfristen
Risiko-
beurteilung
Verfahren Nr. 2
Schutzmassnahmen (tech./org.)
 Zugriffsbeschränkungen
 Pseudonymisierung
 ….
 Kategorien
− Betroffene
− Daten
− Empfänger
 Zweck
 Datentransfer
Drittländer
 Löschfristen
Risiko-
beurteilung
4. SCHRITT
FESTLEGEN WEITERER NÖTIGER MASSNAHMEN
März 2018
Seite 40
Baggenstos IT Breakfast Briefing - Datenschutz
Verfahren Nr. 1
Schutzmassnahmen (tech./org.)
 Zugriffsbeschränkungen
 Pseudonymisierung
 ….
 Kategorien
− Betroffene
− Daten
− Empfänger
 Zweck
 Datentransfer
Drittländer
 Löschfristen
Risiko-
beurteilung
Abteilung / Bereich
Name und Kontaktdaten Verantwortlicher
Verfahrensübergreifende Schutzmassnahmen
Dokumentation der Garantien bei Übermittlung in Drittländer
Dokumentation der Sicherheiten bei Transfer der Daten an
Dritte (z.B. Outsourcing-Provider)
Erstellung von Bearbeitungsreglementen, insbesondere wenn
keine technischen Schutzmassnahmen möglich oder mit
vertretbarem Aufwand machbar sind
Sicherstellung der Überwachung und Alarmierung bei
sicherheitsrelevanten Vorfällen
Bei Verfahren mit hohem Risiko: vertiefte Abklärung und
umfassende Dokumentation
Regelmässige Überprüfung der korrekten Implementierung
Schutz Serverraum/Rechenzentrum / Gebäudesicherheit / …
Beispiel Bericht
März 2018Baggenstos IT Breakfast Briefing - Datenschutz
Seite 41
Fragen und Diskussion
Seite 42
März 2018Baggenstos IT Breakfast Briefing - Datenschutz
ARE YOU READY?
Testen Sie mit einem Self Assessment der englischen Aufsichtsbehörde, dem UK
ICO (Information Commissioner’s Office), ob Sie die Vorgaben der EU bereits alle
erfüllen:
https://ico.org.uk/for-organisations/resources-and-support/data-protection-self-
assessment/getting-ready-for-the-gdpr/
März 2018Baggenstos IT Breakfast Briefing - Datenschutz
Seite 43
KLAUS KROHMANN
BDO AG
Schiffbaustrasse 2
CH-8031 Zürich
Tel +41 44 444 36 25
Mobile +41 76 436 44 47
Email klaus.Krohmann@bdo.ch
KONTAKTDATEN
März 2018Baggenstos IT Breakfast Briefing - Datenschutz
Seite 44

Weitere ähnliche Inhalte

Was ist angesagt?

11 from gingivitis to
11 from gingivitis to11 from gingivitis to
11 from gingivitis to
emantella
 
masticatory system disorders that influence periodontium
masticatory system disorders that influence periodontiummasticatory system disorders that influence periodontium
masticatory system disorders that influence periodontium
Dara Ghaznavi
 
radiology of Maxillary sinus
radiology of Maxillary sinusradiology of Maxillary sinus
radiology of Maxillary sinus
Zara dentist
 

Was ist angesagt? (20)

Sosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaikaSosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaika
 
Gingival enlargement
Gingival enlargementGingival enlargement
Gingival enlargement
 
gingival enlargements / dental implant courses
gingival enlargements / dental implant coursesgingival enlargements / dental implant courses
gingival enlargements / dental implant courses
 
Risk & risk factors By Dr. Abhishek Gaur (8741095005)
Risk & risk factors By Dr. Abhishek Gaur (8741095005)Risk & risk factors By Dr. Abhishek Gaur (8741095005)
Risk & risk factors By Dr. Abhishek Gaur (8741095005)
 
Smoking and periodontitis
Smoking and periodontitisSmoking and periodontitis
Smoking and periodontitis
 
Smoking and periodontal diseases
Smoking  and periodontal diseasesSmoking  and periodontal diseases
Smoking and periodontal diseases
 
Epidemiology of dc in india
Epidemiology of dc in indiaEpidemiology of dc in india
Epidemiology of dc in india
 
Обучение по пожарна безопасност
Обучение по пожарна безопасностОбучение по пожарна безопасност
Обучение по пожарна безопасност
 
11 from gingivitis to
11 from gingivitis to11 from gingivitis to
11 from gingivitis to
 
Congenitally missing & supernumerary teeth
Congenitally missing & supernumerary teethCongenitally missing & supernumerary teeth
Congenitally missing & supernumerary teeth
 
masticatory system disorders that influence periodontium
masticatory system disorders that influence periodontiummasticatory system disorders that influence periodontium
masticatory system disorders that influence periodontium
 
Bone destruction Periodontics *(ViRa)*
Bone destruction Periodontics *(ViRa)*Bone destruction Periodontics *(ViRa)*
Bone destruction Periodontics *(ViRa)*
 
Periodontal diseases
Periodontal diseasesPeriodontal diseases
Periodontal diseases
 
Determination of prognosis
Determination of prognosisDetermination of prognosis
Determination of prognosis
 
radiology of Maxillary sinus
radiology of Maxillary sinusradiology of Maxillary sinus
radiology of Maxillary sinus
 
Discoloration of teeth / dental implant courses by Indian dental academy 
Discoloration of teeth / dental implant courses by Indian dental academy Discoloration of teeth / dental implant courses by Indian dental academy 
Discoloration of teeth / dental implant courses by Indian dental academy 
 
GINGIVA Macroscopic features
GINGIVA Macroscopic featuresGINGIVA Macroscopic features
GINGIVA Macroscopic features
 
Impacted lower 3rd molar
Impacted lower 3rd molar Impacted lower 3rd molar
Impacted lower 3rd molar
 
INFLUENCE OF SYSTEMIC CONDITIONS ON PERIODONTIUM- DIABETES AND STRESS
INFLUENCE OFSYSTEMIC CONDITIONS ON PERIODONTIUM- DIABETES AND STRESSINFLUENCE OFSYSTEMIC CONDITIONS ON PERIODONTIUM- DIABETES AND STRESS
INFLUENCE OF SYSTEMIC CONDITIONS ON PERIODONTIUM- DIABETES AND STRESS
 
Tetracycline and its modifications .pptx seminar 5
Tetracycline and its modifications .pptx seminar 5Tetracycline and its modifications .pptx seminar 5
Tetracycline and its modifications .pptx seminar 5
 

Ähnlich wie Was bedeuten die neuen Datenschutzgesetze für Schweizer Unternehmen?

Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
Raabe Verlag
 
Die Zukunft des Informationsmarktes: Chancen und Risiken für die Wirtschaft u...
Die Zukunft des Informationsmarktes: Chancen und Risiken für die Wirtschaft u...Die Zukunft des Informationsmarktes: Chancen und Risiken für die Wirtschaft u...
Die Zukunft des Informationsmarktes: Chancen und Risiken für die Wirtschaft u...
Michael Fanning
 
Informationszugangsrecht in Deutschland - Passen die Rechte zusammen?
Informationszugangsrecht in Deutschland - Passen die Rechte zusammen?Informationszugangsrecht in Deutschland - Passen die Rechte zusammen?
Informationszugangsrecht in Deutschland - Passen die Rechte zusammen?
Michael Fanning
 
Informationszugangsrechte in Deutschland: Passen die Rechte zusammen?
Informationszugangsrechte in Deutschland: Passen die Rechte zusammen?Informationszugangsrechte in Deutschland: Passen die Rechte zusammen?
Informationszugangsrechte in Deutschland: Passen die Rechte zusammen?
Michael Fanning
 
Wirkungsanalyse der Informationsfreiheitsgesetze – die europäische wirtschaf...
Wirkungsanalyse der  Informationsfreiheitsgesetze – die europäische wirtschaf...Wirkungsanalyse der  Informationsfreiheitsgesetze – die europäische wirtschaf...
Wirkungsanalyse der Informationsfreiheitsgesetze – die europäische wirtschaf...
Michael Fanning
 
Last-Minute Einführung in die DSGVO
Last-Minute Einführung in die DSGVOLast-Minute Einführung in die DSGVO
Last-Minute Einführung in die DSGVO
Bokowsky + Laymann GmbH
 
Präsentation gewerkschaft biz
Präsentation gewerkschaft bizPräsentation gewerkschaft biz
Präsentation gewerkschaft biz
VÖGB
 

Ähnlich wie Was bedeuten die neuen Datenschutzgesetze für Schweizer Unternehmen? (20)

DSGVO – Veränderungen und Folgen für den Hochschulbereich (Slides Prof. Dr. T...
DSGVO – Veränderungen und Folgen für den Hochschulbereich (Slides Prof. Dr. T...DSGVO – Veränderungen und Folgen für den Hochschulbereich (Slides Prof. Dr. T...
DSGVO – Veränderungen und Folgen für den Hochschulbereich (Slides Prof. Dr. T...
 
Dipl. Bw. (FH) Manfred Brandner (BIT-Group), Dr. Alexander Janda (Kuratorium ...
Dipl. Bw. (FH) Manfred Brandner (BIT-Group), Dr. Alexander Janda (Kuratorium ...Dipl. Bw. (FH) Manfred Brandner (BIT-Group), Dr. Alexander Janda (Kuratorium ...
Dipl. Bw. (FH) Manfred Brandner (BIT-Group), Dr. Alexander Janda (Kuratorium ...
 
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
 
Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018
Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018
Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018
 
Die Zukunft des Informationsmarktes: Chancen und Risiken für die Wirtschaft u...
Die Zukunft des Informationsmarktes: Chancen und Risiken für die Wirtschaft u...Die Zukunft des Informationsmarktes: Chancen und Risiken für die Wirtschaft u...
Die Zukunft des Informationsmarktes: Chancen und Risiken für die Wirtschaft u...
 
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO) Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
 
Informationszugangsrecht in Deutschland - Passen die Rechte zusammen?
Informationszugangsrecht in Deutschland - Passen die Rechte zusammen?Informationszugangsrecht in Deutschland - Passen die Rechte zusammen?
Informationszugangsrecht in Deutschland - Passen die Rechte zusammen?
 
Informationszugangsrechte in Deutschland: Passen die Rechte zusammen?
Informationszugangsrechte in Deutschland: Passen die Rechte zusammen?Informationszugangsrechte in Deutschland: Passen die Rechte zusammen?
Informationszugangsrechte in Deutschland: Passen die Rechte zusammen?
 
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop:   Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...Workshop:   Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
 
Begriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des DatenschutzrechtsBegriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des Datenschutzrechts
 
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umDSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
 
Wirkungsanalyse der Informationsfreiheitsgesetze – die europäische wirtschaf...
Wirkungsanalyse der  Informationsfreiheitsgesetze – die europäische wirtschaf...Wirkungsanalyse der  Informationsfreiheitsgesetze – die europäische wirtschaf...
Wirkungsanalyse der Informationsfreiheitsgesetze – die europäische wirtschaf...
 
GDPR Datenschutz-Compliance: von der Pflicht zur Kür
GDPR Datenschutz-Compliance: von der Pflicht zur KürGDPR Datenschutz-Compliance: von der Pflicht zur Kür
GDPR Datenschutz-Compliance: von der Pflicht zur Kür
 
Grundlagen der DSGVO
Grundlagen der DSGVOGrundlagen der DSGVO
Grundlagen der DSGVO
 
General data protection regulation-slides
General data protection regulation-slidesGeneral data protection regulation-slides
General data protection regulation-slides
 
Last-Minute Einführung in die DSGVO
Last-Minute Einführung in die DSGVOLast-Minute Einführung in die DSGVO
Last-Minute Einführung in die DSGVO
 
DSGVO-Workshop bei Nimbusec
DSGVO-Workshop bei NimbusecDSGVO-Workshop bei Nimbusec
DSGVO-Workshop bei Nimbusec
 
Präsentation gewerkschaft biz
Präsentation gewerkschaft bizPräsentation gewerkschaft biz
Präsentation gewerkschaft biz
 
Big Data/Industrie 4.0
Big Data/Industrie 4.0Big Data/Industrie 4.0
Big Data/Industrie 4.0
 
Content Marketing - Rechtsfragen
Content Marketing - RechtsfragenContent Marketing - Rechtsfragen
Content Marketing - Rechtsfragen
 

Mehr von A. Baggenstos & Co. AG

Mehr von A. Baggenstos & Co. AG (20)

Webinar: Neues Datenschutzgesetz und Microsoft 365 - das müssen Sie wissen
Webinar: Neues Datenschutzgesetz und Microsoft 365 - das müssen Sie wissenWebinar: Neues Datenschutzgesetz und Microsoft 365 - das müssen Sie wissen
Webinar: Neues Datenschutzgesetz und Microsoft 365 - das müssen Sie wissen
 
Azure Migration and Modernization Program (AMMP)
Azure Migration and Modernization Program (AMMP)Azure Migration and Modernization Program (AMMP)
Azure Migration and Modernization Program (AMMP)
 
Webinar: Gamechanger Microsoft Power Plattform
Webinar: Gamechanger Microsoft Power PlattformWebinar: Gamechanger Microsoft Power Plattform
Webinar: Gamechanger Microsoft Power Plattform
 
Webinar Darktrace: Fragen und Antworten
Webinar Darktrace: Fragen und AntwortenWebinar Darktrace: Fragen und Antworten
Webinar Darktrace: Fragen und Antworten
 
Webinar: Darktrace - maximale Cybersecurity dank künstlicher Intelligenz
Webinar: Darktrace - maximale Cybersecurity dank künstlicher IntelligenzWebinar: Darktrace - maximale Cybersecurity dank künstlicher Intelligenz
Webinar: Darktrace - maximale Cybersecurity dank künstlicher Intelligenz
 
Windows 365 oder Azure Virtual Desktop?
Windows 365 oder Azure Virtual Desktop?Windows 365 oder Azure Virtual Desktop?
Windows 365 oder Azure Virtual Desktop?
 
Neues CSP Lizenzmodell - Microsoft New Commerce Experience
Neues CSP Lizenzmodell - Microsoft New Commerce ExperienceNeues CSP Lizenzmodell - Microsoft New Commerce Experience
Neues CSP Lizenzmodell - Microsoft New Commerce Experience
 
Webinar: Azure Virtual Desktop in der Praxis
Webinar: Azure Virtual Desktop in der PraxisWebinar: Azure Virtual Desktop in der Praxis
Webinar: Azure Virtual Desktop in der Praxis
 
Webinar: Neue Arbeitswelt – Zusammenarbeiten mit Lenovo Teams Raum Systemen
Webinar: Neue Arbeitswelt – Zusammenarbeiten mit Lenovo Teams Raum SystemenWebinar: Neue Arbeitswelt – Zusammenarbeiten mit Lenovo Teams Raum Systemen
Webinar: Neue Arbeitswelt – Zusammenarbeiten mit Lenovo Teams Raum Systemen
 
Webinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenWebinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - Abwehrmöglichkeiten
 
Webinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenWebinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - Abwehrmöglichkeiten
 
Webinar: Cyberangriff - Frontbericht
Webinar: Cyberangriff - Frontbericht Webinar: Cyberangriff - Frontbericht
Webinar: Cyberangriff - Frontbericht
 
Webinar: Geodaten aus der Cloud - ready for the future?
Webinar: Geodaten aus der Cloud - ready for the future?Webinar: Geodaten aus der Cloud - ready for the future?
Webinar: Geodaten aus der Cloud - ready for the future?
 
Webinar: Wie Hunziker Betatech Microsoft Teams einsetzt
Webinar: Wie Hunziker Betatech Microsoft Teams einsetztWebinar: Wie Hunziker Betatech Microsoft Teams einsetzt
Webinar: Wie Hunziker Betatech Microsoft Teams einsetzt
 
Webinar: Microsoft Teams im Kundenservice
Webinar: Microsoft Teams im KundenserviceWebinar: Microsoft Teams im Kundenservice
Webinar: Microsoft Teams im Kundenservice
 
Webinar: Kommunizieren Sie schon oder telefonieren Sie noch?
Webinar: Kommunizieren Sie schon oder telefonieren Sie noch?Webinar: Kommunizieren Sie schon oder telefonieren Sie noch?
Webinar: Kommunizieren Sie schon oder telefonieren Sie noch?
 
Webinar: Information Governance in Microsoft 365
Webinar: Information Governance in Microsoft 365Webinar: Information Governance in Microsoft 365
Webinar: Information Governance in Microsoft 365
 
Datenverschlüsselung in der Praxis
Datenverschlüsselung in der PraxisDatenverschlüsselung in der Praxis
Datenverschlüsselung in der Praxis
 
Webinar: Advanced Threat Protection für maximale Clientsecurity
Webinar: Advanced Threat Protection für maximale ClientsecurityWebinar: Advanced Threat Protection für maximale Clientsecurity
Webinar: Advanced Threat Protection für maximale Clientsecurity
 
Erfahrungsaustausch nach einem Monat Homeoffice
Erfahrungsaustausch nach einem Monat HomeofficeErfahrungsaustausch nach einem Monat Homeoffice
Erfahrungsaustausch nach einem Monat Homeoffice
 

Was bedeuten die neuen Datenschutzgesetze für Schweizer Unternehmen?

  • 1. Prüfung | Treuhand | Steuern | Beratung WAS BEDEUTEN DIE NEUEN DATENSCHUTZGESETZE FÜR SCHWEIZER UNTERNEHMEN? Baggenstos IT Breakfast Briefing: Sind Sie bereit für das neue Datenschutzgesetz? KLAUS KROHMANN 20. März 2018
  • 2. ENTWICKLUNG DER DATENMENGEN 400 h Videoupload / Minute März 2018 Seite 2 Baggenstos IT Breakfast Briefing - Datenschutz 205 Milliarden Mails / Tag Wikipedia enthält 5.35 Millionen Artikel 217 neue Internetteilnehmer / Minute 50 Milliarden Connected Devices in 2020
  • 3. EU-DATENSCHUTZRICHTLINIE 1995 / DSG 1994 Im gleichen Jahr… März 2018 Seite 3 Baggenstos IT Breakfast Briefing - Datenschutz … Siemens S3 mit SMS … … Windows 95 … … 66MHz Prozessor und 80 MB Festplatten…
  • 4. STATUS DER GESETZESENTWICKLUNG März 2018 Seite 4 Baggenstos IT Breakfast Briefing - Datenschutz Direktive Anwendung DSGVODSGVO Übergangsfrist 25. Mai 201827. April 2016 Nationale Ausführungs- Erlasse Anwendung Ausführungsrecht Anwendung Ausführungsrecht 2016 2017 2018 2019 Land 1 Land 2 Vernehmlassung Botschaft/Parlament Anwendung Inkrafttreten?
  • 5. Was ist neu? Seite 5 März 2018Baggenstos IT Breakfast Briefing - Datenschutz
  • 6. NEUERUNGEN DER DSGVO  Direkte Verbindlichkeit für die ganze EU Gleiche Gesetzesnormen für alle direkt anwendbar; jedoch mit Möglichkeit für länderspezifische Öffnungsnormen  Strengere Bussgelder bis 4% des weltweiten Jahresumsatzes des ganzen Konzerns, mind. bis zu EUR 20 Mio.!  Dokumentationspflichten Insbesondere aus neuen Prinzipien der «Accountability» und «Privacy by design»  Meldepflicht von Verletzungen «Incident Reporting» innerhalb von 72 Stunden März 2018 Seite 6 Baggenstos IT Breakfast Briefing - Datenschutz
  • 7. … UND DAS AUCH NOCH:  Recht auf «Vergessenwerden» Vorschriften und Pflicht zur Löschung  Recht auf Datenherausgabe  Erweiterte Kompetenzen der Aufsichtsbehörden  Beschränkte Pflicht für Einsetzung eines betrieblichen Datenschutzverantwortlichen  Abschaffung formalistischer Meldepflichten  Abschaffung des Schutzes von Daten juristischer Personen (für Österreich) März 2018 Seite 7 Baggenstos IT Breakfast Briefing - Datenschutz
  • 8. WAS PLANT DIE SCHWEIZ?  Neue Bussgelder bis zu CHF 250’000  Dokumentationspflichten Insbesondere bei der Datenschutz-Folgenabschätzung  Meldepflicht von Verletzungen Unbefugte Datenbearbeitung muss so rasch als möglich gemeldet werden  Recht auf Löschung  Erweiterte Kompetenzen der Aufsichtsbehörden  Möglichkeit zur Einsetzung eines Datenschutzberaters  Andere Meldepflichten  Abschaffung des Schutzes von Daten juristischer Personen März 2018 Seite 8 Baggenstos IT Breakfast Briefing - Datenschutz
  • 9. Anwendungsbereich Seite 9 März 2018Baggenstos IT Breakfast Briefing - Datenschutz
  • 10. RÄUMLICHER ANWENDUNGSBEREICH Anwendung auf die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeit  eines Verantwortlichen mit Niederlassung in der EU  eines Auftragsverarbeiters mit Niederlassung in der EU und zwar unabhängig davon, ob die Verarbeitung in der EU oder nicht stattfindet. März 2018 Seite 10 Baggenstos IT Breakfast Briefing - Datenschutz
  • 11. EXTRATERRITORIALER ANWENDUNGSBEREICH März 2018Baggenstos IT Breakfast Briefing - Datenschutz Seite 11 Anbieten von Waren und Dienstleistungen an Personen in der EU Bearbeiten von personenbezogenen Daten von Personen in der EU im Auftrag einer EU Gesellschaft Beobachten des Verhaltens von Personen in der EU
  • 12. Wichtige Begriffe Seite 12 März 2018Baggenstos IT Breakfast Briefing - Datenschutz
  • 13. PERSONENBEZOGENE DATEN Informationen, die sich auf eine identifizierbare natürliche Person («betroffene Person« [Data Subject] genannt) beziehen März 2018 Seite 13 Baggenstos IT Breakfast Briefing - Datenschutz Name IP-Adresse Merkmale KFZ - Nummer
  • 14. VERARBEITUNG ist jeder - mit oder ohne Hilfe automatisierter Verfahren - ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie  das Erheben,  das Erfassen,  die Organisation,  das Ordnen,  die Speicherung,  die Verwendung,  das Auslesen,  das Abfragen, März 2018 Seite 14 Baggenstos IT Breakfast Briefing - Datenschutz  die Anpassung oder Veränderung, die Offenlegung durch Übermittlung,  Verbreitung oder eine andere Form der Bereitstellung,  den Abgleich oder die Verknüpfung,  die Einschränkung,  das Löschen oder  die Vernichtung.
  • 15. VERBOT DER BEARBEITUNG BESONDERER KATEGORIEN [SPECIAL CATEGORIES] Die Verarbeitung personenbezogener Daten, aus denen  die rassische und ethnische Herkunft,  politische Meinungen,  religiöse oder weltanschauliche Überzeugungen oder  die Gewerkschaftszugehörigkeit hervorgehen sowie die Verarbeitung von  genetischen Daten,  biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person,  Gesundheitsdaten oder  Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt. Nationales Recht kann weitere Kategorien definieren. März 2018 Seite 15 Baggenstos IT Breakfast Briefing - Datenschutz
  • 16. BESONDERS SCHÜTZENSWERTE PERSONENDATEN Besonders schützenswerte Personendaten:  die rassische und ethnische Herkunft  politische Meinungen  religiöse oder weltanschauliche Überzeugungen oder  die Gewerkschaftszugehörigkeit  genetischen Daten,  biometrischen Daten zur Identifizierung einer natürlichen Person,  Gesundheitsdaten oder  Daten über die Intimsphäre  Daten über verwaltungs- oder strafrechtliche Verfolgungen und Sanktionen  Daten über Massnahmen der sozialen Hilfe Annahme einer Persönlichkeitsverletzung, wenn besonders schützenswerte Personendaten Dritten weiter gegeben werden. März 2018 Seite 16 Baggenstos IT Breakfast Briefing - Datenschutz
  • 17. INHALT DER PERSONENDATEN UnbedeutendeLog-in-Daten März 2018 Seite 17 Baggenstos IT Breakfast Briefing - Datenschutz GeschäftlicheAdresse/Tf PrivateAdresse Vertrauensärztliche Informationen Besondersschützenswerte Personendaten Gehalt/Salärdaten Zahlungsinformationen fürdieBank UmfassenderCV Facebook«öffentlich» Facebook«Freundeund FreundevonFreunden» Facebook«Nurbestimmte Freunde» Geburtstag FotofürGeschäft PrivateFotos GeschäftlicheKorrespondenz Nicht heikel Sehr heikel
  • 18. RECHTFERTIGUNGSGRÜNDE & INFORMATION März 2018 Seite 18 Baggenstos IT Breakfast Briefing - Datenschutz Umfassende vorgängige Information Nicht heikel Sehr heikel Ausdrückliche Zustimmung Umstände Einfache Zustimmung Hohe Anforderungen an Rechtfertigungsgrund
  • 19. EXKURS: EINWILLIGUNG  der betroffenen Person (Ausnahme Kinder)  freiwillig  für den bestimmten Fall  in informierter Weise  unmissverständlich abgegebenes  Einverständnis zur Verarbeitung  Muss nachweisbar sein  Ausdrücklich beim Datentransfer in Drittländer und besonderen Kategorien von Personendaten sowie zur automatischen Verarbeitung (Profiling)  Insb. bei elektronischen Erklärungen: knapp und klar ohne Unterbruch des Dienstes März 2018 Seite 19 Baggenstos IT Breakfast Briefing - Datenschutz
  • 20. PSEUDONYMISIERUNG Personenbezogenen Daten können ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden. März 2018 Seite 20 Baggenstos IT Breakfast Briefing - Datenschutz Name Feriensaldo Land Gehalt Hans Meier 25 CH 100’000 Fritz Müller 22 CH 120’000 Maria Schmid 15 DE 115’000 Marta Meier 23 CH 90’000 Heinz Muster 10 DE 140’000 Tobias Keller 11 CH 98’000 Ruth Schibli 30 DE 132’000 XXXXXX XX XX XXXX Name Feriensaldo Land Gehalt 32432299 25 CH 100’000 56392372 22 CH 120’000 93279743 15 DE 115’000 98743503 23 CH 90’000 12398792 10 DE 140’000 70297524 11 CH 98’000 04395724 30 DE 132’000 XXXXXX XX XX XXXX Name Feriensaldo Land Gehalt 32432299 25 CH 100’000 56392372 120 CH 120’000 93279743 15 DE 115’000 98743503 23 CH 90’000 12398792 10 DE 250’000 70297524 11 CH 70’000 04395724 30 DE 132’000 XXXXXX XX XX XXXX
  • 21. VERANTWORTLICHER [CONTROLLER] AUFTRAGSVERARBEITER [PROCESSOR] Verantwortlicher Person, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet Auftragsverarbeiter Auftragsbearbeiter Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Outsourcing Provider). März 2018 Seite 21 Baggenstos IT Breakfast Briefing - Datenschutz
  • 22. DATEN VERSTORBENER PERSONEN Einsichtsrecht der direkten Angehörigen einer verstorbenen Person unter bestimmten Umständen. Daneben können diese Personen auch die Löschung der Informationen verlangen. März 2018 Seite 22 Baggenstos IT Breakfast Briefing - Datenschutz
  • 23. Ausgewählte Rechte und Pflichten Seite 23 März 2018Baggenstos IT Breakfast Briefing - Datenschutz
  • 24. SICHERHEIT VON PERSONENDATEN Der Verantwortliche und der Auftragsbearbeiter gewährleisten durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit. Die Massnahmen müssen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden. Der Bundesrat erlässt Bestimmungen über die Mindestanforderungen an die Datensicherheit. März 2018 Seite 24 Baggenstos IT Breakfast Briefing - Datenschutz
  • 25. DOKUMENTATIONSPFLICHT DES VERANTWORTLICHEN Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unter- schiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert. März 2018 Seite 25 Baggenstos IT Breakfast Briefing - Datenschutz
  • 26. ACTON POINT - VERZEICHNIS VON VERARBEITUNGSTÄTIGKEITEN Jeder Verantwortliche führt ein Verzeichnis aller Verarbeitungstätigkeiten mit folgenden Angaben:  Name und Kontaktdaten des Verantwortlichen  Zweck der Verarbeitung  Kategorien betroffener Personendaten  Kategorien von Empfängern  Dokumentierung geeigneter Garantien bei Übermittlung in ein Drittland und Bezeichnung des Drittlandes  Fristen für die Löschung der Datenkategorien  Allgemeine Beschreibung der technischen und organisatorischen Massnahmen März 2018 Seite 26 Baggenstos IT Breakfast Briefing - Datenschutz
  • 27. ACTON POINT - VERZEICHNIS VON BEARBEITUNGSTÄTIGKEITEN Die Verantwortlichen und Auftragsbearbeiter führen ein Verzeichnis ihrer Bearbeitungstätigkeiten, welches mindestens enthält:  Identität des Verantwortlichen  Bearbeitungszweck  Kategorien betroffenen Personen und der Kategorien Personendaten  Kategorien von Empfängern  die Aufbewahrungsdauer  Dokumentierung geeigneter Garantien bei Übermittlung ins Ausland sowie Angabe des Staates  eine allgemeine Beschreibung der technischen und organisatorischen Massnahmen März 2018 Seite 27 Baggenstos IT Breakfast Briefing - Datenschutz
  • 28. BEISPIEL VERZEICHNIS VON VERARBEITUNGSTÄTIGKEITEN März 2018Baggenstos IT Breakfast Briefing - Datenschutz Seite 28
  • 29. DATENSCHUTZ FOLGENABSCHÄTZUNG [PIA / PRIVACY IMPACT ASSESSMENT] Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Dies ist insbesondere nötigt bei:  automatisierte Verarbeitung, inkl. Profiling  besondere Kategorien personenbezogener Daten  systematische Überwachung öffentlich zugänglicher Bereiche März 2018 Seite 29 Baggenstos IT Breakfast Briefing - Datenschutz
  • 30. DATENSCHUTZ FOLGENABSCHÄTZUNG [PIA / PRIVACY IMPACT ASSESSMENT] Führt die vorgesehene Datenbearbeitung voraussichtlich zu einem hohem Risiko für die Persönlichkeit oder die Grundechte der betroffenen Person, so muss der Verantwortliche oder der Auftragsbearbeiter vorgängig eine Datenschutz-Folgeabschätzung durchführen. Es lieg namentlich vor:  Bei umfangreichen Bearbeiten besonders schützenswerter Personendaten  Bei einem Profiling  Wenn systematisch umfangreiche öffentliche Bereiche überwacht werden März 2018 Seite 30 Baggenstos IT Breakfast Briefing - Datenschutz
  • 31. DATENSCHUTZBERATER Möglichkeit der Befreiung von der Konsultation des Beauftragten [EDÖB] bezüglich der Resultate von PIA, wenn ein Datenschutzbeauftragter bestellt ist. Der Datenschutzberater muss über Fachkenntnisse verfügen und seine Funktion unabhängig ausüben. Die Bestellung eines Datenschutzberaters ist dem EDÖB zu melden. März 2018 Seite 31 Baggenstos IT Breakfast Briefing - Datenschutz
  • 32. PRIVACY BY DEFAULT Verantwortliche muss möglichst schonend Daten sammeln:  Schutz von Personendaten ohne Konfiguration  Benachrichtigung der betroffenen Personen  Koppelungsverbot (EU) Opt-in nicht Opt out! März 2018 Seite 32 Baggenstos IT Breakfast Briefing - Datenschutz  Ich abonniere den Newsletter  Ich abonniere den Newsletter  Privacy by Design bedeutet  Datenschutzprobleme schon bei der Entwicklung neuer Technologien prüfen  den Datenschutz von vorneherein in die Gesamtkonzeption einbeziehen PRIVACY BY DESGIN
  • 33. BETROFFENENRECHTE Betroffene Personen können in der Regel verlangen, dass Sie innert 30 Tagen erhalten: März 2018 Seite 33 Baggenstos IT Breakfast Briefing - Datenschutz AUSKUNFT über die Kategorien und Bearbeitung Ihrer Daten Bestätigung der LÖSCHUNG ihrer Daten Bestätigung der BERICHTIGUNG Ihrer Daten HERAUSGABE ihrer elektronischen Daten (nur EU)
  • 34. MELDUNG VON VERLETZUNGEN [INCIDENT RESPONSE]  Benachrichtigung der Aufsichtsbehörde unverzüglich und möglichst binnen 72 Stunden (CH: möglichst rasch).  Der Auftragsverarbeiter alarmiert und informiert den für die Verarbeitung Verantwortlichen unverzüglich nach Feststellung einer Verletzung des Schutzes personenbezogener Daten.  Im Anschluss: Der für die Verarbeitung Verantwortliche benachrichtigt im Anschluss an die Meldung an die Aufsichtsbehörde unverzüglich das Datensubjekt, sofern der Schutz der personenbezogenen Daten, die Privatsphäre oder die Rechte des Datensubjektes durch eine Verletzung beeinträchtigt werden. CH: Information des Datensubjekts, wenn für es für dieses erforderlich ist oder der Beauftragte dies verlangt  CH: Eine Meldung darf in einem Strafverfahren gegen den Meldepflichtigen nur mit dessen Einverständnis verwendet werden. Die Benachrichtigung enthält mindestens:  Eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten mit Angabe der Kategorien und der Zahl der betroffenen Datensubjekte, der betroffenen Datenkategorien und der Zahl der betroffenen Datensätze;  Name und Kontaktdaten des Datenschutzbeauftragten oder eines sonstigen Ansprechpartners;  eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;  gegebenenfalls eine Beschreibung der vorgeschlagenen oder ergriffenen Massnahmen. Grundlagen Inhalt der Benachrichtigung März 2018Baggenstos IT Breakfast Briefing - Datenschutz Seite 34  Vorbereitende Handlungen für die Meldung  Checkliste bei Vorfällen
  • 35. Empfohlene Massnahmen Seite 35 März 2018Baggenstos IT Breakfast Briefing - Datenschutz
  • 36. ERSTE MASSNAHMEN März 2018Baggenstos IT Breakfast Briefing - Datenschutz Seite 36 2. Übersicht gewinnen und Prioritäten festlegen:  Verfahrensverzeichnis erstellen  Risiken abschätzen  Technische und organisatorische Massnahmen der IT dokumentieren  Weitere Massnahmen ableiten und Prioritäten festlegen 3. Prozesse einrichten:  Incident Reporting  Auskunftsbegehren  Löschbegehren  Berichtigungsbegehren  Neue IT Systeme / Änderungen 1. Verantwortlichkeiten festlegen:  Projektverantwortlichen bestimmen  Ressourcen freistellen  Interne & externe Unterstützung  Reporting
  • 37. 1. SCHRITT VERZEICHNIS VERARBEITUNGSTÄTIGKEITEN März 2018 Seite 37 Baggenstos IT Breakfast Briefing - Datenschutz Verfahren Nr. 1  Kategorien − Betroffene − Daten − Empfänger  Zweck  Datentransfer Drittländer  Löschfristen Abteilung / Bereich Name und Kontaktdaten Verantwortlicher Verfahren Nr. …  Kategorien − Betroffene − Daten − Empfänger  Zweck  Datentransfer Drittländer  Löschfristen Verfahren Nr. 2  Kategorien − Betroffene − Daten − Empfänger  Zweck  Datentransfer Drittländer  Löschfristen
  • 38. 2. SCHRITT RISIKO-BEWERTUNG März 2018 Seite 38 Baggenstos IT Breakfast Briefing - Datenschutz Verfahren Nr. 1  Kategorien − Betroffene − Daten − Empfänger  Zweck  Datentransfer Drittländer  Löschfristen Risiko- beurteilung Abteilung / Bereich Name und Kontaktdaten Verantwortlicher Verfahren Nr. …  Kategorien − Betroffene − Daten − Empfänger  Zweck  Datentransfer Drittländer  Löschfristen Risiko- beurteilung Verfahren Nr. 2  Kategorien − Betroffene − Daten − Empfänger  Zweck  Datentransfer Drittländer  Löschfristen Risiko- beurteilung
  • 39. 3. SCHRITT BESTIMMUNG SCHUTZMASSNAHMEN März 2018 Seite 39 Baggenstos IT Breakfast Briefing - Datenschutz Verfahren Nr. 1 Schutzmassnahmen (tech./org.)  Zugriffsbeschränkungen  Pseudonymisierung  ….  Kategorien − Betroffene − Daten − Empfänger  Zweck  Datentransfer Drittländer  Löschfristen Risiko- beurteilung Abteilung / Bereich Name und Kontaktdaten Verantwortlicher / Grundlegende Massnahmen zur Datensicherheit Verfahrensübergreifende Schutzmassnahmen Schutz Serverraum/Rechenzentrum / Gebäudesicherheit / … Verfahren Nr. … Schutzmassnahmen (tech./org.)  Zugriffsbeschränkungen  Pseudonymisierung  ….  Kategorien − Betroffene − Daten − Empfänger  Zweck  Datentransfer Drittländer  Löschfristen Risiko- beurteilung Verfahren Nr. 2 Schutzmassnahmen (tech./org.)  Zugriffsbeschränkungen  Pseudonymisierung  ….  Kategorien − Betroffene − Daten − Empfänger  Zweck  Datentransfer Drittländer  Löschfristen Risiko- beurteilung
  • 40. 4. SCHRITT FESTLEGEN WEITERER NÖTIGER MASSNAHMEN März 2018 Seite 40 Baggenstos IT Breakfast Briefing - Datenschutz Verfahren Nr. 1 Schutzmassnahmen (tech./org.)  Zugriffsbeschränkungen  Pseudonymisierung  ….  Kategorien − Betroffene − Daten − Empfänger  Zweck  Datentransfer Drittländer  Löschfristen Risiko- beurteilung Abteilung / Bereich Name und Kontaktdaten Verantwortlicher Verfahrensübergreifende Schutzmassnahmen Dokumentation der Garantien bei Übermittlung in Drittländer Dokumentation der Sicherheiten bei Transfer der Daten an Dritte (z.B. Outsourcing-Provider) Erstellung von Bearbeitungsreglementen, insbesondere wenn keine technischen Schutzmassnahmen möglich oder mit vertretbarem Aufwand machbar sind Sicherstellung der Überwachung und Alarmierung bei sicherheitsrelevanten Vorfällen Bei Verfahren mit hohem Risiko: vertiefte Abklärung und umfassende Dokumentation Regelmässige Überprüfung der korrekten Implementierung Schutz Serverraum/Rechenzentrum / Gebäudesicherheit / …
  • 41. Beispiel Bericht März 2018Baggenstos IT Breakfast Briefing - Datenschutz Seite 41
  • 42. Fragen und Diskussion Seite 42 März 2018Baggenstos IT Breakfast Briefing - Datenschutz
  • 43. ARE YOU READY? Testen Sie mit einem Self Assessment der englischen Aufsichtsbehörde, dem UK ICO (Information Commissioner’s Office), ob Sie die Vorgaben der EU bereits alle erfüllen: https://ico.org.uk/for-organisations/resources-and-support/data-protection-self- assessment/getting-ready-for-the-gdpr/ März 2018Baggenstos IT Breakfast Briefing - Datenschutz Seite 43
  • 44. KLAUS KROHMANN BDO AG Schiffbaustrasse 2 CH-8031 Zürich Tel +41 44 444 36 25 Mobile +41 76 436 44 47 Email klaus.Krohmann@bdo.ch KONTAKTDATEN März 2018Baggenstos IT Breakfast Briefing - Datenschutz Seite 44