DSG-Novelle in Kraft: Meldepflicht bei Datenmissbrauch

Neue Dimensionen in der Informationssicherheit, große
Herausforderungen für KMU

@ (Jan 2010) - Die mit Jänner in Kraft getretene Novelle zum Datenschutzgesetz stellt Unternehmen vor größere Herausforderungen in der Informationssicherheit. Ein echtes Novum, auch im EU-Vergleich, ist die Informationspflicht bei Datenmissbrauch. Neben Deutschland ist Österreich hier europaweit ein Vorreiter. Nach § 24, Abs. 2a der Novelle müssen Organisationen im Fall, dass Daten „systematisch und schwerwiegend unrechtmäßig verwendet“ werden, die Betroffenen darüber unverzüglich informieren. Auf welche Weise, bleibt offen. Wichtig ist laut Gesetzestext, dass die Betroffenen davon Kenntnis erlangen müssen. „In der Regel wird man also per Rundschreiben informieren. Die Folge kann ein nicht abzuschätzender Imageverlust gegenüber Kunden, Mitgliedern, Lieferanten oder den eigenen Mitarbeitern sein“, erklärt Dr. Orlin Radinsky, Partner der auf Wirtschaftsrecht spezialisierten Anwaltskanzlei BRAUNEIS KLAUSER PRÄNDL in Wien.

Neuer Wirtschaftszweig

Außerhalb der EU verfügt die USA schon länger über eine ähnliche Regelung: rund um das Thema „Data Breach Notification Duty“ hat sich bereits ein eigener Wirtschaftszweig etabliert – was nun @auch für den deutschsprachen Raum zu erwarten ist. „Um Datenmissbrauch schon im Vorfeld zu vermeiden, müssen heimische Unternehmen und öffentliche Stellen Informationssicherheit auf hohem Niveau betreiben“, betont KommR Hans-Jürgen Pollirer, Obmann der Bundessparte Information und Consulting der Wirtschaftskammer Österreich. „Gefordert sind vor allem KMU, die anders als Großunternehmen kaum über durchgängige Security-Strukturen verfügen“, ergänzt Pollirer. Als hilfreiches Instrumentarium für den Aufbau und Betrieb von Informationssicherheit wertet er den internationalen Standard ISO 27001, der durch seine Flexibilität auch für kleinere und mittlere Betriebe branchenunabhängig anwendbar ist.

Verlieren sensibler Daten genügt

In der Praxis stellt sich die Frage, wie der Gesetzestext ausgelegt werden kann. Sind Betroffene erst bei Datenmissbrauch durch Dritte oder bereits bei Verlust zu informieren? Das DSG versteht unter „Verwenden von Daten“ laut § 4, Z 8: „jede Art der Handhabung, @also sowohl das Verarbeiten (Z9) als auch das Übermitteln (Z 12)“. Laut Z 9 fällt unter „Verarbeiten von Daten“: „Ermitteln, Erfassen, Speichern, Aufbewahren, Überlassen, … , Löschen, Vernichten“. Daraus lässt sich schließen, dass die Informationspflicht bereits bei Verlust besteht, auch wenn nicht feststellbar ist, ob die Daten tatsächlich missbräuchlich verwendet werden. „Der Verlust könnte je nach Sachverhalt bereits als Überlassen gewertet werden“ und unter Umständen Schadenersatzpflichten auslösen“, meint Radinsky. Als sensible Daten gelten alle Informationen, die über den öffentlich zugänglichen Kontakt hinausgehen wie etwa Kreditkartendetails und personenbezogene Angaben zu Gesundheit, Gewerkschaftszugehörigkeit, ethnische Herkunft oder strafbaren Handlungen.

Personelle Sicherheit als Schlüssel

Gestohlene Laptops, liegen gelassene Smart Phones oder verlorene USB-Sticks gehören zu den alltäglichen Sicherheitsrisiken, die sich mit systematischen Maßnahmen gut absichern lassen. Der Zertifizierungsstandard ISO 27001 mit der Guideline ISO 27002 bieten ein erprobtes Framework für strukturiertes Sicherheitsmanagement. Die Klassifizierung von Daten, Personen und Ressourcen gehören ebenso dazu, wie Risikoanalysen und wirksame Policies. Für KMU entsprechend schlank an den individuellen Anforderungen des Unternehmens ausgerichtet. Im Bereich personelle Sicherheit liefert der Implementierungsleitfaden ISO 27002 detaillierte Vorgaben für Mobile Computing, Teleworking, Leasing-Personal, Zulieferer und Dienstleister.

Verwaltungsstrafen erhöht

Novelliert wurde auch die Höhe der Verwaltungsstrafen. So wird etwa die unbefugte Datenübermittlung in der Höhe von bis zu EUR 25.000, die Verletzung der Meldepflichten bis zu EUR 10.000 sanktioniert.





CIS - Certification & Information
Security Services GmbH
A-1010 Wien, Gonzagagasse 1/25
T: (+43)-1-532 98 90
F: (+43)-1-532 98 90-9
e-mail: office@cis-cert.com
Internet: www.cis-cert.com