NIS & DSGVO umsetzen

Wie kann Zertifizierung helfen?
Datum: 
Donnerstag, 05.12.2019, 16:00
Ort: 

OCG
Wollzeile 1
1010 Wien

Vortragende/r: 

Matthias Schmidl
Österreichischen Datenschutzbehörde

Vinzenz Heußler
BKA, Cyber Security, GOVCERT, NIS Büro und ZAS

 

Thema: 
NIS & DSGVO umsetzen

Bei dieser Ausgabe der OCG Horizonte Spezial stellen ExpertInnen die bestehenden Normen im IT-Sicherheits- und Datenschutzbereich vor (NIS, DSGVO etc.). Es wird erklärt, wie Zertifizierungen (z. B. ISO/IEC 27001) Sie dabei unterstützen können, das Risiko für Ihr Unternehmen zu minimieren.

Von den höchsten bisher verhängten Strafen der Datenschutzbehörden in Europa (bis über 200 Mio. EUR) wurden die meisten hohen Strafen wegen Verstöße gegen Art. 32 DSGVO (Sicherheit der Verarbeitung) verhängt. Die Anforderung bei der Verarbeitung personenbezogener Daten geeignete technische und organisatorische Maßnahmen umzusetzen, die u. a. dem Stand der Technik entsprechen müssen, verpflichten Unternehmen und Organisationen mehr oder weniger zur Implementierung eines Informationssicherheits-Managementsystems. Die Frage geeigneter Zertifizierungen nach Art. 42 DSGVO, die in Österreich die Datenschutzbehörde genehmigen muss, wäre ein Mittel sich die Umsetzung solcher Maßnahmen bescheinigen zu lassen.

Im Bereich der kritischen Infrastruktur werden durch die nationale Umsetzung der NIS-Richtlinie im österreichischen NIS-Gesetz (insbes. §17) die Betreiber wesentlicher Dienste auch zur Umsetzung geeigneter technischer und organisatorischer Sicherheitsvorkehrungen und der Zertifizierung durch sogenannte „Qualifizierte Stellen“ verpflichtet. Auch wenn die Strafdrohungen in diesem Bereich wesentlich geringer sind, bleibt doch auch noch zusätzlich das Risiko von Sammelklagen Betroffener in Falle von Vorfällen (immaterielle Schäden, quasi ein Datenschutzschmerzensgeld), sowie die Haftung der Geschäftsführung auch den Eigentümern gegenüber.

Was können Zertifizierungen hier bewirken, welche Auswirkungen haben Sie auf die Höhe eventueller Strafen und gibt es ein Privileg vor Gericht im Falle von Schadenersatzforderungen? Diese und ähnliche Fragen beleuchten wir in den Keynotes und einer anschließenden Podiumsdiskussion mit Expertinnen und Experten aus dem Datenschutz- und Informationssicherheitsbereich.

16:00-16:10 Begrüßung:

Wilfried Seyruck (OCG Präsident)

16:10-17:10 Keynotes:

Matthias Schmidl, Österreichische Datenschutzbehörde
Vinzenz Heußler, Bundeskanzleramt
 

17:15-18:00 Paneldiskussion mit den Vortragenden sowie

Ingrid Schaumüller-Bichl, FH Oberösterreich
Walter Hötzendorfer, Research Institute
Franz Hoheiser-Pförtner, Vorstandsmitglied der Cyber Security Austria (CSA)

"Zertifizierung als Versicherung (Prophylaxe) gegen Strafen, Schadenersatz und Haftung der Geschäftsführung?"

Moderation:

Christof Tschohl, Research Institute

ab 18:00 Get-together


Keynote M. Schmidl

Der Vortrag wird überblicksmäßig die in Art. 42 DSGVO vorgesehene Möglichkeit von Zertifzierungen sowie die in Art. 43 DSGVO vorgesehenen Zertifizierungsstellen behandeln.
Dabei wird insbesondere auf die einschlägigen Leitlinien des Europäischen Datenschutzausschusses (EDSA) eingegangen. Auch die Rolle der Datenschutzbehörde und der anderen europäischen Aufsichtsbehörden wird in diesem Kontext näher beleuchtet.

Der Vortrag wird sich mit folgenden Themenkomplexen auseinandersetzen:

  • Was ist eine Zertifizierung im Sinne des Art. 42 DSGVO, was kann zertifiziert werden?
  • Was ist eine Zertfizierungsstelle und wer nimmt in Österreich Zertifizierungen nach der DSGVO vor?
  • Welche Rolle spielen die Aufsichtsbehörden und der EDSA im Zuge von Zertifizierungen?
  • Welche Vorteile bringt eine Zertifzierung?

Keynote V. Heußler

Der Vortrag wird eine Einführung in die Anforderungen des NISG hinsichtlich der Sicherheitsvorkehrungen an Betreiber wesentlicher Dienste und Anbieter digitaler Dienste bieten. Es wird ein Schwerpunkt auf die Regelungssystematik des NISG in Zusammenhang mit der NISV gelegt und der Frage nachgegangen, welche Rolle Zertifizierung diesbezüglich einnehmen kann. Dabei wird auch die Zertifizierung nach dem Cybersecurity Act thematisiert werden.