GDPR und das neue Datenschutzgesetz:Auswirkungen auf Unternehmen in der Schweiz

Ralf Winzering. Informaticien EPFLCISA, CISM, CRISC, CISSP

DATENSCHUTZ 4.0Was bedeutet die digitale Transformation im Datenschutz für Unternehmen in der Schweiz?

Ralf Winzering. Informaticien EPFLCISA, CISM, CRISC, CISSP

Der Referent

Ralf WinzerIng. informaticien EPFL

CISA, CISM, CISSP, CRISC

▪ GRCS-Beratung und IT-Audit (u.a. Ernst & Young)

▪ CISO (u.a. Helsana, Raiffeisen Schweiz)

Inhalt

▪ Überblick Entwicklungen im Datenschutz: GDPR,

Revision Schweizer DSG, Datenschutzkonvention (SEV

108)

▪ Auswirkungen für Unternehmen in der Schweiz

▪ Business

▪ Governance

▪ IT

▪ Identifizierung relevanter Unternehmensbelange

▪ Geschäftsfelder

▪ Datenbestände

▪ Sourcing-Beziehungen

▪ Governance-Strukturen

Entwicklungen im Datenschutz

▪ EU Datenschutz-Grundverordnung

(Weiterentwicklung EU Datenschutzdirektive)

▪ Totalrevision Schweizerisches Datenschutzgesetz

▪ Revision Datenschutzkonvention des Europarates

(SEV 108)

SEV108

Neue SEV108

DSGNeuesDSG

DSGVORichtlinie95/48/EG

NationalesRecht

NationalesRecht

In Kraft seit25.05.2016

Vernehmlassungbis 09.04.2017

FinalisiertEnde 2016

Umsetzung bis 2018

Kerninhalte VE-DSG und GDPR

▪ Datenminimierung

▪ Privacy by Design

▪ Privacy by Default

▪ Auskunftsrecht bzw.

Auskunftspflicht

▪ Datenportabilität (GDPR)

▪ Meldepflicht Privacy-Breaches

▪ Sanktionen

▪ Kompetenzen Aufsichtsbehörden

▪ Privacy Impact Assessments

▪ Dokumentation der Bearbeitung

▪ Recht auf Gehör bei

automatisierter Bearbeitung

▪ Etc.

Auswirkungen aufUnternehmen in der Schweiz

▪ Anpassung Geschäftsabläufe,

Governance-Frameworks und IT-Systeme

(Weisungswesen, Rollen und Gremien,

Geschäftsprozesse)

▪ Auswirkungen auf bestehen IT-Systeme

(Löschfunktionen) und zukünftige IT-

Projekte (DPIA)

Business

ComplianceInformatik

NeuesDSG

▪ Handhabung Kundenbeziehungen im EU-Raum

▪ Handhabung Personendaten aus dem EU-Raum

▪ Schwerwiegende Sanktionen durch

Aufsichtsbehörden

▪ Umgang mit (ICT-)Subcontractors im EU-Raum

Relevante Geschäftsfelder

▪ Geschäftsaktivitäten mit

▪ (Besonders) schützenswerten Personendaten

▪ Personenprofilen

▪ Bezug zur EU

▪ Einbezug von ICT-Partnern aus der EU, der Schweiz

und anderen Ländern

▪ Länderübergreifendem Datentransfer

Datenbestände

60%Gekennzeichnete oder klassifizierte Daten

17%Unternehmenskritische

Daten

43%ROT-Daten*

40%Dark Data

*ROT: Redundant, Obsolete, Trivial

Datenbestände

ERHEBUNG, ASSESSMENT

▪ Datenbestände

▪ Strukturiert (DBMS, Trx-Systeme)

▪ Schwach strukturiert, unstrukturiert

▪ Lokale Server, Remote-Server, Cloud-Ablage, BYOD

▪ Backup-Systeme

▪ Kundendaten

▪ HR-Daten

▪ Business-Daten (Daten von Drittpersonen)

▪ Private Daten

IT-Belange

Sourcing

Housing

IaaS, PaaS, SaaS, XaaS…

Telco-Provider

Remote-Access, Remote-Support

Sourcing-Partner im Ausland

Cloud-Services

Architektur

Funktionalitäten (selektive Löschfunktionen)

Monitoring, Protokollierung, IDS, DLP

Kommunikationswege, Verschlüsselung, CASB

Projekte

Dokumentation, Vorgaben und Guidelines

Privacy Impact Assessment

Governance-Strukturen

ISMS, Risk-Mgmt, DPMS

•Weisungswesen

•Rollen und Gremien

•Geschäftsprozesse

Verträge (Sourcing,

Kundenverträge, AGB etc.)

Beziehungen zu Aufsichtsbehörden

(EDÖB, EU-Instanzen)

Schulungen, Awareness-

Massnahmen

Datenschutz

Weiterführende Informationen

▪ Bundesamt für Justiz (erläuternder Bericht,

Regulierungsfolgenabschätzung)

▪ Interessantes von Homburger bzw. David Rosenthal zum

neuen Datenschutz

▪ Übersicht neues Datenschutzrecht von Dr. Michael Reinle

(Bühlmann Rechtsanwälte)

▪ Stellungnahme von Privatim (Vereinigung der

schweizerischen Datenschutzbeauftragten)

▪ EU – Digital Privacy

▪ Ihre Fragen

▪ Danke für Ihre Aufmerksamkeit

Das neue Datenschutzrecht:Ein umfassender Persönlichkeits-schutz