USA: Equifax zahlt nach Datenklau bis zu $ 700 Millionen als Settlement

von Dr. Axel Spies, veröffentlicht am 23.07.2019

Die USA stehen bei vielen in dem Ruf, dass die US-Behörden lasch oder zu nachsichtig mit dem Datenschutz umgehen. Zumindest für den Bruch der Datensicherheit ist das weit gefehlt. Equifax, eine der größten Wirtschaftsauskunfteien der USA, hat sich bereit erklärt, bis zu $ 700 Mio. als Kompensation/Strafe für einen Datenklau zu zahlen (vgl. Settlement v. 22.07.19 hier). Hierauf verständigte sich das Unternehmen mit der Federal Trade Commission (FTC), der Verbraucherschutzbehörde CFPB und Vertretern fast aller US-Bundesstaaten.

Das Unternehmen hatte im September 2017 zugeben müssen, dass bei einem Hack sensible Daten von fast 150 Mio. US-Amerikanern abgegriffen wurden anhand derer Equifax die Kreditwürdigkeit berechnet. So gelangten die unbekannten Täter an Namen, die lebenslang gültigen Sozialversicherungsnummern, Geburtsdaten, Adressen und teilweise auch Führerscheindaten. Die US-Behörden hatten dem Unternehmen vorgeworfen, nicht genug getan zu haben, um die eigenen Systeme zu schützen.

Im Zuge der Einigung (Settlement) muss Equifax für folgende Maßnahmen tief in die Tasche greifen:

  • Es muss rund $ 380 Mio. in einen „Topf“ einzahlen;

  • aus dem Topf die betroffenen Kunden sowie vor allem eine Kreditüberwachung finanzieren, um so verdächtige Aktivitäten wie etwa Kreditkartenbetrug, frühzeitig zu entdecken;

  • Kunden, die als Konsequenz des Datenabgriffs bereits einen solchen Dienst gebucht haben, die Kosten hierfür erstatten;

  • allen US-Kunden ab 2020 jährlich für sieben Jahre eine kostenlose Bonitätsauskunft zur Verfügung stellen;

  • weitere $ 125 Mio. vorhalten, für den Fall, dass das Geld hierfür nicht ausreicht;

  • $ 100 Mio. US-Dollar an das CFPB als Strafe zahlen sowie

  • $ 175 Mio. US-Dollar Strafe an insgesamt 48 US-Bundesstaaten zahlen.

Für die FTC ist das Settlement ein Paradefall, um andere Unternehmen vor ähnlichen schweren Folgen zu warnen (vgl. die FTC-Warnhinweise und Leitlinien hier): "Es kann für euch teuer werden!" Näher zur Situation in Deutschland bei Spies in Forgó/Helfrich/Schneider, Betr. Datenschutz (3. Aufl.), Teil 1 Kap. 1. Der deutsche Begriff "Datenpanne" verniedlicht das Problem (ebd. Rn. 2). 

Auch im europäischen und deutschen Rechtskreis besteht über Art. 82 DSGVO die Möglichkeit, dass betroffene Unternehmen wegen Missbrauchs ihrer personenbezogenen Daten auf Schadensersatz verklagt werden können. Bislang scheint diese jedoch noch keine große Rolle gespielt zu haben. Sind Ihnen derartige Fälle innerhalb Europas bekannt?

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

Kommentare als Feed abonnieren

Kommentar hinzufügen