Die Unterstützung für den Vorschlag der Regierung, $50 Millionen Strafe zu verhängen, ist gering.
Die australischen Banken haben gemeinsam mit AWS und anderen Lobbygruppen der Branche alarmiert auf einen Vorschlag der Regierung reagiert, die Strafen für große oder wiederholte Datenschutzverletzungen nach einer Reihe von öffentlichkeitswirksamen Vorfällen deutlich zu erhöhen.
Sollten die Änderungen verabschiedet werden, könnten die Unternehmen mit Geldstrafen belegt werden $50 Millionen oder 30 Prozent des Umsatzes, je nachdem, welcher Betrag höher ist.
Unternehmen, die mit diesen Sanktionen konfrontiert werden könnten, wünschen sich genauere Leitlinien für die Umstände, unter denen sie zu verhängen wären.
Außerdem wird gefordert, dass die Gerichte bei der Festsetzung des Strafmaßes strafmildernde Faktoren berücksichtigen sollen (safe harbour).
Der australische Bankenverband (ABA), zu dem die vier großen Banken und andere große Institute gehören als Mitglieder - äußerte sich besorgt darüber, dass sich der australische Vorschlag "von den Höchststrafen in anderen Rechtsordnungen mit ähnlichen wirtschaftsweiten Datenschutzgesetzen unterscheidet".
"Für ein großes Unternehmen in Australien würde eine Erhöhung der Strafe auf 30 Prozent des bereinigten Umsatzes während eines Verstoßes von beispielsweise drei Jahren praktisch dem gesamten Konzernumsatz in einem Jahr entsprechen und Milliarden von Dollar betragen", heißt es in einer Eingabe an das Parlament. [pdf]
Die ABA warnte, dass ein "Mangel an Klarheit" darüber, wie und wann Strafen verhängt werden könnten, "die Innovation bremsen und ein Umfeld schaffen könnte, das Verbraucher und Organisationen an einer rechtmäßigen und ethischen Nutzung von Daten hindert".
Sie forderte genauere Definitionen von "Schlüsselkonzepten und -begriffen in der Gesetzgebung, einschließlich 'Umsatz', 'relevanter Zeitraum' und 'schwerwiegender' oder 'wiederholter' Eingriff in die Privatsphäre".
Die ABA forderte auch einen "sicheren Hafen oder Abwehrmaßnahmen, die sich ausdrücklich darauf beziehen, wenn eine Einrichtung angemessene Anstrengungen unternommen hat, um das Richtige zu tun, indem sie die Standards für Datensicherheit und Datenschutz einhält".
Ein sicherer Hafen würde es Unternehmen ermöglichen, Geldstrafen zu vermeiden, wenn sie bestimmte Datenschutzanforderungen oder -standards erfüllen.
Außerhalb eines spezifischen Safe Harbor fordert die ABA, dass den Gerichten ein gewisser Spielraum eingeräumt wird, um die Einhaltung "anerkannter Sicherheitsstandards" oder "solider Datenschutzrahmen" bei einer betroffenen Einrichtung zu berücksichtigen, wie schnell die Verletzung bekannt gemacht wurde und "ob eine Einrichtung in gutem Glauben mit den zuständigen Behörden zusammengearbeitet hat, um die Verletzung zu beheben".
AWS - bisher eine der wenigen Organisationen, die sich außerhalb einer Branchenlobby geäußert haben - sagte [pdfDie Strafen müssen angemessen sein, um die persönlichen Daten der Australier zu schützen und eine wirksame Abschreckung zu gewährleisten, sollten aber keine unangemessene Härte für eine ansonsten verantwortungsbewusste Einrichtung darstellen, die bereits solide Datenschutz- und Sicherheitspraktiken anwendet.
"Unternehmen sollten die Möglichkeit haben, nachzuweisen, dass sie angemessene Sicherheits- und Organisationsmaßnahmen ergriffen haben, um personenbezogene Daten zu schützen, wenn es zu einer Störung kommt, und diese Faktoren sollten berücksichtigt werden", so der Cloud-Anbieter.
"Der Gesetzentwurf sollte sicherstellen, dass alle erschwerenden oder mildernden Faktoren angemessen berücksichtigt werden.
AWS zufolge sind die mildernden Faktoren dieselben wie die von AWS angeführten, mit Ausnahme der Frage, "ob das Unternehmen den betroffenen Personen Abhilfe geschaffen hat".
AWS argumentierte, dass die Strafen "auch in einem angemessenen Verhältnis zu dem Schaden stehen sollten, der dem Einzelnen durch den Eingriff in die Privatsphäre entsteht".
Der australische Verband der Informationsindustrie (AIIA), ein wichtiger Verband der Technologiebranche, unterstützte die Forderung nach einer Safe-Harbour-Regelung.
Sie sagte auch, dass "die willkürliche Art und der Umfang der Erhöhung der Strafen ... unbeabsichtigte Folgen haben könnten".
"Ein sicherer Hafen vor Strafen für Unternehmen, die ihren guten Glauben und ihre Sorgfaltspflicht bei der Berichterstattung nachweisen können, einschließlich der Umsetzung von Best-Practice-Rahmenwerken für Cybersicherheit, würde sicherstellen, dass das System Transparenz und die Bereitschaft fördert, sowohl größere Datenschutzverletzungen zu beheben als auch Unterstützung dabei zu suchen", so der AIIA.
"Der Schwerpunkt der Regierung und jeglicher Gesetzgebung sollte darauf liegen, Anreize für die Suche nach Hilfe und das Meldeverhalten von Unternehmen zu schaffen, die von Datenschutzverletzungen betroffen sind.
Die parlamentarische Untersuchung hat einen sehr knappen Berichtstermin am 22. November.
https://www.itnews.com.au/news/big-privacy-fines-worry-banks-aws-and-more-587550
