Skip to content

EU-Verordnung über Meldepflicht für die Verletzung des Schutzes personenbezogener Daten tritt am 25.08.2013 in Kraft.

Am Sonntag, den 25.08.2013 tritt die Meldepflicht bei Datenschutzverstößen durch die Verordnung (EU) Nr. 611/2013 der Kommission vom 24. Juni 2013 über die Maßnahmen für die Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten in Kraft. Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste sind nunmehr verpflichtet, Verletzungen des Schutzes personenbezogener Daten den nationalen Behörden zu melden sowie ggf. auch die betroffenen Personen zu informieren.

Den vollständigen Verordnungstext finden Sie hier:


Verordnung (EU) Nr. 611/2013 der Kommission vom 24. Juni 2013 über die Maßnahmen für die Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten gemäß der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates (Datenschutzrichtlinie für elektronische Kommunikation)

Artikel 1 Geltungsbereich

Diese Verordnung gilt für die Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten durch Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste ("Betreiber").

Artikel 2 Benachrichtigung der zuständigen nationalen Behörde

(1) Der Betreiber benachrichtigt die zuständige nationale Behörde von allen Verletzungen des Schutzes personenbezogener Daten.
(2) Der Betreiber benachrichtigt die zuständige nationale Behörde von der Verletzung des Schutzes personenbezogener Daten binnen 24 Stunden nach Feststellung der Verletzung, soweit dies möglich ist.
In seiner Benachrichtigung der zuständigen nationalen Behörde macht der Betreiber die in Anhang I aufgeführten Angaben.
Eine Verletzung des Schutzes personenbezogener Daten gilt als festgestellt, sobald der Betreiber vom Auftreten einer Sicherheitsverletzung, die zu einer Verletzung des Schutzes personenbezogener Daten geführt hat, hinreichende Kenntnis insoweit erlangt hat, dass er eine sinnvolle Benachrichtigung nach den Vorschriften dieser Verordnung vornehmen kann.
(3) Falls nicht alle in Anhang I aufgeführten Angaben vorliegen und eine weitere Untersuchung der Verletzung des Schutzes personenbezogener Daten erforderlich ist, kann der Betreiber zunächst binnen 24 Stunden nach Feststellung der Verletzung eine Erstbenachrichtigung der zuständigen nationalen Behörde vornehmen. Diese Erstbenachrichtigung der zuständigen nationalen Behörde muss die in Anhang I Abschnitt 1 aufgeführten Angaben enthalten. Anschließend nimmt der Betreiber so bald wie möglich, spätestens aber binnen drei Tagen nach der Erstbenachrichtigung, eine zweite Benachrichtigung der zuständigen nationalen Behörde vor. Diese zweite Benachrichtigung muss die in Anhang I Abschnitt 2 aufgeführten Angaben enthalten und die bereits zuvor gemachten Angaben gegebenenfalls aktualisieren.
Ist der Betreiber trotz seiner Nachforschungen nicht in der Lage, alle diese Angaben binnen drei Tagen nach der Erstbenachrichtigung zu machen, übermittelt er der zuständigen nationalen Behörde alle Angaben, die ihm innerhalb des genannten Zeitraums vorliegen, und eine Begründung für die verspätete Mitteilung der verbleibenden Angaben. Der Betreiber muss der zuständigen nationalen Behörde so bald wie möglich die verbleibenden Angaben mitteilen und die bereits zuvor gemachten Angaben aktualisieren.
(4) Die zuständige nationale Behörde stellt allen Betreibern, die in dem betreffenden Mitgliedstaat niedergelassen sind, gesicherte elektronische Mittel für die Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten sowie Informationen über die Verfahren für den Zugang hierzu und für deren Benutzung zur Verfügung. Falls notwendig beruft die Kommission Sitzungen mit den zuständigen nationalen Behörden ein, um die Durchführung dieser Verordnung zu erleichtern.
(5) Betrifft die Verletzung des Schutzes personenbezogener Daten Teilnehmer oder Personen aus anderen Mitgliedstaaten als dem der von der Verletzung benachrichtigten zuständigen nationalen Behörde, so unterrichtet die zuständige nationale Behörde die anderen betroffenen nationalen Behörden.
Um die Anwendung dieser Bestimmung zu erleichtern, erstellt und führt die Kommission eine Liste der zuständigen nationalen Behörden und der jeweiligen Ansprechpartner.

Artikel 3 Benachrichtigung der Teilnehmer oder Personen

(1) Ist anzunehmen, dass durch die Verletzung des Schutzes personenbezogener Daten die personenbezogenen Daten eines Teilnehmers oder einer Person oder deren Privatsphäre beeinträchtigt werden, so benachrichtigt der Betreiber zusätzlich zu der Benachrichtigung gemäß Artikel 2 auch den Teilnehmer bzw. die Person von der Verletzung.
(2) Ob eine Verletzung des Schutzes personenbezogener Daten wahrscheinlich die personenbezogenen Daten oder die Privatsphäre eines Teilnehmers oder einer Person beeinträchtigt, wird insbesondere unter Berücksichtigung folgender Umstände beurteilt:
a) Art und Inhalt der betroffenen personenbezogenen Daten, insbesondere wenn diese finanzielle Informationen, besondere Datenkategorien gemäß Artikel 8 Absatz 1 der Richtlinie 95/46/EG sowie Standortdaten, Internet-Protokolldateien, Webbrowser-Verläufe, E-Mail-Daten und Aufstellungen von Einzelverbindungen betreffen;
b) die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten für den betroffenen Teilnehmer oder die betroffene Person, insbesondere wenn die Verletzung einen Identitätsdiebstahl oder Betrug, eine physische Schädigung, ein psychisches Leid, eine Demütigung oder Rufschädigung zur Folge haben könnte;
c) die Umstände der Verletzung des Schutzes personenbezogener Daten, insbesondere wenn die Daten gestohlen wurden oder wenn der Betreiber weiß, dass die Daten im Besitz eines unbefugten Dritten sind.
(3) Die Benachrichtigung des Teilnehmers oder der Person muss ohne unangemessene Verzögerung nach Feststellung der Verletzung des Schutzes personenbezogener Daten gemäß Artikel 2 Absatz 2 dritter Unterabsatz erfolgen. Sie erfolgt unabhängig von der Meldung der Verletzung des Schutzes personenbezogener Daten bei der zuständigen nationalen Behörde gemäß Artikel 2.
(4) In seiner Benachrichtigung des Teilnehmers oder der Person macht der Betreiber die in Anhang II genannten Angaben. Die Benachrichtigung des Teilnehmers oder der Person muss in einer sprachlich klaren und leicht verständlichen Weise erfolgen. Der Betreiber darf die Benachrichtigung nicht als Gelegenheit zur Verkaufsförderung oder Werbung für neue oder zusätzliche Dienste nutzen.
(5) Unter außergewöhnlichen Umständen, unter denen die ordnungsgemäße Untersuchung der Verletzung des Schutzes personenbezogener Daten durch die Benachrichtigung des Teilnehmers oder der Person gefährdet würde, kann der Betreiber nach Zustimmung der zuständigen nationalen Behörde die Benachrichtigung des Teilnehmers oder der Person aufschieben, bis die zuständige nationale Behörde eine Benachrichtigung von der Verletzung des Schutzes personenbezogener Daten gemäß diesem Artikel für möglich hält.
(6) Der Betreiber benachrichtigt den Teilnehmer oder die Person von der Verletzung des Schutzes personenbezogener Daten mit Hilfe von Kommunikationsmitteln, die einen zügigen Empfang der Informationen gewährleisten und nach dem Stand der Technik angemessen gesichert sind. Die Informationen über die Verletzung müssen sich ausschließlich auf die Verletzung beziehen und dürfen nicht mit Informationen zu anderen Themen verbunden werden.
(7) Kann der Betreiber, der in einem direkten Vertragsverhältnis zum Endnutzer steht, obwohl er hierzu alle zumutbaren Anstrengungen unternommen hat, innerhalb der in Absatz 3 genannten Frist nicht alle Personen ermitteln, die von der Verletzung des Schutzes personenbezogener Daten wahrscheinlich beeinträchtigt werden, so kann er diese Personen durch Bekanntmachungen in großen nationalen oder regionalen Medien der betreffenden Mitgliedstaaten innerhalb dieser Frist benachrichtigen. Diese Bekanntmachungen müssen die in Anhang II aufgeführten Angaben erhalten, falls nötig in gekürzter Form. In diesem Fall muss der Betreiber weiterhin alle zumutbaren Anstrengungen unternehmen, um diese Personen zu ermitteln und sie so bald wie möglich mit den in Anhang II aufgeführten Angaben zu benachrichtigen.

Artikel 4 Technische Schutzmaßnahmen

(1) Abweichend von Artikel 3 Absatz 1 braucht der Betreiber die betroffenen Teilnehmer oder Personen nicht von einer Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, wenn er zur Zufriedenheit der zuständigen nationalen Behörde nachgewiesen hat, dass er geeignete technische Schutzmaßnahmen getroffen hat und dass diese Maßnahmen auf die von der Sicherheitsverletzung betroffenen Daten angewendet wurden. Durch diese technischen Schutzmaßnahmen müssen die Daten für alle Personen, die nicht zum Zugriff auf die Daten befugt sind, unverständlich gemacht werden.
(2) Daten gelten als unverständlich, wenn
a) sie auf sichere Weise mit einem Standardalgorithmus verschlüsselt worden sind, der zur Entschlüsselung verwendete Schlüssel durch keine Sicherheitsverletzung beeinträchtigt ist und der zur Entschlüsselung verwendete Schlüssel so generiert wurde, dass er von Personen, die zum Zugriff auf den Schlüssel nicht befugt sind, mit derzeit verfügbaren technischen Mitteln nicht ermittelt werden kann, oder
b) sie durch ihren mit einer kryptografischen verschlüsselten Standard-Hash-Funktion berechneten Hash-Wert ersetzt worden sind, der zum Daten-Hashing verwendete Schlüssel durch keine Sicherheitsverletzung beeinträchtigt ist und der zum Daten-Hashing verwendete Schlüssel so generiert wurde, dass er von Personen, die zum Zugriff auf den Schlüssel nicht befugt sind, mit derzeit verfügbaren technischen Mitteln nicht ermittelt werden kann.
(3) Die Kommission kann nach Anhörung der zuständigen nationalen Behörden über die Artikel-29-Datenschutzgruppe, der Europäischen Agentur für Netz- und Informationssicherheit und des Europäischen Datenschutzbeauftragten entsprechend der aktuellen Praxis eine vorläufige Aufstellung geeigneter technischer Schutzmaßnahmen gemäß Absatz 1 veröffentlichen.

Artikel 5 Erbringung von Leistungen durch einen anderen Betreiber
Wird ein anderer Betreiber, der in keinem direkten Vertragsverhältnis zu den Teilnehmern steht, mit der Erbringung eines Teils des elektronischen Kommunikationsdienstes beauftragt, muss dieser andere Betreiber im Falle einer Verletzung des Schutzes personenbezogener Daten den beauftragenden Betreiber sofort informieren.

Artikel 6 Berichterstattung und Überprüfung

Innerhalb von drei Jahren nach dem Inkrafttreten dieser Verordnung legt die Kommission einen Bericht über die Durchführung dieser Verordnung, ihre Wirksamkeit und ihre Auswirkungen auf Betreiber, Teilnehmer und Personen vor. Auf der Grundlage dieses Berichts nimmt die Kommission eine Überprüfung dieser Verordnung vor.

Artikel 7 Inkrafttreten

Diese Verordnung tritt am 25. August 2013 in Kraft.
Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.

ANHANG I
Inhalt der Benachrichtigung der zuständigen nationalen Behörde

Abschnitt 1
Angaben zum Betreiber
1. Name des Betreibers
2. Name und Kontaktdaten des Datenschutzbeauftragten oder eines sonstigen Ansprechpartners für weitere Informationen
3. Angabe, ob es sich um eine erste oder zweite Benachrichtigung handelt
Erstinformation über die Verletzung des Schutzes personenbezogener Daten (ggf. in späteren Benachrichtigungen zu ergänzen)
4. Datum und Zeitpunkt des Vorfalls (falls bekannt, kann nötigenfalls geschätzt werden) und der Feststellung des Vorfalls
5. Umstände der Verletzung des Schutzes personenbezogener Daten (z. B. Verlust, Diebstahl, Vervielfältigung)
6. Art und Inhalt der betroffenen personenbezogenen Daten
7. Technische und organisatorische Maßnahmen, die der Betreiber in Bezug auf die betroffenen personenbezogenen Daten ergriffen hat (oder ergreifen wird)
8. Erbringung relevanter Leistungen durch einen anderen Betreiber (falls zutreffend)
Abschnitt 2
Weitere Informationen über die Verletzung des Schutzes personenbezogener Daten
9. Zusammenfassung des Vorfalls, der die Verletzung des Schutzes personenbezogener Daten verursacht hat (mit Angabe des physischen Orts der Verletzung und der betroffenen Datenträger)
10. Anzahl der betroffenen Teilnehmer oder Personen
11. Mögliche Folgen und mögliche nachteilige Auswirkungen auf Teilnehmer oder Personen
12. Technische und organisatorische Maßnahmen, die der Betreiber zur Minderung möglicher nachteiliger Auswirkungen ergriffen hat
Mögliche zusätzliche Benachrichtigung der Teilnehmer oder Personen
13. Inhalt der Benachrichtigung
14. Verwendete Kommunikationsmittel
15. Anzahl der benachrichtigten Teilnehmer oder Personen
Mögliche grenzübergreifende Fragen
16. Verletzung des Schutzes personenbezogener Daten, die Teilnehmer oder Personen in anderen Mitgliedstaaten betrifft
17. Benachrichtigung anderer zuständiger nationaler Behörden.




ANHANG II
Inhalt der Benachrichtigung der Teilnehmer oder der Personen

1. Name des Betreibers
2. Name und Kontaktdaten des Datenschutzbeauftragten oder eines sonstigen Ansprechpartners für weitere Informationen
3. Zusammenfassung des Vorfalls, der zu der Verletzung des Schutzes personenbezogener Daten geführt hat
4. Vermutetes Datum des Vorfalls
5. Art und Inhalt der betroffenen personenbezogenen Daten entsprechend Artikel 3 Absatz 2
6. Wahrscheinliche Folgen der Verletzung des Schutzes personenbezogener Daten für den betroffenen Teilnehmer oder die betroffene Person entsprechend Artikel 3 Absatz 2
7. Umstände der Verletzung des Schutzes personenbezogener Daten entsprechend Artikel 3 Absatz 2
8. Vom Betreiber ergriffene Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten
9. Vom Betreiber empfohlene Maßnahmen zur Minderung etwaiger nachteiliger Auswirkungen.

Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Die Kommentarfunktion wurde vom Besitzer dieses Blogs in diesem Eintrag deaktiviert.

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Formular-Optionen