TK-Transparenzverordnung: Umsetzungsfrist abgelaufen

Zum 1. Dezember ist die Umsetzungsfrist der TK-Transparenzverordnung abgelaufen: Das geänderte Telekommunikationsgesetz (TKG) bringt neue Rechte und Meldepflichten für Anbieter von öffentlich zugänglichen Telekommunikationsdiensten hinsichtlich der IT-Sicherheit mit sich. Geändert wurde es, um die europäische NIS-Richtlinie umzusetzen. So sollen unter anderem die Verbesserung der IT-Sicherheit bei Störungen, Beeinträchtigungen und die Erhöhung der Rechtssicherheit erzielt werden.

Die Änderungen im Überblick:

 

  • 100 TKG

Nach § 100 Abs. 1 Satz 1 TKG dürfen die Anbieter nun mehr Daten erheben und verwenden als zuvor. Bei diesen zusätzlichen Daten handelt es sich um Steuerdaten eines informationstechnischen Protokolls zur Datenübertragung. Klargestellt wird in Satz 2, dass damit keine Kommunikationsinhalte gemeint sind. Es gilt nun eine Berichtspflicht bei manueller Erhebung und Verwendung von Daten an den betrieblichen Datenschutzbeauftragten und Behörden, § 100 Abs. 1 S. 7 TKG.

Die Bundesnetzagentur (BNetzA) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) befinden sich in Abstimmung zum Meldeverfahren hinsichtlich des quartalsweisen Berichts. In den nächsten Wochen soll ein Umsetzungskonzept 4.0 im Amtsblatt veröffentlicht werden. Diese Meldungen der Unternehmen leitet die BNetzA dann selbst an das BSI weiter. Die BNetzA möchte sich sehr am bisherigen Meldeverfahren zu § 109 Absatz 5 TKG orientieren (s. u. Umsetzungskonzept 3.0).

  • 109 TKG

Gem. § 109 Absatz 5 TKG müssen Anbieter nun bei beträchtlichen Sicherheitsverletzungen neben der Bundesnetzagentur jetzt auch selbst das BSI informieren.

Das BSI hat die Umsetzung der Meldepflicht bei beträchtlichen Sicherheitsverletzungen nach § 109 Absatz 5 TKG standardisiert. Die Anbieter von öffentlich zugänglichen TK-Diensten, die nach der Kritis-VO dem BSI bereits eine betriebliche Kontaktstelle melden mussten, können für die Meldungen entsprechend das Melde- und Informationsportal (MIP) des BSI nutzen.

Für Erbringer von öffentlich zugänglichen TK-Diensten, die nicht unter den Schwellenwert des Kritis-VO fallen, empfiehlt das BSI trotzdem auch die Einrichtung und Registrierung einer betrieblichen Kontaktstelle beim Melde- und Informationsportal (MIP) des BSI.

Informationen und Musteranträge finden Sie hier.

Die Meldepflicht bei der Bundesnetzagentur läuft wie bisher (Meldepflicht an BNetzA gilt seit 25.07.2015 - es gibt ein Umsetzungskonzept, Version 3.0, ein Meldeformular und einen Open-PGP-Schlüssel). Mehr Informationen finden Sie hier.

  • 109a TKG

Die Anbieter sind jetzt berechtigt, Daten umzuleiten, um den Nutzer zu informieren, und letztlich die Nutzung eines TK-Dienstes einschränken, umleiten oder unterbinden, um eine Störung zu beseitigen. Der Diensteanbieter ist berechtigt, den Datenverkehr zu Störungsquellen einzuschränken oder zu unter unterbinden. Wichtig zu beachten ist, dass die Anbieter die von den Normen vorgegebene Reihenfolge der möglichen Maßnahmen einhalten und diese Maßnahmen erforderlich sind. Diese Reihenfolge dient der Verhältnismäßigkeit der von Unternehmen ergriffenen Maßnahmen gegenüber dem Nutzer.

Die betreffenden Regelungen im TKG sind bereits Ende Juni in Kraft getreten.