Datenschutz-Novelle macht Druck: Neue Meldepflicht bei Datenmissbrauch
Österreich ist EU-Vorreiter, große Herausforderung für KMU, ISO 27001 als "Tool"
Wien (pts005/29.01.2010/07:00) Die mit Jänner in Kraft getretene Novelle zum Datenschutzgesetz stellt Unternehmen und persönliche Dienstleister wie Ärzte oder Rechtsanwälte vor neue Herausforderungen: Ein EU-weites Novum ist die Informationspflicht bei Datenmissbrauch. Deutschland und Österreich sind hier Vorreiter. "Damit können alltägliche Sicherheitsrisiken wie gestohlene Laptops oder verlorene USB-Sticks - je nach Datensensibilität - unangenehme Folgen haben. Vom Imageschaden bis zu Verwaltungsstrafen", erklärt Erich Scheiber, Geschäftsführer der Zertifizierungsstelle für Informationssicherheit CIS. Nach § 24, Abs. 2a der DSG-Novelle müssen Organisationen im Fall, dass Daten "schwerwiegend unrechtmäßig verwendet" werden, die Betroffenen informieren. Auf welche Weise, bleibt offen. "In der Regel wird man Rundschreiben versenden. Die Folge kann ein nicht abzuschätzender Imageverlust gegenüber Kunden, Mitgliedern, Lieferanten oder auch Mitarbeitern sein", erklärt Orlin Radinsky, Wirtschaftsjurist der Wiener Kanzlei BRAUNEIS KLAUSER PRÄNDL.
Neuer Wirtschaftszweig
Außerhalb der EU verfügt die USA über eine ähnliche Regelung: rund um "Data Breach Notification Duty" hat sich bereits ein eigener Wirtschaftszweig etabliert - was nun auch für den deutschsprachen Raum zu erwarten ist. "Um Datenmissbrauch im Vorfeld zu vermeiden, müssen heimische Unternehmen Informationssicherheit auf hohem Niveau betreiben", betont Hans-Jürgen Pollirer, Bundesspartenobmann für Information und Consulting der WKO. "Gefordert sind vor allem KMU, die anders als Großunternehmen kaum über durchgängige Security-Strukturen verfügen." Die Novelle betrifft alle Branchen, denn als sensible Daten gelten Bankverbindungen, Kreditkartendetails oder auch Gesundheitsdaten. Als wirksames "Tool" für Informationssicherheit wertet Pollirer den internationalen Standard ISO 27001, der branchen- und größenunabhängig auch in KMU anwendbar ist.
Personelle Sicherheit als Schlüssel
Mehr als 7.000 Unternehmen weltweit sind bereits nach ISO 27001 zertifiziert - die Norm bietet Modelle für strukturiertes Sicherheitsmanagement: Klassifizierung von Daten, Personen und Ressourcen gehört ebenso dazu, wie Risikomanagement und wirksame Policies. "Für KMU generiert die anfängliche Risikoanalyse ein schlankes, individuell ausgerichtetes System", betont CIS-Chef Scheiber. Der dazugehörige Implementierungsleitfaden ISO 27002 beschreibt detaillierte Sicherheitsvorgaben für Mobile Computing, Teleworking, Leasing-Personal oder Dienstleister. "Das unterschätzte Risiko mobiler Datenträger wie Notebooks, Smart Phones oder USB-Sticks lässt sich mit systematischen Maßnahmen genauso gut absichern, wie das Firmennetzwerk", weiß Scheiber.
Verlieren sensibler Daten genügt
Die Praxis wird zeigen, wie die Judikatur mit der Novelle umgeht: Sind Betroffene erst bei Datenmissbrauch oder bereits bei Verlust zu informieren? Laut §4, Z 8-9 fällt unter "Verwenden von Daten" auch das "Speichern, Aufbewahren, Überlassen, ... ". Daraus folgt laut Radinsky: "Der bloße Verlust könnte je nach Sachverhalt bereits als Überlassen gewertet werden und unter Umständen Schadenersatzpflicht auslösen."
Verwaltungsstrafen wurden erhöht
Novelliert wurde auch die Höhe der Verwaltungsstrafen. So wird etwa die unbefugte Datenübermittlung mit bis zu EUR 25.000, die Verletzung der Meldepflichten mit bis zu EUR 10.000 sanktioniert.
Aussender: | CIS - Certification & Information Security services GmbH |
Ansprechpartner: | Heike Galley |
Tel.: | 0699 1974 5647 |
E-Mail: | h.galley@galley-pr.at |