Eine neue EU-Verordnung über die Meldepflicht von TK-Firmen bei Datenschutzverstößen ist seit dem 25.08.2013 in Kraft getreten. Die neue Verordnung - offizieller Titel "Verordnung Nr. 611/2013 der Kommission vom 24. Juni 2013 über die Maßnahmen für die Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten" ist <link http: eur-lex.europa.eu lexuriserv _blank external-link-new-window>hier nachlesbar.
Die Verordnung gilt für die Betreiber "öffentlich zugänglicher elektronischer Kommunikationsdienste" (Art. 1).
Kommt es zu Datenschutzverletzungen, muss der Betreiber die zuständige nationale Behörde innerhalb von 24 Stunden informieren, soweit dies möglich ist (Art. 2 Abs.2). Besteht der Verdacht, dass Kundendaten des Betreibers betroffen sind, so muss der Betreiber zusätzlich diese Kunden informieren (Art. 3).
Diese neue EU-Verordnung gilt unmittelbar und muss nicht mehr in nationales Gesetz umgesetzt werden.
Verstöße gegen die Meldepflichten sind nicht bußgeldbewehrt und führen auch zu keinen weiteren unmittelbaren Sanktionen.
Anmerkung von RA Dr. Bahr:
Im deutschen Recht gibt es mit <link http: www.gesetze-im-internet.de bdsg_1990 __42a.html _blank external-link-new-window>§ 42 a BDSG, <link http: www.gesetze-im-internet.de tmg __15a.html _blank external-link-new-window>$ 15 a TMG und <link http: www.gesetze-im-internet.de tkg_2004 __93.html _blank external-link-new-window>§ 93 Abs.3 TKG bereits entsprechende Meldepflichten für Unternehmen bei Datenschutzverstößen. Diese Regelungen haben aber andere Voraussetzungen und einen anderen Umfang. Zuwiderhandlungen gegen diese Pflichten sind bußgeldbewehrt.
Die neue EU-Verordnung hinterlässt eine Vielzahl von offenen Fragen: Welches Amts genau ist die zuständige Aufsichtsbehörde, der gemeldet werden muss? Die Landesbehörde für Datenschutz? Die Bundesnetzagentur? Oder...?
Wen genau verpflichtet die Neuregelung? Das Gesetz spricht von "Kommunikationsdiensten"? Sind damit nur Telekommunikationsdienste oder auch Telemediendienste gemeint? Nach Intention der EU-Kommission sollen - wie <link http: europa.eu rapid press-release_ip-13-591_de.htm _blank external-link-new-window>diese Pressemitteilung zeigt - beide verpflichtet werden.
Fallen hierunter auch Shop-Anbieter und Forum-Betreiber? Oder sind nur Provider wie Strato, Host Europe oder 1&1 betroffen?
Fragen über Fragen...
Deutsche Unternehmen sollten - solange diese Fragen nicht hinreichend geklärt sind - sich daher primär an den nationalen Regelungen der <link http: www.gesetze-im-internet.de bdsg_1990 __42a.html _blank external-link-new-window>§ 42 a BDSG, <link http: www.gesetze-im-internet.de tmg __15a.html _blank external-link-new-window>§ 15 a TMG und <link http: www.gesetze-im-internet.de tkg_2004 __93.html _blank external-link-new-window>§ 93 Abs.3 TKG orientieren.