14. Jan. 2011

ENISA-Bericht zu Data-Breach-Notifications

Die European Network and Information Security Agency (ENISA) hat heute einen Bericht über Meldungen zu Verletzungen der Datensicherheit veröffentlicht. Die Forderung der EU nach solchen "Data Breach Notifications" (DBN) im Bereich der elektronischen Kommunikation ist in der E-Privacy-Richtlinie (2002/58/EG) enthalten und trage "entscheidend zur langfristigen Verbesserung der Datensicherheit in Europa bei". Die Einführung einer DBN-Forderung im Bereich der elektronischen Kommunikation sei zudem auch wichtig, um den Bürgern zu vermitteln, dass ihre Daten von den Anbietern geschützt werden. Der geschäftsführende ENISA-Direktor Prof. Udo Helmbrecht kommentierte hierzu: "Das Vertrauen der Bürger zu gewinnen und zu erhalten, dass ihre Daten sicher und geschützt sind, ist ein wichtiger Faktor für die zukünftige Entwicklung und die Einführung neuer Technologie und Internet-Dienstleistungen in ganz Europa."

Die Agentur habe sich daher einen Überblick über die aktuelle Situation verschafft, indem sie die nationalen Datenschutzbehörden (Data Protection Authorities, DPAs) und einen repräsentativen Querschnitt einschlägiger Telekommunikations-Unternehmen befragte. Der TK-Sektor erkenne durchaus an, dass die DBN eine wichtige Rolle für den Schutz von Daten und Privatsphäre spielen, resümiert die ENISA. Dennoch suchen die Betreiber sowohl bei der EU als auch auf lokaler Ebene noch nach Klarstellungen dazu, wie die DBN-Anforderungen richtig zu erfüllen sind. Die Erwartungen der Aufsichtsbehörden und der Betreiber überlappen sich zwar in den meisten Fällen, doch gebe es auch einige wesentliche Differenzen.

Zu den wichtigsten identifizierten Problemen gehören unter anderem:

  • Risikopriorisierung: Die Schwere der Verletzung sollte das Niveau der Antwort bestimmen; verschiedene Risikostufen könnten einer "Meldungsmüdigkeit" vorbeugen.
  • Ressourcen: Manche Aufsichtsbehörden sind schon heute mit anderen Aufgaben vollauf beschäftigt.
  • Durchsetzung: Aufsichtsbehörden benötigen Sanktionsvollmacht, um die Regelungen besser durchzusetzen.
  • Übermäßige Verzögerungen bei der Berichterstattung: Die Aufsichtsbehörden wünschen sich kurze Fristen für die Meldung von Datenschutz- und -sicherheitsbrüchen – Anbieter möchten hingegen ihre Ressourcen (zunächst) auf die Lösung der Probleme konzentrieren können.
  • Inhalt der Meldungen: Betreiber wollen sicherstellen, dass die Inhalte von DBN-Meldungen sich nicht negativ auf ihre Kundenbeziehungen auswirken – Aufsichtsbehörden fordern hingegen die Bereitstellung aller notwendigen Informationen.

Im laufenden Jahr will die ENISA Ausführungsanweisungen zur technischen Implementierung und zu den Verfahren erstellen, die § 4 der EG-Richtlinie 2002/58/EC beschreibt. Zudem wolle man die Möglichkeit analysieren, die DBN-Pflicht auch auf andere Bereiche auszudehnen, zum Beispiel auf den Finanzsektor, das Gesundheitswesen und Kleinunternehmen. Dies solle unter anderem auf einem von der ENISA organisierten Workshop am 24. Januar 2011 in Brüssel diskutiert werden. Der vollständige 38-seitige DBN-Bericht steht im Internet unter www.enisa.europa.eu/act/it/dbn als PDF zum Download bereit.

zurück