DSG-Novelle macht Druck: Neue Meldepflicht bei Datenmissbrauch

Wien (OTS) - Die mit Jänner in Kraft getretene Novelle zum
Datenschutzgesetz stellt Unternehmen und persönliche Dienstleister
wie Ärzte oder Rechtsanwälte vor neue Herausforderungen: Ein
EU-weites Novum ist die Informationspflicht bei Datenmissbrauch.
Deutschland und Österreich sind hier Vorreiter. "Damit können
alltägliche Sicherheitsrisiken wie gestohlene Laptops oder verlorene
USB-Sticks - je nach Datensensibilität - unangenehme Folgen haben.
Vom Imageschaden bis zu Verwaltungsstrafen", erklärt Erich Scheiber,
Geschäftsführer der Zertifizierungsstelle für Informationssicherheit
CIS. Nach § 24, Abs. 2a der DSG-Novelle müssen Organisationen im
Fall, dass Daten "schwerwiegend unrechtmäßig verwendet" werden, die
Betroffenen informieren. Auf welche Weise, bleibt offen. "In der
Regel wird man Rundschreiben versenden. Die Folge kann ein nicht
abzuschätzender Imageverlust gegenüber Kunden, Mitgliedern,
Lieferanten oder auch Mitarbeitern sein", erklärt Orlin Radinsky,
Wirtschaftsjurist der Wiener Kanzlei BRAUNEIS KLAUSER PRÄNDL.

Neuer Wirtschaftszweig

Außerhalb der EU verfügt die USA schon länger über eine ähnliche
Regelung: rund um "Data Breach Notification Duty" hat sich bereits
ein eigener Wirtschaftszweig etabliert. "Um Datenmissbrauch im
Vorfeld zu vermeiden, müssen heimische Unternehmen
Informationssicherheit auf hohem Niveau betreiben", betont
Hans-Jürgen Pollirer, Bundesspartenobmann für Information und
Consulting der WKO. "Gefordert sind vor allem KMU, die anders als
Großunternehmen kaum über durchgängige Security-Strukturen verfügen."
Die Novelle betrifft alle Branchen, denn als sensible Daten gelten
Bankverbindungen, Kreditkartendetails oder auch Gesundheitsdaten. Als
wirksames "Tool" für Informationssicherheit wertet Pollirer den
internationalen Standard ISO 27001, der branchen- und
größenunabhängig auch in KMU anwendbar ist.

Personelle Sicherheit als Schlüssel

Mehr als 7.000 Unternehmen weltweit sind bereits nach ISO 27001
zertifiziert - die Norm bietet Modelle für strukturiertes
Sicherheitsmanagement: Klassifizierung von Daten, Personen und
Ressourcen gehört ebenso dazu, wie Risikomanagement und wirksame
Policies. "Für KMU generiert die anfängliche Risikoanalyse ein
schlankes, individuell ausgerichtetes System", betont CIS-Chef
Scheiber. Der dazugehörige Implementierungsleitfaden ISO 27002
beschreibt detaillierte Sicherheitsvorgaben für Mobile Computing,
Teleworking, Leasing-Personal oder Dienstleister. "Das unterschätzte
Risiko mobiler Datenträger wie Notebooks, Smart Phones oder
USB-Sticks lässt sich mit systematischen Maßnahmen genauso gut
absichern, wie das Firmennetzwerk", weiß Scheiber.

Verlieren sensibler Daten genügt

Die Praxis wird zeigen, wie die Judikatur mit der Novelle umgeht:
Sind Betroffene erst bei Datenmissbrauch oder bereits bei Verlust zu
informieren? Laut §4, Z 8-9 fällt unter "Verwenden von Daten" auch
das "Speichern, Aufbewahren, Überlassen, ...". Daraus folgt laut
Radinsky: "Der bloße Verlust könnte je nach Sachverhalt bereits als
Überlassen gewertet werden und unter Umständen Schadenersatzpflicht
auslösen." Novelliert wurde auch die Höhe der Verwaltungsstrafen. So
wird etwa die unbefugte Datenübermittlung mit bis zu EUR 25.000, die
Verletzung der Meldepflichten mit bis zu EUR 10.000 sanktioniert.

Fotos unter: http://www.cis-cert.com/aktuell/presse.php

Rückfragehinweis:
Heike Galley, [email protected], 0699 1974 5647

Digitale Pressemappe: http://www.ots.at/pressemappe/1763

OTS-ORIGINALTEXT PRESSEAUSSENDUNG UNTER AUSSCHLIESSLICHER INHALTLICHER VERANTWORTUNG DES AUSSENDERS - WWW.OTS.AT | NEF

print