• EU Verordnung Nr. 611/2013

    by  • 3. August 2013 • Datenschutzmanagement, EU Recht

    Am 24. Juni 2013 wurde im Amtsblatt der Europäischen Union die VERORDNUNG (EU) Nr. 611/2013 DER KOMMISSION über die Maßnahmen für die Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten gemäß der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates (Datenschutzrichtlinie für elektronische Kommunikation) veröffentlicht. Diese Verordnung trat am 25. August 2013 in Kraft, und ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.

    VERORDNUNG (EU) Nr. 611-2013

     

    Grund für den Erlass  dieser Verordnung durch die Kommission

    Gemäß Artikel 4 der Richtlinie 2002/58/EG sind Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste verpflichtet, unverzüglich die zuständige nationale Behörde und in bestimmten Fällen auch die von Verletzungen des Schutzes personenbezogener Daten betroffenen Teilnehmer und Personen zu benachrichtigen. Unterschiedliche nationale Anforderungen in dieser Hinsicht können zu rechtlicher Unsicherheit, komplizierteren und umständlicheren Verfahren und erheblichen Verwaltungskosten für grenzübergreifend tätige Betreiber führen. Die Kommission hält es daher für notwendig, solche technischen Durchführungsmaßnahmen zu erlassen. Siehe in diesem Zusammenhang auch die dafür vorgesehene Regelung im DSG, wie unter Data Breach Notification- Österr. Informationspflicht bei Datenlecks dargelegt wird.

    Geltungsbereich

    Diese Verordnung gilt für die Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten durch Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste Betreiber.  Diese sogenannten Betreiber werden in dieser Verordnung nicht weiter spezifiziert, da diese bereits in der RICHTLINIE 2002/58/EG DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) festgelegt sind.

    Anmerkung: Selbst diese Begriffsbestimmung ist ein juristisch schwieriges Kapitel. Um jedoch auf der sicheren Seite zu sein, sollten Sie sich die Frage stellen: “Betreibe ich ein elektronisches System (vorzugsweise im Internet), über das ich mit einem nicht eingeschränkten Personen- oder Firmenkreis personenbezogene Daten austausche?” Da gibt es natürlich wieder viele Abstufungen.  Also wenn Sie bspw. in einen Shop im Internet Waren anbieten, aber das Shopsystem bei einem Provider zukaufen, dann könnten Sie schon rechtlich nicht mehr betroffen sein. Aber wollen Sie haben, dass Ihr Provider, vorbei an Ihnen mit Ihren Kunden kommuniziert, weil er gehackt wurde? Gerade da muss es in Ihrem Interesse liegen diese (Krisen-) Kommunikation professionell zu betreiben!

    Wer ist laut EU Verordnung Nr. 611/2013 zu benachrichtigen

    Zuerst erfolgt eine Benachrichtigung der zuständigen nationalen Behörde. Dies ist in Österreich die Datenschutzkommission (DSK).

    1. Der Betreiber benachrichtigt die zuständige nationale Behörde von der Verletzung des Schutzes personenbezogener Daten binnen 24 Stunden nach Feststellung der Verletzung, soweit dies möglich ist. Die DSK stellt allen Betreibern, die in dem betreffenden Mitgliedstaat niedergelassen sind, gesicherte elektronische Mittel für die Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten sowie Informationen über die Verfahren für den Zugang hierzu und für deren Benutzung zur Verfügung. Anmerkung: Eine techn. Umsetzung ist bisher nicht offiziell bekannt gemacht.
    2. Ist anzunehmen, dass durch die Verletzung des Schutzes personenbezogener Daten die personenbezogenen Daten einer Person oder deren Privatsphäre beeinträchtigt werden, so benachrichtigt der Betreiber zusätzlich auch die Person von der Verletzung.
      Der Betreiber braucht die betroffenen Personen nicht von einer Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, wenn er zur Zufriedenheit der DSK nachgewiesen hat, dass er geeignete technische Schutzmaßnahmen getroffen hat und dass diese Maßnahmen auf die von der Sicherheitsverletzung betroffenen Daten angewendet wurden. Anmerkung: Bisher ist diese Zufriedenheit mit einer technischen Maßnahme durch die DSK faktisch unmöglich zu erwarten. Erfahrungsgemäß wurde die DSK weder mit personeller Kapazität noch mit Befugnissen ausgestattet solche Feststellungen zu machen. Diese Ausnahme sollte daher nur dann angewendet werden, wenn man gerne einen gerichtlichen Präzedenzfall ausfechten möchte.
    3. Wird ein anderer Betreiber, der in keinem direkten Vertragsverhältnis zu den Teilnehmern steht, mit der Erbringung eines Teils des elektronischen Kommunikationsdienstes beauftragt, muss dieser andere Betreiber im Falle einer Verletzung des Schutzes personenbezogener Daten den beauftragenden Betreiber sofort informieren.

    Inhalt der Benachrichtigung

    Folgende Inhalte sollten Sie für Ihre Kommunikation vorbereiten:

    An die zuständigen nationalen Behörde (in Österreich die Datenschutzkommission)

    Abschnitt 1

    Angaben zum Betreiber
    1. Name des Betreibers
    2. Name und Kontaktdaten des Datenschutzbeauftragten oder eines sonstigen Ansprechpartners für weitere Informationen
    3. Angabe, ob es sich um eine erste oder zweite Benachrichtigung handelt

    Erstinformation über die Verletzung des Schutzes personenbezogener Daten (ggf. in späteren Benachrichtigungen zu ergänzen)
    4. Datum und Zeitpunkt des Vorfalls (falls bekannt, kann nötigenfalls geschätzt werden) und der Feststellung des Vorfalls
    5. Umstände der Verletzung des Schutzes personenbezogener Daten (z. B. Verlust, Diebstahl, Vervielfältigung)
    6. Art und Inhalt der betroffenen personenbezogenen Daten
    7. Technische und organisatorische Maßnahmen, die der Betreiber in Bezug auf die betroffenen personenbezogenen Daten ergriffen hat (oder ergreifen wird)
    8. Erbringung relevanter Leistungen durch einen anderen Betreiber (falls zutreffend)

    Abschnitt 2

    Weitere Informationen über die Verletzung des Schutzes personenbezogener Daten

    9. Zusammenfassung des Vorfalls, der die Verletzung des Schutzes personenbezogener Daten verursacht hat (mit Angabe des physischen Orts der Verletzung und der betroffenen Datenträger)
    10. Anzahl der betroffenen Teilnehmer oder Personen
    11. Mögliche Folgen und mögliche nachteilige Auswirkungen auf Teilnehmer oder Personen
    12. Technische und organisatorische Maßnahmen, die der Betreiber zur Minderung möglicher nachteiliger Auswirkungen ergriffen hat

    Mögliche zusätzliche Benachrichtigung der Teilnehmer oder Personen

    13. Inhalt der Benachrichtigung
    14. Verwendete Kommunikationsmittel
    15. Anzahl der benachrichtigten Teilnehmer oder Personen

    Mögliche grenzübergreifende Fragen

    16. Verletzung des Schutzes personenbezogener Daten, die Teilnehmer oder Personen in anderen Mitgliedstaaten betrifft
    17. Benachrichtigung anderer zuständiger nationaler Behörden.

    An  die betroffenen Personen

    1. Name des Betreibers
    2. Name und Kontaktdaten des Datenschutzbeauftragten oder eines sonstigen Ansprechpartners für weitere Informationen
    3. Zusammenfassung des Vorfalls, der zu der Verletzung des Schutzes personenbezogener Daten geführt hat
    4. Vermutetes Datum des Vorfalls
    5. Art und Inhalt der betroffenen personenbezogenen Daten entsprechend Artikel 3 Absatz 2
    6. Wahrscheinliche Folgen der Verletzung des Schutzes personenbezogener Daten für den betroffenen Teilnehmer oder die betroffene Person entsprechend Artikel 3 Absatz 2
    7. Umstände der Verletzung des Schutzes personenbezogener Daten entsprechend Artikel 3 Absatz 2
    8. Vom Betreiber ergriffene Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten
    9. Vom Betreiber empfohlene Maßnahmen zur Minderung etwaiger nachteiliger Auswirkungen.

     

    About

    Datenschutz in den österreichischen Unternehmen ist mir ein Anliegen. Ihnen auch? Kontaktieren Sie mich bei Hinweisen, Fragen und Wünschen!

    http://www.averell-consulting.at/kontakt