Die EU Datenschutz-Grundverordnung tritt nach einer zweijährigen Übergangsfrist am 25.5.2018 in Kraft und ersetzt dann weitgehend alle nationalen Datenschutzbestimmungen. Ab diesem Datum müssen alle IT-Prozesse an die neuen Anforderungen angepasst sein, sonst drohen beträchtliche Strafen und Schadenersatzforderungen!
Die Mitgliedsstaaten haben zwei Jahre Zeit, um die nationalen Gesetze entsprechend anzupassen. Fraglich bleibt, wie die zahlreichen Öffnungsklauseln ausgenützt werden, um das Recht auf Datenschutz national wieder aufzuweichen.
Sicher ist bereits, dass bei Datenschutzverletzungen sehr hohe Bußgelder drohen (bis zu 4% des weltweiten Jahresumsatzes bzw. bis max. 20 Mio. EUR – je nachdem was höher ist), was wohl einen erheblichen Anreiz liefern wird, die geforderten Maßnahmen entsprechend umzusetzen. Außerdem können Betroffene, auch über Sammelklagen, Schadenersatz fordern und zum ersten Mal auch immaterielle Schäden geltend machen. Bei allen Schadenersatzansprüchen gilt generell die Beweislastumkehr, das heißt, dass der Beklagte beweisen muss, dass er für den Umstand, durch den der Schaden eingetreten ist nicht verantwortlich ist, sich also freibeweisen muss!
Es gilt jedenfalls lt. §9 VStG auch die grundsätzliche Haftung der Mitglieder der Geschäftsleitung, die solidarisch mit der Gesellschaft haften, falls sie nicht einen „verantwortlichen Beauftragten“ für die Agenden des Datenschutzes bestellt haben (was aber vermutlich nicht oft der Fall sein wird).
Erschwerend kommt hier noch der Wahl des Gerichtsortes hinzu, da der Betroffene sich in jedem Land, in dem der Verantwortliche eine Niederlassung hat oder im Land, wo der Betroffene seinen Aufenthaltsort hat, Klage bei den Gerichten erheben können wird, was übrigens auch für die Klagen von Datenschutzorganisationen gilt (Forum Shopping).
Endgültige Klarheit über die Auslegung der Grundverordnung und damit auch über die Höhe der verhängten Strafen wird man erst in einigen Jahren haben, wenn es die ersten höchstgerichtlichen nationalen Entscheidungen bzw. Entscheidungen des EuGH in diesem Bereich gibt.
Informationssicherheits-Managementsystem und Zertifizierung
Ein effektives Informationssicherheits-Managementsystem (ISMS) muss jede Firma oder Organisation dann jedenfalls betreiben, wobei hier die ISO/IEC 27001 Norm jedenfalls als Messlatte dienen wird. Eine Zertifizierung des gesamten Unternehmens nach dieser Norm trägt sicher dazu bei das Haftungsrisiko erheblich zu verringern und auch Schadenersatzforderungen erfolgreich abzuwehren. Die OCG berät sie in Sachen Zertifizierung gerne und erstellt bei Bedarf ein unverbindliches Angebot!
EDU/days 2024
