Bei dieser Ausgabe der OCG Horizonte Spezial am 5. Dezember begrüßte Wilfried Seyruck, Präsident der OCG, die Gäste im Foyer der OCG. Die Experten Matthias_Schmidl von der Österreichischen Datenschutzbehörde und Vinzenz_Heußler vom Bundeskanzleramt stellten in ihren Keynotes die bestehenden Normen im IT-Sicherheits- und Datenschutzbereich vor. Das ist besonders für Unternehmen interessant, die sich die Frage stellen, ob Zertifizierungen wie ISO/IEC 27001 das Risiko minimieren und ob es ein Privileg bei der Strafbemessung oder vor Gericht im Falle von Schadenersatzforderungen gibt.
Von den höchsten bisher verhängten Strafen der Datenschutzbehörden in Europa (bis über 200 Mio. Euro) wurden die meisten hohen Strafen wegen Verstöße gegen Art. 32 DSGVO (Sicherheit der Verarbeitung) verhängt. Die Anforderung bei der Verarbeitung personenbezogener Daten geeignete technische und organisatorische Maßnahmen umzusetzen, die u. a. dem Stand der Technik entsprechen müssen, verpflichten Unternehmen und Organisationen mehr oder weniger zur Implementierung eines Informationssicherheits-Managementsystems. Die Frage geeigneter Zertifizierungen nach Art. 42 DSGVO, die in Österreich die Datenschutzbehörde genehmigen muss, wäre ein Mittel sich die Umsetzung solcher Maßnahmen bescheinigen zu lassen.
Im Bereich der kritischen Infrastruktur werden durch die nationale Umsetzung der NIS-Richtlinie im österreichischen NIS-Gesetz (insbes. §17) die Betreiber wesentlicher Dienste auch zur Umsetzung geeigneter technischer und organisatorischer Sicherheitsvorkehrungen und der Zertifizierung durch sogenannte „Qualifizierte Stellen“ verpflichtet. Auch wenn die Strafdrohungen in diesem Bereich wesentlich geringer sind, bleibt doch auch noch zusätzlich das Risiko von Sammelklagen Betroffener in Falle von Vorfällen (immaterielle Schäden, quasi ein Datenschutzschmerzensgeld), sowie die Haftung der Geschäftsführung auch den Eigentümern gegenüber.
In der Paneldiskussion mit den Vortragenden und Ingrid Schaumüller-Bichl (FH Oberösterreich, OCG Arbeitskreis IT Sicherheit), Walter Hötzendorfer (Research Institute), Franz Hoheiser-Pförtner (Cyber Security Austria) wurde – moderiert von Christof Tschohl (Research Institute) über Zertifizierung als Versicherung gegen Strafen, Schadenersatz und Haftung der Geschäftsführung diskutiert.
W. Hötzendorfer, F. Hoheiser-Pförtner, M. Schmidl, I. Schaumüller, V. Heußler, Ch. Tschohl, W. Seyruck
Die OCG ist seit 2013 Zertifizierungsstelle für ISO 27001. Vorteil einer Zertifizierung ist sicher der Außenblick auf das Unternehmen. Für die Zertifizierung nach NISG dienen auch die ISO 27001-Kritierien als Basis. Daher hat die OCG auch den Antrag auf Ernennung zur Qualifizierten Stelle nach dem NISG gestellt. Für die OCG ist auch eine Scope-Erweiterung bei der Akkreditierung Austria von ISO/IEC 27001 auf die Branchen- und Bereichsnormen der ISO/IEC 27017, 27018, 27019, 27701 und 27799 in der Zukunft ein Thema.
Franz Hoheiser-Pförtner stellte fest, dass es ein Anliegen der Betroffenen ist, über einen Kanal Störfälle melden zu können. Walter Hötzendorfer wies darauf hin, dass man bei aller Bedeutung der Zertifizierung auch Anwender und Entwickler beim NISG nicht vergessen darf. Bei Datenschutz-Zertifizierungen sind lt. Artikel 42 nur Verarbeitungs-Vorgänge zertifizierbar, nicht aber Produkte und Dienstleistungen.
Alle Zertifizierungen und Codes of Conduct denen man sich optional unterwerfen kann, europäisch und national, werden wohl bei Strafen und Bemessungen von Schadenersatzansprüchen mildernd berücksichtigt werden – so zumindest der gemeinsame Tenor dieser Veranstaltung.
Hötzendorfer wies auch darauf hin, dass die Vorgaben schon vor der DSGVO-Einführung in Österreich sehr ähnlich waren, nämlich spätestens seit dem DSG 2000! Er regte an, bei Ausschreibungen Datenschutz-Anforderungen in die technischen Voraussetzungen aufzunehmen.
Alle warten gespannt auf die Bekanntgabe der nationalen Rahmenbedingungen in Österreich für die in der DSGVO vorgesehenen Datenschutz-Zertifizierungen (nach Art. 42), die dafür notwendigen Durchführungsverordnungen der Datenschutzbehörde sind aber noch nicht erlassen und müssen vom der Europäischen Datenschutzausschuss (EDSA) erst genehmigt werden.
Die OCG wird jedenfalls versuchen, sich von der DSB als Zertifizierungsstelle nach Art. 43 akkreditieren zu lasse, um den Kunden neben der ISO/IEC 27001 und der ISO/IEC 27701 auch Kunden, die keine ISO/IEC 27001 haben oder anstreben, eine entsprechende Datenschutz-Zertifizierung anbieten zu können.
EDU/days 2024
