Inhaltsverzeichnis:
- Ein Bundesverfahren einleiten
- Kalifornien-Träumen
- Europa oder Fehlschlag
- Datenverletzungen und Berichterstattung
In den USA gibt es verschiedene Bundes- und Landesgesetze zur Meldung von Datenschutzverletzungen, obwohl es kein umfassendes Bundesgesetz gibt. Im Mai 2011 unterbreitete die Obama-Regierung dem Kongress einen umfassenden Vorschlag zur Cybersicherheit, der eine Meldepflicht für Datenschutzverletzungen des Bundes enthält. Dies könnte die Cybersicherheit erheblich verbessern. Bis Januar 2012 wurden jedoch noch keine gesetzlichen Bestimmungen zur Meldung von Datenschutzverletzungen verabschiedet. Hier werfen wir einen Blick auf die Datensicherheit und die Gesetze, die zur Bekämpfung von Verstößen erlassen werden. (Hintergrundinformationen finden Sie unter Grundprinzipien der IT-Sicherheit.)
Ein Bundesverfahren einleiten
Auf Bundesebene der USA gibt es Gesetze und Richtlinien, die eine Meldung von Verstößen für bestimmte Arten von Daten vorschreiben: das Gesetz über die Portabilität und Rechenschaftspflicht von Krankenversicherungen (HIPAA) und das Gesetz über die Gesundheitsinformationstechnologie für wirtschaftliche und klinische Gesundheit (HITECH) für Gesundheitsinformationen Gramm-Leach-Bliley-Gesetz für Finanzinformationen und Leitlinien des Amtes für Verwaltung und Haushalt (OMB) für personenbezogene Daten von Bundesbehörden.
Nach dem HITECH-Gesetz müssen von der HIPAA erfasste Gesundheitsdienstleister Patienten "unverzüglich" benachrichtigen, wenn ihre Gesundheitsinformationen verletzt wurden. Das Gesundheitsministerium und die Medien müssen in Fällen benachrichtigt werden, in denen Verstöße mehr als 500 Personen betreffen. Anbieter von persönlichen Gesundheitsinformationen haben ähnliche Anforderungen an die Meldung von Verstößen, müssen jedoch die Federal Trade Commission und nicht HHS informieren.
Wenn eine Bank oder ein anderes Finanzinstitut Kenntnis von einem Datenverstoß erlangt, sollte sie nach den Leitlinien der Bankenaufsichtsbehörden des Bundes nach dem Gramm-Leach-Bliley-Gesetz eine Untersuchung durchführen, um festzustellen, mit welcher Wahrscheinlichkeit die Informationen missbraucht wurden oder werden. Wenn die Bank feststellt, dass ein Missbrauch stattgefunden hat oder vernünftigerweise möglich ist, sollte sie die betroffenen Kunden so bald wie möglich benachrichtigen.
Die Benachrichtigung des Kunden kann sich verzögern, wenn die Strafverfolgung feststellt, dass die Benachrichtigung eine strafrechtliche Untersuchung stört, und der Bank eine schriftliche Aufforderung zur Verzögerung übermittelt. Die Bank sollte ihre Kunden benachrichtigen, sobald die Benachrichtigung die Untersuchung nicht mehr stört. Die Benachrichtigung kann jedoch nicht aufgrund von Verlegenheit oder Unannehmlichkeiten für die Bank verzögert werden.
Nach den Leitlinien der OMB sind die Bundesbehörden verpflichtet, alle Datenschutzverletzungen mit personenbezogenen Daten innerhalb einer Stunde nach Entdeckung / Entdeckung zu melden. Es liegt jedoch im Ermessen der Agenturen, Datenverletzungen außerhalb der Agentur zu melden. Sie können die Benachrichtigung aufgrund von Erfordernissen der Strafverfolgung, der nationalen Sicherheit oder der Behörden verzögern.
Kalifornien-Träumen
Auf Landesebene gibt es ein Flickenteppich aus 46 Landesgesetzen (und dem District of Columbia) zur Meldung von Datenschutzverletzungen. Kalifornien hat das erste Gesetz zur Meldung von Datenschutzverletzungen im Jahr 2002 erlassen und es wurde als Vorbild für viele andere staatliche Gesetze verwendet.
Nach dem kalifornischen Gesetz müssen Unternehmen ihren Kunden einen Datenverstoß "so schnell wie möglich und ohne unangemessene Verzögerung" schriftlich mitteilen. Wenn die benachrichtigende Person oder das Unternehmen nachweisen kann, dass die Benachrichtigung mehr als 250.000 US-Dollar kostet oder mehr als 500.000 Menschen betrifft, kann eine Ersatzbenachrichtigung in Form einer Website-Veröffentlichung und einer Benachrichtigung an wichtige landesweite Medien verwendet werden. Das Gesetz befreit von der Benachrichtigung über alle Datenschutzverletzungen, bei denen die persönlichen Daten verschlüsselt wurden.
Im Gegensatz zu vielen anderen Bundesstaaten sieht Kalifornien jedoch keine Strafen für das Versäumnis vor, die Verbraucher unverzüglich über einen Datenverstoß zu informieren. Die Nationale Konferenz der Gesetzgeber unterhält eine Liste mit Gesetzen zur Meldung von Verstößen gegen die staatlichen Datenschutzbestimmungen und Links zu diesen Gesetzen.
Europa oder Fehlschlag
In Europa genehmigte die Europäische Union in einer Änderung der Datenschutzrichtlinie von 2009 eine Verpflichtung zur Meldung von Datenschutzverletzungen. Die Mitgliedstaaten der Europäischen Union hatten bis zum 25. Mai 2011 Zeit, die Änderung in nationales Recht umzusetzen.
Die Änderung verpflichtet "Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste", die nationalen Behörden über einen Verstoß gegen personenbezogene Daten zu informieren, der zu erheblichen wirtschaftlichen Verlusten und sozialen Schäden für die Kunden führen kann ", sobald" sie Kenntnis von dem Verstoß erlangen. Außerdem sollten die betroffenen Kunden "unverzüglich" über den Verstoß informiert werden. Die Benachrichtigung sollte Informationen über vom Unternehmen ergriffene Maßnahmen sowie empfohlene Maßnahmen für die betroffenen Kunden enthalten.
Änderungen der EU-Datenschutzrichtlinie werden für 2012 erwartet, einschließlich der Verpflichtung, dass alle Unternehmen, nicht nur die Anbieter elektronischer Kommunikationsdienste, die nationalen Behörden und betroffenen Kunden innerhalb von 24 Stunden über einen Verstoß gegen personenbezogene Daten informieren müssen.
Das britische Datenschutzgesetz, das vor der EU-Datenschutzrichtlinie für elektronische Kommunikation erlassen wurde, enthält umfassende Anforderungen an Unternehmen zum Schutz von Daten, enthält jedoch keine Verpflichtung zur Meldung von Datenschutzverletzungen.
Das UK Information Commissioner's Office (ICO), das für die Umsetzung des Gesetzes zuständig ist, hat erklärt, dass Unternehmen dem ICO schwerwiegende Datenverletzungen melden sollten, die als Verstöße definiert sind, die potenzielle Schäden für Einzelpersonen verursachen könnten. Die Agentur erwartet von britischen Unternehmen, dass sie Verstöße gegen unverschlüsselte personenbezogene Daten von 1.000 oder mehr Personen melden. ICO erklärte, dass es nicht in seiner Verantwortung liege, die betroffenen Verbraucher zu informieren, dass das Unternehmen den Verstoß jedoch öffentlich machen sollte, "wenn dies eindeutig im Interesse der betroffenen Personen liegt oder ein starkes öffentliches Interesse vorliegt".
Datenverletzungen und Berichterstattung
In Reaktion auf öffentlich bekannt gewordene Datenschutzverletzungen und öffentlichen Druck prüfen amerikanische und europäische Gesetzgeber und Regulierungsbehörden, ob alle Unternehmen Datenschutzverletzungen an nationale Behörden und betroffene Verbraucher melden müssen. Bis Januar 2012 hatte jedoch keine dieser Bemühungen zu umfassenden Gesetzen und Vorschriften für die Meldung von Datenschutzverletzungen in den USA oder der Europäischen Union geführt.