Neue EU-Meldepflichtregeln bei Datendiebstahl in Kraft getreten

Am 25.08.2013 sind für TK- und Internetdienstleistungsfirmen spezielle Meldepflichtregeln der EU-Kommission bei Störungen der Datensicherheit (so genannte „Data Breach Notification“) in Kraft getreten.

Nach dieser neuen Verordnung der EU müssen alle Unternehmen, die personenbezogene Daten Dritter speichern, die zuständigen nationalen Behörden in Fällen der Verletzungen des Datenschutzes von Außen, also bei Datendiebstahl innerhalb von 24 Stunden über den Vorfall informieren, um die Auswirkungen des Vorfalls so weit wie möglich zu begrenzen. Wenn in dieser Zeit keine vollständige Offenlegung möglich ist, müssen sie innerhalb dieser 24 Stunden zumindest erste Teilinformationen bereitstellen, wobei die restlichen Informationen innerhalb von drei Tagen nachzureichen sind.

Unsere Meinung

Aufgrund der geänderten Regeln ist schnelles Handeln erforderlich. In § 42a des deutschen Datenschutzrechts (BDSG, Bundesdatenschutzgesetz) ist eine Informationspflicht zwar schon seit längerem geregelt. Aber danach hat die Meldung „unverzüglich“ zu erfolgen, was auch eine angemessene Zeit für Recherchen oder eigenen Sicherungsmaßnahmen einbezieht. Jetzt aber muss innerhalb der genannten Zeit tatsächlich eine (Teil-)Meldung erfolgen.

Es sollten daher innerbetriebliche Prozesse etabliert werden, um diese Frist auch einhalten zu können. Insbesondere, wenn der Datendiebstahl am Wochenende oder einem Feiertag stattfindet.

Timo Schutt
Rechtsanwalt
Fachanwalt für IT-Recht

Urheberangabe für das Foto für diesen Beitrag: