Europäische Kommission mit neuen Regeln beim Daten-Diebstahl bei Internet-Nutzern

Die Europäische Kommission hat neue, detaillierte Vorschriften erlassen, die genau regeln, was Telekommunikationsbetreiber und Internet-Dienstleister in Fällen von Datenverlust, Datendiebstahl und anderen Beeinträchtigungen des Schutzes personenbezogener Kundendaten tun müssen. Diese Maßnahmen sollen gewährleisten, dass Verbraucher überall in der EU im Falle einer Verletzung des Datenschutzes gleich behandelt werden und dass Unternehmen einen für die gesamte EU geeigneten Problemlösungsansatz verfolgen können, wenn sie in mehr als einem Land tätig sind.

Die Telekommunikations- und Internet-Betreiber speichern neben Verbindungs- und Internetdaten ihrer Kunden auch verschiedene andere Angaben wie Name, Adresse und Bankverbindung. Diese Unternehmen unterliegen seit 2011 bei Datenschutzverletzungen einer allgemeinen Verpflichtung zur Benachrichtigung der nationalen Behörden sowie ihrer Kunden.

Nun müssen Unternehmen die zuständigen nationalen Behörden innerhalb von 24 Stunden über Störungen informieren, um die Auswirkungen des Vorfalls so weit wie möglich zu begrenzen. Wenn in dieser Zeit keine vollständige Offenlegung möglich ist, müssen sie innerhalb dieser 24 Stunden zumindest erste Teilinformationen bereitstellen, wobei die restlichen Informationen innerhalb von drei Tagen nachzureichen sind.

Die EU-Kommission will Unternehmen dazu bewegen, personenbezogene Daten zu verschlüsseln. Die Kommission wird selbst sowie zusammen mit der ENISA ferner eine Liste mit Beispielen für technische Schutzmaßnahmen wie Verschlüsselungstechniken veröffentlichen, mit denen Daten für Unbefugte unzugänglich gemacht werden können. Wendet ein Unternehmen eine solche Technik an und ist dennoch von einer Datenschutzverletzung betroffen, ist es von der Pflicht, seine Kunden zu benachrichtigen, befreit, weil die Kundendaten bei einem solchen Vorfall nicht tatsächlich offengelegt würden.