EU-Verordnung zu Benachrichtigungspflichten bei Datenschutzverstößen
Am 25.8.2013 ist eine Verordnung der EU-Kommission (Nr. 611/2013) in Kraft getreten, die bereits bestehende Benachrichtigungspflichten in Fällen der Verletzung des Schutzes personenbezogener Daten durch Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste konkretisiert.
Hinweis: Materialien zu diesem Gesetzgebungsvorhaben können am Ende dieser Seite abgerufen werden.
Der Schutz personenbezogener Daten im Rahmen elektronischer Kommunikation wird auf europäischer Ebene durch die aus dem Jahre 2002 datierende Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation ("Datenschutzrichtlinie für elektronische Kommunikation", in der Folge "E-Datenschutzrichtlinie") in seinen Mindestanforderungen ausgestaltet. Hiernach sind Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste verpflichtet, personenbezogene Daten vertraulich zu behandeln und zu schützen. Sie ergänzt im telekommunikationsrechtlichen Bereich die Richtlinie 95/46/EG (Datenschutzrichtlinie) aus dem Jahre 1995 und hat ihren Niederschlag insoweit insbesondere in der Novellierung des Telekommunikationsgesetzes aus dem Jahre 2001 gefunden (BGBl. I 2004 S. 1190 ff) .
Die EU-Verordnung 611/2013 enthält nun konkrete Vorgaben ("technische Durchführungsmaßnahmen"), nach welcher Verfahrensweise und in welchen Einzelheiten (Datum, Ausmaß, Gegenmaßnahmen, etc.) die zuständige nationale Behörde und etwaige Betroffene im Falle einer Verletzung des Schutzes personenbezogener Daten zu informieren sind - die Einzelheiten ergeben sich aus Anhang I und II der Verordnung, vgl. angefügte Dokumente).
Die E-Datenschutzrichtlinie 2002/58/EG definiert die Verletzung des Schutzes personenbezogener Daten als
"eine Verletzung der Sicherheit, die auf unbeabsichtigte oder unrechtmäßige Weise zur Vernichtung, zum Verlust, zur Veränderung und zur unbefugten Weitergabe von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übertragen, gespeichert oder auf andere Weise im Zusammenhang mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in der Gemeinschaft verarbeitet werden." Den wichtigsten Anwendungsfall bildet hierbei wohl der Datendiebstahl.
Bereits die Richtlinie 2009/136/EG (E-Privacy- oder Cookie-Richtlinie genannt) begründete in Ergänzung der E-Datenschutzrichtlinie 2002/58/EG die Pflicht für die Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste, im Falle von Sicherheitsverletzungen gemäß der E-Datenschutzrichtlinie 2002/58/EG zuständige Behörden und Personen zu unterrichten und die geeigneten Maßnahmen zur Verhinderung weiterer Verstöße mitzuteilen und ihre Anwendung zu überwachen.
Die nun erlassene Verordnung war auch deshalb notwendig geworden, da sich in den unterschiedlichen Mitgliedsstaaten erhebliche Zweifel und unterschiedliche Auffassungen hinsichtlich der gesetzgeberischen Intention, insbesondere auch mit Blick auf den Normadressaten und die Durchsetzbarkeit der Bestimmungen der E-Datenschutzrichtlinie 2002/58/EG und der sich darauf beziehenden Benachrichtigungspflicht ergaben. Durch die Verordnung, die in den Mitgliedsstaaten nun unmittelbar gilt und entgegen einer Richtlinie damit also nicht mit Spielraum im einzelstaatlichen Recht umgesetzt werden muss, harmonisiert nun umfassend.
Ein wesentlicher Punkt ist die Pflicht zur detaillierten Meldung von "Datenpannen" und getroffenen und geplanten Gegenmaßnahmen möglichst innerhalb von 24 Stunden nach dem Auftreten des Verstoßes an die zuständige nationale Behörde über ein zur Verfügung gestelltes, standardisiertes Online-Formular. Grundsätzlich ist auch der Kreis der von dem Datenverlust mutmaßlich Betroffenen zu informieren, sofern die Daten nicht hinreichend durch technische Schutzmaßnahmen gesichert sind - die Kommission will hierbei Vorschläge für technische Schutzmaßnahmen erarbeiten. Ab wann diese Pflicht gegenüber den Betroffenen greift, ist weiterhin von der Sensibilitätsstufe der Daten (bspw. Telekommunikationsdaten, Finanzdaten, Standortdaten, Internetprotokolldateien, Verlaufsprotokolle, E-Mail-Daten, etc.) und den zu erwartenden Folgen des Datenverlusts (bspw. Rufschädigung, Spionage) abhängig.
Die umfassende Harmonisierung ist auch zum Vorteile der in mehreren Mitgliedsstaaten tätigen Unternehmen, indem diese sich fortan darauf beschränken können, ein einziges funktionstaugliches Verfahren, das dem nun harmonisierten EU-Recht genügt, für den Fall von "Datenpannen", vorzuhalten und sich somit nicht mehr nach divergierenden Regelungen in den einzelnen Mitgliedsstaaten richten müssen.
Die Verordnung zielt also insgesamt auf mehr Transparenz im Sinne der Bürger und auf Verfahrens-Vereinfachungen zu Gunsten der Unternehmen.
Da die Kommission aufgrund der E-Datenschutzrichtlinie 2002/58/EG "technische Durchführungsmaßnahmen" zwecks Vereinheitlichung der Durchführung der Vorschriften über Datenschutzverstöße nur erlassen darf, wenn vorab alle relevanten Interessengruppen miteinbezogen wurden, fand im Jahr 2011 eine öffentliche Konsultation statt. Die Kommission erhielt breit angelegte Stellungnahmen von nationalen Behörden, Diensteanbietern und Repräsentanten der Zivilgesellschaft. Zudem wurde in der Vorbereitungsphase die Europäische Agentur für Netz- und Informationssicherheit (ENISA), die Artikel-29-Datenschutzgruppe sowie der Europäische Datenschutzbeauftragte (EDSB) miteinbezogen, sodass die Kommission davon ausgeht, sämtliche "Baustellen" der Richtlinie behoben zu haben.
Unklar war insbesondere, ob sich die Pflichten aus der Richtlinie lediglich auf TK-Dienstleister oder auch auf die Anbieter von Internetdienstleistungen beziehen sollten. Lediglich in ihrer Pressemitteilung betont die Kommission nun, dass auch die Anbieter von Internetdienstleistungen Normadressat seien. Eine ausdrückliche Klarstellung in der Verordnung wäre wünschenswert gewesen, schließlich dürfte der - auch in den Erwägungsgründen (bspw. Erwägungsgrund 12) - deutlich zum Ausdruck gebrachte Wille des Gesetzgebers und das der Norm innewohnende Ziel effektiven Datenschutzes im Rahmen elektronischer Diskussion jedoch auch keine andere Auslegung zulassen. In das durch die Verordnung nun ausgearbeitete Benachrichtigungsverfahren müssen sich künftig auch die bereits existenten Benachrichtigungspflichten aus § 93 Abs. 3 TKG (TK-Dienste) und § 15a TMG (Anbieter von Telemedien) in ihrer praktischen Umsetzung einfügen. Bußgeldvorschriften sieht die neue Verordnung ihrerseits nicht vor.
vgl. zum Thema auch die CR Online News: http://www.computerundrecht.de/32986.htm
Autor: Dipl.-Jur. Phillip Hofmann, Institut für Rechtsinformatik, Leibniz Universität Hannover
___________
Verordnung Nr. 611_2013 vom 24.6.2013 |
Richtlinie 2009_136_EG vom 25.11.2009 |
Richtlinie 2002_58_EG vom 12.7.2002 |
Richtlinie 95_46_EG vom 23.11.1995 |