EU-Meldepflicht bei Datenklau tritt in Kraft
Dieser Artikel ist älter als ein Jahr!
Ende Juni hat die EU eine Verordnung für Kommunikations-Unternehmen erlassen, die ab sofort in Kraft tritt. Demnach „sind Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste verpflichtet, unverzüglich die zuständige nationale Behörde und in bestimmten Fällen auch die von Verletzungen des Schutzes personenbezogener Daten betroffenen Teilnehmer und Personen zu benachrichtigen." Die Betreiber müssen demnach melden, wenn sie Opfer einer Cyberattacke geworden sind, bei der Daten von Kunden abgegriffen wurden. Die Meldung muss innerhalb von 24 Stunden bei der nationalen Datenschutzbehörde erfolgen.
In bestimmten Fällen müssen auch die betroffenen Kunden informiert werden, etwa wenn „finanzielle Informationen, Standortdaten, Internet-Protokolldateien, Webbrowser-Verläufe, E-Mail-Daten und Aufstellungen von Einzelverbindungen" betroffen sind, ebenso wenn „eine physische Schädigung, ein psychisches Leid, eine Demütigung oder Rufschädigung" durch die abgegriffenen Daten zu befürchten sind.
Die User müssen nicht informiert werden, wenn die Daten verschlüsselt oder durch einen kryptographisch geschützten Hash-Wert ersetzt wurden. Passwort-Hashes ohne Verschlüsselung sind von der Meldung nicht ausgenommen. Etliche Fälle in der Vergangenheit haben gezeigt, dass solche Hashes relativ einfach in Klartext umgewandelt werden können.
- EU präsentiert Cybersicherheitsplan
- Hartes Ringen um EU-Datenschutzstandards
- Hackerangriffe werden für Manager zum Problem
Kommentare