Druckversion
Montag, 19.05.2025, 14:25 Uhr


Legal Tribune Online
Schriftgröße: abc | abc | abc
https://www.lto.de//recht/hintergruende/h/durchfuehrungsverordnung-datenverluste-meldepflicht-eu
Fenster schließen
Artikel drucken
9049

EU-Verordnung zu Datenlecks: Telekom & Co. müssen über Datenpannen informieren

von Dr. Thomas Weimann

01.07.2013

Tastatur

© Photo-K - Fotolia.com

Während die NSA angeblich sogar das Kanzleramt ausgespäht haben soll, regelt die EU ganz andere Datenschutzprobleme neu: Telekommunikationsunternehmen müssen künftig Datenpannen binnen 24 Stunden melden, bei sensiblen Daten auch die Betroffenen informieren. Wenn die Unternehmen sich daran nicht halten – geschieht nichts. Dennoch eine sinnvolle Verordnung, meinen Thomas Weimann und Daniel Nagel.

Anzeige

Seit Jahren häufen sich Berichte über den Verlust personenbezogener Daten bei privaten und öffentlichen Stellen in Deutschland. Zuletzt musste etwa die beschauliche Kleinstadt Schneverdingen in Niedersachsen einräumen, dass ein Laptop entwendet wurde, auf dem zuvor die Veranlagungsdaten ihrer Bürger einschließlich Name, Anschrift und Bankverbindung gespeichert worden waren. Den Betroffenen empfiehlt die Stadt daher, ihre Konten genau auf verdächtige Abbuchungen hin zu überprüfen.  

Derartige Datenverluste sind vor allem dann problematisch, wenn die Zahl der Betroffenen besonders groß ist, wie etwa bei öffentlich zugänglichen Kommunikationsdiensten. Die Europäische Union hat das zum Anlass genommen, die Meldung von Datenverlusten künftig für alle Mitgliedstaaten einheitlich zu regeln.  

Eigentlich gibt es sie schon länger, die Pflicht für Betreiber öffentlich zugänglicher Kommunikationsdienste, Betroffene zu informieren, wenn Daten verloren gegangen sind. Nun aber sind Telefon- und Internetaccessprovider ganz konkret verpflichtet, binnen 24 Stunden Behörden und Betroffene zu informieren. Die EU-Kommission stellt dafür Formulare zur Verfügung, die länderübergreifend genutzt werden.  

24 Stunden: Was ist passiert, wer ist betroffen, was wird getan?

Deutschland hat die Richtlinie 2002/58/EG im Jahr 2004 im Telekommunikationsgesetz zumindest teilweise umgesetzt. Das Bundesdatenschutzgesetz (BDSG) kennt seit 2009 eine entsprechende Meldepflicht gegenüber Behörden und Betroffenen. Da die Mitgliedstaaten die Richtlinie aber unterschiedlich umgesetzt und in der Folge Datenverluste vor allem bei Grenzüberschreitungen uneinheitlich behandelt haben, hat die Kommission die Meldepflichten neu und wesentlich ausführlicher geregelt. Eine Umsetzung ist diesmal nicht erforderlich, da sie sich dabei für eine Verordnung entschieden hat.

Diese enthält detaillierte Handlungsanweisungen, wie Betreiber öffentlich zugänglicher Kommunikationsdienste im Falle von Datenverlusten zu verfahren haben.

So ist vorgesehen, dass der Dienstleister diesen mittels eines vorgegebenen Formulars binnen 24 Stunden der national zuständigen Datenschutzbehörde zu melden hat. Die Uhr beginnt zu laufen, sobald der Betreiber von einem Vorfall erfährt, bei dem personenbezogene Daten kompromittiert wurden. Dabei muss er neben Zeitpunkt und Datum des Vorfalls eine ganze Reihe von weiteren Informationen mitteilen. So etwa die Umstände des Datenverlustes, die Inhalte der kompromittierten Daten sowie technische und organisatorische Maßnahmen, die er umgehend ergreifen wird.

Falls ein Betreiber die ihm obliegenden (Melde-)Pflichten nicht binnen 24 Stunden vollständig erfüllen kann, gibt es eine Gnadenfrist von weiteren 48 Stunden, binnen derer er nachbessern muss. Denkbar sind dabei Fälle wie Zeitverschiebungen oder die Klärung interner Zuständigkeitsfragen, aber auch Nachforschungen, welche Daten überhaupt verloren gegangen sind.

Sollte das Unternehmen auch diese Frist nicht einhalten können, muss er nicht nur schnellstmöglich die Informationen nachreichen, sondern auch die Gründe für seine Verspätung darlegen. Die Übermittlung der Verlustmeldung sowie die weitere Kommunikation sollen über eine eigens dafür eingerichtete sichere Schnittstelle zwischen Betreiber und Datenschutzbehörde erfolgen, um so weitere Risiken zu vermeiden.

Seite 1/2
  • Seite 1:

    Einheitlich, per Formular, länderübergreifend

  • Seite 2:

    Wer nicht meldet, dem passiert - nichts

  • Drucken
  • Senden
  • Zitieren
Zitiervorschlag

Thomas Weimann, EU-Verordnung zu Datenlecks: . In: Legal Tribune Online, 01.07.2013 , https://www.lto.de/persistent/a_id/9049 (abgerufen am: 21.05.2025 )

Infos zum Zitiervorschlag
  • Mehr zum Thema
    • Datenschutz
    • Compliance
    • Datenschutz
    • Europa
Wahlplakate in Polen 16.05.2025
Nachrichten

Polen wählt am Sonntag:

Prä­si­den­ten­wahl mit­ent­schei­dend für Jus­tiz­re­form

Die Präsidentenwahl in Polen entscheidet mehr als nur über ein Amt – sie könnte den Kurs der Justizreform, die Zukunft des Rechtsstaates sowie die Rolle des Landes in der EU bestimmen. Europa schaut genau hin.

Artikel lesen
Die U2 der Berliner Verkehrsbetriebe 15.05.2025
Datenschutz

Cyberangriff auf Dienstleister der Berliner Verkehrsbetriebe:

Bekommen 180.000 Ber­liner U-Bahn-Kunden Scha­dens­er­satz?

Bei einem Hackerangriff haben Unbekannte persönliche Daten von rund 180.000 Kunden der Berliner Verkehrsbetriebe BVG erbeutet. Die Berliner Datenschutzbeauftragte ist alarmiert. Betroffene könnten Anspruch auf Schadensersatz haben.

Artikel lesen
Bundespolizisten gehen am Hauptbahnhof in München 13.05.2025
Schengen-Abkommen

BayVGH zu Kontrolle nach Österreich rechtskräftig:

Bund ver­stößt an Grenzen gegen gel­tendes Recht

Schon lange vor der jüngsten Weisung des neuen Innenministers wurde an der Grenze zu Österreich kontrolliert. Zumindest in einem Fall hat die Bundesregierung damit gegen geltendes Recht verstoßen.

Artikel lesen
OpenJur-Anwälte Dr. Mina Kianfar und Dr. Lukas Mezger von der Kanzlei Unverzagt 12.05.2025
Datenschutz

LG Hamburg zur Rechsprechungsdatenbank:

OpenJur haftet nicht für Fehler der Ber­liner Justiz

Wegen der Veröffentlichung eines nicht anonymisierten Beschlusses verklagte ein Anwalt OpenJur. Das LG Hamburg wies die Klage ab. Für den Gerichtsfehler hafte OpenJur weder nach DSGVO noch BGB. Der Betrieb dieser Datenbank sei Journalismus.

Artikel lesen
Ein Schild mit der Aufschrift Bundesrepublik Deutschland 09.05.2025
Hintergründe

Der Dobrindt-Erlass über Zurückweisungen an der Grenze:

Von der "Herr­schaft des Unrechts" ins "Not­lagen-Chaos"?

Die Diskussion um den Dobrindt-Erlass über Grenz-Zurückweisungen krankt an vielen Missverständnissen. Neben die "Merkel-Rechtsbruch-Theorie" tritt nun Wirrwarr um die Ausrufung einer Notlage. Daniel Thym klärt das juristische Durcheinander.

Artikel lesen
Personalverwaltungssoftware "Workday" 08.05.2025
Datenschutz

BAG zu DSGVO-Verletzung nach Betriebsvereinbarung:

Scha­dens­er­satz nach Kon­troll­ver­lust von Daten über "Workday"

Ein Unternehmen nutzt Echtdaten, um eine neue Software zu testen – und übermittelt dabei deutlich mehr Informationen als vereinbart. Das Bundesarbeitsgericht stellt klar: Betriebsvereinbarungen sind kein Persilschein für Datenschutzverstöße.

Artikel lesen
ads lto paragraph
lto karriere logo
ads career people

Wir haben die Top-Jobs für Jurist:innen

Jetzt registrieren
logo lto karriere
TopJOBS
Logo von Mathias-Stiftung Rheine
Voll­ju­rist:in mit Schwer­punkt Ar­beits­recht als Per­so­nal­di­rek­tor...

Mathias-Stiftung Rheine , Rhei­ne

Logo von Generalstaatsanwaltschaft des Landes Brandenburg
Staats­an­wäl­tin (Rich­te­rin auf Pro­be) / Staats­an­walt (Rich­ter auf Pro­be)...

Generalstaatsanwaltschaft des Landes Brandenburg , Cott­bus

Logo von Generalstaatsanwaltschaft des Landes Brandenburg
Staats­an­wäl­tin (Rich­te­rin auf Pro­be) / Staats­an­walt (Rich­ter auf Pro­be)...

Generalstaatsanwaltschaft des Landes Brandenburg , Frank­furt (Oder)

Logo von Generalstaatsanwaltschaft des Landes Brandenburg
Staats­an­wäl­tin (Rich­te­rin auf Pro­be) / Staats­an­walt (Rich­ter auf Pro­be)...

Generalstaatsanwaltschaft des Landes Brandenburg , Pots­dam

Logo von Westdeutscher Rundfunk
Re­fe­rent:in Le­gal Tech

Westdeutscher Rundfunk , Köln

Logo von Oppenhoff
Rechts­an­walt (m/w/d) Öf­f­ent­li­ches...

Oppenhoff , Köln

Logo von White & Case
Rechts­an­wäl­tin / Rechts­an­walt (m/w/d) - IP / IT

White & Case , Ham­burg

Logo von Osborne Clarke
Rechts­an­walt mit Be­ruf­s­er­fah­rung (w/m/d) IT-Recht, E-Com­mer­ce und di­gi­ta­le...

Osborne Clarke , Köln

Mehr Stellenanzeigen
logo lto events
Logo von Hagen Law School in der iuria GmbH
Fortbildung Sozialrecht im Selbststudium/ online

30.05.2025

RAV-Kongress: AufRecht. Solidarisch in autoritären Zeiten

13.06.2025, Leipzig

Unternehmensumwandlungen: Umwandlung eines Einzelunternehmens in eine GmbH

03.06.2025

Logo von Deutscher Anwaltverein
Deutscher Anwaltstag 2025 in Berlin

02.06.2025, Berlin

Logo von Hengeler Mueller
LL.M. Farewell Dinner

03.07.2025, Frankfurt am Main

Mehr Events
Copyright © Wolters Kluwer Deutschland GmbH