Data Protection

reasons
Information Security

reasons
External Data Protection Officer
services
External Information Security Officer
services
Penetration Testing

services
Contributions from
Holzhofer Consulting
blog
self test
Blog

24.08.2013 - Verordnete Meldepflicht bei Datenpannen
Ende Juni 2013 hat die EU-Kommission die EU-Verordnung Nr. 611/2013 über die Maßnahmen für die Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten gemäß der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates (Datenschutzrichtlinie für elektronische Kommunikation) erlassen. Sie tritt zum 26.08.2013 in Kraft. Anders als EU-Richtlinien müssen EU-Verordnungen nicht erst in nationales Recht umgesetzt werden, sondern wirken unmittelbar mit Inkrafttreten.

Betroffene Unternehmen im EU-Rechtsraum
Die Verordnung gilt für alle Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste. Betroffen sind nach Artikel 5 der Verordnung explizit auch Betreiber, die im Auftrag für ihre Geschäftskunden ganz oder teilweise elektronischen Kommunikationsdienste erbringen.

Benachrichtigung innerhalb 24 Stunden
Nach Art. 2 Abs. 2 sind Verletzungen des Schutzes personenbezogener Daten binnen 24 Stunden nach Feststellung der Verletzung an die zuständige nationale Behörde zu melden. Die Einhaltung dieser Frist verlangt von betroffenen Unternehmen einen durchdachten Prozess zur Sicherheitsvorfallbehandlung. Erfahrungsgemäß ereignen sich Datenpannen oder die erste Kenntnisnahme gehäuft außerhalb der üblichen Bürozeiten.

Meldepflichten nach dem BDSG und TKG
Unabhängig von der EU-Verordnung gelten für deutsche Unternehmen nach § 42a BDSG, § 93 Abs. 3 TKG und § 15a TMG umfassende Meldepflichten.

Unklare Zuständigkeit und schwammiger Kreis der Betroffenen
Wer der Verordnung nach für deutsche Unternehmen die nationale zuständige Behörde ist, bleibt bislang ungeklärt. Auch ist nicht eindeutig, ob von der Verordnung nur TK-Anbieter oder Anbieter von Telemediendiensten betroffen sind. Laut Pressemitteilung der EU-Kommission vom 24.06.2013 sind wohl beide gemeint.

Handlungsempfehlung
Unternehmen sollten den Prozess zur Sicherheitsvorfallbehandlung (Information Security Incident Handling) dahingehend prüfen, ob dieser die bereits geltenden gesetzlichen Regelungen zu den Meldepflichten nach BDSG, TKG und TMG umfasst. Sobald Positionierungen von deutschen Aufsichtsbehörden zu diesen Fragen vorliegen, lassen sich bestehende Meldeprozesse einfach anpassen. Als unser Mandant halten wir Sie zu diesem Thema auf dem Laufenden.
Certifications of our experts
Foto Martin Holzhofer External Data Protection Officer „Data protection and information security are crucial for every company. Save costs in these challenging areas by an external data protection officer and information security expert. We are pleased to help.“


Martin Holzhofer,
Holzhofer Consulting GmbH
Tel. Holzhofer Consulting GmbH