Beschreibung des Angebots

Certificate of Advanced Studies (CAS) ist eine Nachdiplomausbildung der Hochschulen und entspricht mindestens 10 ECTS.

Das CAS Data Privacy Officer (DPO) vermittelt die erforderlichen Fachkenntnisse zur Ausübung der Funktion des/der betrieblichen Datenschutzverantwortlichen bzw. des/der Datenschutzberatenden nach revidiertem Datenschutzgesetz der Schweiz. Die relevanten Aspekte der EU-Datenschutzgrundverordnung (DSGVO) – der General Data Protection Regulation (GDPR) 2016/679 – werden in diesem Kurs mitberücksichtigt.

Neben der Vermittlung der rechtlichen und technischen Grundlagen, fokussiert das CAS DPO insbesondere auf praxisrelevante organisatorische Themen wie 

• Anforderungen und Implementierung eines Datenschutzmanagementsystems (DSMS) im Unternehmen
• Datenschutzrechtlich relevante Aspekte bei der Vertragsgestaltung (insbesondere bei der Datenbearbeitung durch Auftragsbearbeiter)
• Rolle des DPO im Unternehmen
• Entwicklung einer Datenschutzstrategie innerhalb des Unternehmens
• Technische Aspekte zur Beurteilung erforderlicher Massnahmen im Zusammenspiel mit dem Chief Information Security Officer (CISO)

Das CAS DPO besteht aus fünf Modulen, die auch einzeln als Fachkurse zu je 3 ECTS-Punkten belegt werden können, und einer Projektarbeit im Umfang von 90 Stunden und 3 ECTS-Punkten:

• Modul DPO – Recht
• Modul DPO – Datenschutz Managementsystem
• Modul DPO – Technik
• Modul DPO – Rolle DPO & Governance
• Modul DPO – Outsourcing & Contracting
• Modul DPO – Transferarbeit

Aufbau der Ausbildung

Jedes Modul wird mit einem Qualifikationsschritt (Testat) abgeschlossen. Teilnehmende, welche über entsprechende Vorkenntnisse verfügen, dürfen einzelne Module auslassen, solange sie dabei die Anforderungen an die Präsenzzeit von 60% erfüllen. Die Qualifikationsschritte (Prüfungen) müssen jedoch in jedem Fall absolviert werden.

Modul DPO – Recht

• Anwendungsbereich des DSG / EU DSGVO
• Zweck, Begriffe und Grundsätze des Datenschutzes
• Rechte von Betroffenen (Informationspflichten, Auskunftsrecht, Recht auf Berichtigung usw.)
• Persönlichkeitsverletzungen, Rechtfertigungsgründe, Daten von verstorbenen Personen, Daten von Kindern
• Data Breach Notification, organisatorische Massnahmen
• Besondere Bestimmungen für Bundesorgane, Aufsichtsbehörden und deren Befugnisse
• Verfahren, Sanktionen, Übergangsbestimmungen (E-DSG)
• Stolpersteine DSGVO (Europäische Vertretung, Datenportabilität DSG, usw.)
• Qualifikationsschritt DPO – Recht (Führen eines Lerntagebuches)

Modul DPO – DSMS

• Verordnung über die Datenschutzzertifizierung, Zertifizierungsrichtlinie
• ISO 27001 und 9001 und Datenschutzpolitik
• Verzeichnis der Bearbeitungstätigkeiten (bisher Register der Datensammlungen / Bearbeitungsreglement)
• Privacy Impact Assessment / Datenschutzfolgeabschätzung
• Datenschutz in Projekten, Aufbewahrung, Archivierung und Löschung, Plan-Do-Check-Act (PDCA)
• Governance-Risk-Compliance-Tools, IKS
• Qualifikationsschritt DPO – DSMS (Einzelarbeit, in welcher ein Konzept zu einem DSMS für ihre oder eine vom Dozierenden erfundenen Firma erstellt wird)

Modul DPO – Technik

• Technische Massnahmen (Authentisierung, Autorisierung, Identity Management)
• Privacy by Design, Privacy by Default
• Pseudonymisierung, Anonymisierung
• Kryptologie, Kryptographie
• Protokollierung
• Technischer Datenschutz / Systemdatenschutz (Zugangskontrolle, Zugriffskontrolle, Eingabekontrolle, usw.)
• Qualifikationsschritt DPO – Technik (Führen eines Laborprotokolls)

Modul DPO – Rolle DPO & Governance

• Einbindung des Datenschutzes in Geschäftstätigkeit des Unternehmens, Abstimmung mit Unternehmenszielen
• Erkennen einer Unternehmenskultur und der Haltung gegenüber dem Datenschutz
• Zusammenarbeit mit Behörden, Verantwortlichkeiten und Mitwirkung in Projekten
• Förderung einer Datenschutzkultur, Vermitteln von Hilfsmitteln (z.B. EDÖB-Seite)
• Definition der Unabhängigkeit, Anforderungsprofil, Unternehmenskultur, Compliance, Awareness
• Qualifikationsschritt DPO – DPO & Governance (Präsentation einer Gruppenarbeit - 2er Gruppe)

Modul DPO – Outsourcing & Contracting

• Datenbearbeitung durch Auftragsbearbeiter (i. B. Schweizer Auftragsdatenbearbeiter von EU-Unternehmen)
• Zentralisierung von Prozessen im Ausland
• Bekanntgabe von Personendaten ins Ausland
• Datenschutz in Cloud-Computing
• Datenschutzrechtliche Anforderungen an Outsourcing-Verträge
• Standardklauseln, Staatenliste, Privacy Shield Swiss-U.S. / EU-U.S.
• Qualifikationsschritt DPO – Outsourcing & Contracting (Bearbeitung eines Mustervertrages)

Modul DPO – Transferarbeit

Im Modul DPO – Transferarbeit wird ausschliesslich die Transferarbeit verfasst. Die Transferarbeit wird grundsätzlich in Gruppen von 2 Personen durchgeführt. Im Rahmen einer schriftlichen Arbeit im Umfang von 90 Stunden pro Person zeigen die Absolventinnen und Absolventen, dass sie sich auch theoretisch-wissenschaftlich erfolgreich mit dem Thema Datenschutz auseinandersetzen und das Erlernte in die Praxis überführen können.

Das CAS Data Privacy Officer kann zusammen mit dem CAS Information Security – Technology und dem CAS Information Security – Management zum MAS Information Security & Privacy komplettiert werden.