Firmen müssen Kunden über Datenlecks informieren
Die EU-Kommission hat nun konkrete Vorgaben erlassen, an die sich Provider und Internetdienste halten müssen, wenn es zu Datenverlust, Datendiebstahl und weiteren Fällen kommt, in denen der Schutz von Nutzerdaten beeinträchtigt wird.
So sollen betroffene Unternehmen innerhalb von 24 Stunden die nationalen Behörden über Störungen informieren, um die Auswirkungen des Vorfalls so weit wie möglich zu begrenzen. Dabei muss angegeben werden, welche Daten betroffen sind und welche Maßnahmen geplant sind, um potentielle Schäden einzudämmen. Ob die Kunden über die Datenlecks informiert werden müssen, ist abhängig von der Art der Daten – zu den sensiblen Nutzerdaten zählen insbesondere Telekommunikationsdaten, Finanzdaten, Standortdaten, Internetprotokolldateien, Verlaufsprotokolle, E-Mail-Daten und Einzelverbindungsaufstellungen.
„Verbraucher müssen darüber informiert werden, wenn eine Datenschutzverletzung ihre persönlichen Daten betrifft, damit sie gegebenenfalls etwas unternehmen können“, erklärte die zuständige EU-Kommissarin Neelie Kroes. Langfristig will die EU-Kommission erreichen, dass Unternehmen personenbezogene Daten verschlüsseln. Eine Liste mit verschiedenen Verschlüsselungstechniken, die Nutzerdaten nach Ansicht der EU-Kommission vor einem Zugriff von Angreifern ausreichend schützen, soll noch veröffentlicht werden. Verwenden Unternehmen eine der empfohlenen Verschlüsselungstechniken, muss es bei einer Datenschutzverletzung seine Kunden nicht zwangsweise informieren, weil Nutzerdaten trotz Datenleck nicht offengelegt wären.
Seit 2011 unterliegen Telekommunikationsbetreiber und Internetprovider einer allgemeinen Verpflichtung, nationale Behörden und Kunden zu informieren, wenn Verbindungs- und Internetdaten ihrer Kunden sowie weitere Angaben wie Name, Adresse und Bankverbindung abhanden kommen. Mit der aktuellen Verordnung schafft die EU-Kommission nun Klarheit über den Ablauf der Benachrichtigungen. Bei Unternehmen stoßen Meldepflichten allerdings auf wenig Gegenliebe. Branchenverbände fordern freiwillige und möglichst anonyme Verfahren, damit Unternehmen solche Vorfälle nicht aus Angst vor schlechter Presse verheimlichen.
Diese Vorgaben sind Teil der digitalen Agenda der EU-Kommission, mit der die Internetwirtschaft in Europa langfristig gestärkt werden soll. Neben der Förderung von IT-Branchen wie Cloud Computing und dem Breitband-Ausbau räumt die EU-Kommission dem Datenschutz eine hohe Priorität ein, um das Vertrauen der Nutzer in digitale Technologien zu stärken. Entsprechende Ziele verfolgt man auch mit der geplanten EU-Datenschutzreform. Angesichts der jüngsten Enthüllungen über die Überwachungsprogramme der NSA und des britischen Geheimdienstes, die den globalen Datenverkehr im großen Stil anzapfen, hinterlassen die Maßnahmen den Eindruck, dass die EU-Kommission einen löchrigen Damm mit einer Packung Heftpflaster abdichten will.