Neuer EU-Datenschutz läutet „Ära der Zertifizierungen“ ein

Druck auf KMU - Bußgelder bis 20 Mio.€ und Beweislastumkehr

Wien (OTS) - „Die neue EU-Datenschutz-Grundverordnung wirft für die Unternehmen derzeit mehr Fragen auf, als sie Sicherheit gibt. Nationale Ausformungen und die Ausjudizierung bleiben abzuwarten. Jedenfalls werden Datenschutz-Zertifizierungen als ‚Sicherheitsnetz‘ zu einem zentralen Thema der kommenden Jahre“, lautet das Fazit von Wirtschaftsjurist RA Dr. Markus Frank, der als Keyspeaker auf dem „12. Information-Security-Symposium, WIEN 2016“ das jüngste EU-Regelwerk beleuchtete. Die Veranstalter, CIS und Quality Austria, freuten sich dabei über mehr als 250 Teilnehmer.

Absicherung gegen Haftung

„Extrem hohe Bußgelder bis zu 20 Mio. € oder vier Prozent des weltweiten Konzernumsatzes sowie die Tatsache, dass Schädiger bei Verstößen ihre Nicht-Verantwortlichkeit im Sinne der Beweislastumkehr belegen müssen, machen aus dem einst zahnlosen Papiertiger ein messerscharfes Datenschutz-Instrument“, so Erich Scheiber, Geschäftsführer der Zertifizierungsorganisation CIS. Datenschutz-Zertifizierungen zur Absicherung gegen Haftung werden in der EU-DSGVO explizit angeführt.

Die heuer im Mai verabschiedete DSGVO tritt ab 25. Mai 2018 in allen EU-Mitgliedsstaaten in Kraft. Bis dahin können diese noch manche Regeln der Verordnung abändern, etwa zum Schutz der öffentlichen Sicherheit. Offene Fragen gibt es auch bei der Bußgeldbemessung. So ist etwa die finanzielle Leistbarkeit kein ausdrückliches Kriterium für Strafmilderung. Ob Bußgelder in bedrohlichem Ausmaß verhängt werden, bleibt bis zu ersten Präzedenzfällen ungewiss – jedenfalls sollen sie „abschreckend“ sein. „Damit wird Datenschutz zum Management-Thema und übt auch Handlungsdruck auf KMU aus, die bei Verstößen von hohen Bußgeldern betroffen sein können“, so Frank.

Unklare Pflichten

Gleichzeitig sind auch einige Pflichten unklar. So wurde etwa bei den Informations- und Auskunftspflichten der Bußgeldrahmen empfindlich erhöht, von 500 € im österreichischen DSG auf bis zu 20 Mio.€ gemäß EU-Verordnung. „Gleichzeitig kommuniziert die Verordnung nicht eindeutig, welche Informationen zwischen Transparenz und Betriebsgeheimnis konkret preis zu geben sind. Viele Erläuterungen und Ausnahmen bieten ein weites Betätigungsfeld für Juristen“, meint Frank. Solche Unklarheiten in Kombination mit hohen Bußgeldern stelle ein Risiko dar, unbewusst gegen die Vorschriften zu verstoßen.

Zertifizierung mindert Fahrlässigkeit

Als Haftungsmindernder Nachweis für die Erfüllung der Datenschutzpflichten kann laut EU-DSGVO ausdrücklich eine anerkannte Zertifizierung herangezogen werden. Im Rahmen der ISO-Normen können hier die ISO 27001 für Informationssicherheit und die ISO 27018 für Datenschutz in der Cloud bedeutsam werden – welche Zertifizierungen als „anerkannt“ gelten, wird in den kommenden Monaten definiert. Wichtig werden Zertifizierungen im Verhältnis zwischen Auftraggeber und Dienstleister sein, um „hinreichende Garantien für die Einhaltung des Datenschutzes“ zu bieten. Ebenso in Straf- und Schadenersatzverfahren, da den Auftraggeber oder Dienstleister die Beweislast trifft.

Rückfragen & Kontakt:

CIS - Certification & Information Security Services GmbH
Heike Galley, 069919745647

APA-OTS-ORIGINALTEXT PRESSEAUSSENDUNG UNTER AUSSCHLIESSLICHER INHALTLICHER VERANTWORTUNG DES AUSSENDERS - WWW.IT-PRESS.AT | NEF0004