Printausgabe der Tiroler Tageszeitung vom Mo, 27.06.2016


Web und Tech

Datenschutz: „Geldbußen müssen abschreckend sein“

Fahrlässigkeit im Umgang mit geschützten Kundendaten kann für Betriebe sehr teuer werden. Mit der neuen EU-Datenschutzverordnung drohen existenzbedrohende Strafen.

© Getty Images



Von Michaela S. Paulmichl

Innsbruck – Wer vertrauliche Daten und Informationen weitergibt, begeht eine Verwaltungsübertretung, die in Österreich mit einer Geldstrafe von bis zu 25.000 Euro geahndet wird. Selbst dann, wenn durch Hackerangriffe auf den eigenen Betrieb Kundendaten in falsche Hände geraten, missbräuchlich verwendet oder gar Konten leergeräumt werden, können Geldbußen drohen. Betroffene Unternehmen, selbst Opfer, müssen ihre Kunden umgehend informieren, sonst machen sie sich strafbar. „Zusätzlich können zivilrechtliche Schadenersatzforderungen der Geschädigten drohen“, klärt Anwalt Michael Pachinger auf. Laut Datenschutzgesetz 2000 muss jeder Betrieb entsprechende Sicherheitsmaßnahmen treffen, dass es gar nicht dazu kommt.

„Leider wissen nur sehr wenige über die weitreichenden Folgen Bescheid“, sagt IT-Sicherheitsexperte Markus Reitshammer. Immer wieder werden Vorfälle bekannt, auch in Tirol. Bei einem Hacker-Angriff auf einen heimischen Spiele-Softwarehändler wurden 100.000 Kundendaten gestohlen. „Einen großen, internationaler Betrieb kann es genauso treffen wie jemanden, der zu Hause Schmuck herstellt und diesen über ein Webshop vertreibt.“

Was mit der neuen EU-weit gültigen Datenschutzgrundverordnung auf Unternehmen zukommen könnte, sollte nun aber doch viele hellhörig machen: Denn künftig soll die Verletzung des Grundrechts auf den Schutz personenbezogener Daten ganz bewusst noch viel härter bestraft werden – mit bis zu vier Prozent des Jahresumsatzes oder bis zu 20 Millionen Euro. „Die Geldbußen müssen abschreckend sein“, so der Standpunkt des EU-Rats dazu. Leichtsinn kann existenzbedrohende Folgen haben. Neu außerdem: Künftig müssen Vorfälle auch den Behörden gemeldet werden, informiert die Österreichische Datenschutzbehörde. Derzeit betrifft das nur den Telekom-Bereich, der stellvertretende Leiter Matthias Schmidl spricht von rund fünf Fällen pro Jahr.

Die Verantwortung von Unternehmen für die Daten ihrer Kunden wird immer größer: Wie es in der Vorlage heißt, seien „geeignete technische und organisatorische Maßnahmen und Verfahren – etwa eine Pseudonymisierung – zu treffen, damit die Verarbeitung den Anforderungen genügt“. Die Reform – notwendig geworden durch die wachsende Menge personenbezogener Daten durch technologischen Wandel und Globalisierung – soll Mitte 2018 in Kraft treten. Sie hat den Zweck, die Vorschriften in der EU zu harmonisieren. Der Schutz personenbezogener Daten ist ein Grundrecht, das in Artikel 8, Absatz 1, der Charta der EU-Grundrechte verankert ist. Anwalt Pachinger empfiehlt Unternehmen dringend, sich schon jetzt mit den umfassenden Anforderungen zu befassen und Vorkehrungen zu treffen, etwa durch Datenschutz-Audits, und Zertifizierungen.

„Leider wissen nur sehr wenige über die weitreichenden Folgen Bescheid. Bewusstseinsbildung ist nötig“, sagt IT-Experte Markus Reitshammer.
- Reitshammer

Viele Fälle werden gar nie bekannt, die Betroffenen fürchten einen Imageverlust, wenn der Fall publik wird, und dass das Vertrauen der Kunden verloren gehen könnte. „Und manche bekommen gar nicht mit, was passiert ist“, sagt Reitshammer. Er plädiert für mehr Bewusstseinsbildung, neben IT-Sicherheitsmaßnahmen seien auch Schulungen für Mitarbeiter vorgeschrieben. „Was sind Daten, Informationen wert? Darüber sollte jeder nachdenken. Dann wird auch klar, dass die Verantwortung nicht abgeschoben werden kann, dass Vorsicht angebracht ist und es entsprechenden Schutz braucht.“ Der IT-Experte führt selbst Sicherheitsschulungen für Unternehmen durch – „aus der Notwendigkeit heraus“, wie er sagt.

Im Internet finden sich weltweit rund 120 Millionen neue Varianten von Trojanern. Die Attacken werden immer heimtückischer, die Hacker immer professioneller: Bei ihnen handelt es sich längst nicht mehr um Einzelpersonen, die Sicherheitslücken aufdecken wollen oder aus Langeweile Schaden anrichten. „Im ,dark net‘ kann man sich Schadsoftware kaufen, sogar mit Garantie, dass diese zwei Wochen unentdeckt geblieben sind“, sagt Reitshammer. Dahinter steckt oft die Mafia, es geht um sehr viel Geld. „Laut einer Studie beträgt der Umsatz mit Drogengeschäften in England pro Jahr 20 Millionen Euro, mit Trojanern sind es 30 Millionen. Außerdem ist der Aufwand viel geringer, als mit Koffern voller Drogen oder Geld herumzulaufen.“ Weltweit fließen deshalb Unsummen in die IT-Sicherheit, auch wenn es diese nie zu hundert Prozent geben kann.