Verordnung zur Benachrichtigung über Datenverstöße – sind sich die EU-Behörden nicht einig?

Die Zusätze zur ePrivacy-Richlinie, die am 24. September 2008 vom Europäischen Parlament angenommen wurden, sehen auch die Verpflichtung für Informationsgesellschaftsanbieter vor, Verstöße im Zusammenhang mit persönlichen Daten bei den nationalen Behördena nzuzeigen. Ein neuer Antrag der Europäischen Kommission scheint diesen Zusatz jedoch zurück auf die Diskussionsliste zu setzen und will diese Verpflichtung nur für Telekombetreiber umgesetzt sehen.

In Anlehung an die Stellungnahme des Europäischen Datenschutzbeauftragten über die ePrivacy-Richtlinie vom April 2008, in der die verpflichtende Anzeige von Sicherheitsverstößen durch „Anbieter öffentlicher elektronischer Kommunikationsdienste in öffentlichen Netzwerken“, aber auch anderer Akteure, wie „Anbieter von Informationsdiensten, die sensible Daten (z.B. Online-Banken und Versicherungsgesellschaften oder Online-Anbieter von Gesundheitsdiensten) verarbeiten“ vorgeschlagen wurde, hat der MEP Alexander Alvaro Zusätze zu diesen Aspekten des Berichts des ständigen Komitees für Bürgerrechte, Justiz und Inneres eingefügt und unterstützt damit ein Verfahren zur Informierung von Usern im Falle eines Sicherheitsverstoßes bei Dienstanbietern.

Die Zusätze, die das Europäische Parlament am 24. September 2008 angenommen hat, berücksichtigen diese Ergänzungen zum ursprünglich von der Kommission vorgeschlagenen Text.

In Zusatz 187/rev und 184 wird nun die verpflichtende Anzeige durch alle „Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste und alle ausführende Betreiber im Internet und Anbieter von Konsumentendiensten, was den Datenaufseher und Anbieter von Informationsgesellschaftsdiensten beinhaltet“, Sicherheitsverstöße im Zusammenhang mit Daten an die nationale Regualtionsbehörde oder die laut Gesetz des jeweiligen Mitgliedsstaats zuständige Behörde zu melden, gefordert.

Andere Zusätze (124 und 125), die vom EP angenommen wurden, erklären das Verfahren nach Eingang solcher Anzeigen. Somit wird die zuständige Behörde die Schwere des Verstoßes ermitteln; wenn sich der Verstoß als schwer herausstellt, wird der Anbieter verpflichtet werden, eine diesbezügliche Meldung an alle betroffenen Personen zu senden.

Auch wenn es den Anschein hat, dass die nächste Ratssitzung der Telekomminister die Position des EP unterstützen wird, hat die Europäische Kommission als Kompromiss zwischen den Ansichten des Euorpäischen Parlament und des Europäischen Rats die Gesetzestexte abgeändert.

Die neue Stellungnahme der Europäischen Kommission über Datensicherheit klingt vielversprechend, weil sie die Sicherheitsverstöße nur im Zusammenhang mit Telekombetreibern diskutieren:

„Die Kommission betont nochmals die Notwendigkeit für Telekombetreiber, die Regulierungsbehörden und die Öffentlichkeit über Sicherheitsverstöße in Kenntnis zu setzen. Die Kommission betont zum wiederholten Male, dass die Meldungen prinzipiell an die Betroffenen ergehen müssen und das Verfahren der Meldung zügig, einfach und effektiv gehalten werden muss. Um die Fälle, in denen solche Meldungen notwendig sind, auf objektive Weise aufzuklären, wird die Kommission im neuen Gesetzestext genauere Anweisungen in Bezug auf die Umstände, die gegeben sein müssen, um eine Meldung über einen Verstoß notwendig machen würde, bereitstellen.“

Da es auf der Webseite des Europäischen Rats bis dato noch keine offiziellen Unterlagen zur nächsten Ratssitzung der Telekomminister am 27. November 2008 gibt, bleibt auch weiterhin unklar, ob die Stellungnahme des Europäischen Parlaments in dieser Sache berücksichtigt werden wird oder nicht. In jedem Fall wird das EP eine zweite Lesung des Telekompackets abhalten, die für April 2009 geplant ist.

Telecoms Reform: Commission presents new legislative texts to pave the way for compromise between Parliament and Council (7.11.2008)

European Parliament legislative resolution on ePrivacy directive (24.09.2008)

Documents for the Council of Telecoms Minister on 27 November 2008

unwatched: ePrivacy-Direktive wird im Bürgerrechtskomitee des Europäischen Parlaments diskutiert (2.07.2008)

unwatched: Europäischer Datenschutzbeauftragter unterstützt die Verordnung zur Benachrichtigung über Datenverstöße in der ePrivacy Richtlinie (23.04.2008)