Neues US-Gesetz: Datenklau wird ziemlich teuer

E-GovernmentManagementRegulierung

Daumenschrauben für bessere Absicherung der IT

Im US-Bundesstaat Kalifornien ist jetzt ein Gesetz in Kraft getreten, das die Unternehmen dazu zwingt, ihre Kunden umgehend über Einbrüche in ihre IT-Systeme zu unterrichten. Sobald Unbefugte Zugriff auf die persönlichen Daten bekommen haben – also Name, die Nummer von Sozialversicherung, Führerschein oder Kreditkarte – sind die Firmen verpflichtet, die Betroffenen per Mail oder Brief zu benachrichtigen. Damit ist Kalifornien der erste Bundesstaat, der in dieser Frage aktiv wird.

Schätzungen zufolge wird nur ein geringer Anteil solcher Fälle publik. Die Unternehmen fürchten den damit verbundenen Image-Schaden. Nur rund 20 Fälle wurden in den Vereinigten Staaten im vergangenen Jahr bekannt.

Das kalifornische Gesetz sieht allerdings keine Strafen vor. Sollte es zum Missbrauch der gestohlenen Daten kommen, ohne dass die Kunden informiert wurden, können diese auf Grundlage der neuen Regelung dann aber Schadenersatz einklagen. Wenn die Kosten für die Benachrichtigung eine viertel Million Dollar übersteigen oder aber mehr als eine halbe Million Kunden verständigt werden müssten, können die Firmen auch über die Medien und ihre eigene Website über den Vorfall informieren.

Allerdings erwartet der Gesetzgeber nicht etwa einen deutlichen Anstieg der öffentlich gemachten Datenbank-Einbrüche. Das Gesetz zielt vielmehr darauf ab, den Druck auf die Unternehmen zu erhöhen, besser für die Sicherheit ihrer IT zu sorgen. Verschlüsselung, der Einsatz von Firewalls und ein besserer Schutz gegen Viren und andere Gefahren wurden von den beteiligten Politikern dabei gefordert.

Die kalifornische Senatorin Dianne Feinstein will innerhalb der kommenden beiden Wochen ein entsprechendes Bundesgesetz in Washington einbringen. Parallel dazu läuft bereits ein Gesetzgebungsprozess im amerikanischen Repräsentantenhaus: Der geplante Zusatz zum bestehenden Datenschutzgesetz würde die Verbraucher in eine noch stärkere Position bringen, weil sie automatisch Schadenersatz für etwaige Schäden aus dem Datendiebstahl zugesprochen bekämen.