EU-Verordnung zu Datenlecks: Telekom & Co. müssen über Datenpannen informieren

2/2: Erhebliche Nachteile: Auch der Betroffene muss informiert werden

In bestimmten Fällen muss das Unternehmen künftig zwingend auch den von dem Datenverlust Betroffenen selbst informieren. Diese Pflicht besteht vor allem für hochsensible Daten wie finanzielle Informationen, Geodaten, Log Files, Browserverläufe, E-Maildaten oder Anruflisten oder aber, wenn der Verlust zu erheblichen Nachteilen für den Betroffenen führen kann.

Könnte zum Beispiel ein Identitätsdiebstahl stattfinden, jemand öffentlich bloßgestellt werden oder wurden Daten gezielt gestohlen, gelten für seine Information dieselben Fristen; auch für die Mitteilung an den Betroffenen enthält die Verordnung ein Formular.

Nur ausnahmsweise dann, wenn die Daten ausreichend gesichert waren, entfällt die Pflicht, den Betroffenen zu informieren. Dafür reicht die Verschlüsselung durch einen Standardalgorithmus oder aber, dass die Daten durch einen Hashwert ersetzt waren; diese Ausnahme gilt aber nur, wenn nicht auch der jeweilige Schlüssel abhandengekommen ist.

Keine Sanktionen, aber grenzüberschreitend

Anders als das deutsche BDSG enthält die Verordnung keine Sanktion für den Fall, dass die Betreiber ihre Meldepflichten nicht erfüllen. Die Handlungsfähigkeit der nationalen Behörden bleibt damit eingeschränkt: Sofern nicht zufällig Dritte einen Datenverlust aufdecken, sind diese auf die Mitarbeit der Betreiber angewiesen. Ob und in welchem Umfang die Unternehmen ihren Meldepflichten nachkommen werden, bleibt abzuwarten. Der Datenschutzbeauftragte Schaar hatte zwei Jahre nach Einführung der Meldepflicht im BDSG feststellen müssen, dass die Dunkelziffer nicht gemeldeter Vorfälle die der gemeldeten deutlich übersteigt und die Kommunikation stark verbesserungsbedürftig ist.

Spätestens nachdem nun eine europaweit einheitliche Regelung besteht, sollte seriösen Betreibern daran gelegen sein, Datenverluste zeitnah zu melden, da der Imageschaden bei Aufdeckung einer versuchten Vertuschung deutlich höher sein dürfte als bei einer freiwilligen Bekanntgabe der Meldung.

Die Verordnung als ein bloßes Stück zusätzlicher Bürokratie einzustufen, wäre aber wohl doch zu kritisch. Immerhin ermöglicht sie durch die einheitlich gestalteten und in allen europäischen Landessprachen verfügbaren  Meldeformulare erstmals eine grenzüberschreitende Zusammenarbeit.

Mit Blick auf das wachsende Bewusstsein für Compliance als Teil der Unternehmenskultur wird man auch nicht mehr davon ausgehen müssen, dass die Betreiber möglicherweise von einer Meldung absehen, weil sie den Aufwand gegenüber den drohenden Konsequenzen einer Verletzung der Meldepflicht abwägen. Indem die Kommission davon abgesehen hat, zusätzliche Sanktionen zu verhängen, hat sie den Unternehmen einen Vertrauensvorschuss gegeben; nun liegt es an ihnen, diesen zu rechtfertigen. Zu raten wäre es Ihnen jedenfalls - in drei Jahren wird die Kommission noch einmal die effektive Anwendung überprüfen und gegebenenfalls Nachbesserungen an der Verordnung vornehmen.

Der Autor Dr. Thomas Weimann ist Fachanwalt für Informationstechnologierecht und Partner bei BRP Renaud und Partner am Standort Stuttgart. Der Autor Daniel Nagel ist Rechtsanwalt bei BRP Renaud und Partner am Standort Stuttgart. Beide beschäftigen sich schwerpunktmäßig mit IT-Recht, Datenschutzrecht, AGB-Gestaltung und internationalem Recht und sind Verfasser diverser Veröffentlichungen auf diesen Gebieten.