Header graphic for print
Datenschutz News & Trends
Rubrik: Datenschutz Allgemein, Datensicherheit

EU Kommission: Meldung von Datenpannen bei TK-Anbietern innerhalb von 24 Stunden

Die EU Kommission veröffentlichte am 24. Juni 2013 den Text der Verordnung über die Meldung von Datenpannen bei Anbietern von Telekommunikationsdiensten: Danach ist innerhalb von 24 Stunden nach Kenntnisnahme der Verlust oder der unberechtigte Zugriff auf Daten bei den Aufsichtsbehörden zu melden. Wenn noch Informationen fehlen, muss spätestens drei Tage später nachgemeldet werden. Die betroffenen Personen sind bei drohenden Nachteilen (insbesondere bei Verlust von Bank- und Kreditkartendaten) „unverzüglich“ zu informieren. Will der Anbieter von dieser Information der Kunden absehen, braucht er die Genehmigung der Aufsichtsbehörde. Auch eine einfache Verschlüsselung der Daten reicht nicht unbedingt aus, um dieser Benachrichtigung der Betroffenen zu entgehen. Die Verordnung tritt 2 Monate nach ihrer Veröffentlichung im Amtsblatt in Kraft.

EU-einheitliche Regelung für Verstöße bei Datenpannen

Hintergrund, wie auch die Pressemitteilung verkündet, ist der Wunsch nach einer EU-weiten einheitlichen Regelung für die Umsetzung der Meldepflichten nach Artikel 4 der sogenannten „ePrivacy“ Richtlinie 2002/58/EG. Diese ist in Deutschland durch § 93 Absatz 3 TKG in Verbindung mit § 109a TKG umgesetzt. Neben der allgemeinen Meldepflicht von § 42a BDSG verpflichtet § 93 Absatz 3 TKG und § 109a TKG die Anbieter von öffentlich zugänglichen Telekommunikationsdiensten einerseits den Aufsichtsbehörden (Bundesnetzagentur und Bundesbeauftragter für Datenschutz) Fälle zu melden, in denen personenbezogene Daten z.B. durch einen Hackerangriff, oder ein Datenleck aufgrund einer falschen Programmierung  an unberechtigte Dritte gelangten. Wenn schwerwiegende Beeinträchtigungen drohen, sind die Betroffenen ebenfalls zu informieren. Das Gesetz sah bislang vor, dass die Meldung und die Benachrichtigung „unverzüglich“ erfolgen müssen.

Sowohl §109a Absatz 4 TKG wie auch die umzusetzende Vorschrift in Artikel 4 Absatz 5 der Richtline 2002/58/EG sieht vor, dass die Kommission technische Durchführungsmaßnahmen vorgeben darf.

Mit der nun angekündigten Verordnung werden diese Maßnahmen sehr genau vorgegeben und gelten, da in Form der Verordnung erlassen, einheitlich und unmittelbar, also ohne, dass es weiterer Umsetzung durch nationale Gesetzgeber bedarf, in allen Mitgliedsstaaten.

Einzelheiten der neuen Verordnung

Grundregel ist, dass der Diensteanbieter innerhalb von 24 Stunden die Datenpanne der Behörde melden muss. Der Inhalt der Meldung ist in der Anlage zu der Verordnung aufgelistet. Fehlen dem Diensteanbieter noch Einzelheiten, entgeht er dennoch nicht der kurzfristigen Meldung: Dafür ist eine erste Meldung innerhalb von 24 Stunden vorgesehen, der dann innerhalb von drei Tagen nach dieser ersten Meldung eine zweite Meldung mit den weiteren Einzelheiten folgen muss. Wenn selbst dann noch keine genauen Erkenntnisse vorliegen, muss der Diensteanbieter zumindest die ihm dann bekannten Umstände der Behörde mitteilen.

Bei drohenden schwerwiegenden Nachteilen muss auch die betroffene Person vom Diensteanbieter informiert werden. Solche Nachteile sind insbesondere zu befürchten, wenn Kreditkarteninformationen, sensible Daten wie z.B. Gesundheitsdaten oder ortsbezogene Daten, Internet Logdateien, Webbrowser Ablaufdaten (‚histories“), Email-Daten oder Listen mit Einzelanrufen an unberechtigte Dritte gelangen.

Die Frist zur Benachrichtigung bleibt hier „unverzüglich“, und ist unabhängig von der Meldung bei der Aufsichtsbehörde. Wenn der Diensteanbieter jedoch die Datenpanne noch weiter untersuchen will, und deshalb eine Benachrichtigung der Betroffenen hinauszögern möchte, braucht er die Genehmigung der Aufsichtsbehörde.

Bislang galt, dass bei einer Verschlüsselung der Daten in der Regel keine schwerwiegende Beeinträchtigung droht. Dies greift auch die Verordnung auf, soweit der Diensteanbieter „zur Zufriedenheit der Behörde“ darlegen kann, dass ausreichende Schutzmaßnahmen ergriffen wurden. Beispiele für solche Maßnahmen sollen noch veröffentlicht werden. Als „unlesbar“ gelten dabei Daten, wenn sie so verschlüsselt sind, dass der Schlüssel zur Entschlüsselung mit verfügbarer Technologie von keiner unberechtigten Person bestimmt werden kann. Es erscheint zumindest sehr fraglich, ob ein normaler Anbieter von Internet- oder Telekommunikationsdienstleistungen einen solch hohen Standard verwendet.

Bedeutung der Verordnung für weitere Gesetzgebungsvorhaben

Die Verordnung kommt zu einem Zeitpunkt, an dem auch die Meldepflichten in dem Entwurf für die Grundschutzverordnung kontrovers diskutiert werden. Die im Entwurf der Kommission vorgesehene Frist von 24 Stunden ist im Bericht von Jan Philipp Albrecht so nicht wieder aufgegriffen worden, da sie als zu kurz empfunden wurde. Interessanterweise verweist die jetzt veröffentlichte Verordnung auf den ursprünglichen Entwurf der Kommission und sieht beide Texte als konsistent an. Die Grundschutzverordnung würde dabei für jegliche verantwortliche Stelle gelten, die jetzt veröffentliche Verordnung gilt nur für Anbieter von Telekommunikationsdienstleistungen, die unter die e-Privacy Richtlinie 2002/58/EG fallen.

In dem Entwurf ist das Recht der Kommission enthalten, entsprechende delegierte Rechtsakte auch für die allgemein geltende Meldepflicht bei Datenpannen zu erlassen. Die jetzt erlassene Verordnung ist ein gutes Indiz, was die Kommission auch in dem allgemeinen Bereich für sinnvoll halten könnte.

Die Verordnung ist noch nicht im Amtsblatt veröffentlicht. Erst mit der Veröffentlichung beginnt die Frist der 2 Monate bis zum Inkrafttreten zu laufen.

Praktische Folgen

Jeder Anbieter von öffentlich zugänglichen Telekommunikationsdiensten im Sinne des TKG wird seine Verfahren zur Entdeckung von Hacking-Angriffen und zur Meldung schnell überprüfen müssen: Die 24-Stunden-Frist lässt keine Zeit zum Aufsetzen von entsprechenden Management-Abläufen erst nach dem Unfall. Auch werden technische und organisatorische Schutzmaßnahmen, wie auch jetzt eingesetzte Verschlüsselungstechniken daraufhin geprüft werden müssen, ob sie den neuen Anforderungen noch genügen.

Die Verordnung ist im Internet abrufbar unter:

http://ec.europa.eu/information_society/newsroom/cf/dae/itemdetail.cfm?item_id=11232

 

Diese Webseite verwendet Cookies. Wenn Sie diese Webseite nutzen, akzeptieren Sie die Verwendung von Cookies. Mehr erfahren

Ich stimme zu