Die EU-DSGVO tritt am 25. Mai 2018 in Kraft und gilt für alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, mit strengen Meldefristen für Datenschutzverletzungen und hohen Bußgeldern. Wichtige Anforderungen umfassen die Benennung eines Datenschutzbeauftragten, Datenschutz durch Technikgestaltung, sowie die Durchführung von Datenschutz-Folgenabschätzungen. Zudem müssen Unternehmen sicherstellen, dass sie die Rechte der Betroffenen respektieren und ihre Datenverarbeitungspraktiken dokumentieren.

1. EU-GDPR / EU-DSGVO
NEUES CH-DSG
ZEIT FÜR EIN PRIVACY PROGRAM
Digicomp, 04.2017, Umberto Annino

2. General Data Protection Regulation (GDPR)
im Überblick
© InfoGuard │ INFOGUARD.CH │ 2
GELTUNGSBEREICH
Alle Unternehmen weltweit, welche personenbezogene
Daten von EU-Bürgern verarbeiten.
MELDEPFLICHT
72
Unternehmen müssen innerhalb von
72 Stunden Datenschutzpannen melden.
UMSETZUNG
2018
Gesetzgebung der EU-Staaten
BUSSGELDER
Bis zu 4% des globalen Jahresumsatzes.

3. EU-GDPR / EU-DSGVO – die Fakten
• Tritt per 25. Mai 2018 in Kraft
• Bussgelder bis zu 4% des globalen Jahresumsatzes oder bis zu 20
Mio. Euro
 Aufsichtsbehörden müssen Bussen verhängen
• Extraterritorialen Charakter und trifft somit auch Schweizer
Unternehmen
• Bei Datenschutzpannen (Data Breaches) ist der Datenbearbeiter
verpflichtet, dies der zuständigen Datenschutzbehörde innert 72
Stunden zu melden.
• “Privacy by Design” und “Privacy by Default” verpflichten die
Datenbearbeiter, die Einhaltung des Datenschutzes bereits mit der
Wahl ihrer Mittel und Technik sicherzustellen.
© InfoGuard │ INFOGUARD.CH │ 3

4. Was passiert im Mai 2018?
Neue Pflichten
• Meldepflichten bei Datenschutz-verletzungen,
möglichst binnen 72 Stunden
(Art. 33 DSGVO)
• Benennung eines internen oder externen
Datenschutzbeauftragten
(Art. 37 DSGVO)
• Datenschutz durch Technikgestaltung
sicherstellen
(Privacy by Design; Art. 25 Abs. 1DSGVO)
• Datenschutz durch datenschutzfreundliche
Voreinstellungen gewährleisten
(Privacy by Default; Art. 25 Abs. 2 DSGVO)
• Big Data: Pflicht zur vorgängigen Durchführung
einer Datenschutz-Folgenabschätzung
(Data Protection Impact Assessment; Art. 35 DSGVO)
• Koppelungsverbot bei Einwilligung
(Art. 7 Abs. 4 DSGVO) - Einwilligung zu einer
Verarbeitung von personenbezogenen Daten* -
Erfüllung des Vertrags
• Auslagerung von der Datenverarbeitung nur auf
der Grundlage eines Vertrages bei hinreichenden
Garantien des Auftrags-Datenverarbeiters
(z.B. Datenschutzsiegel; Art. 28 Abs. 1 DSGVO)
• Keine Unter-Auftragsverarbeitung (Sub-Sub-
Akkordanten) ohne schriftliche Genehmigung des
Verantwortlichen
(Art. 28 Abs. 2 DSGVO)
• Schweizer Unternehmen müssen einen
Vertreter in der EU benennen
(Art. 27 Abs. 1 DSGVO)
• Einwilligung einholen für die Verwendung der
Web-Nutzer- und Verhaltensdaten (freiwillig,
unmissverständlich, AGBs nicht hinreichend)
© InfoGuard │ INFOGUARD.CH │ 4
* rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche
Überzeugungen oder die Gewerkschaftszugehörigkeit, sowie die Verarbeitung von genetischen
Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person,
Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung

5. Massnahmen
Bewusstsein
•Entscheidungsträger und Schlüssel-
personen sind sich der GDPR bewusst.
Gehaltene Informationen
•Dokumentieren Sie die Datenflüsse
persönlicher Daten (woher, wohin,
geteilt)
Übermittlung der Datenschutz-
informationen
•Überprüfen Sie die aktuellen Daten-
schutzhinweise. Vorbereitung GDPR
Umsetzung
Rechte der Einzelpersonen
•Kontrollverfahren:
Rechte / Berechtigungen von
Personen, Löschung von Daten,
Bereitstellung von Daten
Zugriffsanforderungen
•Prozesse zur Aktualisierung der
Berechtigungen innerhalb von Zeit und
Qualität
Rechtsgrundlage für die Verarbeitung
•Ermittlung der Art der Daten-
verarbeitung, Ermittlung der Rechts-
grundlage, Zustimmung: Überprüfung
der Suche, Beschaffung, Aufnahme
Zustimmung
Kinder
•Überprüfen der Personen Alter,
Erhebung der Zustimmung der Eltern /
Berechtigten für Datenverarbeitung
Datenverletzungen
•Verfahren zur Erkennung, Meldung,
Untersuchung von Datenverletzungen
DP durch Entwurfs- und
Datenschutzfolgenabschätzungen
•Durchführung von Privacy Impact
Assessments
Datenschutzbeauftragte (DPO)
•Benennung einer Rolle oder
Verantwortlichkeit
International
•Festlegung der zuständigen Daten-
schutzbehörde
© InfoGuard │ INFOGUARD.CH │ 5
GDPR : General Data Protection Regulation
DP: Data Protection
DPO: Datenschutzbeauftragte, DP Officer

6. Neues CH-DSG (in Vernehmlassung bis 4. April 2017)
Wesentliche Neuerungen
• Information der Betroffenen –
Informationspflicht wird ausgebaut
• Datenschutz-Folgeabschätzung mit
Information des EDÖB
• Meldung von Datenschutzverletzungen an
den EDÖB und ggf. Betroffene Personen
• Datenschutz by Design und –by Default
(Privacy by Design / -by Default)
• Dokumentationspflicht der
Bearbeitungstätigkeit
• Best Practices – Empfehlungen durch den
EDÖB und Abnahme
© InfoGuard │ INFOGUARD.CH │ 6
• Auftragsdatenbearbeitung – keine
Subcontractors ohne schriftliche Zustimmung
des Auftraggebers
• Weitergabe von Daten ins Ausland –
verbindliche Feststellung der Adäquanz durch
Bundesrat, mehr Rechtssicherheit
• Sanktionen – von früher 10k CHF
auf neu 500k CHF
• Wegfall “juristische Personen”
• Entfall der Pflicht zur Registrierung von
Datensammlung (durch private Unternehmen)

7. Kritikpunkte am Vernehmlassungsentwurf DSG
• Mögliche Abweichungen zwischen CH und EU Gesetzgebung verhindern
• Erhöhung Aufwand bei Umsetzung Datenschutz und Datensicherheit
• Erhöhung Komplexität  Erhöhung der Risiken
• Betroffene Bereiche: Umsetzungsstandards, Auftragsdatenbearbeitung, Datenschutz-
Folgeabschätzung und Meldepflicht Datenschutzverletzungen
• Betrieblicher Datenschutzbeauftragter
• Fehlt im VE-DSG, ohne Begründung
• Ohne bDSB fehlen für Datenschutz notwendige Ressourcen, Verantwortlichkeit
• Strafrechtliche Sanktionen
• Zielen im VE-DSG auf die Person, nicht die Organisation
• Führt zu Schwierigkeiten bei der Rekrutierung (Verantwortung / Bussen) und Schwierigkeiten bei
der Zuordnung der Verantwortung an einzelne Mitarbeitende
© InfoGuard │ INFOGUARD.CH │ 7

8. Medienspiegel – aktuelle Woche
© InfoGuard │ INFOGUARD.CH │ 8

9. Privacy Program Management
Strategic Management
• Create an Organisation Privacy Vision & Mission Statement
• Develop a Privacy Strategy
• Structure the Privacy Team
Develop & Implement a Framework
• Current Privacy Frameworks:
APEC, PIPEDA, OECD, Privacy by Design, White House privacy framework*, FTC recommendations
• Develop Organisational Privacy Policies, Standards and/or Guidelines
Performance Measurement
• Privacy metrics for reporting & ROI
© InfoGuard │ INFOGUARD.CH │ 9

10. Privacy Operational Lifecycle
Assess
• Measure Privacy Process Maturity: AICPA/CICA Privacy Maturity Model
• Assess Key Areas – Data, Systems, Process
(helped by Internal Audit, IT, Information Security, Legal & Compliance)
• Processors and 3rd-party Vendor Assessment
Protect
• Data/Information Lifecycle Management (DLM / ILM)
• Information Security Practices (e.g. ISO 270xx)
• Privacy by Design
Sustain
• Monitor Legislative & Regulatory Changes
• Compliance & Risk Monitoring; Audit
• Communicate – Internally & Externally
Respond
• Information Requests (Complaints, RFI, Corrections, Subject Access Requests
• Incident Planning & Management (Handling, Response)
© InfoGuard │ INFOGUARD.CH │ 10

11. Privacy by Design
• Proactive, not Reactive; Preventative, not Remedial
• Privacy as the Default Setting
• Privacy Embedded into Design
• Full Functionality – Positive-Sum, not Zero-Sum
• End-to-End Security – Full Lifecycle Protection
• Visibility and Transparency – Keep it Open
• Respect for User Privacy – Keep it User-Centric
© InfoGuard │ INFOGUARD.CH │ 11

12. Information Security, GRC, Cyber Insurance,
ePrivacy Certification
Umberto Annino
Principal Cyber Security Consultant, Mitglied des Kader
umberto.annino@infoguard.ch +41 79 679 0096
Präsident, ISSS Information Security Society Switzerland www.isss.ch
Education & Certification Director, ISACA Switzerland Chapter www.isaca.ch
Eidg. Dipl. Wirtschaftsinformatiker, NDS FH Integriertes Qualitätsmanagement
© InfoGuard │ INFOGUARD.CH │ 12