Während die NSA angeblich sogar das Kanzleramt ausgespäht haben soll, regelt die EU ganz andere Datenschutzprobleme neu: Telekommunikationsunternehmen müssen künftig Datenpannen binnen 24 Stunden melden, bei sensiblen Daten auch die Betroffenen informieren. Wenn die Unternehmen sich daran nicht halten – geschieht nichts. Dennoch eine sinnvolle Verordnung, meinen Thomas Weimann und Daniel Nagel.
Seit Jahren häufen sich Berichte über den Verlust personenbezogener Daten bei privaten und öffentlichen Stellen in Deutschland. Zuletzt musste etwa die beschauliche Kleinstadt Schneverdingen in Niedersachsen einräumen, dass ein Laptop entwendet wurde, auf dem zuvor die Veranlagungsdaten ihrer Bürger einschließlich Name, Anschrift und Bankverbindung gespeichert worden waren. Den Betroffenen empfiehlt die Stadt daher, ihre Konten genau auf verdächtige Abbuchungen hin zu überprüfen.
Derartige Datenverluste sind vor allem dann problematisch, wenn die Zahl der Betroffenen besonders groß ist, wie etwa bei öffentlich zugänglichen Kommunikationsdiensten. Die Europäische Union hat das zum Anlass genommen, die Meldung von Datenverlusten künftig für alle Mitgliedstaaten einheitlich zu regeln.
Eigentlich gibt es sie schon länger, die Pflicht für Betreiber öffentlich zugänglicher Kommunikationsdienste, Betroffene zu informieren, wenn Daten verloren gegangen sind. Nun aber sind Telefon- und Internetaccessprovider ganz konkret verpflichtet, binnen 24 Stunden Behörden und Betroffene zu informieren. Die EU-Kommission stellt dafür Formulare zur Verfügung, die länderübergreifend genutzt werden.
24 Stunden: Was ist passiert, wer ist betroffen, was wird getan?
Deutschland hat die Richtlinie 2002/58/EG im Jahr 2004 im Telekommunikationsgesetz zumindest teilweise umgesetzt. Das Bundesdatenschutzgesetz (BDSG) kennt seit 2009 eine entsprechende Meldepflicht gegenüber Behörden und Betroffenen. Da die Mitgliedstaaten die Richtlinie aber unterschiedlich umgesetzt und in der Folge Datenverluste vor allem bei Grenzüberschreitungen uneinheitlich behandelt haben, hat die Kommission die Meldepflichten neu und wesentlich ausführlicher geregelt. Eine Umsetzung ist diesmal nicht erforderlich, da sie sich dabei für eine Verordnung entschieden hat.
Diese enthält detaillierte Handlungsanweisungen, wie Betreiber öffentlich zugänglicher Kommunikationsdienste im Falle von Datenverlusten zu verfahren haben.
So ist vorgesehen, dass der Dienstleister diesen mittels eines vorgegebenen Formulars binnen 24 Stunden der national zuständigen Datenschutzbehörde zu melden hat. Die Uhr beginnt zu laufen, sobald der Betreiber von einem Vorfall erfährt, bei dem personenbezogene Daten kompromittiert wurden. Dabei muss er neben Zeitpunkt und Datum des Vorfalls eine ganze Reihe von weiteren Informationen mitteilen. So etwa die Umstände des Datenverlustes, die Inhalte der kompromittierten Daten sowie technische und organisatorische Maßnahmen, die er umgehend ergreifen wird.
Falls ein Betreiber die ihm obliegenden (Melde-)Pflichten nicht binnen 24 Stunden vollständig erfüllen kann, gibt es eine Gnadenfrist von weiteren 48 Stunden, binnen derer er nachbessern muss. Denkbar sind dabei Fälle wie Zeitverschiebungen oder die Klärung interner Zuständigkeitsfragen, aber auch Nachforschungen, welche Daten überhaupt verloren gegangen sind.
Sollte das Unternehmen auch diese Frist nicht einhalten können, muss er nicht nur schnellstmöglich die Informationen nachreichen, sondern auch die Gründe für seine Verspätung darlegen. Die Übermittlung der Verlustmeldung sowie die weitere Kommunikation sollen über eine eigens dafür eingerichtete sichere Schnittstelle zwischen Betreiber und Datenschutzbehörde erfolgen, um so weitere Risiken zu vermeiden.
Thomas Weimann, EU-Verordnung zu Datenlecks: . In: Legal Tribune Online, 01.07.2013 , https://www.lto.de/persistent/a_id/9049 (abgerufen am: 21.05.2025 )
Infos zum Zitiervorschlag
