USA: Pflichtmitteilungen bei Bruch der Datensicherheit - kommt endlich ein Bundesgesetz?
von , veröffentlicht am 13.05.2011In Deutschland gibt es schon eine relative eng begrenzte Pflicht von Unternehmen, die Betroffen bei einem Bruch der Datensicherheit (erfolgreicher Hackerangriff, Datendiebstahl, Verlust von Datenträgern ) zu benachrichtigen. Siehe den 2009 neu verabschiedeten §42a BDSG: Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten. Die Diskussion, inwieweit diese Pflicht gesetzlich ausgeweitet werden soll, dauert an. Aus naheliegenden Gründen wehrt sich die Industrie mit Händen und Füßen dagegen.
In den USA gibt es sein einigen Jahren ein ganzes Netz von bundesstaatlichen Data Breach Laws, die sehr uneinheitlich sind und den Unternehmen einige juristische Kopfschmerzen bereiten.
Die Obama-Administration hat heute ihren schon länger erwarteten Gesetzesvorschlag für eines Bundesgesetzes zum Bruch der Datensicherheit vorgelegt, das die unterschiedlichen Gesetze durch ein US-Bundesgesetz vereinheitlichen würde. Die Gesetzesinitiative ist ein wichtiger Bestandteil einer umfassenden CyberSicherheit-Gesetzgebungsinitiative, die das Weiße Haus kürzlich vorgestellt hat.
Ausgenommen vom Gesetz sind die Organisationen des Gesundheitswesens und deren Geschäftspartner, die bereits mit dem HITECH-Gesetz konkrete Meldepflichten erfüllen müssen. Außerdem gibt es eine Schwelle für die Organisationen, bevor die Vorschriften zur Anwendung gelangen: Sie müssen mindestens Daten von 10.000 Individuen über einen Zeitraum von 12 Monaten übertragen, speichern, veräußern oder. Ein Bruch der Datensicherheit muss der Federal Trade Commission und den betroffenen Individuen angezeigt werden. Dafür ist ein Zeitraum von 60 tagen vorgesehen, der auf Antrag um noch mal 30 Tage verlängert werden kann, wenn weitere Untersuchungen erforderlich sind.
Der Gesetzesvorschlag legt den Begriff des Bruchs der Datensicherheit weit aus: „a compromise of the security, confidentiality or integrity of, or the loss of, computerized data" that results in "unauthorized acquisition of sensitive personally identifiable information or access to that information that is for an unauthorized purpose:”
Sollten die Meldepflichten in Deutschland erweitert werden und wenn ja wie?
Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben