US-Gesetze gegen Datendiebstahl kommen voran

Der Rechtsausschuss des US-Senats hat am Donnerstag einstimmig zwei geänderte Gesetzentwürfe zur Einschränkung der Nutzung von persönlichen Daten durch Behörden und Unternehmen befürwortet. Bei den beiden Entwürfen handelt es sich um den Personal Data Privacy und Security Act, der auf Initiative des demokratischen Ausschussvorsitzenden Patrick Leahy sowie des demokratischen Senators Arlen Spector eingebracht worden war, und den Notification of Risk to Personal Data Act, der auf einen Vorschlag der demokratischen Senatorin Dianne Feinstein beruht.

Das Gesetz von Leahy und Arlen sieht unter anderem vor, dass diejenigen, die „beabsichtigt oder geduldet“ Informationen über einen Datendiebstahl verheimlichen, der „wirtschaftlichen Schaden für eine oder mehrere Personen“ zur Folge hat, mit Geldstrafen oder Gefängnis von bis zu fünf Jahren bestraft werden können. Bestimmte Unternehmen, die zum Beispiel mit Daten handeln, müssten gemäß dem Entwurf spezielle Maßnahmen zum Schutz von persönlichen Daten einleiten.

Das Gesetz der Senatorin Feinstein hingegen behandelt nur die Pflicht, Betroffenen im Fall von Datenschutzverletzungen zu benachrichtigen. Nach ihrem Vorschlag müssen Behörden und Unternehmen die Betroffenen unverzüglich informieren. sobald sie davon ausgehen müssen, dass personenbezogene Daten unrechtmäßig abgefragt worden sind. Als Ausnahmen sind Fälle genannt, in denen Unternehmen oder Behörden nachweisen können, dass die verlorenen persönlichen Daten keinen Schaden anrichten können. Dies träfe auf Daten zu, die verschlüsselt oder sonst wie unleserlich gemacht wurden.

Die Vorschläge sind zwei von vielen, die in den letzten Jahren in beide Senatskammern eingebracht worden waren. Alle reflektieren die öffentliche Entrüstung über großangelegte Datendiebstähle an Universitäten, bei Unternehmen und Behörden. Der letzte große Fall war im März bekannt geworden, als TJX Companies den Verlust von 45 Millionen Kundendaten bekannt geben musste.

Verschiedene Bundesstaaten hatten sich bereits mit Gesetzen beschäftigt, die solche Vorfälle abdecken würden. Politiker hatten angemahnt, dass ein landesweiter Standard benötigt werde. „Die Verabschiedung eines übergreifenden Gesetzespakets zum Datenschutz ist eine Priorität der Gesetzgebung“, hatte Leahy in einem Statement vor der Entscheidung von Donnerstag erklärt.

Verbraucherschützer und Datenschützer hatten sich im Vorfeld über zu viele Ausnahmen von den Benachrichtigungspflichten beklagt. Nach Aussage von Leahy werde der geänderte Entwurf nun von Microsoft, dem Center for Democracy and Technology, der Consumers Union, der Cyber Security Industry Alliance und der Consumer Federation of America unterstützt.

„Die neuen Gesetze werden Unternehmen dazu zwingen, Betroffene über Fehler beim Datenschutz zu informieren“, sagte Gail Hillebrand, Rechtsanwalt bei der Consumers Union. „Unternehmen, die dazu gezwungen werden, Verbraucher über Fehler beim Datenschutz zu informieren, werden sich stärker um die Sicherheit sensitiver Daten bemühen.“

Beide Gesetzentwürfe wurden getrennt voneinander befürwortet und werden auch getrennt in die Kammern eingebracht, um ihre Chancen bei der Abstimmung im Senat zu verbessern. Ein Zeitpunkt für die Abstimmung über die Gesetzentwürfe ist noch nicht festgelegt worden. Dem Senat liegen auch noch konkurrierende Vorschläge vor, darunter der Identity Theft Prevention Act, den der Wirtschaftsausschuss des Senates letzte Woche verabschiedet hatte.