Neue Regeln in der EU Provider müssen Datenlecks binnen 24 Stunden melden

Angriffe auf Kundendaten müssen von Providern künftig rasch gemeldet werden: Die EU-Kommission hat Vorschriften verschärft, Firmen müssen nun binnen 24 Stunden die Behörden einschalten.

EU-Kommission in Brüssel: Hacker-Meldepflicht für Unternehmen
DPA

EU-Kommission in Brüssel: Hacker-Meldepflicht für Unternehmen


Brüssel - Die Europäische Kommission hat neue Vorschriften erlassen, die regeln, was Internet- und Telekommunikationsanbieter in Fällen von Datenverlust zu tun haben: Sicherheitsvorfälle, bei denen Kundendaten betroffen sind, müssen von nun an innerhalb von 24 Stunden der verantwortlichen Behörde gemeldet werden - samt einer Aufstellung der betroffenen Daten und möglichen Konsequenzen für Kunden und Unternehmen. Kunden müssen allerdings nur noch unter Umständen informiert werden.

Um den Schutz der Verbraucher zu verbessern, sollen Unternehmen künftig ermuntert werden, die Kundendaten auch zu verschlüsseln. Ist allerdings eine Verschlüsselung erfolgt, müssen die Kunden künftig nicht über Sicherheitsvorfälle informiert werden. Das ist eine erhebliche Abschwächung gegenüber der 2011 vorgestellten Regulierung, die eine verpflichtende Kundeninformation bei Gefahr für die persönlichen Daten vorschrieb. Zumal der Wortlaut der Regulierung noch nicht bekannt ist - und damit nicht, was die EU als ausreichende Verschlüsselung erachtet.

Bekannt ist bislang nur, dass Unternehmen innerhalb von 24 Stunden reagieren müssen, indem sie:

  • die nationale Behörde über den Vorfall informieren; sollten nicht alle Daten vorliegen, müssen zunächst erste Erkenntnisse und innerhalb von drei Tagen weiterführende Informationen nachgereicht werden,

  • eine Beschreibung abgeben, welche Informationen betroffen sind und welche Maßnahmen das Unternehmen ergreift oder ergreifen wird,

  • bei der Beurteilung, ob Kunden informiert werden müssen (anhand der Frage, ob private Daten oder Privatsphären betroffen sein könnten), auch beschreiben, welche Art von Daten betroffen sind, zum Beispiel: Telko-Informationen, Finanzinformationen, Ortsinformationen, Protokolldaten, Browser-Verläufe, E-Mail-Daten und Rufnummernaufstellungen,

  • die Meldung über ein EU-weit standardisiertes Formular einreichen.

Die neue Regelung wird zwei Monate nach der Veröffentlichung im Amtsblatt der EU in Kraft treten.

Seit Jahren wird international darüber diskutiert, inwiefern Unternehmen Datenvorfälle überhaupt bekanntgeben sollten. Die Unternehmen erklären, sie seien damit im Vergleich zu weniger regulierten Konkurrenten weniger wettbewerbsfähig, außerdem sei eine Aufklärung der Vorfälle und Schäden oft nur schwer möglich und stellten für Unternehmen und Kunden letztlich auch ein Datenschutzrisiko dar.

Die Behörden wiederum betonen die Vorteile durch Transparenz, statistische Klarheit und Kontrolle, den Schutz der Kunden und letztlich der gesamten Internetinfrastruktur. Netzweite Angriffe, verborgene Regelmäßigkeiten oder mögliche Anzeichen könnten nur durch den massenhaften Vergleich von möglichst schnell eintreffenden Daten erkannt werden.

Mit einer scharfen Regulierung und entsprechenden Anreizen will man wiederum die Firmen ermuntern, ehrlich zu sein. Denn daran krankten vorherige Transparenzversuche: Firmen konnten Vorfälle einfach unter den Tisch kehren oder sich blind und taub stellen. Etwa dann, wenn das Bekanntwerden eines Vorfalls schlimmer wäre als der Vorfall selbst.

fkn

Mehr zum Thema


insgesamt 10 Beiträge
Alle Kommentare öffnen
Seite 1
WernerT 25.06.2013
1. Gilt das auch für Tempora und Co
Oder darf man solche Verstöße dann beim deutschen Dienst von Radio Peking oder Moskau erfahren?
beschwingt 25.06.2013
2. Hiermit gemeldet...
Hiermit melde ich ein grosses Leck in der Stadt "Norden" in Ostfriesland.... Offenbar fließt alles nach England in die Stadt " Bude"... Dort wird das Internet in großen schwarzen Kästen gefangen gehalten und von paranoiden englischen Spionen vergewaltigt....
mazzeltov 25.06.2013
3. Mehr Sarkasmus, bitte!
Zitat von sysopDPAAngriffe auf Kundendaten müssen von Providern künftig rasch gemeldet werden: Die EU-Kommission hat Vorschriften verschärft, Firmen müssen nun binnen 24 Stunden die Behörden einschalten. http://www.spiegel.de/netzwelt/web/eu-provider-muessen-datenlecks-binnen-24-stunden-melden-a-907743.html
Nachdem meine Vorredner die auf der Zunge liegenden sarkastischen Kommentare ja schon abgegeben haben... fallen mir trotzdem noch ein, zwei ein. Zu obigem Auszug: Die Aufstellung der betroffenen Daten finde ich ganz amüsant; sie dient wahrscheinlich als Backup für den Fall, dass die für den Sicherheitsvorfall verantwortliche Behörde etwas übersehen hat... Und zum Thema Verschlüsselung: Fällt eine binäre Kodierung auch schon in die Kategorie?
TeslaTraX 25.06.2013
4. Natürlich
"Kunden müssen allerdings nur noch unter Umständen informiert werden. " - Das ist ja wiedermal das allerletzte!!!
verhetzungsschutz 25.06.2013
5. Amt für Volkskunde
Zitat von sysopDPAAngriffe auf Kundendaten müssen von Providern künftig rasch gemeldet werden: Die EU-Kommission hat Vorschriften verschärft, Firmen müssen nun binnen 24 Stunden die Behörden einschalten. http://www.spiegel.de/netzwelt/web/eu-provider-muessen-datenlecks-binnen-24-stunden-melden-a-907743.html
Muß ein Kunde bei Datendiebstählen auch dann nicht informiert werden, wenn dieser Kunde selbst staatlich ist? Was ist, wenn der Kunde geheim ist? Und gibt es Ausnahmeregeln z.B. für die Faschingszeit?
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2013
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.