Australien misstraut Datenschutzgesetz, aber Details sind geheim

Die australische Regierung hält die vorgeschlagene Gesetzgebung zur Meldung von Datenverstößen, die vor einer Bundestagswahl im September in Kraft treten könnte, fest.

Das Land hat kein Gesetz zur Meldung von Datenverstößen. Stattdessen empfiehlt die Bundesregierung, dass Organisationen das Büro des Australian Information Commissioner (OAIC) ​​benachrichtigen, wenn eine Verletzung ein "echtes Risiko für ernsthaften Schaden" darstellt.

Anfang dieses Monats hat die Generalstaatsanwaltschaft einen Gesetzentwurf privat geteilt einige Interessenvertreter, die die Überlegungen der Regierung über die Meldung von Datenverstößen und die Anforderungen von Unternehmen und Organisationen umreißen.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Ein Sprecher des Generalstaatsanwalts sagte am Donnerstag den Entwurf Rechnung wurde nicht veröffentlicht. Das Dokument mit dem Titel "Exposure Draft - Privacy Alignment (Datenschutzbenachrichtigungen) Bill 2013" wurde vom SC Magazine erhalten, aber nicht veröffentlicht.

Allerdings haben einige Organisationen und Unternehmen ihre Antworten auf den Gesetzentwurf veröffentlicht. Roger Clarke, Vorsitzender der Australian Privacy Foundation (APF), sagte, der Generalstaatsanwalt teilte den Gesetzentwurf mit der APF unter der Bedingung, dass er vertraulich behandelt werde.

Clarke sagte den Gesetzentwurf, von dem er glaubt, dass er veröffentlicht werden sollte. könnte stärker sein und muss etwas verschärft werden.

"Wir denken, dass es eine Reihe von Dingen gibt, die geändert werden müssen", sagte Clarke. "Ich glaube nicht, dass es neu geschrieben werden muss."

Die APF argumentierte in ihrer Antwort vom 22. April an den Generalstaatsanwalt, dass sie feststellt, wann eine Organisation einen Verstoß melden sollte. echtes Risiko für ernsthaften Schaden "-ist zu hoch. Jede Verletzung müsse gemeldet werden, wenn ein Schadensrisiko bestehe, so die APF.

Nach dem Gesetzentwurf "würde die Notifikation im Allgemeinen freiwillig bleiben, außer im Falle einiger sehr schwerwiegender Verstöße, und das Ergebnis wäre dies Die Gesetzesvorlage hätte "nur eine sehr begrenzte Auswirkung auf Organisationen, die unzureichende Sicherheitsmaßnahmen haben", schrieb die APF.

Organisationen sollten "substantiellen Strafen" unterworfen werden, wenn sie ihre Daten nicht sichern, sagte er.

"Wir sind "Für eine kriminelle, nicht nur für die zivilrechtliche Haftung", sagte Clarke.

Eine Sprecherin der OAIC sagte am Donnerstag, dass Datenschutzbeauftragte Timothy Pilgrim im Allgemeinen ein Gesetz zur Meldung von Datenverstößen unterstützt.

Im vergangenen November sagte die OAIC aktuelle Datenverletzung Meldevorkehrungen sind nicht ausreichend. Neue Gesetze, so die OAIC, sollten eine Änderung des Privacy Act 1988 sein.

Im Dezember verabschiedete das australische Parlament einen Gesetzesentwurf zur Änderung des Privacy Acts, der Pilgrim die Möglichkeit einräumte, zivilrechtliche Strafen für schwere Datenverletzungen zu verhängen. Aber die Rechnung hörte auf, zu verlangen, dass Organisationen Verbraucher von Datenlecks benachrichtigen.