Die europäische Kommission hat neue Regelungen für die Meldepflicht von Telekommunikations- und Netz-Providern erlassen, falls deren Kundendaten durch eine Sicherheitslücke kompromittiert wurden. Die betroffenen Unternehmen müssen bei einem Sicherheitsleck innerhalb von 24 Stunden die zuständigen nationalen Behörden informieren.
Bei der ersten Meldung sind keine vollständigen Informationen über den Vorfall nötig, es müssen nur Informationen über den Umfang der Sicherheitslücke erfolgen. Ein umfassender Bericht, über die Art von Daten die betroffen sind und welche Gegenmaßnahmen ergriffen wurden, muss aber innerhalb von drei Tagen nachgereicht werden. Bei den Überlegungen, ob und wie die Kunden informiert werden, sollten die Unternehmen berücksichtigen, was genau kompromittiert wurde und angemessen handeln. Es ist schon ein großer Unterschied ob Verbindungsprotokolle oder Finanzdaten abhandengekommen sind.
Laut ihrer Mitteilung will die europäische Kommission zu einer generellen Verschlüsselung der Kundendaten anregen. Eine Liste mit verschiedenen Verschlüsselungstechniken soll zusammen mit der europäischen Sicherheitsagentur ENISA veröffentlicht werden. Unternehmen, die verschlüsseln, müssten ihre Kunden bei Datenlecks dann nicht mehr informieren, weil ein Sicherheitsleck bei verschlüsselten Daten die Kundendaten nicht zwangsläufig offenlegt.
Eine seit 2011 bestehende, allgemeine Informationspflicht für Provider, wird durch diese neuen Regelungen präzisiert. EU-Parlament und EU-Rat haben diese Vorgaben bereits durchgewinkt, eine Umsetzung in nationales Recht währe somit nicht mehr nötig.
National gibt es zur Zeit aber auch Pläne zu einer Gesetzgebung für Meldepflichten. Insbesondere die Betreiber von kritischen Infrastrukturen wie Energieversorger sind von diesen Plänen betroffen. Ein Gesetzentwurf des Bundesinnenministeriums liegt seit März diesen Jahres vor. Berichten zufolge lehnt aber das Wirtschaftsministerium den Entwurf ab. Außerdem äußerten sich verschiedene Wirtschaftsvertreter kritisch zu einer gesetzlichen Regelung und plädierten für freiwillige Initiativen.
Wir halten eine gesetzliche Regelung für sinnvoll, weil diese für alle Unternehmen gilt, keiner kann sich "freiwillig" herausreden.