Eine neue Regelung auf EU-Ebene verpflichtet Telekommunikations-Unternehmen und Internet-Provider zukünftig schneller und umfassender über Sicherheits-Vorfälle zu informieren.
Entsprechende Vorschriften hat die EU-Kommission jetzt erlassen. Diese "technischen Durchführungsmaßnahmen" sollen gewährleisten, dass Verbraucher überall in der EU im Falle einer Verletzung des Datenschutzes gleich behandelt werden und dass Unternehmen einen für die gesamte EU geeigneten Problemlösungsansatz verfolgen können, wenn sie in mehr als einem Land tätig sind, hieß es aus Brüssel.
Die betroffenen Unternehmen sind demnach nun verpflichtet, Sicherheitslecks binnen maximal 24 Stunden ab der Entdeckung zu beheben. Im gleichen Zeitraum müssen außerdem die jeweils zuständigen nationalen Datenschutz-Behörden über den Vorfall und seinen Umfang informiert werden. Wenn in dieser Zeit keine vollständige Offenlegung möglich ist, seien in dieser Frist zumindest erste Teilinformationen bereitzustellen, wobei die restlichen Informationen innerhalb von drei Tagen nachzureichen sind, so die EU-Verordnung.
Die Provider müssen im Zuge dessen darlegen, welche Daten betroffen sind, welche Maßnahmen ergriffen wurden beziehungsweise noch durchgeführt werden sollen. Dafür werden seitens der staatlichen Stellen entsprechende Standardformate bereitgestellt. Weiterhin sind betroffene Kunden differenziert und ebenfalls nach vorgegebenen Mustern darüber zu informieren, zu welchen Informationen Unbefugte Zugang hatten.
Man wolle die Unternehmen außerdem dazu bewegen, personenbezogene Daten zu verschlüsseln, so die EU-Kommission. Seitens Brüssels werde man in Zusammenarbeit mit der europäischen Agentur für Netz- und Informationssicherheit (ENISA) Standards für technische Schutzmaßnahmen wie Verschlüsselungstechniken bereitstellen. Geht ein Unternehmen nach diesen Maßnahmen vor, ist es von der Pflicht, seine Kunden zu benachrichtigen, befreit, weil die Kundendaten bei einem solchen Vorfall nicht tatsächlich offengelegt würden, so nimmt man es zumindest in Brüssel an.
Quelle: Winfuture
Entsprechende Vorschriften hat die EU-Kommission jetzt erlassen. Diese "technischen Durchführungsmaßnahmen" sollen gewährleisten, dass Verbraucher überall in der EU im Falle einer Verletzung des Datenschutzes gleich behandelt werden und dass Unternehmen einen für die gesamte EU geeigneten Problemlösungsansatz verfolgen können, wenn sie in mehr als einem Land tätig sind, hieß es aus Brüssel.
Die betroffenen Unternehmen sind demnach nun verpflichtet, Sicherheitslecks binnen maximal 24 Stunden ab der Entdeckung zu beheben. Im gleichen Zeitraum müssen außerdem die jeweils zuständigen nationalen Datenschutz-Behörden über den Vorfall und seinen Umfang informiert werden. Wenn in dieser Zeit keine vollständige Offenlegung möglich ist, seien in dieser Frist zumindest erste Teilinformationen bereitzustellen, wobei die restlichen Informationen innerhalb von drei Tagen nachzureichen sind, so die EU-Verordnung.
Die Provider müssen im Zuge dessen darlegen, welche Daten betroffen sind, welche Maßnahmen ergriffen wurden beziehungsweise noch durchgeführt werden sollen. Dafür werden seitens der staatlichen Stellen entsprechende Standardformate bereitgestellt. Weiterhin sind betroffene Kunden differenziert und ebenfalls nach vorgegebenen Mustern darüber zu informieren, zu welchen Informationen Unbefugte Zugang hatten.
Man wolle die Unternehmen außerdem dazu bewegen, personenbezogene Daten zu verschlüsseln, so die EU-Kommission. Seitens Brüssels werde man in Zusammenarbeit mit der europäischen Agentur für Netz- und Informationssicherheit (ENISA) Standards für technische Schutzmaßnahmen wie Verschlüsselungstechniken bereitstellen. Geht ein Unternehmen nach diesen Maßnahmen vor, ist es von der Pflicht, seine Kunden zu benachrichtigen, befreit, weil die Kundendaten bei einem solchen Vorfall nicht tatsächlich offengelegt würden, so nimmt man es zumindest in Brüssel an.
Quelle: Winfuture