„Die neue EU-Datenschutz-Grundverordnung wirft für die Unternehmen derzeit fast mehr Fragen auf, als sie Sicherheit gibt. Nationale Ausformungen und die Ausjudizierung bleiben abzuwarten. Jedenfalls werden Datenschutz-Zertifizierungen – als ‚Sicherheitsnetz‘ – zu einem zentralen Thema der kommenden Jahre.“ So lautet das Fazit von Wirtschaftsjurist RA Dr. Markus Frank, der als einer der Keyspeaker auf dem „12. Information-Security-Symposium, WIEN 2016“ das jüngste EU-Regelwerk beleuchtete. Die Veranstalter des renommierten Events, CIS und Quality Austria, freuten sich dabei über mehr als 250 Fachteilnehmer.

RA Dr. Markus Frank beleuchtete EU-DSVGO am Information-Security-Symposium von CIS und Quality Austria; (c) Bianca Jakobic
RA Dr. Markus Frank beleuchtete EU-DSVGO am Information-Security-Symposium von CIS und Quality Austria; (c) Bianca Jakobic

Absicherung gegen Haftung
„Extrem hohe Bußgelder bis zu 20 Mio. Euro oder vier Prozent des weltweiten Konzernumsatzes sowie die Tatsache, dass der Schädiger bei Verstößen seine Nicht-Verantwortlichkeit im Sinne der Beweislastumkehr belegen muss, machen aus dem einst zahnlosen Papiertiger ein messerscharfes Datenschutz-Instrument“, betont auch Erich Scheiber, Geschäftsführer der Zertifizierungsorganisation CIS. Daher wird die Möglichkeit von anerkannten Datenschutz-Zertifizierungen zur Absicherung gegen Haftung und als Nachweis für die Einhaltung der Pflichten in der EU-DSGVO explizit angeführt.

Die heuer im Mai verabschiedete DSGVO tritt ab 25. Mai 2018 in allen EU-Mitgliedsstaaten in Kraft. Bis dahin können diese noch manche Regeln der Verordnung abändern, etwa zum Schutz der öffentlichen Sicherheit oder wirtschaftlicher Interessen. Offene Fragen gibt es auch bei der Bußgeldbemessung – so ist etwa die finanzielle Leistbarkeit kein ausdrückliches Kriterium für Strafmilderung. Ob also Bußgelder in bedrohlichem Ausmaß verhängt werden, bleibt bis zu ersten Präzedenzfällen ungewiss. Jedenfalls sollen sie „wirksam, verhältnismäßig und abschreckend“ sein. „Damit wird Datenschutz zum Management-Thema oberster Priorität – und übt auch Handlungsdruck auf KMU aus, die bei Verstößen von hohen Bußgeldern stark betroffen sein können“, argumentiert Dr. Markus Frank.

Unklare Pflichten
Gleichzeitig sind auch einige Pflichten unklar. So wurde etwa bei den Informations- und Auskunftspflichten der Bußgeldrahmen empfindlich erhöht, von bisher 500 Euro im österreichischen DSG auf bis zu 20 Mio. Euro gemäß EU-Verordnung. „Gleichzeitig kommuniziert die Verordnung etwa bei der Informationspflicht nicht eindeutig, welche Informationen innerhalb des Spagats zwischen Transparenz und Betriebsgeheimnis konkret preis zu geben sind. Viele Erläuterungen und Ausnahmeregelungen bieten ein weites Betätigungsfeld für Juristen“, erklärt Dr. Markus Frank. Solche Unklarheiten in Kombination mit hohen Bußgeldern stelle ein Risiko für Organisationen dar, unbewusst gegen die neuen Datenschutzvorschriften zu verstoßen, resümiert der Wirtschaftsjurist. Dokumentation und geprüfte Nachweise für sorgfältiges Vorgehen als Absicherung gegen Fahrlässigkeit nehmen mit der neuen EU-DSGVO somit einen hohen Stellenwert ein.

Zertifizierung mindert Fahrlässigkeit
Als Nachweis für die Erfüllung der Schutzpflichten kann laut EU-DSGVO ausdrücklich eine anerkannte Zertifizierung herangezogen werden. Im Rahmen der ISO-Normen können hier die ISO 27001 für Informationssicherheit und die ISO 27018 für Datenschutz in der Cloud bedeutsam werden – welche Zertifizierungen als „anerkannt“ gelten, wird in den kommenden Monaten definiert. Wichtig können Zertifizierungen in Anmeldungs- und Überprüfungsverfahren sein, wenn der Auftraggeber nachweisen muss, dass sein Dienstleister die „hinreichenden Garantien für die Einhaltung des Datenschutzes“ bietet. Ebenso in Straf- und Schadenersatzverfahren, da den Auftraggeber oder Dienstleister die Beweislast trifft, dass er „in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.“

Rechtsanwalt Dr. Markus Frank, mit Sitz in Wien, ist spezialisiert auf Datenschutzrecht sowie auf interdisziplinäre Untersuchungen von Schadenursachen bei Wirtschaftsdelikten und schweren Vertragsverletzungen.

Wien, 29. Juni 2016; Quelle: www.cis-cert.com