EU regelt Meldezeit für Internet-Sicherheitsvorfälle
Internet- und Telekommunikationsanbieter haben in Fällen von Datenverlust, bei denen Kundendaten betroffen sind, 24 Stunden Zeit, um den Vorfall der verantwortlichen Behörde zu melden, so ein aktueller Beschluss der Europäischen Kommission. Die neue Vorschrift geht so weit, dass die Unternehmen auch eine Aufstellung der betroffenen Daten und mögliche Konsequenzen für Kunden und Unternehmen bereitstellen müssen.
Die nun geänderte Vorschrift aus dem Jahr 2011 wird dennoch teilweise erheblich abgeschwächt. So soll der Verbraucherschutz zwar verbessert werden, indem Unternehmen künftig aufgefordert werden, die Kundendaten zu verschlüsseln. Gleichzeitig stellt die Vorschrift aber klar, dass die Unternehmen ihre Kunden dann nicht mehr informieren müssen. Was die EU als ausreichende Verschlüsselung erachtet, ist bisher nicht bekannt.
Die 24 Stunden Meldezeit für Unternehmen sieht vor, dass die nationalen Behörden über den Vorfall oder die ersten Erkenntnisse informiert werden. Innerhalb von drei Tagen müssen weiterführende Informationen nachgereicht werden. Des Weiteren muss eine genaue Beschreibung abgegeben werden über die betroffenen Daten und Maßnahmen, die das Unternehmen ergriffen hat oder noch ergreifen wird.
Dies dient zur Beurteilung, ob Kunden informiert werden müssen. Die neue Regelung sieht vor, dass die Vorfälle über ein EU-weit standardisiertes Formular eingereicht werden. Die Behörden sehen hierin Vorteile durch Transparenz, statistische Klarheit und Kontrolle, den Schutz der Kunden und letztlich der gesamten Internetinfrastruktur. Netzweite Angriffe könnten nur durch den massenhaften Vergleich von möglichst schnell eintreffenden Daten erkannt werden.
Die Vereinigten Staaten haben keine derartig präzise Regelung. Unternehmen werden lediglich aufgefordert, ihre Kunden oder die Behörden in einem angemessenen Zeitraum zu informieren. Einige Staaten beschränken diesen Zeitraum auf 45 Tage.
Todd Hinnen, ein Partner der Rechtsanwaltskanzlei Perkins Coie’s privacy and security practice in Seattle, unterstützt zwar generell die Idee einer Einführung von Regelungen ähnlich den neuen europäischen Vorschriften. Allerdings sieht er ein Problem mit dem 24-Stunden-Zeitrahmen. Es sei sehr schwierig, das wahre Ausmaß der verschiedenartigen Bedrohung innerhalb so kurzer Zeit zu erfassen und zu verstehen. Die USA basteln schon seit Jahren an einer Gesetzesvorlage, die aber nie besondere Beachtung findet.
Artikel von scmagazine.com, 26.08.2013: Stern new data breach reporting requirement takes hold in EU
Artikel von v3.co.uk, 23.08.2013: EU 24-hour breach disclosure laws to come into force