Neuer EU-Datenschutz läutet „Ära der Zertifizierungen“ ein

Utl.: Druck auf KMU - Bußgelder bis 20 Mio.€ und Beweislastumkehr =

Wien (OTS) - „Die neue EU-Datenschutz-Grundverordnung wirft für die
Unternehmen derzeit mehr Fragen auf, als sie Sicherheit gibt.
Nationale Ausformungen und die Ausjudizierung bleiben abzuwarten.
Jedenfalls werden Datenschutz-Zertifizierungen als ‚Sicherheitsnetz‘
zu einem zentralen Thema der kommenden Jahre“, lautet das Fazit von
Wirtschaftsjurist RA Dr. Markus Frank, der als Keyspeaker auf dem
„12. Information-Security-Symposium, WIEN 2016“ das jüngste
EU-Regelwerk beleuchtete. Die Veranstalter, CIS und Quality Austria,
freuten sich dabei über mehr als 250 Teilnehmer.

Absicherung gegen Haftung

„Extrem hohe Bußgelder bis zu 20 Mio. € oder vier Prozent des
weltweiten Konzernumsatzes sowie die Tatsache, dass Schädiger bei
Verstößen ihre Nicht-Verantwortlichkeit im Sinne der Beweislastumkehr
belegen müssen, machen aus dem einst zahnlosen Papiertiger ein
messerscharfes Datenschutz-Instrument“, so Erich Scheiber,
Geschäftsführer der Zertifizierungsorganisation CIS.
Datenschutz-Zertifizierungen zur Absicherung gegen Haftung werden in
der EU-DSGVO explizit angeführt.

Die heuer im Mai verabschiedete DSGVO tritt ab 25. Mai 2018 in allen
EU-Mitgliedsstaaten in Kraft. Bis dahin können diese noch manche
Regeln der Verordnung abändern, etwa zum Schutz der öffentlichen
Sicherheit. Offene Fragen gibt es auch bei der Bußgeldbemessung. So
ist etwa die finanzielle Leistbarkeit kein ausdrückliches Kriterium
für Strafmilderung. Ob Bußgelder in bedrohlichem Ausmaß verhängt
werden, bleibt bis zu ersten Präzedenzfällen ungewiss – jedenfalls
sollen sie „abschreckend“ sein. „Damit wird Datenschutz zum
Management-Thema und übt auch Handlungsdruck auf KMU aus, die bei
Verstößen von hohen Bußgeldern betroffen sein können“, so Frank.

Unklare Pflichten

Gleichzeitig sind auch einige Pflichten unklar. So wurde etwa bei den
Informations- und Auskunftspflichten der Bußgeldrahmen empfindlich
erhöht, von 500 € im österreichischen DSG auf bis zu 20 Mio.€ gemäß
EU-Verordnung. „Gleichzeitig kommuniziert die Verordnung nicht
eindeutig, welche Informationen zwischen Transparenz und
Betriebsgeheimnis konkret preis zu geben sind. Viele Erläuterungen
und Ausnahmen bieten ein weites Betätigungsfeld für Juristen“, meint
Frank. Solche Unklarheiten in Kombination mit hohen Bußgeldern stelle
ein Risiko dar, unbewusst gegen die Vorschriften zu verstoßen.

Zertifizierung mindert Fahrlässigkeit

Als Haftungsmindernder Nachweis für die Erfüllung der
Datenschutzpflichten kann laut EU-DSGVO ausdrücklich eine anerkannte
Zertifizierung herangezogen werden. Im Rahmen der ISO-Normen können
hier die ISO 27001 für Informationssicherheit und die ISO 27018 für
Datenschutz in der Cloud bedeutsam werden – welche Zertifizierungen
als „anerkannt“ gelten, wird in den kommenden Monaten definiert.
Wichtig werden Zertifizierungen im Verhältnis zwischen Auftraggeber
und Dienstleister sein, um „hinreichende Garantien für die Einhaltung
des Datenschutzes“ zu bieten. Ebenso in Straf- und
Schadenersatzverfahren, da den Auftraggeber oder Dienstleister die
Beweislast trifft.

OTS-ORIGINALTEXT PRESSEAUSSENDUNG UNTER AUSSCHLIESSLICHER INHALTLICHER VERANTWORTUNG DES AUSSENDERS - WWW.OTS.AT | NEF

print