Gemäß der Verordnung (EU) Nr. 611/2013 der Europäischen Kommission vom 24 Juni 2013, mir Inkrafttreten am 25. August 2013, müssen die Anbieter von der Öffentlichkeit zugänglichen Diensten im Bereich der elektronischen Kommunikation, wie zum Beispiel Telefongesellschaften oder Internetprovider, die CNPD binnen 24 Stunden informieren, wenn sie eine Verletzung der Sicherheit oder Vertraulichkeit der personenbezogenen Daten feststellen. Zudem müssen sie ihre Abonnenten informieren, falls die Verletzung das Niveau des Schutzes ihres Privatlebens oder ihrer Daten negativ zu beeinflussen droht.
Definition
Das Gesetz definiert eine Verletzung des Schutzes personenbezogener Daten wie folgt: „eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise in Zusammenhang mit der Bereitstellung öffentlich zugänglicher Kommunikationsdienste“.
Beispiele für « Pannen »
Dabei kann es sich um alle Arten von "Pannen" handeln, wie zum Beispiel die folgenden Annahmen:
- Externe Personen haben über das Internet Zugang zu den Servern, auf denen alle Kundendaten gespeichert sind, weil es Sicherheitslücken im Computersystem des betreffenden Dienstleisters gibt.
- Zu einem bestimmten Zeitpunkt kann jedermann ohne Passwort auf die Online-Kundenkonten zugreifen, obwohl nur die Kunden, die das Passwort vergeben, Zugang zu ihren jeweiligen Konten haben sollten.
- Ein Mitarbeiter eines Dienstanbieters verliert eine CD-ROM oder einen USB-Stick mit Kundendaten.
- Ein Außendienstmitarbeiter eines Mobilfunkanbieters in einem Geschäft verliert einen Papiervertrag eines neuen Kunden.
Was tun im Falle einer Verletzung des Schutzes personenbezogener Daten?
In einem solchen Fall benachrichtigt der Anbieter elektronischer Kommunikationsdienste die CNPD innerhalb von 24 Stunden von der Verletzung. Wenn es sich als unmöglich erweist, alle erforderlichen Informationen innerhalb dieser Frist zu sammeln, und wenn die Verletzung eine weitere Untersuchung erfordert, darf der Anbieter der zuständigen nationalen Behörde spätestens 24 Stunden nach Feststellung der Verletzung eine erste Benachrichtigung übermitteln. In dieser ersten Benachrichtigung wird insbesondere Folgendes beschrieben:
- Datum und Uhrzeit des Vorfalls (falls bekannt, ggf. kann eine Schätzung angegeben werden) und der Feststellung des Vorfalls
- Umstände des Verstoßes gegen die personenbezogenen Daten (z. B. Verlust, Diebstahl, Reproduktion)
- Art und Inhalt der betroffenen personenbezogenen Daten
- Technische und organisatorische Maßnahmen, die der Anbieter auf die betroffenen personenbezogenen Daten angewandt hat (oder anwenden wird).
- Rückgriff auf andere Anbieter, die eine Rolle gespielt haben (falls zutreffend)
So schnell wie möglich, aber spätestens drei Tage nach dieser ersten Benachrichtigung, muss der Anbieter eine zweite Benachrichtigung an die CNPD übermitteln. Diese muss mindestens die folgenden Informationen enthalten:
- Zusammenfassung des Vorfalls, der die Verletzung der personenbezogenen Daten verursacht hat (einschließlich des physischen Ortes der Verletzung und des betroffenen Speichermediums).
- Anzahl der betroffenen Abonnenten oder Einzelpersonen
- Mögliche Folgen und Schäden für die Abonnenten oder Einzelpersonen.
- Technische und organisatorische Maßnahmen des Anbieters zur Abmilderung des potenziellen Schadens
Mögliche zusätzliche Benachrichtigung von Abonnenten oder Einzelpersonen
- Inhalt der Mitteilung
- Verwendete Kommunikationsmittel
- Anzahl der informierten Abonnenten oder Einzelpersonen
Mögliche transnationale Fragen
- Verletzung personenbezogener Daten von Abonnenten oder Einzelpersonen in anderen Mitgliedstaaten.
- Meldung an andere zuständige nationale Behörden
Wenn der Anbieter trotz seiner Nachforschungen nicht in der Lage ist, alle Informationen innerhalb von drei Tagen nach der ursprünglichen Benachrichtigung zu liefern, meldet er alle von ihm gesammelten Informationen innerhalb dieser Frist und legt der CNPD eine stichhaltige Begründung für die verspätete Meldung der verbleibenden Informationen vor. Der Anbieter meldet die verbleibenden Informationen so bald wie möglich an die CNPD und aktualisiert gegebenenfalls die bereits vorgelegten Informationen.
Verletzung, die die personenbezogenen Daten oder die Privatsphäre eines Abonnenten oder einer Einzelperson beeinträchtigt
Im Falle einer Verletzung, die die personenbezogenen Daten oder die Privatsphäre eines Abonnenten oder einer Einzelperson beeinträchtigen kann (z. B. wenn sie wahrscheinlich zu Identitätsdiebstahl oder -missbrauch, körperlicher Beeinträchtigung, schwerer Erniedrigung oder Rufschädigung in Verbindung mit der Bereitstellung öffentlich zugänglicher Kommunikationsdienste führt), müssen diese Teilnehmer oder Einzelpersonen ebenfalls ohne unangemessene Verzögerung nach Feststellung der Verletzung benachrichtigt werden, damit sie geeignete Vorsichtsmaßnahmen ergreifen können. Die Benachrichtigung des Teilnehmers oder der Einzelperson muss in einer klaren und leicht verständlichen Sprache abgefasst sein und mindestens folgende Angaben enthalten:
- Name des Anbieters
- Identität und Kontaktdaten des Datenschutzbeauftragten oder einer anderen Kontaktstelle, bei der weitere Informationen eingeholt werden können.
- Zusammenfassung des Vorfalls, der zu der Verletzung der personenbezogenen Daten geführt hat.
- Geschätztes Datum des Vorfalls
- Art und Inhalt der betroffenen personenbezogenen Daten gemäß Artikel 3 Absatz 2 der DSGVO
- Wahrscheinliche Folgen der Verletzung der personenbezogenen Daten für den betroffenen Teilnehmer oder die betroffene Person gemäß Artikel 3 Absatz 2 der DSGVO
- Umstände der Verletzung des Schutzes personenbezogener Daten gemäß Artikel 3 Absatz 2 der DSGVO
- Vom Anbieter ergriffene Maßnahmen zur Behebung der Verletzung der personenbezogenen Daten
- Vom Anbieter empfohlene Maßnahmen zur Minderung des potenziellen Schadens
Die Benachrichtigung des betroffenen Abonnenten oder der betroffenen Person über eine Verletzung des Schutzes personenbezogener Daten ist nicht erforderlich, wenn der Anbieter zur Zufriedenheit der nationalen Kommission nachgewiesen hat, dass er geeignete technologische Schutzmaßnahmen ergriffen hat und dass diese Maßnahmen auf die von der Verletzung betroffenen Daten angewandt wurden. Solche technologischen Schutzmaßnahmen machen die Daten unverständlich (z. B. durch Verschlüsselung) für Personen, die nicht befugt sind, auf sie zuzugreifen.
Bestandsaufnahme von Verletzungen des Schutzes personenbezogener Daten
Das Gesetz vom 28. Juli 2011 sieht außerdem vor, dass die Anbieter ein aktuelles Verzeichnis von Verletzungen personenbezogener Daten führen, einschließlich des Zusammenhangs, der Auswirkungen und der Maßnahmen, die zur Behebung der Verletzungen ergriffen wurden. Die protokollierten Daten müssen ausreichend sein, um der nationalen Datenschutzkommission eine Überprüfung zu ermöglichen.
Formular
Um den Anbietern elektronischer Kommunikationsdienste die Arbeit zu erleichtern, hat die Nationale Kommission ein Formular für die Meldung einer Sicherheitsverletzung ausgearbeitet, das alle relevanten Fragen enthält, die sie in einer solchen Situation beantworten müssen. (siehe unten auf der Seite)