Meldepflicht für TK-Firmen bei Datenschutzverstößen tritt in Kraft
Die von der EU-Kommission beschlossene Regelung verpflichtet Betreiber elektronischer Kommunikationsdienste, Verletzungen des Schutzes persönlicher Daten innerhalb von 24 Stunden der zuständigen Behörde zu melden.
- Christian Kirsch
Ohne den langwierigen Weg durch die europäischen Instanzen hat die EU-Kommission Ende Juni 2013 für sämtliche Mitgliedsländer einheitliche Regeln für die Reaktion auf Verstöße gegen den Datenschutz festgelegt. Diese Verordnung gilt für "Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste" und tritt am morgigen Sonntag in Kraft.
Jeder Betreiber innerhalb der EU muss nun innerhalb von 24 Stunden die nationale Datenschutzbehörde unterrichten, wenn er von einer Verletzung des Schutzes persönlicher Daten erfährt. Auch die davon betroffenen Kunden müssen unter bestimmten Voraussetzungen informiert werden. Dazu gehört etwa, wenn es sich um "finanzielle Informationen, [...] Standortdaten, Internet-Protokolldateien, Webbrowser-Verläufe, E-Mail-Daten und Aufstellungen von Einzelverbindungen" handelt. Auch wenn "eine physische Schädigung, ein psychisches Leid, eine Demütigung oder Rufschädigung" zu befürchten sind, muss der Betreiber die betreffenden Personen unterrichten. Sind die Daten jedoch "unverständlich gemacht" worden, etwa durch Verschlüsselung oder Ersetzen durch einen kryptographisch gschützten Hash-Wert, entfällt die Pflicht, Kunden zu warnen. Übliche Passwort-Hashes, die Hash-Funktionen ohne kryptographischen Schlüssel nutzen, gelten also nicht als "unverständlich".
Auch die Datenschutzrichtlinie für elektronische Kommunikation (2002/58/EG) der EU von 2002 sah bereits vor, dass Betreiber die nationalen Datenschutzbehörden und in bestimmten Fällen die davon betroffenen Personen benachrichtigen. Anders als die jetzige Verordnung handelt es sich bei ihr jedoch nicht um unmittelbar geltendes Recht, sodass die Mitgliedsstaaten sie jeweils in eigene Gesetze umgesetzt haben. Mit ihrer Verordnung will die EU-Kommission nun gleiche Bedingungen für Firmen und Verbraucher in alle Mitgliedsstaaten schaffen.
An einer Neufassung des EU-Datenschutzes arbeiten die Gremien seit einiger Zeit. Grundlage ist der Kommissionsentwurf einer Verordnung, die anders als die bisherige Richtlinie keiner Umsetzung in nationales Recht mehr bedürfte. Der zuständige Parlamentsausschuss will frühestens im Oktober 2013 seine Stellungnahme dazu vorlegen. (ck)
