Benachrichtigungspflichten bei Datenpannen konkretisiert
Autor: Daniel Schätzle Erstellt am: 27. August 2013 Rubrik: MeldepflichtenAm 25. August 2013 ist eine neue EU-Verordnung in Kraft getreten, die für Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste bereits bestehende Benachrichtigungspflichten konkretisiert (Verordnung (EU) Nr. 611/2013). Danach haben die Betreiber bei allen Verletzungen des Schutzes personenbezogener Daten zuständige nationale Behörden sowie gegebenenfalls betroffene Personen nach bestimmten Vorgaben zu benachrichtigen.
Nach der Pressemitteilung der EU-Kommission handelt es sich um technische Durchführungsmaßnahmen, die gewährleisten sollen,
„dass Verbraucher überall in der EU im Falle einer Verletzung des Datenschutzes gleich behandelt werden und dass Unternehmen einen für die gesamte EU geeigneten Problemlösungsansatz verfolgen können, wenn sie in mehr als einem Land tätig sind.“
Hintergrund
Die Benachrichtigungspflicht an sich basiert auf einer Überarbeitung der Datenschutzrichtlinie für elektronische Kommunikation aus dem Jahr 2009 (Richtlinie 2009/136/EG). Danach sind Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste verpflichtet, unverzüglich die zuständige nationale Behörde und in bestimmten Fällen auch die von Verletzungen betroffenen Personen zu benachrichtigen. Die Verletzung des Schutzes personenbezogener Daten wird definiert als
„eine Verletzung der Sicherheit, die auf unbeabsichtigte oder unrechtmäßige Weise zur Vernichtung, zum Verlust, zur Veränderung und zur unbefugten Weitergabe von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übertragen, gespeichert oder auf andere Weise im Zusammenhang mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in der Gemeinschaft verarbeitet werden.“
Um eine einheitliche Anwendung zu gewährleisten, hatte sich die Kommission seinerzeit offen gehalten, im Bedarfsfall technische Durchführungsmaßnahmen erlassen zu können. Diesen Bedarfsfall sah die Kommission zwischenzeitlich als gegeben an. Das Ergebnis ist die nun in Kraft getretene Verordnung.
Regelungen
Die Verordnung sieht vor, dass die Betreiber alle Verletzungen des Schutzes personenbezogener Daten innerhalb von 24 Stunden nach Feststellung an die zuständige nationale Behörde berichten. Die Verordnung listet in Anhang I auf, welche Informationen an die Behörde weiterzuleiten sind (z.B. Datum, Zeitpunkt, Umstände der Verletzung sowie ergriffene Maßnahmen). Sollten dem Betreiber nicht alle im Anhang I aufgelisteten Informationen vorliegen, sieht die Verordnung ausnahmsweise ein abgestuftes Verfahren zur Bereitstellung von Teilinformationen vor.
Zudem sieht die Verordnung eine Benachrichtigung von betroffenen Personen – ohne unangemessene Verzögerung – vor, wenn anzunehmen ist, dass die Verletzung die personenbezogenen Daten eines Teilnehmers oder einer Person oder deren Privatsphäre beeinträchtigt. Bei der Bewertung sind Art und Inhalt der betroffenen personenbezogenen Daten (z.B. finanzielle Informationen), die wahrscheinlichen Folgen der Verletzung (z.B. Demütigungen) und die Umstände der Verletzung (z.B. Diebstahl) zu berücksichtigen. Die Angaben in der Benachrichtigung ergeben sich aus Anhang II der Verordnung (z.B Zusammenfassung des Vorfalls, Art und Inhalt der betroffenen Daten, wahrscheinliche Folgen).
Hervorzuheben ist zudem das Bestreben der Kommission, die Verschlüsselung von personenbezogenen Daten zu fördern. Die Pflicht zur Benachrichtigung von betroffenen Personen kann nämlich unter bestimmten Voraussetzungen dann entfallen, wenn geeignete technische Schutzmaßnahmen getroffen wurden und dadurch die Daten unverständlich gemacht wurden.
Was bedeutet das für Unternehmen in Deutschland?
Nur Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste sind betroffen
Erst einmal bleibt festzuhalten, dass die Verordnung nur für „Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste“ gilt. Diese Formulierung findet sich bereits in der ursprünglichen Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG), wird aber nicht näher definiert. Daher gab es in einigen EU-Ländern wohl auch Diskussionen, ob der Begriff nur TK-Anbieter umfasst, nicht aber Internetdiensteanbieter. Die Pressemitteilung zu der nun in Kraft getretenen Verordnung geht davon aus, dass der Begriff Telekommunikationsbetreiber und Internetdienstleister umfasst. Gleichwohl kann sich ein rechtsverbindliche Wirkung daraus kaum entfalten.
Der Begriff der elektronischen Kommunikationsdienste findet sich dagegen in Art. 2 lit. d) der Rahmenrichtlinie (Richtlinie 2002/21/EG) wieder. Ausgehend von der gewählten Formulierung „Übertragung von Signalen“ ließe sich ableiten, dass lediglich TK-Anbieter elektronische Kommunikationsdienste betreiben können. Ob man hieran aber gedacht hat? In jedem Fall wäre eine Klarstellung des Begriffs wünschenswert gewesen.
Welche Aufsichtsbehörde?
Unklar ist zudem, an welche Aufsichtsbehörde die Benachrichtigung erfolgen muss. Die Pressemitteilung spricht von der nationalen Datenschutzbehörde oder der TK-Regulierungsbehörde. Das spricht dafür, je nach Anbieter den Landesdatenschutzbeauftragten oder die Bundesnetzagentur informieren zu müssen. Spannend kann es werden, wenn sich die Behörden uneins sind.
Umsetzung und Durchsetzung
Als Verordnung gelten die Regelungen unmittelbar und bedürfen keiner nationalen Umsetzung. Bußgeldvorschriften sind allerdings nicht in der Verordnung vorgesehen. Dies wirft die Frage auf, mit welchen Mitteln die Aufsichtbehörde die Benachrichtigungspflicht durchsetzen darf?
Gibt es das nicht schon alles bei uns in Deutschland?
Zum Teil. Es gibt eine bereichsspezifische Umsetzung der Benachrichtigungspflicht als Folge der überarbeiteten Datenschutzrichtlinie für elektronische Kommunikation in § 93 Abs. 3 TKG für Anbieter von Telekomunikationsdiensten sowie in § 15a TMG für Anbieter von Telemedien. Die Benachrichtigungspflichten gelten jedoch nur für Bestands- oder Verkehrsdaten beziehungsweise für Bestands- oder Nutzungsdaten und nur bei unrechtmäßiger Kenntniserlangung Dritter und auch nur sofern schwerwiegende Beeinträchtigungen drohen. Die Verordnung erfasst dagegen jegliche Art von Sicherheitsverletzung.
Zudem existiert mit § 42a BDSG eine Norm, die sämtlichen nichtöffentlichen Stellen eine Benachrichtigungspflicht bei der unrechtmäßigen Kenntniserlangung Dritter von bestimmten personenbezogenen Daten auferlegt. Erneut gilt die Pflicht aber nur sofern schwerwiegende Beeinträchtigungen drohen. Im Gegensatz zu den anderen Benachrichtigungspflichten ist diese Norm bußgeldbewert.
Im Einklang mit der Datenschutzgrundverordnung
Bemerkenswert ist der Hinweis in den Erwägungsgründen (Ziff. 19), dass die Verordnung im Einklang mit entsprechenden Benachrichtigungspflichten für alle verantwortlichen Stellen des vorgeschlagenen Entwurfs einer Datenschutzverordung steht. Dies mag man als Hinweis dafür sehen, dass die Kommission trotz der Kritik und jüngster Verzögerungen an ihren Vorstellungen festhält.
Fazit
Egal ob TK-Anbieter oder Internetdiensteanbieter, mit der Verordnung muss man sich auseinandersetzen. Letztlich werden jedoch bereits bestehende Benachrichtigungspflichten in ein Verfahren eingebettet und gegenüber den bisherigen nationalen Umsetzungsnormen erweitert. Bußgelder sieht die Verordnung nicht vor. Hier bleibt abzuwarten, was sich die Aufsichtsbehörden einfallen lassen.
Für alle anderen gilt: § 42a BDSG beachten. Hier können Bußgelder drohen.
Rubrik: Meldepflichten Stichwörter: Datenpannen, Digitale Agenda, eprivacy, Kommunikationsdienste, Meldepflichten