Archiv der Kategorie: Regulierung

Beiträge zu regulierungsrechtlichen Fragestellungen

Handbuch zum europäischen Datenschutzrecht aktualisiert und übersetzt

Veröffentlicht am von

Die Agentur der Europäischen Union für Grundrechte und der Europarat haben zusam­men mit der Kanzlei des Europäischen Gerichtshofes für Menschenrechte ein Handbuch zum europäischen Datenschutz erarbeitet. Dieses Handbuch wurde nunmehr aktualisiert und in verschiedene Sprachen übersetzt. Es ist unter anderem in deutscher Sprache und auf Englisch verfügbar.

Inhalt und Ziel des etwa 200 Seiten umfassenden Handbuchs werden aus dem Vorwort deutlich, wo es heißt:

„Ziel dieses Handbuchs ist es, Bewusstsein zu schaffen und über die Datenschutz­vorschriften in den EU-Mitgliedstaaten und des Europarates aufzuklären, das Wissen darüber zu erweitern und als Nachschlagewerk schlechthin für dieses Thema zu die­nen. Es richtet sich an Angehörige der Rechtsberufe, die nicht unbedingt Fachleute für dieses Thema sind, an Richter, nationale Datenschutzbehörden und andere im Datenschutz Tätige.“

Bundesbeauftragte für Datenschutz beanstandet Nichteinhaltung der Meldepflichten

Veröffentlicht am von

Wie golem.de am 12.05.2014 berichtete, hat die Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI), Andrea Voßhoff, die Nichteinhaltung der Meldepflicht bei Datenschutzverstößen nach § 42 BDSG und § 109a TKG seitens der Unternehmen kritisiert und gleichzeitig – zumindest indirekt – die Bundesnetzagentur (BNetzA) zur Verhängung von Bußgeldern aufgefordert. Die BfDI beanstandet, dass in der Presse über Unternehmen berichtet wird, bei denen es zu einer Verletzung des Schutzes/ geschützter personenbezogener Daten gekommen sei, gleichzeitig eine Meldung darüber an BNetzA und BfDI seitens der Unternehmen jedoch nicht erfolgte.

Hotspot-Betreiber müssen Datenschutzverstöße nach § 109a BDSG melden. Wichtig ist insoweit, dass die Regelung eine Meldepflicht für jegliche Datenschutzverstöße vorsieht. Es ist gerade nicht erforderlich, dass es sich um einen besonders schweren Verstoß handelt oder bestimmte Kategorien von Daten betroffen sind. Vielmehr hat bereits bei der fehlgeleiteten Rechnungsinformation eine Meldung an BfDI und BNetzA für den Datenschutz und die Informationssicherheit zu erfolgen. Für die (Erst-) Meldung gilt dabei eine Frist von 24 Stunden. Erfolgt eine Meldung nicht, so droht ein Bußgeld von bis zu € 300.000.

Hotspot-Betreiber sollten daher sicherstellen, dass diese Verpflichtung innerhalb des Unternehmens bekannt ist. Die derzeitige Anzahl von Meldungen spricht dafür, dass entweder eine entsprechende Kenntnis über die Meldepflicht noch nicht besteht oder die Verpflichtung vielfach ignoriert wird. Zudem ist ein Prozess für die Meldung zu etablieren. Hierbei helfen zum Beispiel die Leitlinien der Bundesnetzagentur. Eine Meldepflicht kann sich auch aus der – weitgehend parallelen – Verordnung 611/2013 über die Maßnahmen für die Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten ergeben.

Security Breach Notification – Meldepflicht(en) bei Router-Hacking?

Veröffentlicht am von

Rechtliche Ausgangssituation

Die Regelung des § 109a TKG sieht vor, dass im Fall einer Verletzung des Schutzes personenbezogener Daten unverzüglich die Bundesnetzagentur (BNetzA) und die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) von der Verletzung zu benachrichtigen sind. Eine Verletzungshandlung liegt bei jedweder unrechtmäßigen Verwendung personenbezogener Daten (Bestands- und Verkehrsdaten) vor. Bei einer schwerwiegenden Verletzung sind zudem die Teilnehmer zu informieren. Weiter hat der Diensteanbieter nach § 93 Abs. 2 TKG in den Fällen, in denen ein besonderes Risiko der Verletzung der Netzsicherheit besteht, die Teilnehmer über dieses Risiko und über mögliche Abhilfen zu unterrichten.

31. Jour Fixe Telekommunikation zu § 93 TKG

Im Rahmen des 31. Jour Fixe Telekommunikation der Bundesbeauftragten für Datenschutz und Informationssicherheit am 27.03.2014 wurde am Rande erörtert, inwieweit aufgrund von Presseberichten über Sicherheitslücken bei Routern für Diensteanbieter eine Meldepflicht gegenüber den Teilnehmern nach § 93 TKG besteht. Es wurde darauf hingewiesen, dass Kunden ohne automatisches Update der Routersoftware über die Gefahr informiert werden sollen. Ob eine datenschutzrechtliche Pflicht zur Information besteht, wurde dabei ausdrücklich offen gelassen.

Dafür, ob eine solche Pflicht besteht, kommt es auf die bisher ungeklärte Frage an, wo der Netzabschlusspunkt zu verorten ist. Ausschlaggebend ist insoweit, ob der Router noch Bestandteil des Netzes ist. Bisher nicht diskutiert wurde dabei die Frage, ob eine Informationspflicht auch aus § 241 Abs. 2 BGB folgen kann. Diese Frage wird hingegen im Zusammenhang mit der Pflicht zur sog. Fraud-Detection, also der Erkennung eines missbräuchlichen Verkehrsaufkommens, regelmäßig diskutiert (vgl. Schuster/Sassenberg, CR 2011, S. 15 (16)).

Folgen für Anbieter von WLAN-Hotspots

Eine Informationspflicht nach § 93 TKG wird für den Hotspot-Betreiber im Fall von Sicherheitslücken regelmäßig nicht gegeben sein. Die Ausgangssituation ist allerdings nicht mit dem „klassischen TK-Anbieter“ vergleichbar, da der WLAN-Router stets integraler Bestandteil des Netzes ist. Insofern ist eine Pflicht zur Information (zunächst) generell zu bejahen. Das Risiko der Verletzung der Netzsicherheit muss nach dem Wortlaut des § 93 Abs. 2 TKG allerdings noch bestehen („…Risiko der Verletzung der Netzsicherheit besteht,…“) und darf damit nicht – z.B. durch Updates – beseitigt worden sein. Dies wird aber nur dann der Fall sein, wenn der Betreiber den Hotspots nicht durch Updates absichern kann.

Für den Hotspot-Betreiber ist insofern insbesondere die Meldepflicht nach § 109a TKG von wesentlicher Bedeutung, welche allerdings eine Verletzung des Schutzes personenbezogener Daten – also das erfolgreiche Hacking eines Routers und den Zugriff auf Bestands- oder Verkehrsdaten – voraussetzt.

Die geplante Single Telecom Market-Verordnung der EU und WLAN

Veröffentlicht am von

Der Rechtsrahmen für den Aufbau und Betrieb von WLANs könnte sich durch einen Verordnungsentwurf der Europäische Kommission wesentlich ändern. Die EU-Kommission hat am 11.09.2013 den Entwurf einer Verordnung zum europäischen Binnenmarkt der elektronischen Kommunikation und zur Verwirklichung des vernetzten Kontinents (sog. Single Market-Verordnung) veröffentlicht. Dieser wurde am 3.4.2014 – mit teilweise erheblichen Änderungen – vom Europäischen Parlament angenommen. Ziel des Entwurfes ist es, durch die Förderungen von Informations- und Kommunikationstechnologien die Wettbewerbsfähigkeit Europas wiederherzustellen.

In den Erwägungsgründen ist im Zusammenhang mit WLANs festgehalten, dass alternative frequenzeffiziente drahtlose Breitbandanschlüsse gefördert werden sollen. Hier spricht die Kommission auch das sog. „data offloading“ an und geht damit wohl davon aus, dass die entsprechenden Verkehre zumindest kurzfristig noch nicht über die Mobilfunknetze abgewickelt werden können. Die Kommission sieht die Möglichkeit, die verfügbaren Kapazitäten zur drahtlosen Datenübertragung dadurch zu maximieren, dass Endnutzer ihre Internetzugänge auch Dritten zugänglich machen. Unnötige Beschränkungen, welche einem Teilen des Internetzugangs entgegenstehen, sollen hierfür abgebaut werden. Behörden und Anbieter öffentlicher Dienste, welche über eine WLAN-Infrastruktur verfügen, sollen Bürgern grds. als Nebenleistung die Möglichkeit des Internetzugangs anbieten. Drahtlose Zugangspunkte – gemeint sind wohl auch WLAN-Router – sollen auf der Grundlage einer Allgemeingenehmigung ohne individuelle Erlaubnis oder Baugenehmigung betrieben werden dürfen.

Diese Erwägungen finden sich insb. in Art. 14 und 15 des Single Market-VO-E wieder. So regelt Art. 14 Single Market-VO-E den Zugang zu lokalen Funknetzen. Danach darf die Bereitstellung des Internetzugangs lediglich an eine Allgemeinverfügung geknüpft werden. Sofern der Endnutzer einwilligt, muss es den Internetprovidern möglich sein, den Zugang des jeweiligen Endenutzers auch weiteren Dritten zur Verfügung zu stellen. Das Recht des Endnutzers, anderen Endnutzern gegenseitig oder generell einen Zugang zu gewähren, darf durch den Provider nicht einseitig beschränkt werden. Öffentliche Behörden müssen den Zugang zu lokalen Funknetzen unter bestimmten Voraussetzungen ermöglichen. Art. 15 Single Market-VO-E regelt die Einrichtung und den Betrieb von WLANs auf der Grundlage einer Allgemeinverordnung.