EU verschärft Vorschriften für ISPs und Carrier bei Datenverlust

NetzwerkePolitikSicherheitTelekommunikation
EU (Bild: Shutterstock)

Künftig müssen entsprechende Vorfälle innerhalb von 24 Stunden gemeldet werden. Das gilt insbesondere, wenn Finanzdaten, E-Mails und Standortdaten betroffen sind. Von der Meldepflicht ausgenommen sind Datenverluste, wenn die Kundendaten nach Vorgaben der EU verschlüsselt wurden.

Die Europäische Kommission neue Vorschriften für Telekommunikationsbetreiber und Internet Service Provider erlassen. Damit sollen Verbraucher bei Verlust oder Diebstahl persönlicher Daten besser geschützt werden. Künftig müssen nach einem entsprechenden Vorfall die zuständigen nationalen Behörden binnen 24 Stunden informiert werden. Dadurch sollen die Auswirkungen eines Datenverlusts begrenzt werden.

eu
Die EU verschärft Vorschriften für ISPs und Carrier beim Verlust unverschlüsselter Daten (Bild: Shutterstock).

Mit der Meldung müssen die Anbieter darlegen, welche Daten betroffen sind und welche Maßnahmen sie ergriffen haben. Zudem ist nun vorgeschrieben, in welchen Fällen Kunden zu informieren sind. Als Beispiele nennt die EU Vorfälle, die “Finanzdaten, Telekommunikationsdaten, Standortdaten, Internetprotokolldaten, Verlaufsprotokolle, E-Mail-Daten und Einzelverbindungsaufstellungen” betreffen.

“Verbraucher müssen darüber informiert werden, wenn eine Datenschutzverletzung ihre persönlichen Daten betrifft, damit sie gegebenenfalls etwas unternehmen können”, wird Neelie Kroes, Vizepräsidentin der Europäischen Kommission, in einer Pressemeldung zitiert. “Für die Unternehmen steht dagegen die Einfachheit im Mittelpunkt”.

Die EU-Kommission will Unternehmen außerdem dazu bewegen, personenbezogene Daten zu verschlüsseln. “Die Kommission wird selbst sowie zusammen mit der ENISA eine Liste mit Beispielen für technische Schutzmaßnahmen wie Verschlüsselungstechniken veröffentlichen, mit denen Daten für Unbefugte unzugänglich gemacht werden können. Wendet ein Unternehmen eine solche Technik an und ist dennoch von einer Datenschutzverletzung betroffen, ist es von der Pflicht, seine Kunden zu benachrichtigen, befreit, weil die Kundendaten bei einem solchen Vorfall nicht tatsächlich offengelegt würden.

Grundlage für die neue Vorschrift ist die 2011 eingeführte allgemeine Verpflichtung, wonach Telekommunkationsbetreiber und Internetprovider Datenschutzverletzungen einer nationalen Behörde und ihren Kunden zu melden haben. Die Neufassung soll zwei Monate nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft treten. Sie sei unmittelbar anwendbar und bedürfe keiner weiteren Umsetzung auf nationaler Ebene, so die EU-Kommission.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie sich mit der europäischen Technologie-Geschichte aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen