EU-Kommission: Unternehmen müssen Angriffe auf Kundendaten melden

26.06.13  06:30 | Artikel: 955688 | News-Artikel (e)

EU-Kommission: Unternehmen müssen Angriffe auf Kundendaten meldenDigitale Agenda: Neue Vorschriften für den Schutz von Verbrauchern bei Verlust oder Diebstahl personenbezogener Kommunikationsdaten in der EU

Die Europäische Kommission hat neue, detaillierte Vorschriften erlassen, die genau regeln, was Telekommunikationsbetreiber und Internetdienstleister in Fällen von Datenverlust, Datendiebstahl und anderen Beeinträchtigungen des Schutzes personenbezogener Kundendaten tun müssen. Diese „technischen Durchführungsmaßnahmen“ sollen gewährleisten, dass Verbraucher überall in der EU im Falle einer Verletzung des Datenschutzes gleich behandelt werden und dass Unternehmen einen für die gesamte EU geeigneten Problemlösungsansatz verfolgen können, wenn sie in mehr als einem Land tätig sind.

Telekommunikationsbetreiber und Internetprovider speichern neben Verbindungs- und Internetdaten ihrer Kunden auch verschiedene andere Angaben wie Name, Adresse und Bankverbindung. Diese Unternehmen unterliegen seit 2011 bei Datenschutzverletzungen einer allgemeinen Verpflichtung zur Benachrichtigung der nationalen Behörden sowie ihrer Kunden (IP/11/622).

Dank einer Kommissionsverordnung werden Unternehmen zusätzliche Klarheit darüber haben, wie sie diesen Verpflichtungen nachkommen können, und Kunden besser darüber informiert sein, wie mit Datenschutzverletzungen, die ihre persönlichen Daten betreffen, umgegangen wird. Beispielsweise müssen Unternehmen

  • die zuständigen nationalen Behörden innerhalb von 24 Stunden über Störungen informieren, um die Auswirkungen des Vorfalls so weit wie möglich zu begrenzen; wenn in dieser Zeit keine vollständige Offenlegung möglich ist, müssen sie innerhalb dieser 24 Stunden zumindest erste Teilinformationen bereitstellen, wobei die restlichen Informationen innerhalb von drei Tagen nachzureichen sind;
  • darlegen, welche Daten betroffen sind und welche Maßnahmen das Unternehmen ergriffen hat bzw. noch ergreifen wird;
  • bei der Prüfung, ob Kunden informiert werden müssen (d. h. bei der Anwendung des Tests zur Bestimmung, ob ein Vorfall den Schutz personenbezogener Daten bzw. den Schutz der Privatsphäre beeinträchtigt), beachten, um welche Art von Daten es sich handelt; dies betrifft insbesondere Telekommunikationsdaten, Finanzdaten, Standortdaten, Internetprotokolldateien, Verlaufsprotokolle, E-Mail-Daten und Einzelverbindungsaufstellungen;
  • für die Meldung bei der zuständigen nationalen Behörde ein Standardformat verwenden (beispielsweise ein für alle EU-Mitgliedstaaten einheitliches Online-Formular).

Die Kommission will Unternehmen außerdem dazu bewegen, personenbezogene Daten zu verschlüsseln. Die Kommission wird selbst sowie zusammen mit der ENISA ferner eine Liste mit Beispielen für technische Schutzmaßnahmen wie Verschlüsselungstechniken veröffentlichen, mit denen Daten für Unbefugte unzugänglich gemacht werden können. Wendet ein Unternehmen eine solche Technik an und ist dennoch von einer Datenschutzverletzung betroffen, ist es von der Pflicht, seine Kunden zu benachrichtigen, befreit, weil die Kundendaten bei einem solchen Vorfall nicht tatsächlich offengelegt würden.

Neelie Kroes, Vizepräsidentin der Europäischen Kommission, erklärte dazu: „Verbraucher müssen darüber informiert werden, wenn eine Datenschutzverletzung ihre persönlichen Daten betrifft, damit sie gegebenenfalls etwas unternehmen können. Für die Unternehmen steht dagegen die Einfachheit im Mittelpunkt. Durch diese neuen praktischen Maßnahmen werden die angestrebten einheitlichen Ausgangsbedingungen erreicht.“

Die Kommission erlässt diese Durchführungsvorschriften nach einer öffentlichen Konsultation im Jahr 2011, die eine breite Unterstützung seitens der Interessenträger zugunsten eines harmonisierten Ansatzes in diesem Bereich ergeben hatte. Die Vorschriften wurden von einem Ausschuss der Mitgliedstaaten beschlossen sowie dem Europäischen Parlament und dem Rat zur Prüfung vorgelegt. Sie werden in Form einer Verordnung der Kommission erlassen, die unmittelbar anwendbar ist und somit keiner weiteren Umsetzung auf nationaler Ebene bedarf. Sie wird zwei Monate nach der Veröffentlichung im Amtsblatt der Europäischen Union in Kraft treten.




(Quelle: Europäische Kommission)


Themenbereiche:

Datenschutz | international | Unternehmen | Sicherheit

Schlagworte:

EU-Kommission (25) | Digitale Agenda (3) | Verbraucher (76) | Verlust (4) | Diebstahl (4) | personenbezogene Kommunikationsdaten | Internetprovider | Internetdienstleister