§ 95a TKG 2003 Sicherheitsverletzungen

Telekommunikationsgesetz 2003

Versionenvergleich

Information zum Versionenvergleich

Mit den nachstehenden Auswahlboxen können Sie zwei Versionen wählen und diese miteinander vergleichen. Zusätzlich erlaubt Ihnen dieses Tool eine Hervorhebung der Änderungen vorzunehmen und diese einerseits separat und andererseits in Form eines zusammengeführten Texts anzuzeigen.

Legende:
Ein grün hinterlegter Text zeigt eine neu hinzugekommene Passage im linken Textcontainer an.
Ist eine Textpassage rot hinterlegt, ist diese in der linken Box weggefallen.


Aktuelle Fassung

In Kraft vom 01.12.2018 bis 31.12.9999

(1) Im Fall einer Verletzung des Schutzes personenbezogener Daten hat unbeschadet des § 16a sowie unbeschadet der Bestimmungen des Datenschutzgesetzes 2000 und der DSGVO der Betreiber öffentlicher Kommunikationsdienste unverzüglich die Datenschutzbehörde von dieser Verletzung zu benachrichtigen. Ist anzunehmen, dass durch eine solche Verletzung Personen in ihrer Privatsphäre oder die personenbezogenen Daten selbst beeinträchtigt werden, hat der Betreiber auch die betroffenen Personen unverzüglich von dieser Verletzung zu benachrichtigen.

(2) Der Betreiber öffentlicher Kommunikationsdienste kann von einer Benachrichtigung der betroffenen Personen absehen, wenn der Datenschutzbehörde nachgewiesen wird, dass er geeignete technische Schutzmaßnahmen im Sinne der Verordnung (EU) 611/2013 über die Maßnahmen für die Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten gemäß der Richtlinie 2002/58/EG, ABl. Nr. L 173 vom 26.06.2013 S.2 (VO 611/2013) getroffen hat und dass diese Maßnahmen auf die von der Sicherheitsverletzung betroffenen Daten angewendet worden sind. Diese technischen Schutzmaßnahmen müssen jedenfalls sicherstellen, dass die Daten für unbefugte Personen nicht zugänglich sind.

(3) Unbeschadet der Verpflichtung des Betreibers nach Abs. 1 zweiter Satz kann die Datenschutzbehörde den Betreiber öffentlicher Kommunikationsdienste – nach Berücksichtigung der wahrscheinlichen nachteiligen Auswirkungen der Verletzung – auch auffordern, eine Benachrichtigung durchzuführen.

(4) InDer Inhalt der Benachrichtigung an dieder betroffenen Personen sind jedenfalls diehat Art. 3 der Verletzung des Schutzes personenbezogener DatenVO 611/2013 zu beschreiben, Kontaktstellen zu nennen, bei denen weitere Informationen erhältlich sind, und Maßnahmen zur Begrenzung der möglichen nachteiligen Auswirkungen der Verletzung des Schutzes personenbezogener Daten zu empfehlen. In der Benachrichtigung an die Datenschutzbehörde sind zusätzlich die Folgen der Verletzung des Schutzes personenbezogener Daten und die vom Betreiber öffentlicher Kommunikationsdienste nach der Verletzung vorgeschlagenen oder ergriffenen Maßnahmen darzulegenentsprechen.

(5) Nähere Einzelheiten, insbesondere Form, Verfahrensweise oder Voraussetzungen für die Benachrichtigung bei einer Sicherheitsverletzung, kann der Bundeskanzler durch Verordnung festlegen. Die Datenschutzbehörde kann im Einzelfall auch entsprechende Anordnungen treffen, um eine den Auswirkungen der Sicherheitsverletzung angemessene Benachrichtigung der betroffenen Personen sicherzustellen. Sie kann auch Leitlinien im Zusammenhang mit Sicherheitsverletzungen erstellen.

(6) Die Betreiber öffentlicher Kommunikationsdienste haben ein Verzeichnis der Verletzungen des Schutzes personenbezogener Daten zu führen. Es hat Angaben zu den Umständen der Verletzungen, zu deren Auswirkungen und zu den ergriffenen Abhilfemaßnahmen zu enthalten und muss geeignet sein, der Datenschutzbehörde die Prüfung der Einhaltung der Bestimmungen gemäß Abs. 1 bis 4 zu ermöglichen.

(7) Die Datenschutzbehörde hat die Regulierungsbehörde über jene Sicherheitsverletzungen zu informieren, die für die Erfüllung der der Regulierungsbehörde durch § 16a übertragenen Aufgaben notwendig sind.

Stand vor dem 30.11.2018

In Kraft vom 01.01.2014 bis 30.11.2018

(1) Im Fall einer Verletzung des Schutzes personenbezogener Daten hat unbeschadet des § 16a sowie unbeschadet der Bestimmungen des Datenschutzgesetzes 2000 und der DSGVO der Betreiber öffentlicher Kommunikationsdienste unverzüglich die Datenschutzbehörde von dieser Verletzung zu benachrichtigen. Ist anzunehmen, dass durch eine solche Verletzung Personen in ihrer Privatsphäre oder die personenbezogenen Daten selbst beeinträchtigt werden, hat der Betreiber auch die betroffenen Personen unverzüglich von dieser Verletzung zu benachrichtigen.

(2) Der Betreiber öffentlicher Kommunikationsdienste kann von einer Benachrichtigung der betroffenen Personen absehen, wenn der Datenschutzbehörde nachgewiesen wird, dass er geeignete technische Schutzmaßnahmen im Sinne der Verordnung (EU) 611/2013 über die Maßnahmen für die Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten gemäß der Richtlinie 2002/58/EG, ABl. Nr. L 173 vom 26.06.2013 S.2 (VO 611/2013) getroffen hat und dass diese Maßnahmen auf die von der Sicherheitsverletzung betroffenen Daten angewendet worden sind. Diese technischen Schutzmaßnahmen müssen jedenfalls sicherstellen, dass die Daten für unbefugte Personen nicht zugänglich sind.

(3) Unbeschadet der Verpflichtung des Betreibers nach Abs. 1 zweiter Satz kann die Datenschutzbehörde den Betreiber öffentlicher Kommunikationsdienste – nach Berücksichtigung der wahrscheinlichen nachteiligen Auswirkungen der Verletzung – auch auffordern, eine Benachrichtigung durchzuführen.

(4) InDer Inhalt der Benachrichtigung an dieder betroffenen Personen sind jedenfalls diehat Art. 3 der Verletzung des Schutzes personenbezogener DatenVO 611/2013 zu beschreiben, Kontaktstellen zu nennen, bei denen weitere Informationen erhältlich sind, und Maßnahmen zur Begrenzung der möglichen nachteiligen Auswirkungen der Verletzung des Schutzes personenbezogener Daten zu empfehlen. In der Benachrichtigung an die Datenschutzbehörde sind zusätzlich die Folgen der Verletzung des Schutzes personenbezogener Daten und die vom Betreiber öffentlicher Kommunikationsdienste nach der Verletzung vorgeschlagenen oder ergriffenen Maßnahmen darzulegenentsprechen.

(5) Nähere Einzelheiten, insbesondere Form, Verfahrensweise oder Voraussetzungen für die Benachrichtigung bei einer Sicherheitsverletzung, kann der Bundeskanzler durch Verordnung festlegen. Die Datenschutzbehörde kann im Einzelfall auch entsprechende Anordnungen treffen, um eine den Auswirkungen der Sicherheitsverletzung angemessene Benachrichtigung der betroffenen Personen sicherzustellen. Sie kann auch Leitlinien im Zusammenhang mit Sicherheitsverletzungen erstellen.

(6) Die Betreiber öffentlicher Kommunikationsdienste haben ein Verzeichnis der Verletzungen des Schutzes personenbezogener Daten zu führen. Es hat Angaben zu den Umständen der Verletzungen, zu deren Auswirkungen und zu den ergriffenen Abhilfemaßnahmen zu enthalten und muss geeignet sein, der Datenschutzbehörde die Prüfung der Einhaltung der Bestimmungen gemäß Abs. 1 bis 4 zu ermöglichen.

(7) Die Datenschutzbehörde hat die Regulierungsbehörde über jene Sicherheitsverletzungen zu informieren, die für die Erfüllung der der Regulierungsbehörde durch § 16a übertragenen Aufgaben notwendig sind.

Sofortabfrage ohne Anmeldung!

Jetzt Abfrage starten