Navigation path

Left navigation

Additional tools

Europäische Kommission

Pressemitteilung

Brüssel, 24. Juni 2013

Digitale Agenda: Neue Vorschriften für den Schutz von Verbrauchern bei Verlust oder Diebstahl personenbezogener Kommunikationsdaten in der EU

Die Europäische Kommission hat neue, detaillierte Vorschriften erlassen, die genau regeln, was Telekommunikationsbetreiber und Internetdienstleister in Fällen von Datenverlust, Datendiebstahl und anderen Beeinträchtigungen des Schutzes personenbezogener Kundendaten tun müssen. Diese „technischen Durchführungsmaßnahmen“ sollen gewährleisten, dass Verbraucher überall in der EU im Falle einer Verletzung des Datenschutzes gleich behandelt werden und dass Unternehmen einen für die gesamte EU geeigneten Problemlösungsansatz verfolgen können, wenn sie in mehr als einem Land tätig sind.

Telekommunikationsbetreiber und Internetprovider speichern neben Verbindungs- und Internetdaten ihrer Kunden auch verschiedene andere Angaben wie Name, Adresse und Bankverbindung. Diese Unternehmen unterliegen seit 2011 bei Datenschutzverletzungen einer allgemeinen Verpflichtung zur Benachrichtigung der nationalen Behörden sowie ihrer Kunden (IP/11/622).

Dank einer Kommissionsverordnung werden Unternehmen zusätzliche Klarheit darüber haben, wie sie diesen Verpflichtungen nachkommen können, und Kunden besser darüber informiert sein, wie mit Datenschutzverletzungen, die ihre persönlichen Daten betreffen, umgegangen wird. Beispielsweise müssen Unternehmen

  • die zuständigen nationalen Behörden innerhalb von 24 Stunden über Störungen informieren, um die Auswirkungen des Vorfalls so weit wie möglich zu begrenzen; wenn in dieser Zeit keine vollständige Offenlegung möglich ist, müssen sie innerhalb dieser 24 Stunden zumindest erste Teilinformationen bereitstellen, wobei die restlichen Informationen innerhalb von drei Tagen nachzureichen sind;

  • darlegen, welche Daten betroffen sind und welche Maßnahmen das Unternehmen ergriffen hat bzw. noch ergreifen wird;

  • bei der Prüfung, ob Kunden informiert werden müssen (d. h. bei der Anwendung des Tests zur Bestimmung, ob ein Vorfall den Schutz personenbezogener Daten bzw. den Schutz der Privatsphäre beeinträchtigt), beachten, um welche Art von Daten es sich handelt; dies betrifft insbesondere Telekommunikationsdaten, Finanzdaten, Standortdaten, Internetprotokolldateien, Verlaufsprotokolle, E-Mail-Daten und Einzelverbindungsaufstellungen;

  • für die Meldung bei der zuständigen nationalen Behörde ein Standardformat verwenden (beispielsweise ein für alle EU-Mitgliedstaaten einheitliches Online-Formular).

Die Kommission will Unternehmen außerdem dazu bewegen, personenbezogene Daten zu verschlüsseln. Die Kommission wird selbst sowie zusammen mit der ENISA ferner eine Liste mit Beispielen für technische Schutzmaßnahmen wie Verschlüsselungstechniken veröffentlichen, mit denen Daten für Unbefugte unzugänglich gemacht werden können. Wendet ein Unternehmen eine solche Technik an und ist dennoch von einer Datenschutzverletzung betroffen, ist es von der Pflicht, seine Kunden zu benachrichtigen, befreit, weil die Kundendaten bei einem solchen Vorfall nicht tatsächlich offengelegt würden.

Neelie Kroes, Vizepräsidentin der Europäischen Kommission, erklärte dazu: „Verbraucher müssen darüber informiert werden, wenn eine Datenschutzverletzung ihre persönlichen Daten betrifft, damit sie gegebenenfalls etwas unternehmen können. Für die Unternehmen steht dagegen die Einfachheit im Mittelpunkt. Durch diese neuen praktischen Maßnahmen werden die angestrebten einheitlichen Ausgangsbedingungen erreicht.“

Die Kommission erlässt diese Durchführungsvorschriften nach einer öffentlichen Konsultation im Jahr 2011, die eine breite Unterstützung seitens der Interessenträger zugunsten eines harmonisierten Ansatzes in diesem Bereich ergeben hatte. Die Vorschriften wurden von einem Ausschuss der Mitgliedstaaten beschlossen sowie dem Europäischen Parlament und dem Rat zur Prüfung vorgelegt. Sie werden in Form einer Verordnung der Kommission erlassen, die unmittelbar anwendbar ist und somit keiner weiteren Umsetzung auf nationaler Ebene bedarf. Sie wird zwei Monate nach der Veröffentlichung im Amtsblatt der Europäischen Union in Kraft treten.

Hintergrund

Durch die Datenschutzrichtlinie für elektronische Kommunikation von 2002 sind Telekommunikationsbetreiber und Anbieter von Internetdiensten verpflichtet, personenbezogene Daten vertraulich zu behandeln und zu schützen. Bisweilen kommt es jedoch zu Datendiebstahl, Datenverlust oder unbefugtem Zugriff auf solche Daten. Diese Fälle werden als „Verletzungen des Schutzes personenbezogener Daten” bezeichnet. Nach der überarbeiteten Datenschutzrichtlinie für elektronische Kommunikation (eDatenschutzrichtlinie 2009/136/EG) sind Betreiber verpflichtet, im Falle eines Verstoßes gegen den Datenschutz eine bestimmte nationale Behörde, normalerweise die nationale Datenschutzbehörde oder die für Telekommunikation zuständige Regulierungsbehörde, zu benachrichtigen. Der Betreiber muss außerdem den betreffenden Kunden direkt kontaktieren, wenn die Gefahr besteht, dass die Privatsphäre oder personenbezogene Daten wegen der Datenschutzverletzung nicht mehr geschützt sind. Die Kommission kann aufgrund der eDatenschutzrichtlinie „technische Durchführungsmaßnahmen“, d. h. praktische Bestimmungen als Ergänzung zu den bestehenden Rechtsvorschriften in Bezug auf die Umstände, Formen und Verfahren der Meldepflicht vorschlagen, um eine einheitliche Durchführung der Vorschriften über Datenschutzverstöße in allen Mitgliedstaaten sicherzustellen.

Bei der Vorbereitung dieser Maßnahmen muss die Kommission nach der eDatenschutzrichtlinie „alle relevanten Interessengruppen mit einbeziehen“. Dies ist in Form einer öffentlichen Konsultation im Jahr 2011 geschehen. Die Kommission erhielt Stellungnahmen von Interessenträgern aus ganz unterschiedlichen Bereichen, u. a. von nationalen Behörden, Diensteanbietern und Vertretern der Zivilgesellschaft. Die Konsultation ergab eine breite Unterstützung für harmonisierte Vorschriften sowie deutliche Hinweise auf uneinheitliche nationale Ansätze. In der Vorbereitungsphase konsultierte die Kommission außerdem die Europäische Agentur für Netz- und Informationssicherheit (ENISA), die Artikel-29-Datenschutzgruppe sowie den Europäischen Datenschutzbeauftragten (EDSB).

Es handelt sich um eigenständige Maßnahmen, die von den von der Kommission vorgeschlagenen Überarbeitung des EU-Rechtsrahmens über den Datenschutz und dem Vorschlag der Kommission für eine Richtlinie über die Netz- und Informationssicherheit getrennt sind.

Nützliche Links

Verordnung der Kommission über Maßnahmen zur Meldung von Verletzungen des Schutzes personenbezogener Daten nach der Datenschutzrichtlinie für elektronische Kommunikation

Datenschutzrichtlinie für elektronische Kommunikation

Online-Datenschutz in der Digitalen Agenda

Die EU-Datenschutzrichtlinie

Hashtags: #eprivacy

Ihre Meinung zählt

Digitale Agenda

Neelie Kroes

Neelie Kroes auf Twitter

Kontakt:

Ryan Heath (+32 229-61716), Twitter: @RyanHeathEU

Linda Cain (+32 229-99019)


Side Bar

My account

Manage your searches and email notifications


Help us improve our website