Kategorien
Blog EN

Outsourced IT – the order processing contract for your protection

Outsourced IT - the order processing contract for your protection

The media report on cyber incidents every day, as the victims become more prominent and more numerous. Many companies are increasingly aware that they need to invest more in IT security. At the same time, many are relying on their system house to take care of their needs, with the princuple „they’ll make sure nothing happens to us. Do you act according to this maxim?

If so, the person responsible for data processing in the company could still be hit with a painful fine in the event of a data protection breach if it is discovered that there is no order processing contract in place. The contract does justice to the data risk, especially with the description of the technical protection measures. Why?

Well, because the company that outsources IT only then sufficiently takes into account the legal requirements of the General Data Protection Regulation or the revised Data Protection Act. According to Art. 28 GDPR/Art. 5 DPO, commissioned processing applies if an entity processes personal data on behalf and on instruction. This is certainly the case with the external IT service provider. Only, why does the latter also have to act on the instructions of the controller? What does that mean?

From a data protection perspective, hospitals, industrial companies, banks, public municipalities or even public authorities process personal data with varying degrees of sensitivity: personal data consequently also differ in their individual, technical degree of protection. The responsible decision-maker must identify and assess the risks of personal data of patients, customers, suppliers, etc. on the basis of a risk analysis and protect them against loss, misuse and modification by unauthorized third parties with organizational and technical protective measures to be determined: protective measures such as encryption, pseudonymization, anonymization, etc. are considered for the integrity of the data, confidentiality is ensured with a rights and roles concept as access control for data and availability with redundancies of data carriers – to name just three examples. The decision on the means of action must not be delegated by the responsible decision-maker to the external IT service provider.

What must be done? If personal data is processed on behalf by other entities, the Principal is responsible for the data protection regulations. The contractor may only process the data within the scope of the client’s instructions. In such a case, both sides are obliged to conclude a so-called order processing agreement with listed protective measures attached. On the system house side, the right tools must also be available in the portfolio; the IT service provider may advise on the selection of these!

Examples for the conclusion of an order processing agreement are among others the external payroll accounting, the external accounting but also the use of multifunction printers in the network with storage function, but not the tax advisor or the lawyer!

The explanations are not exhaustive and the risk analysis and the order processing contract are also only two tasks of many that your data protection consultant will be happy to carry out for you with your support.

Kategorien
Blog

Die outgesourcte IT – der Auftragsverarbeitung-Vertrag zu Ihrem Schutz

Die outgesourcte IT – der Auftragsverarbeitung-Vertrag zu Ihrem Schutz

Die Medien berichten täglich über Cybervorfälle, denn die Opfer werden prominenter und zahlreicher. In vielen Unternehmen wächst die Einsicht, mehr in IT-Security investieren zu müssen. Dabei verlassen sich viele auf ihr betreuendes Systemhaus, frei nach dem Motto „die werden schon dafür sorgen, dass bei uns nichts passiert“. Handeln Sie nach diesem Motto?

Dann würde den Verantwortlichen für die Datenverarbeitung im Unternehmen im Fall einer Datenschutzverletzung dennoch eine schmerzliche Geldbusse treffen können, wenn man feststellt, dass ein Auftragsverarbeitungsvertrag nicht vorliegt. Der Vertrag wird dem Datenrisiko gerecht, insbesondere mit der Beschreibung der technischen Schutzmassnahmen. Warum?

Nun, weil das Unternehmen, dass die IT-outgesourct, die gesetzlichen Vorgaben der Datenschutz-Grundverordnung bzw. des revidierten Datenschutzgesetzes nur dann ausreichend berücksichtigt. 

Gemäss Art. 28 DSGVO/Art. 5 DSG liegt eine Auftragsverarbeitung vor, wenn eine Stelle im Auftrag und auf Weisung personenbezogene Daten verarbeitet. Das ist sicherlich der Fall bei dem externen IT-Dienstleister. Nur, warum muss dieser auch auf Weisung des Verantwortlichen handeln? Was bedeutet das? Aus datenschutzrechtlicher Sicht verarbeiten Spitäler, Industrieunternehmen, Banken, öffentliche Gemeinden oder auch Behörden personenbezogene Daten mit unterschiedlicher Sensibilität: personenbezogene Daten unterscheiden sich demzufolge auch in ihrem individuellen, technischen Schutzgrad. Der verantwortliche Entscheidungsträger muss die Risiken personenbezogener Daten von Patienten, Kunden, Lieferanten etc. auf Basis einer Risikoanalyse identifizieren, bewerten und mit zu bestimmenden organisatorischen und technischen Schutzmassnahmen vor Verlust, Missbrauch und Veränderung durch unbefugte Dritte schützen: für die Integrität der Daten kommen Schutzmassnahmen wie Verschlüsselung, Pseudonymisierung, Anonymisierung etc. in Frage, die Vertraulichkeit wird mit einem Rechte- und Rollenkonzept als Zugangskontrolle für Daten gewährleistet und die Verfügbarkeit mit Redundanzen von Datenträgern – um nur drei Beispiele zu nennen. Die Entscheidung über die Mittel der Massnahmen darf der verantwortliche Entscheider nicht delegieren an den externen IT-Dienstleister.

Was ist zu tun? Werden personenbezogene Daten im Auftrag durch andere Stellen verarbeitet, so ist der Auftraggeber für die Datenschutzvorschriften verantwortlich. Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers verarbeiten. Beide Seiten sind verpflichtet, in einem solchen Fall eine sogenannte Auftragsverarbeitungs-Vereinbarung abzuschliessen mit aufgelisteten Schutzmassnahmen in der Anlage. Auf Seiten der Systemhäuser müssen die richtigen Tools auch im Portfolio vorhanden sein; der IT-Dienstleister darf bei der Auswahl dieser beraten!

Beispiele für den Abschluss eines Auftragsverarbeitungs-Vertrages sind u.a. die externe Lohnbuchhaltung, die externe Buchhaltung aber auch die Verwendung von Multifunktionsdruckern im Netzwerk mit Speicherfunktion, aber nicht der Steuerberater oder der Rechtsanwalt!

Die Ausführungen sind nicht abschliessend und die Risikoanalyse und der Auftragsverarbeitungs-Vertrag sind auch nur zwei Aufgaben von vielen, die Ihr/e Datenschutzberater/in gern für Sie mit Ihrer Unterstützung ausführt.

Kategorien
Blog

Wie und wodurch das Datenschutzgesetz so relevant ist und dazu beiträgt, unsere Privatsphäre zu schützen

Wie schützen wir unsere Daten im maschinengesteuerten Zeitalter?

Warum Datenschutz relevant ist

Shermin Voshmgir, Wirtschaftsinformatik, Universität Heidelberg, 2018, unterstreicht in Ihrem Vortrag die Notwendigkeit des Datenschutzgesetzes, indem sie beiläufig auf eine der zentralen Vorgaben, nämlich «Privacy by Design», aufmerksam macht: Geräte, Applikationen, Informationssysteme etc. müssen bereits bei ihrer technischen Entwicklung so konzipiert werden, dass sie möglichst datenschutzfreundlich sind, damit sie unsere Privatsphäre schützen. Die Gründe erfahren Sie in meiner freien Übersetzung vom Englischen ins Deutsche:

«…Im daten- und maschinengesteuerten Zeitalter kann jeder ständig durch Digitalisierung und das IoT von irgendjemanden, Institutionen, irgendein Gerät, Kameras oder eine Maschine auf den Fersen verfolgt werden: Mobilephones, Fitnesstracker, über das WLAN kommunizierende, elektronisch gesteuerte Staubsauger, und Rasenmäher sogar Küchengeräte ermitteln und steuern problemlos unser Konsum- und Essverhalten.

Die Privatsphäre ist der Zustand, frei von öffentlicher Aufmerksamkeit zu sein, von niemandem beobachtet oder gestört zu werden, auch nicht durch die Polizei. Der Schutz der Privatsphäre ist uns allen heilig und ein Grundrecht, das sich u.a. im Briefgeheimnis wiederfindet.

Seit 1989 gibt es das Internet. Es verbindet alle Computer miteinander, denn es sollte eine demokratische Quelle für alle Menschen von frei verfügbaren Informationen und Dienstleistungen sein. Das Internet erleichtert unser Leben durch viele Dienstleistungen, Wikipedia, Social Media, der Verkauf und Handel von Produkten, Onlinebanking, viele gute Aspekte. Nur bezahlen wir nicht direkt dafür, sondern mit unserer Privatsphäre, unseren Daten.

Die Datenübertragung im E-Mail-Verkehr zwischen Computern wird zwar gewährleistet und erlaubt durch das Kommunikationsprotokoll, TCP (Transmission Control Protocol) und das IP (Internet Protocol), aber Kommunikationsprotokolle sind nur formale Beschreibungen von digitalen Nachrichtenformaten und Regeln. Da das Internet nie mit einer eingebauten Kryptographie Schicht aufgesetzt wurde, werden beim Hochladen und Veröffentlichen von Informationen in Facebook oder in den Social Media immer Daten im Internet gespeichert. Daten werden dabei gesteuert durch Unternehmen und Institutionen, und in diesen Momenten verlieren wir die Kontrolle über sie.

Die Privatsphäre soll ein Persönlichkeitsrecht bleiben; die Datenschutz-Grundverordnung stellt zudem das «Recht auf Vergessen und Löschung von Daten» in den Vordergrund. Zur Datensicherung ist die Verschlüsselung eine schon lang bekannte Technik, die wir aber immer noch und zu wenig bis gar nicht einsetzen. Terroristische Aktivitäten haben im November 2002 in Amerika den «Homeland Security Act» ins Leben gerufen, der u.a. auch Standards zur Wahrung der Informationssicherheit und eine jährliche unabhängige Bewertung festlegte. Verfassungsgemässe Rechte sollen nicht aufgegeben werden. Und dennoch müssen wir zur Kenntnis nehmen, dass nicht nur die Brexit Campagne und die Wahlen durch Steuerung von Daten missbräuchlich beeinflusst wurde.

Die Block-Chain Technologie könnte das Internet stabilisieren, denn keiner kann die Daten steuern. Die Finanzierungsstruktur wird durch Verschlüsselung des Protokoll-Layer getragen. Mit der Einführung von Bitcoin wird aber nur die Datenstruktur von einem zentralisierten zu einem dezentralisierten Ansatz hin verändert, aber der Bitcoin bleibt deshalb nicht anonym! ……». Privacy by design ist unabdingbar. Eine Technologie ist und bleibt nur ein Werkzeug! Das Datenschutzgesetz gibt vor, sie so zu gestalten, dass sie die Menschen nicht kontrolliert, sondern uns hilft, die Privatsphäre zu schützen. Deshalb ist der Datenschutz so relevant!

Kategorien
Blog EN

How and why the Data Protection Act is so relevant and helps protect our privacy

How do we protect our data in the machine-driven age?

Warum Datenschutz relevant ist

Shermin Voshmgir, Business Informatics, University of Heidelberg, 2018, underlines the necessity of the Data Protection Act in her presentation by casually drawing attention to one of the central requirements, namely „Privacy by Design“: devices, applications, information systems, etc., must be designed already during their technical development in such a way that they are as privacy-friendly as possible, so that they protect our privacy. You can read about the reasons in my free translation from English into German:

„…in the data- and machine-driven age, everyone can be constantly tracked by anyone, institutions, any device, cameras, or a machine on their heels through digitization and the IoT: mobile phones, fitness trackers, electronically controlled vacuum cleaners and lawn mowers communicating over the WLAN even kitchen appliances easily determine and control our consumption and eating habits.

Privacy is the state of being free from public attention, of not being observed or disturbed by anyone, not even by the police. The protection of privacy is a fundamental right and is documented, among other things, by the secrecy of correspondence.

The Internet has been around since 1989. It connects all computers together, because it should be a democratic source for all people of freely available information and services. The Internet facilitates our lives through many services, Wikipedia, social media, the sale and trade of products, online banking, many good aspects. Only we do not pay for it directly, but with our privacy, our data.

Data transmission in email traffic between computers is guaranteed and allowed by the communication protocol, TCP (Transmission Control Protocol) and the IP (Internet Protocol), but communication protocols are only formal descriptions of digital message formats and rules. Since the Internet was never set up with a built-in cryptography layer, when information is uploaded and published to Facebook or social media, data is always stored on the Internet. Data is controlled by companies and institutions in the process, and in those moments we lose control over them. 

Privacy should remain a personal right; the General Data Protection Regulation also emphasizes the „right to be forgotten and delete data“. To secure data, encryption is a technology that has been known for a long time, but we still use it much too little, if at all. Terrorist activities gave rise to the „Homeland Security Act“ in America in November 2002, which, among other things, established standards for maintaining information security and an annual independent assessment. Constitutional rights should not be relinquished. And yet, we must take note that not only the Brexit campaign and the elections were abused by steering data.

Blockchain technology could stabilize the Internet because no one can control the data. The financial structure is supported by encryption of the protocol layer. However, with the introduction of Bitcoin, only the data structure is changed from a centralized to a decentralized approach, but Bitcoin does not remain anonymous because of this! ……“. Privacy by design is essential. A technology is and remains only a tool! Privacy law dictates that it should be designed in such a way that it does not control people, but helps us to protect privacy. That is why data protection is so relevant!

Kategorien
Blog EN

European General Data Protection Regulation: New legal situation for Swiss exporters

European General Data Protection Regulation: new legal situation for Swiss exporters

The European General Data Protection Regulation (GDPR) has regulated the processing of personal data in the EU since 2018. A court ruling now extends the scope to include personal data of EU citizens that are transferred to third countries. For Swiss SMEs, this can already be the case when processing payments via international service providers or when using cloud services.

Kategorien
Blog EN

What to pay attention to when it comes to data protection against the backdrop of an unregulated Brexit?

What to pay attention to when it comes to data protection against the backdrop of an unregulated Brexit?

Brexit und die Auswirkungen im Datenschutzgesetz

After the United Kingdom (UK) leaves the EU, the transition period ends on December 31, 2020. This article draws the attention to during and especially after the transition period and the subjects to be prepared – only in case if UK might slip into the status of a “third country” that does not comply with the European level of data protection. When is the subject relevant for a Swiss SME?

  • You have a branch office in the UK.
  • Use service providers from the UK to perform your services (goods suppliers).
  • You use UK-based cloud/SaaS services, online marketing tools.

Affected groups of people:

  • Your customers.
  • Users of your online services or website visitors.
  • Employees or applicants to online application services.

If the UK becomes a third country that is insecure in terms of data protection law, the above-mentioned conditions will be at risk of data protection breaches after the transition phase. According to GDPR, all countries outside the EU and the EEA are so-called „third countries“, i.e. personal data may not be transferred to these countries without further ado.

If the EU Commission declares the UK to be a safe third country under data protection law, such as Switzerland, the adequacy decision would have to be made at record speed. If this does not happen, you have to take care of the data protection level yourself.

UK will be cut off from EU in terms of data protection without adequacy decision and will have to be treated like Russia, China…. But even then, there are ways to securely regulate data transfers and cooperation with UK companies under data protection law, such as through

  • Contractually required data transfers
  • Consents from data subjects
  • Other guarantees (Binding Corporate Rules…)

We recommend reviewing data processing procedures, privacy statements, consents and access procedures regarding transfers of personal data. Be prepared that UK may lose its secure level of data protection.

Kategorien
Blog EN

Data Protection Act – total revision and amendments to further data protection decrees

Data Protection Act - Total Revision and amendments to further data protection decrees

Verschlüsselung im Datentransfer.

 

The GDPR will be enshrined in the Swiss DPA. On September 24, 2020, the National Council also approved the long-controversial stricter profiling rules (of the SR), thus preventing the bill from crashing. The compromise proposal now adopted on the profiling rules means that a distinction will be made between „normal“ profiling and „high risk“ profiling. For the latter, explicit consent of the data subjects is required.

The present draft law aims to strengthen data protection – and how?

  • Improving transparency in data processing, control options for data subjects
  • Increasing the sense of responsibility, e.g., by requiring compliance with data protection regulations to be taken into account as early as the planning stage of new data processing systems. Training of employees should also increase awareness of the dangers of cyber-attacks.
  • Facilitating the international transfer of data
  • Promotion and development of new economic sectors in the area of digitalization.
  • Supervision of compliance with data protection standards by the SWISS DPO.

The GDPR provides not only the occasion but also the necessary support to reflect on new principles in terms of data security in order to future-proof business in a digitalized world. The GDPR is already recognized as „best practice“ in many companies and is one of the most essential prerequisites for users trust in the Internet – in combination with the introduction of innovative Internet-based services in a global economy, this supports economic growth. Implement GDPR compliance in your business. It is your competitive advantage and a quality feature too!

Kategorien
Blog EN

The cookie ruling and its consequences

The European Court of Justice: no cookie storage without active consent of the internet user

Cookies - einwilligen oder nicht?

The user does not effectively consent to the storage of cookies if the user of the web page uses a checkbox with a pre-set check mark. The permission to set cookies rather requires the active consent of the Internet user, the Court of Justice of the European Union stated in a judgment of October 1, 2019 (Case No. C-673/17). If the storage/collection of information from cookies is based on consent, a pre-set checkbox does not constitute effective consent.

Acceptance of cookies must not be preset

The Court of Justice has ruled that the consent required for the storage and retrieval of cookies on the device of the visitor to a website is not effectively given by a pre-set checkbox which the user must deselect in order to refuse his consent. In this respect, it makes no difference whether the information stored or accessed on the user’s device is personal data or not. Neither an „opt-out“ nor a „soft opt-in“ (continue surfing) solution constitutes legally effective consent.

People must give their consent for any kind of data transfer, tracking ….

Union law was intended to protect users from any intrusion into their privacy, in particular, against the risk of „hidden identifiers“ or similar instruments entering their device. The consent must therefore be given for the specific case. Pressing the button to enter the competition does not yet constitute effective consent of the user to the storage of cookies. In this context, the service provider is obligated to the user to provide information regarding the function duration and the access possibility of third parties about his cookies. It makes no difference whether it is personal or anonymous data that is stored.

Kategorien
Blog EN

Future-oriented data policy: data protection and cybersecurity are a perfect pair …

Future-oriented data policy: data protection and cybersecurity are a perfect pair …

Schadsoftware Trojaner - datenschutzrechtliche Anforderungen

Stress in the workplace due to insufficient resources and negligence are the greatest risk factor. «… .88% of the participants recognize that digitization is associated with additional cyber risks and that in addition to the visible opportunities, the invisible dangers are also growing. According to bsi.bund.de, only 29% of the institutions surveyed see cyber security and data protection as a competitive advantage … »

An example: after a local control room of the company went down, it became clear that the computers were infected with ransomware. The trigger was the “smart” coffee machine, connected to the Internet, which independently ordered reorders. The coffee maker was not only connected to an isolated Wi-Fi network, but also to the local control room network. The endpoint security, network segmentation and application network communication control were missing.

“Best practice” for the systematic identification of risks is the neutral risk assessment that ensures systematics and objectivity. The result is an overview of the hazard potential and a risk assessment for preventive measures:

  • So that failures in digital supply chains are no longer a cause of business interruptions;
  • So that the advantages of new technologies – artificial intelligence, IoT etc. – and digitization can be used to increase efficiency.
  • So that fires, explosions and natural disasters no longer threaten IT systems, data centers and cloud services, but instead protect redundancies, fail-safety and recoverability.
  • And cybersecurity largely serves as protection for digital transformation and data protection.

Future-proof your business with a data policy of trust for progress and innovation. It’s a quality attribute. It positively influences the success of the company and leads to higher employee satisfaction.

Kategorien
Blog DSGVO

Europäische Datenschutz-Grundverordnung: neue Rechtslage für Schweizer Exporteure

Das EuGH Urteil Schrems II oder das Ende des Privacy Shield

Europäische Datenschutz-Grundverordnung: neue Rechtslage für Schweizer Exporteure

Die Europäische Datenschutz-Grundverordnung (DSGVO) regelt seit 2018 die Verarbeitung von personenbezogenen Daten in der EU. Ein Gerichtsurteil weitet den Geltungsbereich nun auch auf Personendaten von EU-Bürgern aus, die in Drittländer transferiert werden. Dies kann für Schweizer KMU bereits bei der Zahlungsabwicklung über internationale Dienstleister oder der Nutzung von Cloud-Services der Fall sein.

Anlass dieses Urteils war der Rechtsstreit von Maximilian Schrems, Jurastudent in Österreich, mit der irischen Aufsichtsbehörde aufgrund der Übermittlung von Personendaten durch Facebook ohne vorliegende Einwilligung der betroffenen irischen Bürger zum Mutterkonzern in die USA. Ein Aussetzen von Datentransfers durch Behörden ist durch das Urteil ab sofort möglich. Die Geldbusse für Facebook bleibt abzuwarten.

Die Europäische Datenschutz-Grundverordnung (DSGVO) regelt seit 2018 die Verarbeitung von personenbezogenen Daten in der EU. Ein Gerichtsurteil weitet den Geltungsbereich nun auch auf Personendaten von EU-Bürgern aus, die in Drittländer transferiert werden. Dies kann für Schweizer KMU bereits bei der Zahlungsabwicklung über internationale Dienstleister oder der Nutzung von Cloud-Services der Fall sein.

Die Kernaussage:

  • Die DSGVO findet Anwendung in den USA und in einem Drittland, in dem es aus Gründen der nationalen Sicherheit oder Verteidigung zu einem Zugriff auf Personendaten durch die Geheimdienste dieses Landes kommt. Gemäss DSGVO sind alle Länder ausserhalb der EU und des EWR sog. „Drittländer“, d.h. personenbezogene Daten dürfen nicht ohne Weiteres in diese Länder transferiert werden. Dazu könnte am 1.1.2021 auch UK gehören.
  • Das Privacy Shield der USA (vergleichbar mit dem Angemessenheitsbeschluss der EU-Kommission über ein EU-adäquates Datenschutzniveau) ist ab sofort ungültig.
  • Die sogenannten Standard Security Clauses (SSC) sind weiterhin gültig, aber ggfs. nur mit zusätzlichen Sicherheitsmassnahmen. In einer Einzelfallprüfung durch den Datenimporteur/-Exporteur muss geprüft werden, ob im Zielland ein der EU gleichwertiges Datenschutzniveau besteht.

Zur internationalen Übermittlung von Personendaten zählen u.a. auch Kreditkartendaten, z.B. aus dem Onlineshop, insbesondere aber auch Daten in der Cloud, sofern der Anbieter in den USA oder in einem anderen Drittland ansässig ist.

Der EuGH entscheidet nicht für die Schweiz. Aber, für exportorientierte Unternehmen in der Schweiz bedeutet dies, wie bereits auch vor Safe Harbor, dass sie Exporte von Personendaten aus der Schweiz oder Europa identifizieren und dokumentieren müssen, die sie in Drittstaaten ohne Angemessenheitsbeschluss transferieren. Hinzu kommt die Prüfung aller Datentransfers auf ein der EU gleichwertiges Datensicherheitsniveau, aber auch, ob ein Datenzugriff auf Rechenzentren stattfinden kann und die Datentransfers innerhalb der gesamten Supply Chain.  

Festzustellen ist, ob Datentransfers nur auf dem Privacy Shield oder den SSC basieren oder ob ein anderer Rechtsgrund zur Anwendung kommt. Das Risiko ist die Aussetzung des Datentransfers, aber auch eine Busse der Aufsichtsbehörde von max. 250‘000 CHF, die an den CEO adressiert wird und ein Strafregistereintrag, der 20 Jahre nicht löschbar ist. Das muss nicht sein – wir unterstützen Sie! Rufen Sie uns an T. 079 348 55 63.