EU-Verordnung zu Datenlecks: Telekom & Co. müssen über Datenpannen informieren
© Photo-K - Fotolia.com
Während die NSA angeblich sogar das Kanzleramt ausgespäht haben soll, regelt die EU ganz andere Datenschutzprobleme neu: Telekommunikationsunternehmen müssen künftig Datenpannen binnen 24 Stunden melden, bei sensiblen Daten auch die Betroffenen informieren. Wenn die Unternehmen sich daran nicht halten – geschieht nichts. Dennoch eine sinnvolle Verordnung, meinen Thomas Weimann und Daniel Nagel.
Seit Jahren häufen sich Berichte über den Verlust personenbezogener Daten bei privaten und öffentlichen Stellen in Deutschland. Zuletzt musste etwa die beschauliche Kleinstadt Schneverdingen in Niedersachsen einräumen, dass ein Laptop entwendet wurde, auf dem zuvor die Veranlagungsdaten ihrer Bürger einschließlich Name, Anschrift und Bankverbindung gespeichert worden waren. Den Betroffenen empfiehlt die Stadt daher, ihre Konten genau auf verdächtige Abbuchungen hin zu überprüfen.
Derartige Datenverluste sind vor allem dann problematisch, wenn die Zahl der Betroffenen besonders groß ist, wie etwa bei öffentlich zugänglichen Kommunikationsdiensten. Die Europäische Union hat das zum Anlass genommen, die Meldung von Datenverlusten künftig für alle Mitgliedstaaten einheitlich zu regeln.
Eigentlich gibt es sie schon länger, die Pflicht für Betreiber öffentlich zugänglicher Kommunikationsdienste, Betroffene zu informieren, wenn Daten verloren gegangen sind. Nun aber sind Telefon- und Internetaccessprovider ganz konkret verpflichtet, binnen 24 Stunden Behörden und Betroffene zu informieren. Die EU-Kommission stellt dafür Formulare zur Verfügung, die länderübergreifend genutzt werden.
24 Stunden: Was ist passiert, wer ist betroffen, was wird getan?
Deutschland hat die Richtlinie 2002/58/EG im Jahr 2004 im Telekommunikationsgesetz zumindest teilweise umgesetzt. Das Bundesdatenschutzgesetz (BDSG) kennt seit 2009 eine entsprechende Meldepflicht gegenüber Behörden und Betroffenen. Da die Mitgliedstaaten die Richtlinie aber unterschiedlich umgesetzt und in der Folge Datenverluste vor allem bei Grenzüberschreitungen uneinheitlich behandelt haben, hat die Kommission die Meldepflichten neu und wesentlich ausführlicher geregelt. Eine Umsetzung ist diesmal nicht erforderlich, da sie sich dabei für eine Verordnung entschieden hat.
Diese enthält detaillierte Handlungsanweisungen, wie Betreiber öffentlich zugänglicher Kommunikationsdienste im Falle von Datenverlusten zu verfahren haben.
So ist vorgesehen, dass der Dienstleister diesen mittels eines vorgegebenen Formulars binnen 24 Stunden der national zuständigen Datenschutzbehörde zu melden hat. Die Uhr beginnt zu laufen, sobald der Betreiber von einem Vorfall erfährt, bei dem personenbezogene Daten kompromittiert wurden. Dabei muss er neben Zeitpunkt und Datum des Vorfalls eine ganze Reihe von weiteren Informationen mitteilen. So etwa die Umstände des Datenverlustes, die Inhalte der kompromittierten Daten sowie technische und organisatorische Maßnahmen, die er umgehend ergreifen wird.
Falls ein Betreiber die ihm obliegenden (Melde-)Pflichten nicht binnen 24 Stunden vollständig erfüllen kann, gibt es eine Gnadenfrist von weiteren 48 Stunden, binnen derer er nachbessern muss. Denkbar sind dabei Fälle wie Zeitverschiebungen oder die Klärung interner Zuständigkeitsfragen, aber auch Nachforschungen, welche Daten überhaupt verloren gegangen sind.
Sollte das Unternehmen auch diese Frist nicht einhalten können, muss er nicht nur schnellstmöglich die Informationen nachreichen, sondern auch die Gründe für seine Verspätung darlegen. Die Übermittlung der Verlustmeldung sowie die weitere Kommunikation sollen über eine eigens dafür eingerichtete sichere Schnittstelle zwischen Betreiber und Datenschutzbehörde erfolgen, um so weitere Risiken zu vermeiden.
2/2: Erhebliche Nachteile: Auch der Betroffene muss informiert werden
In bestimmten Fällen muss das Unternehmen künftig zwingend auch den von dem Datenverlust Betroffenen selbst informieren. Diese Pflicht besteht vor allem für hochsensible Daten wie finanzielle Informationen, Geodaten, Log Files, Browserverläufe, E-Maildaten oder Anruflisten oder aber, wenn der Verlust zu erheblichen Nachteilen für den Betroffenen führen kann.
Könnte zum Beispiel ein Identitätsdiebstahl stattfinden, jemand öffentlich bloßgestellt werden oder wurden Daten gezielt gestohlen, gelten für seine Information dieselben Fristen; auch für die Mitteilung an den Betroffenen enthält die Verordnung ein Formular.
Nur ausnahmsweise dann, wenn die Daten ausreichend gesichert waren, entfällt die Pflicht, den Betroffenen zu informieren. Dafür reicht die Verschlüsselung durch einen Standardalgorithmus oder aber, dass die Daten durch einen Hashwert ersetzt waren; diese Ausnahme gilt aber nur, wenn nicht auch der jeweilige Schlüssel abhandengekommen ist.
Keine Sanktionen, aber grenzüberschreitend
Anders als das deutsche BDSG enthält die Verordnung keine Sanktion für den Fall, dass die Betreiber ihre Meldepflichten nicht erfüllen. Die Handlungsfähigkeit der nationalen Behörden bleibt damit eingeschränkt: Sofern nicht zufällig Dritte einen Datenverlust aufdecken, sind diese auf die Mitarbeit der Betreiber angewiesen. Ob und in welchem Umfang die Unternehmen ihren Meldepflichten nachkommen werden, bleibt abzuwarten. Der Datenschutzbeauftragte Schaar hatte zwei Jahre nach Einführung der Meldepflicht im BDSG feststellen müssen, dass die Dunkelziffer nicht gemeldeter Vorfälle die der gemeldeten deutlich übersteigt und die Kommunikation stark verbesserungsbedürftig ist.
Spätestens nachdem nun eine europaweit einheitliche Regelung besteht, sollte seriösen Betreibern daran gelegen sein, Datenverluste zeitnah zu melden, da der Imageschaden bei Aufdeckung einer versuchten Vertuschung deutlich höher sein dürfte als bei einer freiwilligen Bekanntgabe der Meldung.
Die Verordnung als ein bloßes Stück zusätzlicher Bürokratie einzustufen, wäre aber wohl doch zu kritisch. Immerhin ermöglicht sie durch die einheitlich gestalteten und in allen europäischen Landessprachen verfügbaren Meldeformulare erstmals eine grenzüberschreitende Zusammenarbeit.
Mit Blick auf das wachsende Bewusstsein für Compliance als Teil der Unternehmenskultur wird man auch nicht mehr davon ausgehen müssen, dass die Betreiber möglicherweise von einer Meldung absehen, weil sie den Aufwand gegenüber den drohenden Konsequenzen einer Verletzung der Meldepflicht abwägen. Indem die Kommission davon abgesehen hat, zusätzliche Sanktionen zu verhängen, hat sie den Unternehmen einen Vertrauensvorschuss gegeben; nun liegt es an ihnen, diesen zu rechtfertigen. Zu raten wäre es Ihnen jedenfalls - in drei Jahren wird die Kommission noch einmal die effektive Anwendung überprüfen und gegebenenfalls Nachbesserungen an der Verordnung vornehmen.
Der Autor Dr. Thomas Weimann ist Fachanwalt für Informationstechnologierecht und Partner bei BRP Renaud und Partner am Standort Stuttgart. Der Autor Daniel Nagel ist Rechtsanwalt bei BRP Renaud und Partner am Standort Stuttgart. Beide beschäftigen sich schwerpunktmäßig mit IT-Recht, Datenschutzrecht, AGB-Gestaltung und internationalem Recht und sind Verfasser diverser Veröffentlichungen auf diesen Gebieten.
