28.08.2013 | EU-Verordnung

Neue Meldepflicht für Telekommunikationsanbieter bei Datenschutzpannen

Bild: Schmuttel ⁄

Nach einer am 25. August 2013 in Kraft getretenen EU-Verordnung müssen Telekommunikationsdienstleister Aufsichtsbehörden und auch Betroffene informieren, wenn Datenschutzverstöße mit Auswirkungen auf persönliche Daten der Kunden bemerkt werden.

Im Zuge einer Verordnung haben die EU-Mitgliedsstaaten jetzt geregelt, wie Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste bei Vorfällen, durch die persönliche Daten der Nutzer in Gefahr geraten sind, reagieren müssen. Alle Anbieter von Telekommunikationsdienstleistungen müssen demnach innerhalb von 24 Stunden die zuständigen nationalen Datenschutzbehörden informieren, wenn den Unternehmen die Verletzung des Schutzes persönlicher Daten bekannt wird.

Unterrichtung von Kunden bei besonders sensiblen Daten

Sofern bestimmte Voraussetzungen erfüllt sind, müssen darüber hinaus auch alle betroffenen Kunden über die Vorfälle informiert werden. Dies gilt etwa dann, wenn finanzielle Informationen wie

  • Kontodaten, aber auch

  • Passwörter,

  • Standortdaten,

  • E-Mail-Daten,

  • Webbrowser-Verläufe oder

  • Internet-Protokolldateien

in fremde Hände gelangt sein können. Ebenso sind die Nutzer zu informieren, wenn zu befürchten ist, dass konkrete Gefährdungen wie etwa physische oder psychische Beeinträchtigungen drohen.

Bei verschlüsselten Daten müssen Kunden nicht informiert werden

Die Informationspflicht gegenüber den Kunden kann jedoch dann entfallen, wenn die betroffenen Daten durch wirksame Verschlüsselungsverfahren kodiert sind oder etwa bei Passwörtern durch kryptographisch geschützte Hash-Werte ersetzt wurden und damit für Dritte unverständlich sind. Einfache Passwort-Hashes ohne kryptographischen Schutz gelten nach der EU-Verordnung dagegen nicht als ausreichend gesichert, sodass hier die Benachrichtigung der Betroffenen erfolgen muss.

Die EU-Verordnung ist 25. August 2013 in Kraft getreten: Verordnung (EU) Nr. 611/2013 der Kommission vom 24. Juni 2013 über die Maßnahmen für die Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten gemäß der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates (Datenschutzrichtlinie für elektronische Kommunikation)

Schlagworte zum Thema:  EU-Verordnung, Datenschutz, Datenpanne, Meldepflicht, Telekommunikation

Aktuell

Meistgelesen