EU präzisiert Datenleck-Meldepflicht für Provider und Telcos
Binnen 24 Stunden müssen sich Telecomanbieter und Provider bei den nationalen Behörden melden, wenn Daten ihrer Kunden über ein Leck kompromittiert wurden. Das und noch mehr sehen die Regelungen der EU-Kommission vor.
Die Europäische Kommission hat neue Regelungen für die Meldepflicht von Telecomanbietern und Netzprovidern erlassen, wenn deren Kundendaten durch eine Sicherheitslücke kompromittiert werden. So müssten zum Beispiel die Unternehmen im Falle eines solchen Datenlecks binnen 24 Stunden die zuständigen nationalen Behörden informieren, wie aus der Mitteilung der Kommission hervorgeht.
Dabei seien keine vollständigen Informationen nötig, aber zumindest eine erste Meldung des Vorfalls und seines Umfangs. Umfassende Berichte müssten dann innerhalb von drei Tagen nachgereicht werden. Ebenfalls müssten die Provider darüber Auskunft geben, welche Art von Daten betroffen sind und welche Gegenmaßnahmen sie ergriffen haben. Bei der Erwägung, ob die Kunden informiert werden müssten, sollten die Unternehmen auch berücksichtigen, was genau kompromittiert wurde, zum Beispiel etwa Finanzdaten oder Verbindungsprotokolle.
Ferner will die Kommission laut Mitteilung auch zu einer Verschlüsselung der Kundendaten anregen. Zusammen mit der europäischen Sicherheitsagentur ENISA will die Kommission eine Liste mit verschiedenen Verschlüsselungstechniken veröffentlichen. Unternehmen, die verschlüsseln, müssten ihre Kunden bei Datenlecks dann nicht mehr informieren, da ein Leck verschlüsselter Daten nach Ansicht der Kommission die Kundendaten nicht zwangsläufig offenlege.
Die neuen Regelungen präzisieren eine seit 2011 bestehende, allgemeine Pflicht für Provider und Telecomanbieter. Sie folgen laut Mitteilung einer öffentlichen Anhörung von 2011, EU-Parlament und -Rat haben die Vorgaben bereits durchgewinkt, eine Umsetzung in nationales Recht sei nicht mehr nötig. Dabei laufen die Regelungen unabhängig von dem Anfang Februar vorgelegten Cybersicherheitsplan der EU-Kommission, der unter anderem eine weiter gefasste Meldepflicht für Betreiber kritischer Infrastruktur vorsieht.
In Deutschland gibt es ebenso Pläne zu einer nationalen Gesetzgebung für Meldepflichten, insbesondere für Betreiber kritischer Infrastrukturen wie etwa Energieversorger. Ein Gesetzentwurf des Bundesinnenministeriums dazu liegt seit März vor, wird wohl aber nicht mehr vor der Bundestagswahl verwirklicht.
Unter anderem lehnt das Wirtschaftsministerium Berichten zufolge den Entwurf ab. Ebenfalls äußerten Wirtschaftsvertreter Bedenken, verwiesen auf freiwillige Initiativen und plädierten für Freiwilligkeit statt Regulierung.
(axk)