LTO.de - Legal Tribune Online - Aktuelles aus Recht und Justiz
 

EU-Verordnung zu Datenlecks: Telekom & Co. müssen über Datenpannen informieren

von Dr. Thomas Weimann

01.07.2013

Während die NSA angeblich sogar das Kanzleramt ausgespäht haben soll, regelt die EU ganz andere Datenschutzprobleme neu: Telekommunikationsunternehmen müssen künftig Datenpannen binnen 24 Stunden melden, bei sensiblen Daten auch die Betroffenen informieren. Wenn die Unternehmen sich daran nicht halten – geschieht nichts. Dennoch eine sinnvolle Verordnung, meinen Thomas Weimann und Daniel Nagel.

Seit Jahren häufen sich Berichte über den Verlust personenbezogener Daten bei privaten und öffentlichen Stellen in Deutschland. Zuletzt musste etwa die beschauliche Kleinstadt Schneverdingen in Niedersachsen einräumen, dass ein Laptop entwendet wurde, auf dem zuvor die Veranlagungsdaten ihrer Bürger einschließlich Name, Anschrift und Bankverbindung gespeichert worden waren. Den Betroffenen empfiehlt die Stadt daher, ihre Konten genau auf verdächtige Abbuchungen hin zu überprüfen.  

Derartige Datenverluste sind vor allem dann problematisch, wenn die Zahl der Betroffenen besonders groß ist, wie etwa bei öffentlich zugänglichen Kommunikationsdiensten. Die Europäische Union hat das zum Anlass genommen, die Meldung von Datenverlusten künftig für alle Mitgliedstaaten einheitlich zu regeln.  

Eigentlich gibt es sie schon länger, die Pflicht für Betreiber öffentlich zugänglicher Kommunikationsdienste, Betroffene zu informieren, wenn Daten verloren gegangen sind. Nun aber sind Telefon- und Internetaccessprovider ganz konkret verpflichtet, binnen 24 Stunden Behörden und Betroffene zu informieren. Die EU-Kommission stellt dafür Formulare zur Verfügung, die länderübergreifend genutzt werden.  

24 Stunden: Was ist passiert, wer ist betroffen, was wird getan?

Deutschland hat die Richtlinie 2002/58/EG im Jahr 2004 im Telekommunikationsgesetz zumindest teilweise umgesetzt. Das Bundesdatenschutzgesetz (BDSG) kennt seit 2009 eine entsprechende Meldepflicht gegenüber Behörden und Betroffenen. Da die Mitgliedstaaten die Richtlinie aber unterschiedlich umgesetzt und in der Folge Datenverluste vor allem bei Grenzüberschreitungen uneinheitlich behandelt haben, hat die Kommission die Meldepflichten neu und wesentlich ausführlicher geregelt. Eine Umsetzung ist diesmal nicht erforderlich, da sie sich dabei für eine Verordnung entschieden hat.

Diese enthält detaillierte Handlungsanweisungen, wie Betreiber öffentlich zugänglicher Kommunikationsdienste im Falle von Datenverlusten zu verfahren haben.

So ist vorgesehen, dass der Dienstleister diesen mittels eines vorgegebenen Formulars binnen 24 Stunden der national zuständigen Datenschutzbehörde zu melden hat. Die Uhr beginnt zu laufen, sobald der Betreiber von einem Vorfall erfährt, bei dem personenbezogene Daten kompromittiert wurden. Dabei muss er neben Zeitpunkt und Datum des Vorfalls eine ganze Reihe von weiteren Informationen mitteilen. So etwa die Umstände des Datenverlustes, die Inhalte der kompromittierten Daten sowie technische und organisatorische Maßnahmen, die er umgehend ergreifen wird.

Falls ein Betreiber die ihm obliegenden (Melde-)Pflichten nicht binnen 24 Stunden vollständig erfüllen kann, gibt es eine Gnadenfrist von weiteren 48 Stunden, binnen derer er nachbessern muss. Denkbar sind dabei Fälle wie Zeitverschiebungen oder die Klärung interner Zuständigkeitsfragen, aber auch Nachforschungen, welche Daten überhaupt verloren gegangen sind.

Sollte das Unternehmen auch diese Frist nicht einhalten können, muss er nicht nur schnellstmöglich die Informationen nachreichen, sondern auch die Gründe für seine Verspätung darlegen. Die Übermittlung der Verlustmeldung sowie die weitere Kommunikation sollen über eine eigens dafür eingerichtete sichere Schnittstelle zwischen Betreiber und Datenschutzbehörde erfolgen, um so weitere Risiken zu vermeiden.

Zitiervorschlag

Thomas Weimann, EU-Verordnung zu Datenlecks: Telekom & Co. müssen über Datenpannen informieren . In: Legal Tribune Online, 01.07.2013 , https://www.lto.de/persistent/a_id/9049/ (abgerufen am: 27.11.2020 )

Infos zum Zitiervorschlag
Kommentare
  • 01.07.2013 17:06, Zweifler

    Als würden Datenlecks angesichts von Prism, Tempora und Bestandsdatenauskunft noch irgendeine Rolle spielen...

  • 02.07.2013 09:56, Deckname

    Ein schöner Artikel, der allerdings in einem Punkt nicht ganz richtig ist. Da die Verordnung nur die Durchführung der Meldung - also das wie - regelt, die Rechtsgrundlage und somit das ob und wann aber weiterhin im §109a TKG zu finden ist, stimmt es nicht, dass es bei Zuwiderhandlungen gegen die Meldepflicht keine Sanktionen gibt. Vielmehr kann die Bundesnetzagentur nach § 149 Abs. 1 Nr. 21b TKG ein Bußgeld von bis zu 100000 Euro verhängen.

  • 03.07.2013 11:02, Christian

    So wie ich das sehe, müsste es sich damit doch um ein Schutzgesetz handeln oder? Wenn auch der Betroffene informiert werden muss, dient das Gesetz zweifellos auch dem Schutz des Einzelnen.
    In dem Fall müsste ja 823 II offen stehen. Somit gibt es zwar möglicherweise keine staatlichen Sanktionen, aber immerhin droht die zivilrechtliche Keule.

    • 03.07.2013 11:39, Deckname

      Wie ich bereits gestern geschrieben habe reicht ein Blick ins Gesetz (namentlich das von mir zitierte TKG) um festzustellen, dass es sehr wohl eine Sanktionsbefugnis der BNetzA gibt.

      Der Autor verkennt leider offensichtlich Zweck und Reichweite der Verordnung und kommt somit zu einem Trugschluss.

    • 03.07.2013 16:37, Christian

      Das wollte ich auch nicht in Abrede stellen, sondern lediglich auf die zivilrechtliche Komponente hinweisen, die meines Erachtens in der Praxis ohnehin wirkungsvoller sind.