Österreich

Neuer EU-Datenschutz läutet
„Ära der Zertifizierungen“ ein

 

Bußgelder bis 20 Millionen Euro und Beweislastumkehr machen Privacy-Zertifizierungen „notwendig“ – besonderer Druck auf KMU

 

CIS-Newsletter Juni 2016 - „Die neue EU-Datenschutz-Grundverordnung wirft für die Unternehmen derzeit fast mehr Fragen auf, als sie SicherhMarkusFrank_Fotohinweis Bianca Jakobiceit gibt. Nationale Ausformungen und die Ausjudizierung bleiben abzuwarten. Jedenfalls werden Datenschutz-Zertifizierungen – als ‚Sicherheitsnetz‘ – zu einem zentralen Thema der kommenden Jahre.“ So lautet die Konklusio von Wirtschaftsjurist und Rechtsanwalt Dr. Markus Frank, der als einer der Keynote Speaker auf dem „12. Information-Security-Symposium, WIEN 2016“ das jüngste Regelwerk der Europäischen Union tiefergehend beleuchtete. Die Veranstalter des renommierten Branchen-Events, CIS und Quality Austria, freuten sich dabei über mehr als 250 interessierte Fachteilnehmer aus führenden Unternehmen - angereist nicht nur aus ganz Österreich, sondern auch aus CEE-Ländern wie Albanien und Mazedien.


Absicherung gegen Haftung

„Extrem hohe Bußgelder bis zu 20 Millionen Euro oder vier Prozent des weltweiten Konzernumsatzes sowie die Tatsache, dass der Schädiger bei Verstößen seine Nicht-Verantwortlichkeit im Sinne der Beweislastumkehr belegen muss, machen aus dem einst zahnlosen Papiertiger ein messerscharfes Datenschutz-Instrument“, betont auch Erich Scheiber, Geschäftsführer der Zertifizierungsorganisation CIS. Die Möglichkeit von anerkannten Datenschutz-Zertifizierungen zur Absicherung gegen Haftung und als Nachweis für die Einhaltung der Pflichten werden in der EU-DSGVO explizit angeführt.
Die heuer im Mai verabschiedete DSGVO tritt ab 25. Mai 2018 in allen EU-Mitgliedsstaaten in Kraft. Bis dahin können diese noch manche Regeln der Verordnung abändern, etwa zum Schutz der öffentlichen Sicherheit oder wirtschaftlicher Interessen, auch im Währungs- oder Steuerbereich. Offene Fragen gibt es auch bei der Bußgeldbemessung – so ist etwa die finanzielle Leistbarkeit kein ausdrückliches Kriterium für Strafmilderung. Ob also Bußgelder in bedrohlichem Ausmaß verhängt werden, ist bis zu den ersten Präzedenzfällen ungewiss. Jedenfalls sollen sie „wirksam, verhältnismäßig und abschreckend“ sein. „Damit wird Datenschutz zum Management-Thema oberster Priorität. Diese Tatsache übt auch Handlungsdruck auf KMU aus, die den Datenschutz naturgemäß meist weniger professionell umsetzen als Großunternehmen, aber bei Verstößen von hohen Bußgeldern betroffen sein können“, argumentiert Dr. Markus Frank.eu-flags_istockphoto-ricardoazoury

 

Unklare Pflichten erhöhen Risiko 
Gleichzeitig sind auch einige Pflichten im Rahmen der EU-DSGVO unklar. So wurde etwa bei den Informations- und Auskunftspflichten der Bußgeldrahmen empfindlich erhöht, von bisher 500 Euro im österreichischen DSG auf bis zu 20 Millionen Euro gemäß EU-Verordnung. „Gleichzeitig kommuniziert die Verordnung etwa bei der Informationspflicht nicht eindeutig, welche Informationen innerhalb des Spagats zwischen Transparenz und Betriebsgeheimnis konkret preis zu geben sind. Viele Erläuterungen und Ausnahmeregelungen bieten ein weites Betätigungsfeld für Juristen“, erklärt Dr. Markus Frank. Die Unklarheiten bei den Pflichten in Kombination mit hohen Bußgeldern stelle ein nicht zu bezifferndes Risiko für Organisationen dar, unbewusst gegen die neuen Datenschutzvorschriften zu verstoßen, resümiert der Wirtschaftsjurist. Dokumentation und geprüfte Nachweise für sorgfältiges Vorgehen als Absicherung gegen Fahrlässigkeit nehmen mit der neuen EU-DSGVO somit einen hohen Stellenwert ein.
 

Zertifizierung mindert Fahrlässigkeit
Als Nachweis für die Erfüllung der Schutzpflichten kann laut EU-DSGVO ausdrücklich eine anerkannte Zertifizierung herangezogen werden. Im Rahmen der ISO-Normen können hier der ISO 27001 für Informationssicherheit und der ISO 27018 für Datenschutz in der Cloud zentrale Bedeutung zukommen – welche Zertifizierungen als „anerkannt“ gelten, soll in den kommenden Monaten definiert werden. Wichtig können Zertifizierungen in Anmeldungs- und Überprüfungsverfahren sein, wenn der Auftraggeber nachweisen muss, dass sein Dienstleister die „hinreichenden Garantien für die Einhaltung des Datenschutzes“ bietet. Ebenso in Straf- und Schadenersatzverfahren, da nicht der Geschädigte den Nachweis mangelnder Schutzmaßnahmen erbringen muss, sondern den Auftraggeber oder Dienstleister die Beweislast trifft, dass er „in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.“

 

Rechtsanwalt Dr. Markus Frank, mit Sitz in Wien, ist spezialisiert auf Datenschutzrecht sowie auf interdisziplinäre Untersuchungen von Schadenursachen bei Wirtschaftsdelikten und schweren Vertragsverletzungen.
 

_____________________________________
Für Inhalte im CIS-Newsletter verantwortlich:
CIS - Certification & Information Security Services GmbH, T +43 (0)1 532 98 90, office@cis-cert.com


 

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Impressum

AGB