EU: Verordnung über Maßnahmen für Benachrichtigung über Datenpannen

Am 24.6.2013 hat die EU-Kommission eine Verordnung (EU) 611/2013 erlassen über die Maßnahmen für die Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten gemäß der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates (Datenschutzrichtlinie für elektronische Kommunikation). Diese wird am 25.8.2013 in Kraft treten und Telekommunikationsbetreiber und Internetdienstleister in Fällen des Verlusts, Diebstahls oder sonstiger Beeinträchtigungen des Schutzes personenbezogener Kundendaten unmittelbar verpflichten. Ziel dieser Verordnung (EU) 611/2013 ist es, Verbraucher in Fällen von Verletzungen des Schutzes personenbezogener Daten besser zu schützen und ein einheitliches Schutzniveau für personenbezogene Kommunikationsdaten in der EU herzustellen.

Hintergrund

Die Pflicht, sog. Datenpannen einer bestimmten nationalen Datenschutz- bzw. Regulierungsbehörde zu melden, geht auf die RL 2009/136/EG zurück und ist damit Teil des sog. Telekom-Paketes, das einen neuen Rechtsrahmen für die elektronische Kommunikation in der EU schaffen sollte. Die teilweise sehr unterschiedliche Umsetzung der Meldepflicht in den einzelnen Mitgliedsstaaten führte jedoch zu Auslegungsschwierigkeiten und Wertungswidersprüchen.

Zweifel in Frankreich:

So herrscht etwa in Frankreich Unsicherheit darüber, ob die in Art. 34bis des französischen Datenschutzgesetzes umgesetzte Meldepflicht auch Internetdiensteanbieter betrifft. In dieser Norm wird der aus der Richtlinie übernommene Begriff des „Anbieters von an die Allgemeinheit gerichteten elektronischen Kommunikationsdiensten“ nicht definiert. Daher wurde zum Teil vertreten, dass allein Telekommunikationsdienstanbieter sowie Internetzugangsanbieter gemeint seien. Dies geschah unter Bezugnahme auf das Begriffsverständnis derartiger Dienste im Rahmen von Artikel L 32-6 des französischen Post- und elektronische Kommunikation-Gesetzes. Von französischen Datenschützern wurde dies aber als klarer Widerspruch zur gesetzgeberischen Intention gesehen.

Zweifel in Deutschland:

Auch die Umsetzung in das deutsche Recht war Gegenstand kritischer Betrachtung. Einerseits geht diese weit über die Anforderungen der Richtlinie hinaus. Sie schafft nicht nur die geforderten bereichsspezifischen Umsetzungsnormen § 15a TMG und § 93 Abs. 3 TKG, sondern verpflichtet darüber hinaus § 42a BDSG sämtliche nichtöffentliche Stellen. Andererseits beurteilt etwa Simitis es als „unverständliches Sanktionsdefizit“, dass die bereichsspezifischen Regelungen anders als § 42a BDSG nicht bußgeldbewehrt sind.

Lösungsansatz der Verordnung (EU) 611/2013:

Der EU-Kommission wurde durch die RL 2009/136/EG die Kompetenz zum Erlass „technischer Durchführungsmaßnahmen“ eingeräumt. Sie hörte die Europäische Agentur für Netz- und Informationssicherheit (ENISA), die Artikel-29-Datenschutzgruppe sowie den Europäischen Datenschutzbeauftragten (EDSB) an und führte im Jahr 2011 eine öffentliche Konsultation durch. Aufgrund der uneinheitlichen nationalen Ansätze ergab diese eine breite Unterstützung für harmonisierte Regelungen, wie sie nunmehr erlassen wurden:

  • 24-stündige Meldepflicht:  Nach den neuen Vorschriften muss das von der „Datenpanne“ betroffene Unternehmen die zuständige nationale Behörde grundsätzlich innerhalb von 24 Stunden nach Kenntniserlangung informieren (Art. 2 Verordnung (EU) 611/2013). Hierzu soll bei sämtlichen zuständigen nationalen Behörden ein Standardformat, etwa ein für alle EU-Mitgliedstaaten einheitliches Online-Formular, verwendet werden.
      
  • Nachträge nur ausnahmsweise:  Nur in Ausnahmefällen ist es zulässig, bestimmte Angaben zu der Datenschutzverletzung – etwa die technischen und organisatorischen Maßnahmen, die das Unternehmen zur Abmilderung der möglichen nachteiligen Wirkungen ergreifen will – nachzuliefern.
      
  • Information der Betroffenen:  Zudem sind auch die Betroffenen zu informieren, wenn das Unternehmen eine nachteilige Beeinträchtigung des Schutzes personenbezogener Daten bzw. der Privatsphäre für wahrscheinlich erachtet (Art. 3 Verordnung (EU) 611/2013). Dies ist anhand verschiedener Umstände, wie unter anderem auch Art und Inhalt der betroffenen Daten, zu beurteilen. Abweichend davon soll eine Information der Betroffenen nicht erforderlich sein, wenn die personenbezogenen Daten durch technische Schutzmaßnahmen ausreichend gegen eine Offenlegung gesichert sind (Art. 4 Verordnung (EU) 611/2013). Dies kann etwa bei einer Verschlüsselung mit einem Standardalgorithmus oder der Erzeugung eines Hash-Werts angenommen werden, sofern der entsprechende Schlüssel nicht ebenfalls vom Datenverlust betroffen ist.

Die neuen Vorschriften werden gem. Art. 7 der Verordnung (EU) 611/2013 am 25.8.2013 in Kraft treten.

 

Ulrike Schräder, Frankfurt/Main

 

Verordnung (EU) Nr. 611/2013 der EU-Kommission vom 24.6.2013 über die Maßnahmen für die Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten gemäß der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates (Datenschutzrichtlinie für elektronische Kommunikation)

Pressemitteilung der EU Kommission v. 24.6.2013 zu "Digitale Agenda: Neue Vorschriften für den Schutz von Verbrauchern bei Verlust oder Diebstahl personenbezogener Kommunikationsdaten in der EU" 

 

Verlag Dr. Otto Schmidt vom 23.07.2013 13:53

zurück zur vorherigen Seite