Europäisches Parlament schränkt Meldungen von Datenverstößen ein

Dieser Artikel ist auch verfügbar auf:
English: EP limits data breach notification

Die Abänderung der Richtlinie zu Privatsphäre und Elektronischer Kommunikation, über die am 6. Mai 2009 als Teil der zweiten Lesung des Telekompakets abgestimmt wurde, schränkt die Meldungen von Datenverstößen auf die Anbieter elektronischer Kommunikationsdienste ein.

Ursprünglich bestand das Europäische Parlament in seiner ersten Lesung des Telekompakets im vergangenen Jahr darauf, die Meldungen auf Onlinedienste oder sogar die öffentliche Verwaltung auszuweiten. Diese Idee wurde auch von Experten zur Privatsphäre wie Peter Hustinx, dem Europäischen Datenschutzbeauftragten unterstützt, der darauf bestand, das System nicht nur auf „Anbieter öffentlicher elektronischer Kommunikationsdienste in öffentlichen Netzwerken [anzuwenden], sondern auch auf andere Teilnehmer, und besonders auf Anbieter von Diensten der Informationsgesellschaft, die empfindliche persönliche Daten verarbeiten (zum Beispiel Online-Banken und Versicherungsgesellschaften, Online-Anbieter von Gesundheitsdiensten usw.).“

In den Verhandlungen mit dem Rat und der Europäischen Kommission über diesen Punkt schwächte das EP seine ursprünglichen Forderungen jedoch ab. Daher beinhaltet der angenommene Text nur die Verpflichtung für ISPs und Telekoms. Bezüglich der restlichen Kategorien nimmt die Kommission die Wünsche des Parlaments lediglich zur Kenntnis und wird „die notwendigen angemessenen Vorbereitungen treffen, einschließlich von Beratungen mit Interessensvertretern in der Absicht, Vorschläge in diesem Bereich bis Ende 2001 vorlegen zu können. Hinzu kommt, dass die Kommission sich mit dem Europäischen Datenschutzbeauftragten im Hinblick auf das Potential der Anwendung beraten wird, mit sofortiger Wirkung auf andere Bereiche der Grundsätze angewendet zu werden, die in der Regelung zu Benachrichtigungen über Datenverstöße in der Richtlinie 2002/58/EC festgelegt sind, unabhängig vom jeweiligen Bereich oder der Art von Daten.“

Der angenommene Text beinhaltet einen ähnlichen Erwägungsgrund, in dem es heißt, dass „das allgemeine Interesse der User, benachrichtigt zu werden, sich eindeutig nicht nur auf den Bereich der elektronischen Kommunikationen beschränkt; daher sollten ausdrückliche, verpflichtende Auflagen für Meldungen, die sich auf alle Bereiche anwenden lassen, als Priorität auf Gemeinschaftsebene eingeführt werden.“

Der Richtlinie zufolge, die vom EP für den Fall eines Datenverstoßes angenommen wurde, ist der Telekombetreiber oder Anbieter verpflichtet, den Verstoß gegen persönliche Daten unverzüglich bei der zuständigen nationalen Behörde zu melden. Der Text besagt außerdem, dass falls der Verstoß „sich voraussichtlich schädlich auf die persönlichen Daten und die Privatsphäre eines Teilnehmers auswirken wird, der Anbieter außerdem den Teilnehmer unverzüglich über den Verstoß in Kenntnis setzen muss.“

Der Datenschutzbeauftragte bezeichnet den angenommenen Text als „einen zufriedenstellenden Zugang“. Er sagte außerdem, dass es gut sei, die verpflichtende Meldung von Verstößen im Bereich persönlicher Daten in der Endfassung zu sehen, waseines der Kernelemente der Richtlinie darstelle. Er bedauert allerdings, dass „die Anwendung sich auf ISPs und Netzwerkbetreiber beschränkt. Hoffentlich wird die Kommission – in Absprache mit dem Europäischen Datenschutzbeauftragten – bald Anträge einbringen, die die verpflichtenden Meldungsauflagen auf alle Bereiche anwendbar machen, wie die Kommission in einer Erklärung im Anhang zum vom EP angenommen Text ausführt.“

Das Europäische Parlament hat am 6. Mai das Telekompaket wegen des 3 Treffer-Artikels abgelehnt, worüber in der letzten EDRi-gram Ausgabe ausführlich berichtet wurde. Nun muss mit den anderen EU-Institutionen erneut über das Paket verhandelt werden, es fällt allerdings schwer zu glauben, dass die Auflagen zur Meldung von Datenverstößen tatsächlich abgeändert werden.

Modification of the E-privacy Directive - adopted text (6.05.2009)

European Parliament abandons plan to extend data breach notification law (13.05.2009)

unwatched: Verordnung zur Benachrichtigung über Datenverstöße – sind sich die EU-Behörden nicht einig? (19.11.2008)

unwatched: Europäischer Datenschutzbeauftragter unterstützt die Verordnung zur Benachrichtigung über Datenverstöße in der ePrivacy Richtlinie (23.04.2008)