EU-Infothek.com
Neue „technischen Durchführungsmaßnahmen“ sollen gewährleisten, dass Verbraucher überall in der EU im Falle einer Verletzung des Datenschutzes gleich behandelt werden und dass Unternehmen einen für die gesamte EU geeigneten Problemlösungsansatz verfolgen können, wenn sie in mehr als einem Land tätig sind.
[[image1]]Telekommunikationsbetreiber und Internetprovider speichern neben Verbindungs- und Internetdaten ihrer Kunden auch verschiedene andere Angaben wie Name, Adresse und Bankverbindung. Diese Unternehmen unterliegen seit 2011 bei Datenschutzverletzungen einer allgemeinen Verpflichtung zur Benachrichtigung der nationalen Behörden sowie ihrer Kunden.
Durch die Kommissionsverordnung werden Unternehmen zusätzliche Klarheit darüber haben, wie sie diesen Verpflichtungen nachkommen können, und Kunden besser darüber informiert sein, wie mit Datenschutzverletzungen, die ihre persönlichen Daten betreffen, umgegangen wird.
Umgang mit Datenschutzverletzungen
Beispielsweise müssen Unternehmen
• die zuständigen nationalen Behörden innerhalb von 24 Stunden über Störungen informieren, um die Auswirkungen des Vorfalls so weit wie möglich zu begrenzen; wenn in dieser Zeit keine vollständige Offenlegung möglich ist, müssen sie innerhalb dieser 24 Stunden zumindest erste Teilinformationen bereitstellen, wobei die restlichen Informationen innerhalb von drei Tagen nachzureichen sind;
• darlegen, welche Daten betroffen sind und welche Maßnahmen das Unternehmen ergriffen hat bzw. noch ergreifen wird;
• bei der Prüfung, ob Kunden informiert werden müssen (d. h. bei der Anwendung des Tests zur Bestimmung, ob ein Vorfall den Schutz personenbezogener Daten bzw. den Schutz der Privatsphäre beeinträchtigt), beachten, um welche Art von Daten es sich handelt; dies betrifft insbesondere Telekommunikationsdaten, Finanzdaten, Standortdaten, Internetprotokolldateien, Verlaufsprotokolle, E-Mail-Daten und Einzelverbindungsaufstellungen;
• für die Meldung bei der zuständigen nationalen Behörde ein Standardformat verwenden (beispielsweise ein für alle EU-Mitgliedstaaten einheitliches Online-Formular).
Die Kommission will Unternehmen außerdem dazu bewegen, personenbezogene Daten zu verschlüsseln. Die Kommission wird selbst sowie zusammen mit der ENISA ferner eine Liste mit Beispielen für technische Schutzmaßnahmen wie Verschlüsselungstechniken veröffentlichen, mit denen Daten für Unbefugte unzugänglich gemacht werden können. Wendet ein Unternehmen eine solche Technik an und ist dennoch von einer Datenschutzverletzung betroffen, ist es von der Pflicht, seine Kunden zu benachrichtigen, befreit, weil die Kundendaten bei einem solchen Vorfall nicht tatsächlich offengelegt würden.
Neelie Kroes, Vizepräsidentin der Europäischen Kommission, erklärte dazu: „Verbraucher müssen darüber informiert werden, wenn eine Datenschutzverletzung ihre persönlichen Daten betrifft, damit sie gegebenenfalls etwas unternehmen können. Für die Unternehmen steht dagegen die Einfachheit im Mittelpunkt. Durch diese neuen praktischen Maßnahmen werden die angestrebten einheitlichen Ausgangsbedingungen erreicht.“
Bild: Evi Hartmann / pixelio.de/ © www.pixelio.de