Neue EU-Meldepflichtregeln bei Datendiebstahl

„Data Breach Notification“ in Kraft

Am 25. August sind für TK- und Internetdienstleistungsfirmen spezielle Meldepflichtregeln der EU-Kommission bei Störungen der Datensicherheit („Data Breach Notification“) in Kraft getreten.

  • Experten erwarten, dass die neue EU-Regelung bei Datenpannen schon bald auch auf andere Branchen jenseits der Provider ausgeweitet wird.

  • Rechtsanwalt Timo Schutt hält aufgrund der geänderten Regeln schnelles Handeln für erforderlich.

  • GBS-Manager Andreas Richter erwartet, dass die Regelung schon bald auch auf andere Branchen ausgeweitet wird.

Demnach in der EU müssen alle Unternehmen, die personenbezogene Daten Dritter speichern, die zuständigen nationalen Behörden in Fällen der Verletzungen des Datenschutzes von Außen (also bei Datendiebstahl) innerhalb von 24 Stunden über den Vorfall informieren, um die Auswirkungen des Vorfalls so weit wie möglich zu begrenzen.

„Wenn in dieser Zeit keine vollständige Offenlegung möglich ist, müssen sie innerhalb dieser 24 Stunden zumindest erste Teilinformationen bereitstellen“, sagt Rechtsanwalt Timo Schutt, „wobei die restlichen Informationen innerhalb von drei Tagen nachzureichen sind.“ Er hält aufgrund der geänderten Regeln schnelles Handeln für erforderlich.

In § 42a des deutschen Datenschutzrechts (BDSG, Bundesdatenschutzgesetz) ist eine Informationspflicht zwar schon seit längerem geregelt. Aber danach hat die Meldung „unverzüglich“ zu erfolgen, was auch eine angemessene Zeit für Recherchen oder eigenen Sicherungsmaßnahmen einbezieht. Jetzt aber muss innerhalb der genannten Zeit tatsächlich eine (Teil-)Meldung erfolgen. „Es sollten daher innerbetriebliche Prozesse etabliert werden, um diese Frist auch einhalten zu können“, rät Schutt. „Insbesondere, wenn der Datendiebstahl am Wochenende oder einem Feiertag stattfindet.“

Auf die besonderen Anforderungen der neuen EU-Meldepflicht an die E-Mail Sicherheit weist Andreas Richter hin. Der Marketing-Manager des IBM-Partners Group Business Software AG (GBS) empfiehlt, den unbefugten Zugriff auf sensible Kundendaten in E-Mails wirksam zu unterbinden. „Was nützt es USB-Ports zu blockieren oder CD-Rom-Laufwerke auszubauen“, so Richter, „wenn sensible Kundendaten per E-Mail abfließen und in die Hände unbefugter Dritter geraten?“ Ein gutes Sicherheitskonzept müsse daher auch E-Mails samt ihrer Datei-Anhänge umfassen.

Richter übt jedoch auch Kritik an der neuen EU-Verordnung: „Unternehmen können natürlich nur die Datenpannen melden, von denen sie Kenntnis erhalten. Bei Angriffsversuchen, die häufig unbemerkt bleiben, läuft die 24-stündige Meldepflicht ins Leere“, gibt Andreas Richter zu bedenken. Gefragt seien daher mehr präventive Maßnahmen, zumal dies vermutlich ur der erste Schritt hin zu einer branchenübergreifenden Verschärfung der Meldepflichten. Richter erwartet, dass die Regelung schon bald auch auf andere Branchen ausgeweitet wird.

www.schutt-waetke.de

www.gbs.com

Bildquelle: Group Business Software AG / Schutt, Waetke Rechtsanwälte

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok