Meldepflicht Datenschutzpannen

EU-Kommission konkretisiert Meldepflicht bei Datenschutzpannen


Ihr Kontakt

Die Europäische Kommission hat vor kurzem neue Verordnungsbestimmungen erlassen, welche detailliert regeln, welche Massnahmen Anbieter von Telekommunikations- und Internetdienstleistungen in Fällen von Datenverlust, Datendiebstahl oder anderen Beeinträchtigungen des Schutzes von Personendaten ergreifen müssen. Die Verordnung stellt für den ganzen EU-Raum einheitliche Vorschriften auf und regelt namentlich, in welcher Form und mit welchen Informationen die Behörden benachrichtigt werden müssen.

Hintergrund: Benachrichtigungspflicht bei Datenschutzfällen

Für Telekommunikationsdienstleister und Internetprovider besteht seit 2011 bei Datenschutzverletzungen wie Datenverlust oder Datendiebstahl die allgemeine Pflicht, ihre Kunden und die nationalen Behörden (in der Regel die Datenschutzbehörden) zu benachrichtigen. Als Datenschutzverletzung gilt jede Verletzung der Datensicherheit, die auf unbeabsichtigte oder unrechtmässige Weise zur Vernichtung, zum Verlust, zur Veränderung und zur unbefugten Weitergabe von oder zum unbefugten Zugang zu personenbezogenen Daten führt. Neben den Behörden müssen auch die Kunden informiert werden, sofern die Gefahr besteht, dass aufgrund der Datenschutzverletzung deren Privatsphäre oder Personendaten nicht mehr geschützt sind (vgl. dazu die Richtlinie 2009/136/EG).

Neue Durchführungsvorschriften

Die EU-Kommission hat vor kurzem die Durchführungsvorschriften dazu erlassen. Dieser Schritt erfolgte, nachdem sich im Rahmen einer öffentlichen Konsultation im Jahr 2011 eine breite Unterstützung zugunsten von EU-weit einheitlichen Vorschriften ergeben hatte.

Die neuen Bestimmungen werden in Form einer Verordnung der Kommission erlassen. Diese wird unmittelbar in allen Mitgliedstaaten anwendbar sein und somit zu einem identischen Rechtsrahmen in der ganzen EU führen. Sie werden zwei Monate nach der Veröffentlichung im EU-Amtsblatt, d.h. am 25. August 2013, in Kraft treten.

Bei den neuen Regelungen handelt es sich um eigenständige Massnahmen, die unabhängig von der geplanten neuen EU-Cybersicherheitsstrategie eingeführt werden. Im Rahmen der Cybersicherheitsstrategie hat die EU ebenfalls eine Meldepflicht für Betreiber sogenannter „kritischer Infrastrukturen“ geplant (vgl. BR-News vom 13.02.2013).

Zusätzliche Rechtssicherheit durch klare und einheitliche Verordnungsbestimmungen

Mit den neuen Verordnungsbestimmungen bezweckt die Kommission, den betroffenen Unternehmen zusätzliche Klarheit darüber zu verschaffen, wie sie ihren Benachrichtigungsverpflichtungen nachkommen können. Auch die betroffenen Personen sind aufgrund der expliziten Regelungen besser darüber informiert, wie mit Verletzungen des Schutzes ihrer persönlichen Daten umgegangen wird.

Unternehmen sind neu insbesondere verpflichtet,

  • die zuständigen nationalen Behörden innerhalb von 24 Stunden über Störungen zu informieren. Dadurch sollen die Auswirkungen eines Vorfalls so weit wie möglich begrenzt werden. Wenn in dieser Zeit keine vollständige Offenlegung seitens des Unternehmens möglich ist, muss dieses innerhalb der 24-Stunden-Frist zumindest Teilinformationen bereitstellen. Die restlichen Informationen sind sodann innerhalb von drei Tagen nachzureichen.
  • Weiter müssen die Unternehmen darlegen, welche Daten betroffen sind und welche Massnahmen ergriffen wurden bzw. noch ergriffen werden.

Für die Meldung an die zuständige nationale Behörde ist ein Standardformular zu verwenden, das in allen Mitgliedstaaten einheitlich ist.

Verzicht auf Kundeninformation bei Verwendung technischer Schutzmassnahmen
Darüber hinaus will die Kommission die Unternehmen dazu bewegen, Personendaten zu verschlüsseln. Sie wird zu diesem Zweck gemeinsam mit der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) eine Liste mit Beispielen für technische Schutzmassnahmen (z.B. Verschlüsselungstechniken) veröffentlichen, mit deren Hilfe Daten für Unbefugte unzugänglich gemacht werden können.

Sofern ein Unternehmen eine solche Technik anwendet und trotzdem von einer Datenschutzverletzung betroffen ist, gelten spezielle Vorschriften. Das Unternehmen ist in solchen Fällen von der Pflicht befreit, seine Kunden zu benachrichtigen, weil die Kundendaten in einem solchen Vorfall nicht tatsächlich offengelegt würden.

Weitere Informationen:

Ansprechpartner: Lukas Bühlmann


Artikel teilen



meistgelesen


Highlights

MLL Legal

MLL Legal ist eine der führenden Anwaltskanzleien in der Schweiz mit Büros in Zürich, Genf, Zug, Lausanne, London und Madrid. Wir beraten unsere Klienten in allen Bereichen des Wirtschaftsrechts und zeichnen uns insbesondere durch unsere erstklassige Branchenexpertise in technisch-innovativen Spezialgebieten, aber auch in regulierten Branchen aus.

MLL Meyerlustenberger Lachenal Froriep

Newsletter

MLL-News 03/22 mit Beiträgen zum Digital Markets Act, Digital Services Act, PBV-Revision, Abmahnungen zu Google Fonts, Inbox-Adverting und vieles mehr.

Zugang MLL-News 03/22

Jetzt anmelden!

Unsere Geschichte

MLL Legal ist eine führende Schweizer Anwaltskanzlei, deren Geschichte bis ins Jahr 1885 zurückreicht. Die Kanzlei ist sowohl organisch als auch durch strategische Fusionen gewachsen, von denen die Jüngste am 1. Juli 2021 zwischen Meyerlustenberger Lachenal und FRORIEP vollzogen wurde.

Durch diesen Zusammenschluss hat sich MLL Legal zu einer der grössten Wirtschaftskanzleien der Schweiz mit über 150 Anwältinnen und Anwälten in vier Büros in der Schweiz entwickelt. Auch zwei Büros im Ausland, in London und Madrid, bieten Anlaufstellen vor Ort für Klientinnen und Klienten, die Beratung im Schweizer Wirtschaftsrecht suchen.

Die Kanzlei verfügt heutzutage über ein starkes internationales Profil und ein langjährig aufgebautes globales Netzwerk. MLL Legal vereint anerkannte Führungsqualitäten und Fachwissen in allen Bereichen des Schweizer und internationalen Wirtschaftsrechts.

Über uns

Publikationen

Hier geht’s zu unseren neuesten Publikationen

COVID-19

Lesen Sie alle unsere rechtlichen Updates zu den Auswirkungen von COVID-19 für Unternehmen.

COVID-19 Information

Offene Stellen

Sind Sie auf der Suche nach einer neuen Herausforderung?

Unsere talentierten und ambitionierten Teams sind von einer gemeinsamen Vision motiviert, erfolgreich zu sein. Wir schätzen eine offene und unkomplizierte Kommunikation über alle Ebenen der Organisation hinweg in einem unterstützenden Arbeitsumfeld.

Offene Stellen

Real Estate Legal Update

Hier gehts zum Real Estate Legal Update 02/22 mit Fokus auf der Energiewende. Wir beschäftigen uns mit der Anpassung des Energiegesetzes und der Umsetzung in den Kantonen Genf und Zürich. Abgerundet wird das Thema mit einem Beitrag zu Solaranlagen. Ergänzt wird unser Update durch Beiträge zum Bauarbeitengesetz, zum L-QIF und zu steuerlichen Überlegungen zu Umstrukturierungen von Immobilienportfolios.

Registrieren Sie sich hier, um unser 2 x jährlich erscheinendes Real Estate Legal Update zu erhalten.

Unser Team

Unsere über 150 Anwältinnen und Anwälte unterstützen Sie dabei, den regulatorischen und technologischen Anforderungen im modernen globalen Wirtschaftsleben erfolgreich zu begegnen und ihre wirtschaftlichen Chancen zu nutzen.

Unser Team

Revision DSG

Auf unserer Themenseite rund um die Revision des Schweizerischen Datenschutzgesetzes finden Sie regelmässig aktualisierte und umfassende Informationen und Hilfsmittel. Es ist uns ein Anliegen, Sie bei der Implementierung der neuen Vorgaben zu unterstützen.

Revision DSG Themenseite

MLL Legal on Social Media

Folgen Sie uns auf LinkedIn, Twitter und Instagram.