Wien. Eine mit Jänner in Kraft getretene Novelle zum Datenschutzgesetz (DSG) stellt Unternehmen und persönliche Dienstleister wie Ärzte oder Rechtsanwälte vor neue Herausforderungen.
Sie müssen bei Datenmissbrauch nämlich nun die Betroffenen informieren – also Kunden, Klienten, Geschäftspartner oder Mitarbeiter, warnt Orlin Radinsky, Experte der Kanzlei Brauneis Klauser Prändl (BKP).
Deutschland und Österreich sind hier Vorreiter. „Damit können alltägliche Sicherheitsrisiken wie gestohlene Laptops oder verlorene USB-Sticks – je nach Datensensibilität – unangenehme Folgen haben. Vom Imageschaden bis zu Verwaltungsstrafen“, erklärt Erich Scheiber, Geschäftsführer der Zertifizierungsstelle für Informationssicherheit CIS.
Nach § 24, Abs. 2a der DSG-Novelle müssen Organisationen im Fall, dass Daten „schwerwiegend unrechtmäßig verwendet“ werden, die Betroffenen informieren – also typischerweise Kunden oder Geschäftspartner.
Auf welche Weise dies genau zu geschehen hat, bleibt offen. „In der Regel wird man Rundschreiben versenden. Die Folge kann ein nicht abzuschätzender Imageverlust gegenüber Kunden, Mitgliedern, Lieferanten oder auch Mitarbeitern sein“, erklärt Radinsky, Wirtschaftsjurist bei BKP.
Erst bei Missbrauch oder schon bei Abhandenkommen
Die Praxis werde zeigen, wie die Judikatur mit der Novelle umgeht: Sind Betroffene erst bei Datenmissbrauch oder bereits bei Verlust zu informieren? Laut §4, Z 8-9 fällt unter „Verwenden von Daten“ auch das „Speichern, Aufbewahren, Überlassen, …“.
Daraus folgt laut Radinsky: „Der bloße Verlust könnte je nach Sachverhalt bereits als Überlassen gewertet werden und unter Umständen Schadenersatzpflicht auslösen.“
Novelliert wurde auch die Höhe der Verwaltungsstrafen. So wird etwa die unbefugte Datenübermittlung mit Strafen bis zu 25.000 Euro, die Verletzung der Meldepflichten mit bis zu 10.000 Euro sanktioniert.
Link: Brauneis Klauser Prändl