Upload
nguyenkien
View
213
Download
0
Embed Size (px)
Citation preview
GDPR und das neue Datenschutzgesetz:Auswirkungen auf Unternehmen in der Schweiz
Ralf Winzering. Informaticien EPFLCISA, CISM, CRISC, CISSP
DATENSCHUTZ 4.0Was bedeutet die digitale Transformation im Datenschutz für Unternehmen in der Schweiz?
Ralf Winzering. Informaticien EPFLCISA, CISM, CRISC, CISSP
Der Referent
Ralf WinzerIng. informaticien EPFL
CISA, CISM, CISSP, CRISC
▪ GRCS-Beratung und IT-Audit (u.a. Ernst & Young)
▪ CISO (u.a. Helsana, Raiffeisen Schweiz)
Inhalt
▪ Überblick Entwicklungen im Datenschutz: GDPR,
Revision Schweizer DSG, Datenschutzkonvention (SEV
108)
▪ Auswirkungen für Unternehmen in der Schweiz
▪ Business
▪ Governance
▪ IT
▪ Identifizierung relevanter Unternehmensbelange
▪ Geschäftsfelder
▪ Datenbestände
▪ Sourcing-Beziehungen
▪ Governance-Strukturen
Entwicklungen im Datenschutz
▪ EU Datenschutz-Grundverordnung
(Weiterentwicklung EU Datenschutzdirektive)
▪ Totalrevision Schweizerisches Datenschutzgesetz
▪ Revision Datenschutzkonvention des Europarates
(SEV 108)
SEV108
Neue SEV108
DSGNeuesDSG
DSGVORichtlinie95/48/EG
NationalesRecht
NationalesRecht
In Kraft seit25.05.2016
Vernehmlassungbis 09.04.2017
FinalisiertEnde 2016
Umsetzung bis 2018
Kerninhalte VE-DSG und GDPR
▪ Datenminimierung
▪ Privacy by Design
▪ Privacy by Default
▪ Auskunftsrecht bzw.
Auskunftspflicht
▪ Datenportabilität (GDPR)
▪ Meldepflicht Privacy-Breaches
▪ Sanktionen
▪ Kompetenzen Aufsichtsbehörden
▪ Privacy Impact Assessments
▪ Dokumentation der Bearbeitung
▪ Recht auf Gehör bei
automatisierter Bearbeitung
▪ Etc.
Auswirkungen aufUnternehmen in der Schweiz
▪ Anpassung Geschäftsabläufe,
Governance-Frameworks und IT-Systeme
(Weisungswesen, Rollen und Gremien,
Geschäftsprozesse)
▪ Auswirkungen auf bestehen IT-Systeme
(Löschfunktionen) und zukünftige IT-
Projekte (DPIA)
Business
ComplianceInformatik
NeuesDSG
▪ Handhabung Kundenbeziehungen im EU-Raum
▪ Handhabung Personendaten aus dem EU-Raum
▪ Schwerwiegende Sanktionen durch
Aufsichtsbehörden
▪ Umgang mit (ICT-)Subcontractors im EU-Raum
Relevante Geschäftsfelder
▪ Geschäftsaktivitäten mit
▪ (Besonders) schützenswerten Personendaten
▪ Personenprofilen
▪ Bezug zur EU
▪ Einbezug von ICT-Partnern aus der EU, der Schweiz
und anderen Ländern
▪ Länderübergreifendem Datentransfer
Datenbestände
60%Gekennzeichnete oder klassifizierte Daten
17%Unternehmenskritische
Daten
43%ROT-Daten*
40%Dark Data
*ROT: Redundant, Obsolete, Trivial
Datenbestände
ERHEBUNG, ASSESSMENT
▪ Datenbestände
▪ Strukturiert (DBMS, Trx-Systeme)
▪ Schwach strukturiert, unstrukturiert
▪ Lokale Server, Remote-Server, Cloud-Ablage, BYOD
▪ Backup-Systeme
▪ Kundendaten
▪ HR-Daten
▪ Business-Daten (Daten von Drittpersonen)
▪ Private Daten
IT-Belange
Sourcing
Housing
IaaS, PaaS, SaaS, XaaS…
Telco-Provider
Remote-Access, Remote-Support
Sourcing-Partner im Ausland
Cloud-Services
Architektur
Funktionalitäten (selektive Löschfunktionen)
Monitoring, Protokollierung, IDS, DLP
Kommunikationswege, Verschlüsselung, CASB
Projekte
Dokumentation, Vorgaben und Guidelines
Privacy Impact Assessment
Governance-Strukturen
ISMS, Risk-Mgmt, DPMS
•Weisungswesen
•Rollen und Gremien
•Geschäftsprozesse
Verträge (Sourcing,
Kundenverträge, AGB etc.)
Beziehungen zu Aufsichtsbehörden
(EDÖB, EU-Instanzen)
Schulungen, Awareness-
Massnahmen
Datenschutz
Weiterführende Informationen
▪ Bundesamt für Justiz (erläuternder Bericht,
Regulierungsfolgenabschätzung)
▪ Interessantes von Homburger bzw. David Rosenthal zum
neuen Datenschutz
▪ Übersicht neues Datenschutzrecht von Dr. Michael Reinle
(Bühlmann Rechtsanwälte)
▪ Stellungnahme von Privatim (Vereinigung der
schweizerischen Datenschutzbeauftragten)
▪ EU – Digital Privacy