Seit Anfang dieser Woche ist mittels EU-Verordnung (Nr. 611/2013) geregelt, wie Betreiber “öffentlich zugänglicher elektronischer Kommunikationsdienste“ auf interne Datenschutzverstöße zu reagieren haben:

Der Kommunikationsdienst soll nach Vorstellung der Kommission sowohl Telekommunikationsdienste (z. B. Telefon oder Telefax) als auch Telemediendienste (Online-Shops, Webseiten) umfassen.

Eine benachrichtigungspflichtige Verletzung liegt vor, wenn es  zu unrechtmäßiger Vernichtung, Verlust, Veränderung oder und zur unrechtmäßigen Weitergabe von personenbezogenen Daten kommt.

Keine Benachrichtigungspflicht löst ein bloßer Verdacht eines Vorfalls aus. Es bedarf vielmehr konkreter Anhaltspunkte für eine Datenschutzverletzung. Die Meldepflicht gegenüber den Betroffenen kann unter bestimmten Umständen (z.B. strafrechtliche Ermittlungen) aufgeschoben werden.

Keine Regelungen trifft die Verordnung zu den Folgen unterlassener Meldungen. Hier scheint der Rückgriff auf die allgemeinen Regelungen (§§ 43 Abs. 2 Nr. 7, 42a BDSG, § 15 a TMG) angezeigt.

Die EU-Verordnung bedarf keiner Umsetzung in den Mitgliedstaaten, sondern entfaltet unmittelbare Wirkung. Gleichwohl lässt die Verordnung diverse Fragen zu Lasten der Kommunikationsdienstleister offen:

  •  Greifen bei Nichtmeldung tatsächlich die Sanktionen der allgemeinen Regelungen?
  • Wer ist die zuständige nationale Behörde? Gibt es eine zentrale Behörde oder liegt die Zuständigkeit bei dem jeweiligen Landesdatenschutzbeauftragten (da es um Datenschutzverstöße geht). Andererseits besteht ein Bezug zu Kommunikationsleistungen, sodass auch an die Bundesnetzagentur zu denken ist.
  • Ist tatsächlich jeder Telemediendienst erfasst? Dann würde eine Meldepflicht für jeden Online-Shop (unabhängig von seiner Größe) gelten.
  • Wie ist die Verordnung im Verhältnis zu § 42a BDSG zu sehen?

Auf Grund dieser Fragen und der damit verbundenen Unsicherheiten ist es wünschenswert, wenn für die betroffenen deutschen Unternehmen eine kurzfristige Klärung erfolgt.