Europäischer Datenschutzbeauftragter unterstützt die Verordnung zur Benachrichtigung über Datenverstöße in der ePrivacy Richtlin

Der Europäische Datenschutzbeauftragte (EDPS) hat seine Stellungnahme zum neuen Entwurf der Richtlinie zu Privatsphäre und Elektronischer Kommunikation (ePrivacy Richtlinie) herausgegeben, der von der Europäischen Kommission vorgelegt wurde.

Eine einschneidende Veränderung, die vom EDPS unterstützt wird, besteht in der Einrichtung eines verbindlichen System zur Meldung von Sicherheitsverstößen. Das System soll die Telekoms und ISPs verpflichten ihre Kunden zu benachrichtigen, wenn persönliche Informationen verloren gehen. Peter Hustinx will jedoch noch weiter gehen und verlangt, dass das System nicht nur bei „Anbietern öffentlicher elektronischer Kommunikationsdienste in öffentlichen Netzwerken sondern auch bei anderen Akteuren, besonders bei Anbietern von Diensten der Informationsgesellschaften, die sensible persönliche Daten (wie online-Banken und Versicherungen, online-Anbietern von Gesundheitsdiensten etc.)“ angewendet wird.

Der EDPS hat in seiner Stellungnahme erklärt, dass eine solche Meldung klare Vorteile mit sich bringt: „Sie verstärkt die Verantwortlichkeit der Organisationen, stellt einen Faktor dar, der die Firmen dazu antreibt, strenge Sicherheitsvorkehrungen einzuführen, und sie erlaubt die Feststellung der zuverlässigsten Technologien zum Schutz von Informationen.“ Er unterstütze das Konzept voll, auch wenn es einigen Widerstand aus dem Privatsektor gab. „Tatsächlich reicht die einfache Tatsache, dass die Organisationen Sicherheitsverstöße öffentlich melden müssen aus, um strengere Sicherheitsstandards zu implementieren, die persönliche Informationen schützen und Verstößen vorbeugen.“

Eine weitere Änderung in der ePrivacy Richtlinie, die der EDPS unterstützt, besteht darin, dass es juristischen Personen erlaubt, Klage gegen jene erheben zu dürfen, die gegen die Spam-Vorschriften verstoßen. Daher könnten die ISPs und auch Verbrauchervereinigungen und Gewerkschaften, die die Interessen von spam-geplagten Konsumenten vertreten, in ihren Namen vor Gericht gehen. Der EDPS geht noch weiter und schlägt „Sammelklagen, bevollmächtigte Bürgergruppen, die gemeinsame Prozesse bei Fällen zum Schutz persönlicher Daten anstrengen“ vor. „Bei Spam, bei dem eine große Anzahl von Einzelpersonen betroffen sind, besteht die Möglichkeit, sich in Gruppen zusammenzutun und Sammelklagen gegen Spammer anzustrengen.“

Der EDPS fordert außerdem, dass die Möglichkeit für juristische Personen, Schadensersatz zu fordern bei jeder Art von Verstoß gegen die Verordnung der ePrivacy Richtlinie einzufordern, ausgeweitet wird.

Peter Hustinx war der Ansicht, dass die Richtlinie daher ihre Reichweite bei den Anwendungen ausweiten müsse, damit auch Anbieter elektronischer Kommunikationsdienste in gemischten (privat/öffentlich) und privaten Netzwerken eingebunden werden und begrüßte die Klarstellung bei der Aufnahme zahlreicher RFIS-Anwendungen in den Zuständigkeitsbereich der Richtlinie.

Opinion of the European Data Protection Supervisor on the Proposal for a Directive amending, among others, Directive 2002/58/EC (Directive on privacy and electronic communications) (10.04.2008)

EDPS Opinion on ePrivacy Directive review: overall positive, but further improvements should be considered (14.04.2008)

EU privacy chief wants data breach law for business (17.04.2008)