Information Security Society Switzerland (ISSS)
menu

Willkommensgruss

Gerne lade ich Sie am 27. Juni 2016 ins Hotel Widder ein zur diesjährigen ISSS Zürcher Tagung zum Thema "EU-Datenschutzgrundverordnung und neues CH-DSG - Herausforderungen an Informatiksicherheit und Compliance".

 

Die DSGVO – Datenschutz-Grundverordnung – auch bekannt unter dem englischen Kürzel GDPR – General Data Protection Regulation – wurde in den letzten Monaten bereits in vielen Veranstaltungen erläutert. Deshalb haben wir uns bei ISSS entschieden, eine Veranstaltung zu DSGVO und dem kommenden revidierten Schweizer Datenschutzgesetz zu machen mit einem starken Fokus auf die Herausforderungen bei der Umsetzung. Viele Unternehmen sind bereits jetzt daran, die Umsetzung in der eigenen Organisation zu konzipieren und planen. Es freut mich sehr, dass wir ausgewiesene Fachspezialistinnen aus Anwender-Unternehmen, Dienstleistungs-Anbieter und Forschung für spannende Vorträge zu ausgewählten Themenschwerpunkten des Datenschutzes gewinnen konnten. Das Programm der Zürcher Tagung 2017 gibt Aufschluss über die Themenvielfalt und motiviert Sie hoffentlich zur Teilnahme!

 

Wir erwarten über 100 Teilnehmende, um die Erfahrungen betreffend Pflichten, Risiken, Anwendungen und Perspektiven der neuen europäischen und schweizerischen Datenschutz-Gesetzgebung auszutauschen und zu diskutieren.

 

Ich freue mich, Sie in Zürich persönlich zu treffen.

Umberto Annino, President ISSS, umberto.annino(at)isss.ch

Kurzbeschreibung der Tagung

Unser geltendes Datenschutzgesetz (DSG) beruht auf Vorarbeiten aus den 80er Jahren und ist am 1. Juli 1993 in Kraft getreten. Es stammt somit aus der Zeit vor Einführung des Internet, vor Ausbreitung der mobilen Kommunikation und der sozialen Medien und vor der umfassenden Durchdringung von Wirtschaft und Gesellschaft durch die Informatik. Dennoch konnte der Datenschutz aufgrund des in der Schweiz traditionell hochgehaltenen Schutzes der Persönlich­keit (Art. 28 ZGB), der Technikneutralität des DSG und seiner bewusst auf grundsätzliche Anfor­derungen ausgerichteten Regeln seine Aufgabe auch im internationalen Vergleich erfolgreich bewältigt werden.

 

Ab 2010 sind in der EU die Arbeiten zur Schaffung einheitlicher umfassender Datenschutzregeln für den Binnenmarkt in Angriff genommen worden. Diese führten im Mai 2016 zum Erlass der Datenschutz-Grundverordnung die ab 25. Mai 2018 im gesamten EWR verbindlich anzuwenden ist. Der angemessenen Abstimmung des Datenschutzes unseres Landes auf die ausländische Entwicklung kommt daher für die Aufrechterhaltung des freien Informationsverkehrs mit unseren Handelspartnern im Binnenmarkt eine erhebliche Bedeutung zu. Daher ist parallel mit der internationalen Entwicklung in der Schweiz eine Totalrevision des DSG an die Hand genommen worden. Zur Zeit läuft dazu noch die Vernehmlassung bis am 4. April 2017. ISSS hat dazu eine Taskforce gegründet, um eine Vernehmlassungs-Antwort zu erstellen.

 

Die Umsetzung des neuen Datenschutzrechts wird die Anwender in Wirtschaft und Verwaltung vor grosse Herausforderungen stellen: In welchen Fällen ist die EU DSGVo für Schweizer Unternehmen unmittelbar anwendbar? Wie kann der Datenschutz beim Informationsverkehr mit Ländern ohne gleichwertigen Datenschutz gewährleistet werden? Welche Risiken sind bei der vorgesehenen ”Datenschutz-Folgenabschätzung” zu berücksichtigen? Welche neuen Anforderungen werden an die Informatiksicherheit bei Auftragsbearbeitung in der ”Cloud“ gestellt und wie ist in Zukunft bei erkannten Datenschutzverletzungen (”data breach“) vorzugehen? Wann muss der Datenschutz durch geeignete organisatorische und technische Massnah­men (”privacy by design or default“) verbessert werden? Welche Aufgaben und Funktion werden betrieblichen Datenschutzverantwortliche in Zukunft wahrnehmen? Wie kann der Datenschutz durch Zertifizierung des Datenschutz-Managements verbessert werden? Welche neuen Pflichten sind bei personenbezogenen Entscheidungen aus automatisierten Geschäftsprozessen, bei der Anwendung von Persönlichkeitsprofilen von Kunden und Geschäftspartnern, bei der Auswertung grosser informationsmengen durch ”Big Data” Analysen, zu beachten?

 

Dies sind nur ausgewählte Beispiele der vielfältigen Herausforderungen an den Datenschutz, mit welchen sich die IT Anwender in Wirtschaft und Verwaltung in naher Zukunft befassen müssen. Die ISSS Zürcher Tagung 2017 soll als Plattform für den Austausch von Ideen, Konzepten, Lösungsansätzen, Erfahrungen und Empfehlungen von Anwendern dienen, wie die Verantwortlichen für Datenschutz und Informatiksicherheit diesen Herausforderungen gerecht werden können.

Beat Lehmann, lic. iur. Fürsprech, Acting Counsel, Alcan Holdings Switzerland AG, Vorstand ISSS, beat.lehmann(at)isss.ch

Teilnehmende

Die ISSS Zürcher Tagung 2017 richtet sich im generellen an Entscheidungsträger und Verantwortliche für die Informationssicherheit, und im speziellen an Datenschutzbeauftragte, Datenschützer, Risikomanager, Dateneigentümer und Juristen, die sich den wachsenden Herausforderungen des gesetzlich vorgeschriebenen Datenschutzes stellen müssen. Die Teilnehmer unserer Tagung werden erfahren, wie ihr Unternehmen technisch, juristisch und organisatorisch aufgestellt werden kann, um den steigenden regulatorischen Anforderungen z.B. durch die EU-Datenschutzgrundverordnung oder das neue CH-DSG, zu genügen. Diese Tagung richtet sich gleichermassen an Vertreter aus dem Gesundheits-, Finanz- und Verwaltungswesen, an die herstellende und verarbeitende Industrie, KMUs, sowie an Beratungsunternehmen und Anbieter von Datenschutzlösungen. Sie bietet somit eine exzellente Plattform, sich mit Kollegen, Experten, Anbietern und Anwendern verschiedener Bereiche auszutauschen.

Frank Heinzmann, IT Risk UBS AG, Vorstand ISSS, frank.heinzmann(at)isss.ch

Anmeldung/Preise

Bitte melden Sie sich direkt online an unter http://www.isss.ch/veranstaltungen/2017/zuercher-tagung/anmeldung/.

Die Preise finden Sie im Anmeldeformular. Anmeldeschluss ist der 25. Juni 2017. Die Anzahl der Teilnehmenden ist beschränkt. Anmeldungen werden nach Datum des Eingangs berücksichtigt.

Programm für Dienstag, 27. Juni 2017

Tagungsmoderation: Lic iur. Fürsprecher Beat Lehmann, Vorstand ISSS

 

Kurzbeschreibung der Referate und Biographien

Erich Herzog, economiesuisse, Stv. Leiter Wettbewerb und Regulatorisches

Erich Herzog hat an den Universitäten Zürich und Lausanne Rechtswissenschaften studiert und im Anschluss das Anwaltspatent des Kantons Zürich erworben. Er hat einen LL.M. der University of London (College of Queen Mary) mit Schwergewicht Immaterialgüterrecht.

 

Bei economiesuisse leitet er die Arbeitsgruppen Finanzmarktregulierung und Datenschutz und koordiniert die Rechtskommission. Vor seiner Tätigkeit bei economieuise praktizierte er während mehrerer Jahre in Zürich und Genf als Rechtsanwalt im Bereich des Immaterialgüter- und Technologierechtes und arbeitete als Senior Legal Counsel im Rechtsdienst des grössten privaten Schweizer Telekommunikationsunternehmens.

Keynote: Entwicklungen im Datenschutz aus einer gesamtwirtschaftlichen Sicht

Wichtige Grundlage von Innovation und Wachstum in der digitalen Wirtschaft sind Daten und Algorithmen. Die Gestaltung des regulatorischen Rahmens für den Umgang mit diesen muss die optimale Nutzung der Opportunitäten der Digitalisierung ermöglichen. Die Nutzung und Verarbeitung von Daten darf nicht durch ein regulatorisches Korsett behindert werden.

Die Verschärfungen des Datenschutzes in Europa stehen im Kontrast zur Entwicklung neuer Geschäftsmodelle und damit verbundener Möglichkeiten. Bei dieser Tendenz scheint übersehen zu werden, dass Datenschutz nur ein Teilaspekt einer guten Datenpolitik ist. Im Rahmen der Präsentation erfolgt eine Einordnung der aktuellen Entwicklungen und ein Einblick in die aktuellen Arbeiten von economiesuisse, eine zukunftsorientierte Datenpolitik zu formulieren, welche den Weg für eine erfolgreiche Nutzung von Daten und Algorithmen in der Schweiz aufzeigen soll.

Dr. Ursula Widmer, Rechtsanwältin, Dr. Widmer & Partner, Past President ISSS

Dr. Ursula Widmer, Rechtsanwältin, studierte Rechtswissenschaften an der Universität Bern. Assistentin am Institut für Privatrecht und Rechtsvergleichung. Dissertation zum Thema «Risikofolgeverteilung bei Informatikprojekten: Haftung für Softwaremängel bei Planung und Realisierung von Informationssystemen». Gründung der auf Informatik-, Internet- und Telekommunikationsrecht spezialisierten Wirtschaftsanwaltskanzlei Dr. Widmer & Partner, Rechtsanwälte, Bern. Lehrbeauftragte für Informatik- und Internetrecht an der Universität Bern sowie Lehrbeauftragte für Recht der Informationssicherheit an der Eidgenössischen Technischen Hochschule Zürich (ETHZ). Ehemaliges Mitglied der vom Bundesrat eingesetzten Expertenkommission «Netzwerkkriminalität», ehemaliges Mitglied der Eidgenössischen Datenschutzkommission, ehemaliges Mitglied des Advisory Board des Information Security Forum (ISF), Past Präsidentin der International Technology Law Association (ITechLaw), Past Präsidentin der Information Security Society Switzerland (ISSS); Mitglied des Stiftungsrates der Deutschen Stiftung für Recht und Informatik (DSRI), Mitglied der vom Bundesrat eingesetzten Expertenkommission zur «Zukunft der Datenbearbeitung und Datensicherheit».

Relevanz der EU-DSGVO für Schweizer Unternehmen

Schweizer Unternehmen wollen wissen, unter welchen Voraussetzungen das neue EU-Datenschutzrecht gemäss der EU Datenschutz Grundverordnung (EU-DSGVO) für sie Anwendung finden wird und welche Massnahmen sie bis zum Inkrafttreten der EU-DSGVO vorkehren müssen, um deren Anforderungen zu erfüllen.

Dr. Carmela Troncoso, Faculty member, IMDEA Software Institute

Carmela Troncoso obtained her Ph.D. in 2011 (KULeuven, Belgium). She joins the IMDEA Software Institute as faculty member in October 2015. Previously, she was the Security and Privacy Technical Lead at Gradiant, delivering secure and privacy friendly solutions to the market. Her research focuses on security and privacy, with main contributions to the field of anonymous communications and location privacy.

Systematic Privacy by Design Engineering (EN)

The concept of Privacy by Design, which states that privacy should be included from the start when building systems and developing services, has gained traction in policy circles in the last decade, as reflected by the new European General Data Protection Regulation. There is no doubt that Privacy by Design is necessary for the outcome of the design process to be truly privacy-preserving. Yet, how to implement this concept in reality, both from a methodological as well as technical points of view, remains a challenge.

In this talk we will make explicit which are the design strategies followed by privacy experts when engineering privacy-preserving systems, and we will show how these design strategies require the use of Privacy Enhancing Technologies. We will also discuss how to reason about the evaluation of privacy protection.

Reto Zbinden, Rechtsanwalt, CEO und Inhaber, Swiss Infosec AG

Reto C. Zbinden beschäftigt sich seit 30 Jahren als Berater und Ausbildner in den Bereichen Integrale Sicherheit, Informationssicherheit, Datenschutz und IT-Sicherheit. Er ist bekannt für sein Fachwissen über die neusten Datenschutzentwicklungen im In- und Ausland. Bei seiner Arbeit legt er den Fokus stets auf Praxiskonformität und Wirtschaftlichkeit.

Aufgaben und praktische Erfahrungen mit dem betrieblichen Datenschutzbeauftragten

Mit dem Einsatz eines betrieblichen Datenschutzverantwortlichen (BDSV) nach Art. 11a DSG und Art. 12a VDSG wird es Organisationen ermöglicht, sich von einer allfälligen Registrierungspflicht befreien zu lassen. Die Funktion des BDSV kann sowohl intern ausgeführt aber auch an eine externe Fachperson übertragen werden.

Herr Zbinden wird aus seiner langjährigen Erfahrung als BDSV für verschiedene Organisationen aufzeigen, wie bezüglich der Bestellung eines BDSV vorzugehen ist, welche Pflichten und Rechte (AKV) dieser haben sollte und wie sich die Funktion und die Tätigkeiten des BDSV je nach Organisationsgrösse am vorteilhaftesten in die bestehenden Betriebsprozesse integrieren lassen (Best Practice).

Beni Gelzer, Data Privacy Officer Switzerland, Novartis International AG

Die Datenschutz-Folgenabschätzug (”Privacy Impact Assessment“) in einem international tätigen Schweizer Konzern (EN)

Privacy Impact Assessments (PIA) have become an integral part of the privacy by design approach and an important tool to assist organizations in identifying and minimizing privacy risks of new projects and policies. EU Data Protection Regulation’s Article 35 requires that an assessment is performed before personal data is processed.

How can organizations that process personal information earn the maximum benefit out of a PIA process and find the most effective way to comply with their data protection obligations and meet individual expectations of privacy?

Rather than the performance of a last minute legal compliance checklist, an effective PIA process requires working with people within the organization, with partners outside the organization and with the people affected in order to identify and therefore to be able to address potential risks at an early stage.

One pharmaceutical multinational based in Switzerland shares experience on how it developed a PIA process as an active tool to help inform decisions involving the processing of personal information.

Nicolas Vernaz, Senior Manager, Data Protection and Regulatory Compliance, PwC Switzerland AG

Nicolas is a senior manager in the cybersecurity team at PwC Digital Services in Switzerland, leading the data protection and regulatory compliance work. He has over 15 years of experience in IT, cybersecurity and management in rapidly growing and complex environments. Nicolas is a specialist in data governance, has developed a data governance assessment framework, and is actively working in data classification and protection projects.

EU-GDPR Practical Insights into Implementation Projects (EN)

We all have read or heard about GDPR, but what does it mean when it comes to implementation? I will go through different use cases to illustrate the different challenges that arise from a GDPR compliance program. Use cases that will be tackled are concrete and will cover seven topics including data inventory, data breach, awareness and internal controls. For every use case I will outline the main challenges and illustrate possible solutions to manage them.

mag. Iur. Maria Winkler, Geschäftsführerin der IT & Law Consulting GmbH, Fachexpertin für Datenschutzzertifizierungen

• Juristin mit Spezialgebiet Informatikrecht

• Dozentin für Informatikrecht und Recht im Internet an verschiedenen Fachhochschulen Datenschutzbeauftragte des Vereins Swissdec

• Fachexpertin für Datenschutzzertifizierungen in der Schweiz und in Österreich beider SQS

Stellenwert und praktische Bedeutung der Zertifizierung von Datenschutz-Managementsystemen nach DSGVO und DSG

Die EU-Datenschutzgrundverordnung sieht vor, dass die Mitgliedsstaaten Datenschutz-Zertifizierungsverfahren fördern sollen. In der Schweiz sind Unternehmen, die ihre Datenverarbeitungsprozesse nach der Verordnung über Datenschutzzertifizierungen (VDSZ) zertifizieren lassen, von der gesetzlichen Meldepflicht für Datensammlungen befreit. Der Vortrag setzt sich mit der Frage auseinander, ob und wenn ja welche Unterschiede zwischen den europäischen und den schweizerischen Normen bestehen, welche Anforderungen an eine Datenschutzzertifizierung in der Praxis gestellt werden und ob mit einer Zertifizierung tatsächlich der Nachweis gelingen kann, dass ein Unternehmen alle datenschutzrechtlichen Normen einhält.

Georg Bommer, Geschäftsführer der Inter-Networking AG und Gründer vom Startup DataGovernance Technologies

Georg Bommer verfügt über mehr als 20 Jahre Erfahrung im Bereich IT und Information Security. Er hat eine Ausbildung in Marketing Management und ist CISSP, CISM, CISA zertifiziert. Er ist Gründer eines neuen Startups im Bereich Data Governance, das Software-Lösungen für die intelligente Analyse und das Management von unstrukturierten Daten entwickelt.

Automatisches Klassifizieren von X- Millionen Dokumenten

Die riesigen und immer schneller wachsenden Berge von unstrukturierten Daten sind eine grosse Herausforderung für alle Unternehmen. Wie können Data Owner die Daten effizient managen? Wie können Daten, die regulatorischen Vorgaben und Policies unterliegen, einfach identifiziert, klassifiziert, geschützt oder eliminiert werden?

Die technischen und organisatorischen Aspekte werden beleuchtet, insbesondere auch die Rollen und Aufgaben vom Data Owner. Es wir aufgezeigt, wie mit Big Data Analytics und Data Mining eine Business-Sicht auf unstrukturierte Daten generiert und X-Millionen Dokumente automatisch getagged, klassifiziert und geschützt werden können.

RA lic. iur. Nicole Beranek Zanon, Exc. MBA HSG, Gründungspartnerin, de la cruz beranek Rechtsanwälte AG

RA lic. iur. Nicole Beranek Zanon, Executive MBA HSG studierte an der Universität Fribourg und schloss ein zweisprachiges Lizenziat (de/fr) mit Auszeichnung Europarecht ab. Es folgte eine Spezialisierung in Immaterialgüterrecht im Rahmen des LL.M. European Business Law der Universität Zürich sowie einem Executive MBA HSG. Sie publiziert regelmässig zu Datenschutz- und Technologiethemen und unterrichtet an der FHNW, ZHAW und der Universität St. Gallen als Gastreferentin. Sie ist Gründungspartnerin von de la cruz beranek Rechtsanwälte AG. Eine Anwaltskanzlei, die unter Einsatz von hochqualifizierten Spezialisten mit langjähriger Erfahrung ihre Kunden in Informations-, Kommunikations- und Technologierecht sowie im Wirtschaftsrecht berät. Die Beratung konzentriert sich nicht nur auf die juristische Beratung, sondern sie berücksichtigen aus Unternehmersicht praxistaugliche Lösungen und begleiten die Umsetzung der gemeinsam erarbeiteten Lösung.

Data Breach Notification – Meldepflichten bei Datenschutzverletzungen

"Data Breach Notification – Meldepflichten bei Datenschutzverletzungen” sind gemäss der EU DSGVO erforderlich wie auch nach dem Vorentwurf des Schweizerischen Datenschutzgesetzes. Grundvoraussetzung ist, dass der Sachverhalt ermittelt worden ist und dies innert kürzester Zeit. Was dies bedeutet für die Security-Abteilung oder den externen Sicherheitsberater in Punkto Organisation, Inhalt Tempo und rechtlichem Mindestinhalt zeigt der Beitrag auf.

Stephan Töndury, Senior IT Security Consultant, TEMET AG

Stephan Töndury ist Jurist und arbeitet seit 17 Jahren im Bereich Informationssicherheit. Nach mehrjähriger Tätigkeit als CISO in Verwaltungseinheiten des Bundes und eines Kantons berät er seit 2010 mittlere und grosse Unternehmen v.a. im Finanz- und Versicherungssektor sowie in der öffentlichen Verwaltung.

Vom Auftragsdatenverarbeiter zur Risikofolgenabschätzung - Ausgewählte Aspekte der DSGVO und ihre Bedeutung für die IT in der Schweiz

Per Ende Mai 2018 tritt die europäische Datenschutzgrundverordnung DSGVO in Kraft, soviel ist sicher. Und spätestens ab diesem Zeitpunkt wird sie irgendwie auch für Unternehmen in der Schweiz relevant. Aber wie genau? Nach welchen Prinzipien bestimmt sich die Anwendbarkeit der DSGVO und vor allem: welche neuen Risiken können dadurch Ihrem Unternehmen entstehen?

Wer sich dafür interessiert, hat in den letzten Monaten viel über die Grundzüge der DSGVO und ihre Bedeutung für die Entwicklung des Datenschutzes in der Schweiz lesen können. Der Beitrag von Stephan Töndury zeigt zusätzlich ausgewählte Aspekte der Verordnung etwas genauer auf und damit auch, welche Änderungen auf Datenbearbeiter in der Schweiz zukommen können.

Mag. Krzysztof Müller (CISA, CISPP), Executive Consultant GRC, NTT Security AG

Krzysztof Müller ist Executive Consultant GRC bei der NTT Security und Lektor für IT-Compliance an der FH St. Pölten/Österreich. Davor war er als langjähriger Leiter Information & Data Security der A1 Telekom Austria, dem führender Telekommunikationsanbieter in Österreich, verantwortlich für Sicherheitsstrategie & Risikomanagement.

EU-Datenschutz-konform bis Mai 2018 – welche Schweizer Unternehmen sind betroffen und was ist konkret zu tun?

Ab 25. Mai 2018 gilt die neue Europäische Datenschutzverordnung. Unternehmen bleibt weniger als 1 Jahr, um die neuen Vorgaben umzusetzen und beispielsweise die geforderte Transparenz bei der Speicherung und Verarbeitung personenbezogener Daten zu schaffen. Aber welche Schweizer Unternehmen sind überhaupt betroffen, was sind die wichtigsten Neuerungen dieses umfangreichen Regelungswerks und welche technischen und organisatorischen Massnahmen sind daraus abzuleiten – Sicherheitsexperte NTT Security gibt einen Überblick und stellt eine praktische 12-Punkte-Checkliste vor, zur schnellen Einschätzung des eigenen DSGVO-Status und Grundlage für konkrete Handlungsempfehlungen und Sicherheitsmassnahmen.

Wir danken unseren Sponsoren und Partnern

Sponsoren:

   

    


Medienpartner:
    

Anreise





Adresse
Widder Hotel, Rennweg 7, 8001 Zürich

Mit den öffentlichen Verkehrsmitteln
Der Hauptbahnhof Zürich liegt nur 650 m vom Widder Hotel entfernt. Zu Fuss folgen Sie 500 m der Bahnhofstrasse und biegen dann links in den Rennweg ein. Der Hoteleingang befindet sich am Rennweg 7, 8001 Zürich. Alternativ können Sie auch das Tram (6, 7, 11 oder 13) bis zur Haltestelle „Rennweg“ nehmen. Der Eingang (Widder Saal) sowie die Registration (Pfiffebödeli) befindet sich im zweiten Untergeschoss und wird mit dem Lift oder per Treppe erreicht.

Mit dem Auto
Das Widder Hotel liegt in einer verkehrsberuhigten Zone. Die Zufahrt ist nur sehr beschränkt erlaubt. Gerne können Sie Ihr Auto beim Parkhaus Urania parkieren, welches 6 Minute Fussweg vom Widder Hotel entfernt ist.