Druckversion
Thursday, 30.03.2023, 18:43 Uhr


Legal Tribune Online
Schriftgröße: abc | abc | abc
https://www.lto.de//recht/hintergruende/h/durchfuehrungsverordnung-datenverluste-meldepflicht-eu/
Fenster schließen
Artikel drucken
9049

EU-Verordnung zu Datenlecks: Telekom & Co. müssen über Datenpannen informieren

von Dr. Thomas Weimann

01.07.2013

Tastatur

© Photo-K - Fotolia.com

Während die NSA angeblich sogar das Kanzleramt ausgespäht haben soll, regelt die EU ganz andere Datenschutzprobleme neu: Telekommunikationsunternehmen müssen künftig Datenpannen binnen 24 Stunden melden, bei sensiblen Daten auch die Betroffenen informieren. Wenn die Unternehmen sich daran nicht halten – geschieht nichts. Dennoch eine sinnvolle Verordnung, meinen Thomas Weimann und Daniel Nagel.

Anzeige

Einheitlich, per Formular, länderübergreifend

Seit Jahren häufen sich Berichte über den Verlust personenbezogener Daten bei privaten und öffentlichen Stellen in Deutschland. Zuletzt musste etwa die beschauliche Kleinstadt Schneverdingen in Niedersachsen einräumen, dass ein Laptop entwendet wurde, auf dem zuvor die Veranlagungsdaten ihrer Bürger einschließlich Name, Anschrift und Bankverbindung gespeichert worden waren. Den Betroffenen empfiehlt die Stadt daher, ihre Konten genau auf verdächtige Abbuchungen hin zu überprüfen.  

Derartige Datenverluste sind vor allem dann problematisch, wenn die Zahl der Betroffenen besonders groß ist, wie etwa bei öffentlich zugänglichen Kommunikationsdiensten. Die Europäische Union hat das zum Anlass genommen, die Meldung von Datenverlusten künftig für alle Mitgliedstaaten einheitlich zu regeln.  

Eigentlich gibt es sie schon länger, die Pflicht für Betreiber öffentlich zugänglicher Kommunikationsdienste, Betroffene zu informieren, wenn Daten verloren gegangen sind. Nun aber sind Telefon- und Internetaccessprovider ganz konkret verpflichtet, binnen 24 Stunden Behörden und Betroffene zu informieren. Die EU-Kommission stellt dafür Formulare zur Verfügung, die länderübergreifend genutzt werden.  

24 Stunden: Was ist passiert, wer ist betroffen, was wird getan?

Deutschland hat die Richtlinie 2002/58/EG im Jahr 2004 im Telekommunikationsgesetz zumindest teilweise umgesetzt. Das Bundesdatenschutzgesetz (BDSG) kennt seit 2009 eine entsprechende Meldepflicht gegenüber Behörden und Betroffenen. Da die Mitgliedstaaten die Richtlinie aber unterschiedlich umgesetzt und in der Folge Datenverluste vor allem bei Grenzüberschreitungen uneinheitlich behandelt haben, hat die Kommission die Meldepflichten neu und wesentlich ausführlicher geregelt. Eine Umsetzung ist diesmal nicht erforderlich, da sie sich dabei für eine Verordnung entschieden hat.

Diese enthält detaillierte Handlungsanweisungen, wie Betreiber öffentlich zugänglicher Kommunikationsdienste im Falle von Datenverlusten zu verfahren haben.

So ist vorgesehen, dass der Dienstleister diesen mittels eines vorgegebenen Formulars binnen 24 Stunden der national zuständigen Datenschutzbehörde zu melden hat. Die Uhr beginnt zu laufen, sobald der Betreiber von einem Vorfall erfährt, bei dem personenbezogene Daten kompromittiert wurden. Dabei muss er neben Zeitpunkt und Datum des Vorfalls eine ganze Reihe von weiteren Informationen mitteilen. So etwa die Umstände des Datenverlustes, die Inhalte der kompromittierten Daten sowie technische und organisatorische Maßnahmen, die er umgehend ergreifen wird.

Falls ein Betreiber die ihm obliegenden (Melde-)Pflichten nicht binnen 24 Stunden vollständig erfüllen kann, gibt es eine Gnadenfrist von weiteren 48 Stunden, binnen derer er nachbessern muss. Denkbar sind dabei Fälle wie Zeitverschiebungen oder die Klärung interner Zuständigkeitsfragen, aber auch Nachforschungen, welche Daten überhaupt verloren gegangen sind.

Sollte das Unternehmen auch diese Frist nicht einhalten können, muss er nicht nur schnellstmöglich die Informationen nachreichen, sondern auch die Gründe für seine Verspätung darlegen. Die Übermittlung der Verlustmeldung sowie die weitere Kommunikation sollen über eine eigens dafür eingerichtete sichere Schnittstelle zwischen Betreiber und Datenschutzbehörde erfolgen, um so weitere Risiken zu vermeiden.

Wer nicht meldet, dem passiert - nichts

2/2: Erhebliche Nachteile: Auch der Betroffene muss informiert werden

In bestimmten Fällen muss das Unternehmen künftig zwingend auch den von dem Datenverlust Betroffenen selbst informieren. Diese Pflicht besteht vor allem für hochsensible Daten wie finanzielle Informationen, Geodaten, Log Files, Browserverläufe, E-Maildaten oder Anruflisten oder aber, wenn der Verlust zu erheblichen Nachteilen für den Betroffenen führen kann.

Könnte zum Beispiel ein Identitätsdiebstahl stattfinden, jemand öffentlich bloßgestellt werden oder wurden Daten gezielt gestohlen, gelten für seine Information dieselben Fristen; auch für die Mitteilung an den Betroffenen enthält die Verordnung ein Formular.

Nur ausnahmsweise dann, wenn die Daten ausreichend gesichert waren, entfällt die Pflicht, den Betroffenen zu informieren. Dafür reicht die Verschlüsselung durch einen Standardalgorithmus oder aber, dass die Daten durch einen Hashwert ersetzt waren; diese Ausnahme gilt aber nur, wenn nicht auch der jeweilige Schlüssel abhandengekommen ist.

Keine Sanktionen, aber grenzüberschreitend

Anders als das deutsche BDSG enthält die Verordnung keine Sanktion für den Fall, dass die Betreiber ihre Meldepflichten nicht erfüllen. Die Handlungsfähigkeit der nationalen Behörden bleibt damit eingeschränkt: Sofern nicht zufällig Dritte einen Datenverlust aufdecken, sind diese auf die Mitarbeit der Betreiber angewiesen. Ob und in welchem Umfang die Unternehmen ihren Meldepflichten nachkommen werden, bleibt abzuwarten. Der Datenschutzbeauftragte Schaar hatte zwei Jahre nach Einführung der Meldepflicht im BDSG feststellen müssen, dass die Dunkelziffer nicht gemeldeter Vorfälle die der gemeldeten deutlich übersteigt und die Kommunikation stark verbesserungsbedürftig ist.

Spätestens nachdem nun eine europaweit einheitliche Regelung besteht, sollte seriösen Betreibern daran gelegen sein, Datenverluste zeitnah zu melden, da der Imageschaden bei Aufdeckung einer versuchten Vertuschung deutlich höher sein dürfte als bei einer freiwilligen Bekanntgabe der Meldung.

Die Verordnung als ein bloßes Stück zusätzlicher Bürokratie einzustufen, wäre aber wohl doch zu kritisch. Immerhin ermöglicht sie durch die einheitlich gestalteten und in allen europäischen Landessprachen verfügbaren  Meldeformulare erstmals eine grenzüberschreitende Zusammenarbeit.

Mit Blick auf das wachsende Bewusstsein für Compliance als Teil der Unternehmenskultur wird man auch nicht mehr davon ausgehen müssen, dass die Betreiber möglicherweise von einer Meldung absehen, weil sie den Aufwand gegenüber den drohenden Konsequenzen einer Verletzung der Meldepflicht abwägen. Indem die Kommission davon abgesehen hat, zusätzliche Sanktionen zu verhängen, hat sie den Unternehmen einen Vertrauensvorschuss gegeben; nun liegt es an ihnen, diesen zu rechtfertigen. Zu raten wäre es Ihnen jedenfalls - in drei Jahren wird die Kommission noch einmal die effektive Anwendung überprüfen und gegebenenfalls Nachbesserungen an der Verordnung vornehmen.

Der Autor Dr. Thomas Weimann ist Fachanwalt für Informationstechnologierecht und Partner bei BRP Renaud und Partner am Standort Stuttgart. Der Autor Daniel Nagel ist Rechtsanwalt bei BRP Renaud und Partner am Standort Stuttgart. Beide beschäftigen sich schwerpunktmäßig mit IT-Recht, Datenschutzrecht, AGB-Gestaltung und internationalem Recht und sind Verfasser diverser Veröffentlichungen auf diesen Gebieten.

  • Drucken
  • Senden
  • Zitieren
Zitiervorschlag

Thomas Weimann, EU-Verordnung zu Datenlecks: Telekom & Co. müssen über Datenpannen informieren . In: Legal Tribune Online, 01.07.2013 , https://www.lto.de/persistent/a_id/9049/ (abgerufen am: 30.03.2023 )

Infos zum Zitiervorschlag
Das könnte Sie auch interessieren:
  • EuGH zur Datenverarbeitung im Beschäftigungsverhältnis - Mussten Lehrer in den Online-Unter­richt ein­wil­ligen?
  • Verfassungsbeschwerden am BVerfG nach EuGH-Urteil unzulässig - Alles gesagt in Sachen Vor­rats­da­ten­speiche­rung?
  • EuGH zu ne bis in idem bei Verurteilung im Ausland - Kri­mi­nelle Ver­ei­ni­gungen können dop­pelt ver­folgt werden
  • Vorschlag der EU-Kommission - Recht auf Repa­ratur für Ver­brau­cher
  • EuGH-Generalanwalt positioniert sich - Schufa-Sco­ring ver­stößt gegen DSGVO
  • Rechtsgebiete
    • Datenschutz
    • Compliance
  • Themen
    • Datenschutz
    • Europa
TopJOBS
Wis­sen­schaft­li­che:r Mit­ar­bei­ter:in für den Be­reich Da­ten­schutz­recht

MELCHERS Rechtsanwälte PartG mbB , Hei­del­berg

Rechts­an­walt (m/w/d) - Com­p­li­an­ce mit Fo­kus Da­ten­schutz­recht

Dentons , Düs­sel­dorf

Le­gal En­gineer (w/m/d)

Osborne Clarke Rechtsanwälte Steuerberater Partnerschaft mbB , Köln

Rechts­re­fe­ren­dar (m/w/di­vers) bei Le­gal and Com­p­li­an­ce

Siemens , Mün­chen

Rechts­re­fe­ren­dar (m/w/di­vers) bei Le­gal and Com­p­li­an­ce

Siemens , Nürn­berg

Wis­sen­schaft­li­che:r Mit­ar­bei­ter:in für den Be­reich Da­ten­schutz­recht

MELCHERS Rechtsanwälte PartG mbB , Frank­furt am Main

Rechts­re­fe­ren­dar (m/w/di­vers) bei Le­gal and Com­p­li­an­ce

Siemens , Braun­schweig

Rechts­an­walt für Da­ten­schutz­recht (m/w/d)

DPL Drewes Privacy Law Rechtsanwaltsgesellschaft mbH , Bonn

Voll­ju­ris­ten (w/m/d) Re­gu­lato­ry Af­fairs

reuschlaw , 100% Re­mo­te

WIS­SEN­SCHAFT­LI­CHE MIT­AR­BEIT (M/W/D)

Gleiss Lutz , Ber­lin

Alle Stellenanzeigen
Veranstaltungen
Symposion "Moderne Familienstrukturen"

21.04.2023, Jena

Fachanwaltslehrgang Arbeitsrecht im Fernstudium/online

07.04.2023

Fortbildung Handels- und Gesellschaftsrecht im Selbststudium/ online

12.04.2023

White & Case LLP - Event für Referendar*innen und Doktorand*innen

20.04.2023, Frankfurt am Main

ICC Digital Lunch Break

14.04.2023

Alle Veranstaltungen
Copyright © Wolters Kluwer Deutschland GmbH