Harmonisierung des Grundrechtsschutzes in der Europäischen Union
EU-Verordnung 611/2013: Informationspflichten von Kommunikationsdiensten bei Datenmissbrauch
Die Verordnung (EU) 611/2013 „über die Maßnahmen für die Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten“ wurde am 24. Juni 2013 von der EU-Kommission beschlossen und trat am 25. August 2013 in allen Mitgliedsstaaten der Europäischen Union als unmittelbar geltendes Recht in Kraft.
Die Verordnung (EU) 611/2013 folgt der Forderung von Artikel 1 Absatz 1 der „Datenschutzrichtlinie für elektronische Kommunikation“ 2002/58/EG vom 12. Juli 2002, nach dem ein EU-weit gleichwertiger Schutz von Grundrechten und Grundfreiheiten, vor allem des Rechts auf Vertraulichkeit und Privatsphäre hinsichtlich der elektronischen Verarbeitung personenbezogener Daten und des freien Datenverkehrs unter Einschluss elektronischer Kommunikationsgeräte und Kommunikationsdienste sicherzustellen ist.
EU-Datenschutzrichtlinie: Informationspflichten von Onlinedienstanbietern
Die Datenschutzrichtlinie 2002/58/EG in der Fassung vom 18.12.2009 (Änderungen durch „eDatenschutzrichtlinie“ 2009/136/EG) verpflichtet die Anbieter von Onlinediensten zum Schutz und zur vertraulichen Behandlung personenbezogener Daten. Betreiber öffentlich zugänglicher Kommunikationsdienste sind bei Datenschutzverstößen (unbefugter Zugriff durch Dritte, Datenverlust oder Datendiebstahl) zur Information der national zuständigen Datenschutzbehörde sowie zu einer direkten Kontaktierung betroffener Kunden bei Gefahr eines nicht mehr gewährleisteten Schutzes personenbezogenen Daten verpflichtet (Artikel 4 Absatz 3).
Richtlinie (EU) 611/2013: Konkretisierung der Informationspflichten von Kommunikationsdiensten
Die EU-Verordnung 611/2013 richtet sich an die „Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste“ (Artikel 1). Betreiber müssen bei Verletzungen des Schutzes persönlicher Daten innerhalb von 24 Stunden die „zuständige nationale Behörde“ informieren (Artikel 2). Ist aufgrund der Datenschutzverletzung eine Beeinträchtigung personenbezogener Daten oder der Privatsphäre anzunehmen, dann ist zusätzlich die betroffene Person „ohne unangemessene Verzögerung“ und unter Einsatz solcher Kommunikationsmittel zu benachrichtigen, die einen „zügigen“ Informationsempfang gewährleisten (Artikel 3). Die Benachrichtigung darf „nicht mit Informationen zu anderen Themen verbunden“ sein.
Als Grundlage einer Beurteilung, ob eine Beeinträchtigung „wahrscheinlich“ vorliegt, benennt die Richtlinie folgende Kriterien:
• Art der Daten: Informationen zu finanziellen Angelegenheiten, politischen oder religiöse Überzeugungen, ethnischen oder gewerkschaftlichen Zugehörigkeiten oder zu Gesundheit und Sexualleben (Artikel 8 der EU-Richtlinie 95/46/EG) sowie u. a. Standort-, E-Mail- oder Einzelverbindungsdaten
• Folgen der Datenschutzverletzung: insbesondere Identitätsdiebstahl, Betrug, physische oder psychische Schädigungen, Demütigungen und Rufschädigung
• Umstände der Datenschutzverletzung: Datendiebstahl; Kenntnis des Betreibers über unbefugten Datenbesitz eines Dritten
Eine Information betroffener Personen ist nicht erforderlich, wenn der Betreiber gegenüber der national zuständigen Behörde den Nachweis führt, dass „geeignete technische Schutzmaßnahmen“ eingesetzt wurden, die auch bezüglich der betroffenen Daten Anwendung fanden. Schutzmaßnahmen sind nur dann geeignet, wenn Daten unbefugten Dritten gegenüber z. B. durch einen Standardalgorithmus oder durch kryptografisch verschlüsselte Standard-Hash-Funktionen „unverständlich gemacht werden“ und die verwendeten Schlüssel „derzeit“ nicht durch technische Verfahren ermittelt werden können (Artikel 4).
Die einzuhaltenden Gliederungspunkte der Benachrichtigungen sind in Anhang I (nationale Behörde) bzw. Anhang II (betroffene Person) der Verordnung als Standardformat exakt festgelegt.
Die für öffentliche Stellen „zuständige nationale Behörde“ ist der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit mit Sitz in Bonn (§§ 12, 22-26 BDSG). Öffentliche-rechtliche Unternehmen, die am Marktwettbewerb teilnehmen sowie nicht-öffentliche Stellen unterliegen gemäß §§ 27, 38 Absatz 6 BDSG der Kontrolle durch die Aufsichtsbehörden der Bundesländer. Dies sind teilweise die Innenministerien (Baden-Württemberg, Saarland und Brandenburg), Mittelbehörden wie Regierungspräsidien oder Landesverwaltungsämter (Bayern, Rheinland-Pfalz, Hessen, Thüringen und Sachsen-Anhalt) und in den übrigen acht Bundesländern die Landesbeauftragten für den Datenschutz.
Sanktionsandrohungen für den Fall von Verstößen enthält die EU-Verordnung 611/2013 zwar nicht ausdrücklich. § 15a des deutschen Telemediengesetzes verweist jedoch für den Fall einer schwerwiegenden Beeinträchtigung schutzwürdiger Nutzerinteressen bei unrechtmäßiger Kenntniserlangung von Daten auf § 42a des Bundesdatenschutzgesetzes (BDSG), der Informationspflichten für Behörden und Unternehmen („öffentliche und nicht-öffentliche Stellen“, § 2 BDSG) festlegt. Ein vorsätzlicher oder fahrlässiger Verstoß einer datenspeichernden Stelle gegen die Informationspflichten nach § 42a BDSG wird gemäß § 43 Absatz 2 Ziffer 7 BDSG als Ordnungswidrigkeit geahndet, die mit einer Geldbuße von bis zu 300.000 Euro belegt werden kann (§ 43 Absatz 3 BDSG). Bei einem diesen Betrag übersteigenden Nutzen aus der Verletzung personenbezogener Daten kann auch ein höheres Bußgeld verhängt werden.
Ihr Ansprechpartner
