EU-Verordnung: Ab heute müssen Firmen Daten-Pannen sofort melden
Egal, ob Hackerangriff oder Softwarepanne: Ab 25. August sind Firmen in Europa dazu verpflichtet, Datenpannen binnen 24 Stunden an die Aufsichtsbehörden zu melden. Diese Meldepflicht sieht die Verordnung (EU) Nr. 611/2013 der Europäischen Kommission vor. Auch die Betroffenen selbst müssen über das Datenschutzproblem informiert werden.
BIld: sashkin/Fotolia.com
Daten-Pannen haben in der Vergangenheit immer wieder Unternehmen und Verbraucher erschüttert. Mal waren es Hackerangriffe, nach denen Kundendaten wie Namen, Mailadressen oder Passworte öffentlich wurden, mal waren technische Pannen oder Sicherheitslücken in der Software der Grund dafür, dass sensible Informationen plötzlich nicht mehr geheim waren.
Betroffene, Öffentlichkeit und Aufsichtsbehörden bekamen von solchen Daten-Pannen allerdings nur selten etwas mit. Oft verschwiegen Firmen die Probleme, aus Angst um ihren Ruf oder aus Sorge, Schadensersatz zahlen zu müssen.
Hackerangriff: Meldepflicht an Behörden in 24 Stunden
Doch ab Sonntag, 25. August, soll sich das ändern. Dann nämlich tritt die Verordnung (EU) Nr. 611/2013 der Europäischen Kommission in Kraft. Und die besagt klar und deutlich: Betroffene Unternehmen müssen ab sofort grundsätzlich innerhalb von 24 Stunden nach einer Datenpanne die zuständige nationale Behörde über den Fall informieren. Dazu soll bei allen zuständigen Behörden ein Standardformat verwendet werden.
EU-Verordnung für Datenschutz: Pannen müssen gemeldet werden
Auch müssen die von der Datenpanne betroffenen Kunden jetzt umgehend informiert werden. „Ist anzunehmen, dass durch die Verletzung des Schutzes personenbezogener Daten die personenbezogenen Daten eines Teilnehmers oder einer Person oder deren Privatsphäre beeinträchtigt werden, so benachrichtigt der Betreiber zusätzlich zu der Benachrichtigung gemäß Artikel 2 auch den Teilnehmer bzw. die Person von der Verletzung“, heißt es in der Verordnung, die für alle Unternehmen in der Europäischen Union gilt. Eine Ausnahme für die Meldepflicht gibt es: Wenn die gestohlenen oder veröffentlichten Daten zum Beispiel durch Verschlüsselung so geschützt sind, dass sie nicht missbraucht werden können.