Zur mobilen Ansicht wechseln »

Datenschutz EU-Meldepflicht bei Datenklau tritt in Kraft.

Foto: ap
Ab sofort müssen Kommunikations-Unternehmen innerhalb von 24 Stunden melden, wenn ein Datenschutzverstoß von nicht oder nicht ausreichend gesicherten Personendaten vorliegt. Auch die Betroffenen müssen in einigen Fällen informiert werden.

Ende Juni hat die EU eine Verordnung für Kommunikations-Unternehmen erlassen, die ab sofort in Kraft tritt. Demnach „sind Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste verpflichtet, unverzüglich die zuständige nationale Behörde und in bestimmten Fällen auch die von Verletzungen des Schutzes personenbezogener Daten betroffenen Teilnehmer und Personen zu benachrichtigen." Die Betreiber müssen demnach melden, wenn sie Opfer einer Cyberattacke geworden sind, bei der Daten von Kunden abgegriffen wurden. Die Meldung muss innerhalb von 24 Stunden bei der nationalen Datenschutzbehörde erfolgen.

In bestimmten Fällen müssen auch die betroffenen Kunden informiert werden, etwa wenn „finanzielle Informationen, Standortdaten, Internet-Protokolldateien, Webbrowser-Verläufe, E-Mail-Daten und Aufstellungen von Einzelverbindungen" betroffen sind, ebenso wenn „eine physische Schädigung, ein psychisches Leid, eine Demütigung oder Rufschädigung" durch die abgegriffenen Daten zu befürchten sind.

Die User müssen nicht informiert werden, wenn die Daten verschlüsselt oder durch einen kryptographisch geschützten Hash-Wert ersetzt wurden. Passwort-Hashes ohne Verschlüsselung sind von der Meldung nicht ausgenommen. Etliche Fälle in der Vergangenheit haben gezeigt, dass solche Hashes relativ einfach in Klartext umgewandelt werden können.

Mehr zum Thema

(futurezone/futurezone) Erstellt am 25.08.2013, 11:00

Kommentare ()

Einen neuen Kommentar hinzufügen

( Abmelden )

Dein Kommentar

Antworten folgen
Melden Sie den Kommentar dem Seitenbetreiber. Sind Sie sicher, dass Sie diesen Kommentar als unangemessen melden möchten?
    Bitte Javascript aktivieren!