Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
29. August 2018 – IT Beschaffungskonferenz – Fachsession 5
EINFLUSS DER EU-DSGVO UND DES NEUEN SCHWEIZER DSG AUF BESCHAFFUNGSVERTRÄGE
KLAUS KROHMANN
2
VERWENDETE ABKÜRZUNGEN
Abkürzung
E-DSG
SDSG
DSGVO
TOM
Bedeutung
Entwurf Datenschutzgesetz (gemäss Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz vom 15. Sept. 2017)
Schengen-Datenschutzgesetz (Bundesgesetz über den Datenschutz im Rahmen der Anwendung des Schengen-Besitzstands in Strafsachen)
Datenschutz-Grundverordnung (Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016)
Technische und organisatorische Massnahmen
3
HINWEIS
Nicht abgeschlossenes GesetzgebungsverfahrenDerzeitige Gesetztesentwürfe als Basis (ins. Botschaft E-DSG vom 15. Sept 2017 und Status SDSG nach 1. Lesung im Nationalrat vom 12. Juni 2018)Nicht abschliessend – Spezialgesetze beachten
Thema sind Beschaffung von ICT-Anwendungen, mit welchen Personendaten bearbeitet werden (d.h. Informationen, die sich auf eine identifizierbare natürliche Person beziehen)
STATUS DER GESETZESENTWICKLUNG
5
DATENSCHUTZ-GESETZGEBUNG
2016 2017 2018 2019
Nationale Ausführungs-
Erlasse Anwendung Ausführungsrecht
Anwendung AusführungsrechtLand 1
Land 2
Kommissionen
Anwendung DSG
Direktive
Anwendung DSGVODSGVO Übergangsfrist
25. Mai 201827. April 2016
Vernehmlassungbis 4.4.2017 Botschaft
15. Sept. 2017Split SDSG/DSG12. Juni 2018
Parlament
Parlament
Anwendung SDSG
Erlass SDSG?
Erlass DSG?
heute
6
EINFLUSS DER DSGVO AUF ÖFF. BESCHAFFUNGSRECHT
DSGVO hat extraterritorialen Wirkungsbereich Fraglich, ob anwendbar für ein Land das ein anerkannt gleichwertiges
Datenschutzniveau hat Grosser Einfluss der DSGVO im öffentlichen Beschaffungsrecht aber indirekt:
E-DSG basiert auf dem Gedankengut der DSGVO Schweizer Gesetze sind wesentlich allgemeiner gehalten; DSGVO und deren
Anwendung werden die Interpretation der Schweizer Gesetze beeinflussen Die DSGVO setzt über die Grenzen hinaus neue «Best Pratice Standards»,
welche sich in den Erwartungen unserer Bürger und Konsumenten (und somit Gerichte) wiederspiegeln werden
7
WAS BRINGT DAS NEUE RECHT?
Materielles Recht bleibt in Grundzügen gleich Verschärftes Sanktionenmodel verleiht dem Gesetz Nachdruck Organisationen müssen sich zukünftig mit dem datenschutzrechtlichen Risikoprofil ihrer Verfahren
auseinandersetzten die Angemessenheit ihrer technischen und organisatorischen Massnahmen
überprüfen entsprechende Tätigkeiten dokumentieren
Recht auf Information und «Betroffenenrechte» werden gestärkt
INHALTE DER BESCHAFFUNGSVERTRÄGE
9
BEDÜRFNISSE DES AUFTRAGGEBERS
Weisungs- & Kontrollrechte
Weisungsrecht bezüglich Datenbearbeitung
Auditrechte bezüglich TOM
Löschung von Daten bei Löschbegehren
Korrektur von Daten bei Berichtigungsbegehren
Information
Auskunft bei Auskunfts-anfragen
Meldepflicht von Datenschutzvorfällen
Unterstützung bei Datenschutz-Folgenabschätzungen
Dokumentation
Verzeichnis der Bearbeitungstätigkeiten
Privacy by Desgin
Privacy by Default
10
WEISUNGSRECHT DATENBEARBEITUNG
Eine Organisation hat bei der Bearbeitung von Personendaten durch geeignete technische und organisatorische Massnahmen (TOM) eine dem Risiko angemessene Datensicherheit zu gewährleisten. Festlegung des Risikos (Verzeichnis der Bearbeitungstätigkeiten (evtl.
Datenschutz-Folgenabschätzung)) Definition der anzuwendenden TOM
E-DSG Art. 7
Beschaffungsvertrag:Der Auftraggeber hat mit dem Service Provider konkrete Vorgaben bezüglich der durch den Service Provider einzuhaltenden TOM zu vereinbaren. Der Auftraggeber hat sich dabei vorzubehalten, aufgrund geänderter Umstände (z.B. technischer Fortschritt) eine Anpassung der TOM zu verlangen.
11
AUDIT RECHTE
Der Auftraggeber hat sich zu vergewissern, dass der Serivce Provider in der Lage ist, die Datensicherheit zu gewährleisten. Der Bestand der TOM kann evtl. durch Zertifizierungen nachgewiesen werden Andernfalls hat sich ein Auftraggeber durch Audits entsprechend vom Bestand
der TOM zu überzeugen. Umfang und Häufigkeit der Audits werden durch die datenschutzrechtliche Risikoeinschätzung bestimmt.
E-DSG Art. 8 Abs. 2
Beschaffungsvertrag:Der Auftraggeber hat die automatische Vorlage geeigneter Zertifikate oder die Einräumung von Audit-Rechten beim Service Provider vorzusehen. Umfang, Ver-fahren, Kadenz und Kostentragung der Audits sind im Beschaffungsvertrag zu regeln. Weitere Unterbeauftragung bedarf vorgängiger schriftlicher Zustimmung.
12
UNTERSTÜTZUNG BEI BETROFFENENRECHTEN
Um seinen Pflichten aufgrund von Betroffenenrechten kann der Auftraggeber auf die Unterstützung durch den Service Provider angewiesen sein. Die Suche nach Daten von konkreten Individuen kann aufwendig sein und die
vollständige Erfassung der Daten vertieftes Know-how des Systems benötigen Die korrekte und vollständige Löschung, Korrektur oder Extraktion der Daten
bedarf allenfalls der Unterstützung des Service Providers
Auskunft: E-DSG Art. 23, Berichtigung und Löschung: E-DSG Art. 28
Beschaffungsvertrag:Der Auftraggeber sollte vom Service Provider die Zusicherung einholen, entsprechende gesetzliche Anforderungen mit dem System effizient erfüllen zu können. Der Auftraggeber sollte zudem zusätzliche Unterstützung durch den Service Provider für den Bedarfsfall absichern.
13
MELDUNG VON VERLETZUNGEN DER DATENSICHERHEIT
Bei Datenschutzvorfällen ist unter bestimmten Umständen so rasch als möglich eine Meldung an den EDÖB zu machen. Entsprechende Verletzungen sind möglichst schnell an die korrekte Stelle zur
Beurteilung gemeldet werden. Der Service Provider hat allenfalls selbst ebenfalls eine Meldepflicht. Es ist im
beidseitigem Interesse, Meldungen vorgängig miteinander abzusprechen
E-DSG Art. 22
Beschaffungsvertrag:Der Prozess zur Meldung von Datenschutzvorfällen ist zu definieren; eine Notfallorganisation könnte nötig sein. Der Auftraggeber und Service Provider sollten sich verpflichten, Meldungen gegenseitig abzusprechen und sich dabei nötigenfalls zu unterstützen.
14
DATENSCHUTZ-FOLGENABSCHÄTZUNG
In bestimmten Fällen kann die vorgängige Erstellung einer Datenschutz-Folgenabschätzung nötig sein, wobei die Organisation Unterstützung braucht. Beschreibung der geplanten Bearbeitung Darstellung der Risiken Massnahmen zum Schutz
E-DSG Art. 20 / SDSG Art. 13
Beschaffungsvertrag:Bei Bedarf hat der Service Provider bei der Erstellung einer Datenschutz-Folgenabschätzung den Auftraggeber zu unterstützen oder ihm einen Vorschlag für eine solche für das konkrete Verfahren, in welchem durch sein System Personendaten bearbeitet werden, zu unterbreiten.
15
VERZEICHNIS DER BEARBEITUNGSTÄTIGKEITEN
Pflicht zur Führung eines Verzeichnisses der Bearbeitungstätigkeiten (i.d.R. bei Betrieben ab 50 Mitarbeitenden) Gewisse Informationen müssen in diesem Verzeichnis aufgeführt sein Weitere Informationen werden typischerweise benötigt (für Risikoeinstufung
und Beurteilung der Angemessenheit der TOM)
E-DSG Art. 11 / SDSG Art. 12
Beschaffungsvertrag:Der Service Provider ist zu verpflichten dem Auftraggeber die für sein Verfahrensverzeichnis benötigten Informationen zu liefern, bzw. geänderte Tatsachen unverzüglich mitzuteilen.
16
PRIVACY BY DESIGN
Die Datenbearbeitung ist technisch und organisatorisch so auszugestalten, dass die Grundsätze zur Datenbearbeitung eingehalten werden. Dies ist bei der Planung zu berücksichtigen Risikoprofil ist zu bestimmen TOM sind zu dokumentieren
E-DSG Art. 6 Abs. 1 und 2 / SDSG Art. 5 Abs. 1 und 2
Beschaffungsvertrag:Der Service Provider hat im Projekt den Auftraggeber bei der Dokumentation der geplanten TOM zu unterstützen; es ist dabei das vom Auftraggeber vorgegebene Risikoprofil zu berücksichtigen und die Überprüfung der TOM nach Implementierung zu dokumentieren.
17
PRIVACY BY DEFAULT
Voreinstellungen sind so auszugestalten, dass eine möglichst schonende Bearbeitung der Personendaten stattfindet. Pre-Settings (Opt-in) Datenminimierung Parametrisierung und Datenübernahme haben dies zu berücksichtigen
E-DSG Art. 6 Abs. 3/ SDSG Art. 5 Abs. 3
Beschaffungsvertrag:Der Service Provider hat im Projekt und nach Absprache mit dem Auftraggeber sicherzustellen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist und entsprechende Überlegungen dokumentiert werden.
BEMERKUNGEN ODER FRAGEN?
19
DATENSCHUTZPraxisorientiert und kompakt
KLAUS KROHMANNBDO AG, ZürichRechtsanwalt
+41 44 444 36 [email protected]