Maximilian Schubert ©Wilke / ISPA
Datenschutz. Die Datenschutzbehörde hat den selbstentwickelten Code of Conduct der Internetprovider (ISPs) genehmigt: Er regelt DSGVO-Themen von der Auskunftspflicht bis zum Verhalten bei Hackerangriffen.
Die im Mai 2018 in Kraft getretene Datenschutzgrundverordnung (DSGVO) hat strengere Regeln und neue Verpflichtungen für Unternehmen, aber vor allem auch weit gefasste Rechte für ihre Kunden gebracht. „Als zukunftsorientierte Branche haben wir sehr bald erkannt, dass die DSGVO einen breiten Rahmen vorgibt, die konkrete Ausgestaltung vieler Vorgaben in der Praxis jedoch sehr schwierig ist“, meint Maximilian Schubert, Generalsekretär der ISPA.
Das habe den Dachverband der Internetwirtschaft bereits im Herbst 2017 dazu bewogen, einen sogenannten Code of Conduct für Internet Service Provider auszuarbeiten und so seine Mitglieder bei dieser Aufgabe zu unterstützen. „Wir waren mit unserer Eingabe bei der Datenschutzbehörde um 00:07 Uhr des 25. Mai 2018 – dem Stichtag, an dem die DSGVO europaweit gültig wurde – wohl auch die ersten, die ihren Entwurf eingereicht haben“, zeigt sich Schubert stolz (er müsste dabei eigentlich Max Schrems begegnet sein, der gerade seine Klagen gegen Facebook und Google einbrachte, Anm. d. Red.).
Wie machen wir das in der Praxis?
Das Regelwerk soll Unternehmen und Betroffene dabei unterstützen, die DSGVO in der Praxis anzuwenden. Die Umsetzung gestaltete sich dann teilweise recht fordernd und durch die breite Diskussion und den Abstimmungsprozess mit der Behörde auch zeitaufwändig, so die ISPA. Der jetzt vorliegende und von der Datenschutzbehörde genehmigte Code of Conduct behandele im Wesentlichen zwei Bereiche:
- Zum einen wird das datenschutzrechtliche Verhältnis der Betreiber untereinander bei Erbringung von Kommunikationsdiensten erklärt, das sich vor allem aus der sektorspezifischen Regulierung ergibt.
- Zum anderen werden einige Aspekte der Betroffenenrechte näher konkretisiert.
So verweisen etwa die Absätze 1 und 2 des Code of Conduct in der aktuellen Fassung 1.0 darauf, dass das Auskunftsrecht gegenüber einem Internet Service Provider auch noch weiteren Bestimmungen jenseits der DSGVO unterworfen sein kann: „Die Bereitstellung und Übermittlung von Verkehrsdaten erfolgt ausschließlich auf Grundlage der Spezialnormen des Materiengesetzes. Demnach dürfen Verkehrsdaten gemäß § 99 TKG vom ISP außer in den darin geregelten Fällen nicht gespeichert oder übermittelt werden. Dem Recht auf Auskunft nach gespeicherten Verkehrsdaten wird daher ausschließlich durch die Übermittlung des Einzelgesprächsnachweises gemäß § 101 TKG an den Kunden entsprochen.“
Ebenfalls ein wichtiger Punkt: „Vom Auskunftsrecht jedenfalls nicht erfasst sind Informationen über Datenübermittlungen an Behörden im Rahmen ihrer Aufsichtsfunktion sowie an Strafverfolgungsbehörden, welche Daten etwa im Rahmen einer Inhaltsüberwachung übermittelt werden müssen.“
Öffentliche Bekanntmachung bei Data Breaches
Besonders spannend sind die Bestimmungen bei Data Breaches, also Im Falle eines Sicherheitsvorfalls, der zu einer Verletzung des Schutzes personenbezogener Daten führt. „Die unterzeichnenden Unternehmen übermitteln unverzüglich, spätestens jedoch innerhalb von 24h, eine Benachrichtigung an die Datenschutzbehörde (Data Breach Notification)“, schreibt die Grundregel Tempo vor.
Unterlässt der ISP eine Benachrichtigung, so muss er die Gründe im Rahmen seiner Dokumentationspflicht festhalten. Sofern die Verletzung des Schutzes personenbezogener Daten mit hoher Wahrscheinlichkeit zu einem materiellen oder immateriellen Schaden des Betroffenen führt übermittelt der ISP zusätzlich zu Pkt 1. eine Benachrichtigung an den Betroffenen.
„Sofern von dem Data-Breach eine hohe Anzahl an Nicht-Vertragskunden betroffen ist, wird der ISP diese mittels öffentlicher Bekanntmachung des Data Breaches informieren“, wird ebenfalls vorgeschrieben. Dann folgt eine Reihe von Bemessungskriterien für die Gefährlichkeit eines Data Breaches:
- Verlust der Kontrolle über die Daten
- Diskriminierung
- Identitätsdiebstahl oder -betrug
- finanzielle Verluste
- unbefugte Aufhebung der Pseudonymisierung
- Rufschädigung
- Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten
Hohes Risiko sei jedenfalls dann anzunehmen, wenn „unverkürzte Kreditkartennummern, Passwörter oder Kommunikationsinhalte betroffen sind“, so der CoC der ISPA.
Viel Arbeit für die Profis
„Großer Dank gebührt in diesem Zusammenhang allen Mitgliedern unserer Arbeitsgruppe Datenschutz, die unter der Leitung von ISPA Vorständin Natalie Ségur-Cabanac in zahlreichen Sitzungen und in mehrmaligen Abstimmungen mit der Datenschutzbehörde die Verhaltensregeln erarbeitet haben. Wir freuen uns sehr, dass wir mit dem erfolgreichen Abschluss des Projekts etwas Einzigartiges in Europa geschaffen haben und hiermit Betreibern aller Größen in Österreich ein wertvolles Hilfsmittel zur Verfügung stellen können“, fasst Schubert die Arbeiten zusammen.
Dass die ISPA mit diesem Code of Conduct auch im europäischen Kontext federführend agiere, zeige das Interesse zahlreicher anderer Verbände aus dem In- und Ausland, die diesbezüglich mit dem österreichischen Providerverband Kontakt aufgenommen haben. Der Code of Conduct steht bei der ISPA in Deutsch und Englisch zum Download zur Verfügung.
Link: ISPA (Code of Conduct)
