24. August 2013 - Meldepflicht

24-Stunden-Meldefrist bei Cyber-Attacken

Eine neue Verordnung der Europäischen Union zur Meldepflicht bei Datenpannen und Datendiebstahl tritt an 25. August offiziell in Kraft.

Datenschutzbeauftragte kritisieren EU-Datenschutz-Grundverordnung Die EU verordnet die Meldung von Datenpannen innerhalb eines Tages (Bildquelle: fgo).

Die am 24. Juni 2013 beschlossene EU-Verordnung 611/2013 tritt am 25. August 2013 in Kraft. Sie definiert die Maßnahmen für die Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten gemäß der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates (Datenschutzrichtlinie für elektronische Kommunikation). Sie ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat der EU.

Zunächst wird die neue Regelung nur für Telekombetreiber und Internet-Provider gelten. Diese Unternehmen müssen demnach Diebstahl, Verlust oder unbefugten Zugriff auf persönliche Daten der Kunden – einschließlich E-Mails, Verbindungsdaten und IP-Adressen – an die zuständigen Behörden melden. Die Frist zur Meldung beträgt dabei 24 Stunden nachdem das Datenleck erkannt wurde.

Ralph Kreter, dem für Europa verantwortlichen Director des auf die Abwehr von Cyber-Attacken spezialisierten Anbieters LogRhythm, sind in dieser  neuen EU-Regelung durchaus den „… letzten Aufruf zum Handeln für Unternehmen, die noch immer dem aktuellen Stand der Technik hinterherhinken und fahrlässig Kundendaten mit unzureichenden Sicherheitsmaßnahmen in Gefahr bringen.“

Für viele Unternehmen seien die Risiken einer Rufschädigung und dem Verlust von Kunden bisher noch kein Grund gewesen, aktiv zu werden und ihre technologischen Sicherheitslösungen auf Vordermann zu bringen. Nun hofft Kreter, dass die Drohung mit hohen Geldstrafen besser wirke.

(24.08.2013/fgo)

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln