Datenverlust-Meldepflicht in D in Kraft,
DSG-Novelle für Österreich im Visier

Neue Herausforderungen an die Informationssicherheit

@ (Sept. 2009) – Die steigende Zahl an Datenverlustfällen hat nun in Deutschland zu einer neuen gesetzlichen Regelung geführt: Mit 1. September ist § 42a Bundesdatenschutzgesetz in Kraft getreten, mit dem Titel "Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten". Demnach müssen Unternehmen und öffentliche Stellen die betroffenen Personen im Falle von Datenlecks informieren – entweder direkt oder per Zeitungsanzeige. Zu den Daten, die unter diese neue Bestimmung fallen, gehören insbesondere Bank- und Kreditkartendetails, aber auch personenbezogene Angaben zu Gesundheit, Gewerkschaftszugehörigkeit, ethnische Herkunft oder strafbaren Handlungen.

Von Geldbußen bis Schadenersatz

Dadurch sehen sich Unternehmen und öffentliche Stellen im Nachbarland einer neuen Dimension von @Anforderungen an die Informationssicherheit gegenüber. „Bei Verstößen gegen das deutsche Datenschutzrecht wird die Organisation als juristische Person, unter Umständen aber auch das verantwortliche Management persönlich zur Verantwortung gezogen. Die möglichen Rechtsfolgen reichen von Geldbußen, über Schadenersatz bis hin zu strafrechtlichen Konsequenzen“, erklärt Mag. Georg Fellner von der auf Wirtschaftsrecht spezialisierten Anwaltskanzlei BRAUNEIS KLAUSER PRÄNDL in Wien.

DSG-Diskussion in Österreich: bis 01.01.2010

In Österreich ist eine ähnliche Regelung in Diskussion: „Die Datenschutzgesetz-Novelle 2010, die mit 01.01.2010 in Kraft treten soll, @sieht in §24 Abs. 2a vor, dass Unternehmen und öffentliche Stellen im Falle, dass Daten aus einer Anwendung systematisch und schwerwiegend unrechtmäßig verwendet werden, die Betroffenen darüber unverzüglich zu informieren haben“, erklärt KommR Hans-Jürgen Pollirer, Obmann der Bundessparte Information und Consulting der Wirtschaftskammer Österreich. Nach den Erläuterungen soll diese Regelung vor allem der Vermeidung von Vermögensschäden der Betroffenen dienen. Die geplante Bestimmung wird aus mehreren Gründen noch diskutiert. Offene Punkte sind unter anderem die Kriterien zur Beurteilung, wann davon auszugehen ist, dass „Daten systematisch und schwerwiegend unrechtmäßig verwendet wurden“. Ebenso, wie die Information zu erfolgen hat, direkt an jeden Betroffenen oder per Zeitungsanzeige.

Datenschutz: aktuelle Sanktionen

Das österreichische Datenschutzgesetz (DSG) sieht auch jetzt schon Sanktionen bei Verstößen gegen datenschutzrechtliche Bestimmungen vor. Auch hier reicht die Bandbreite von Unterlassungs- und Schadenersatzansprüchen bis hin zum Strafrecht. So kann zum Beispiel gemäß §33 DSG 2000 dem Betroffenen auch ein immaterieller Schadenersatz bei schuldhafter Datenverwendung in Höhe von bis zu EUR 20.000 zugesprochen werden. Weiters wird gemäß §52 DSG 2000 die unbefugte Datenübermittlung mit einer Verwaltungsstrafe bis zu EUR 18.890 sanktioniert. Auch die Verletzung der Meldepflichten von Datenanwendungen an das Datenverarbeitungsregister ist mit einer Verwaltungsstrafe bis zu EUR 9.445 belegt.
Der momentane Status der DSG-Novelle 2010 ist abrufbar unter:
http://www.parlament.gv.at/PG/DE/XXIV/ME/ME_00062/pmh.shtml

Herausforderungen in der Informationssicherheit

Aus Sicht der Informationssicherheit ergibt sich vor dem Hintergrund der rechtlichen Entwicklungen Handlungsbedarf im Bereich personelle Sicherheit. In der Praxis zeigt sich, dass ohne strukturierte Personal Policies wichtige Sicherheitslücken übersehen werden können. CIS-Auditor Dipl.-Ing. Herfried Geyer geht im Interview auf typische „Security-Fallen“ und die Anforderungen der ISO/IEC 27001:2005 für Informationssicherheit ein.





CIS - Certification & Information
Security Services GmbH
A-1010 Wien, Gonzagagasse 1/25
T: (+43)-1-532 98 90
F: (+43)-1-532 98 90-9
e-mail: office@cis-cert.com
Internet: www.cis-cert.com