Archiv Datenschutz

    Steigendes Risiko von Datenschutzklagen für Unternehmen

    Ein neuer Gesetzentwurf im Kongress könnte eine Welle von Rechtsstreitigkeiten auslösen, sagen die Gegner.

    by Daniel Argintaru
    28BLOG_1.jpg

    Wichtige Punkte

    • Der Kongress könnte der Verabschiedung eines nationalen Datenschutzgesetzes näher kommen als je zuvor.
    • Die Aufnahme eines "privaten Klagerechts" in die Gesetzgebung hat jedoch bei Wirtschaftsführern die Sorge vor Sammelklagen geweckt.
    • Unabhängig davon, ob das Gesetz verabschiedet wird oder nicht, häufen sich die Fälle, in denen der Datenschutz im Rahmen verschiedener bestehender Gesetze geregelt wird.

    In der Geschäftswelt wächst die Sorge, dass ein neues nationales Datenschutzgesetz, das derzeit im Kongress beraten wird, eine Welle von Sammelklagen in den Vereinigten Staaten auslösen könnte. 

    Einige Beobachter in Washington sind der Meinung, dass der Kongress den American Data Privacy and Protection Act (ADPPA) tatsächlich verabschieden könnte, obwohl andere Datenschutzgesetze auf Bundesebene im Laufe der Jahre nicht genügend Unterstützung gefunden haben. Wenn das Gesetz in Kraft tritt, würde es endlich eine nationale Datenschutzpolitik festlegen, die von vielen Unternehmen gefordert wird.

    Dennoch haben Details des Gesetzentwurfs Widerstand hervorgerufen - insbesondere die Aufnahme eines "privaten Klagerechts". Dieses Recht würde jede Bestimmung des neuen Gesetzes zu einer möglichen Grundlage nicht nur für die Durchsetzung durch Bundesbehörden, sondern auch für Klagen von Privatpersonen und Unternehmen machen.

    Die US-Handelskammer erklärte, dass sie den Gesetzentwurf aufgrund des privaten Klagerechts ablehnt, obwohl sie sich weiterhin für ein nationales Datenschutzgesetz einsetzt, um den derzeitigen Flickenteppich aus einzelstaatlichen und branchenspezifischen Vorschriften zu vereinheitlichen. "Ein nationales Datenschutzgesetz, das ein privates Klagerecht vorsieht, würde einen Zustrom missbräuchlicher Sammelklagen fördern, weitere Verwirrung bei der Durchsetzung allgemeiner Datenschutzrechte stiften, kleinen Unternehmen schaden und datengetriebene Innovationen behindern", so die Kammer.[1]

    Die Verbraucherschützer lehnen die Bestimmung aus verschiedenen Gründen ab. Die Electronic Frontier Foundation zum Beispiel argumentierte, dass "das private Klagerecht im ADPPA mit Ausnahmen und Einschränkungen gespickt ist. Ein starkes privates Klagerecht ist notwendig ... Andernfalls hat das Gesetz keine Wirkung."[2]

    Das Gesetz wurde im Juli vom Handelsausschuss des Repräsentantenhauses mit 53:2 Stimmen verabschiedet und wurde dem Handelsausschuss des Senats zur Prüfung vorgelegt.[3] Die jüngsten Fortschritte des Gesetzes haben sowohl optimistische als auch pessimistische Schlagzeilen in den Medien hervorgerufen. So wurde beispielsweise in der National Law Review die Frage gestellt: "Federal Privacy Legislation - Is It Finally Happening?"[4] Aber The Hill warnte: "Die Lobbyarbeit von Unternehmen könnte ein weitreichendes Datenschutzgesetz gefährden."[5]

    Der Anstieg der Aktivitäten in Washington kommt zu einem Zeitpunkt, an dem Unternehmen mit wachsenden Herausforderungen konfrontiert sind, die sich aus der zunehmenden Gesetzgebung zum Datenschutz, Rechtsstreitigkeiten und der Durchsetzung von Vorschriften ergeben, so ein von Mimecast gesponserter Bericht von Gartner über Datenschutzrisiken. Bis zum Jahr 2026 werden Unternehmen, die mit persönlichen Daten falsch umgehen, dreimal mehr finanziellen Schaden durch Sammelklagen und Massenforderungen erleiden als durch Sanktionen", so Gartner.

    Neue Rechtsstreitigkeiten nach dem Gesetz möglich

    Das ADPPA würde sich sowohl auf die Cybersicherheit als auch auf den Datenschutz erstrecken und u. a. Folgendes vorschreiben:[6]

    • Datenminimierung: Begrenzung der Erfassung, Verarbeitung oder Übertragung privater Informationen auf das, was "vernünftigerweise notwendig und angemessen" ist, um beispielsweise eine angeforderte Dienstleistung zu erbringen oder mit einem Kunden zu interagieren.
    • Cybersicherheit: Bewertung von Cybersicherheitsrisiken und Implementierung von Verfahren zur Erkennung von, Reaktion auf oder Wiederherstellung nach Datenverletzungen und anderen Vorfällen.
    • Verbraucherrechte: Ermöglichung des Zugangs, der Berichtigung und der Löschung von Daten im Besitz eines Unternehmens.

    Sollten diese und andere Bestimmungen in Kraft treten, würden sie von der Federal Trade Commission behördlich durchgesetzt und könnten auch die Grundlage für mögliche Privatklagen werden.

    Aktuelle Landschaft von Rechtsstreitigkeiten zum Datenschutz

    Ob mit oder ohne Gesetzgebung, in den USA häufen sich die Datenschutzklagen, die sich auf Verbraucherschutzbestimmungen und andere Rechtsgrundlagen stützen. Das kalifornische Gesetz zum Schutz der Privatsphäre von Verbrauchern beinhaltet auch ein Klagerecht für Privatpersonen; seit seinem Inkrafttreten im Jahr 2020 hat ein "Litigation Tracker" Dutzende von Fällen gezählt, die allein wegen Verletzungen der Datensicherheit eingereicht wurden.[7]

    Allein im Juli wurden unter anderem die folgenden Sammelklagen beigelegt:

    • Das US-Personalamt und sein Auftragnehmer erklärten sich bereit, 63 Millionen Dollar Schadenersatz zu zahlen, weil die persönlichen Daten von Bundesbediensteten, die bei einem mutmaßlichen Angriff eines nationalen Staates gestohlen wurden, angeblich nicht ausreichend geschützt wurden.[8]
    • Ein nationaler Mobilfunkanbieter stimmte einer Zahlung von 350 Millionen Dollar nach einem Datenschutzverstoß zu.[9]
    • Ein Fintech-Unternehmen in Kalifornien stimmte zu, in einem Verfahren wegen seines Umgangs mit Verbraucherdaten 58 Millionen Dollar zu zahlen.[10]

    Die Herausforderung des Datenschutzes annehmen

    Experten der International Association of Privacy Professionals geben Hinweise zur Vermeidung von Rechtsstreitigkeiten im Bereich des Datenschutzes, darunter:[11]

    • Bewerten Sie Ihr Datenschutzprogramm mindestens einmal im Jahr.
    • Aktualisieren Sie, welche Gesetze für Ihr Unternehmen gelten.
    • Stellen Sie sicher, dass Ihr Programm flexibel genug ist, um neue Anforderungen zu berücksichtigen.
    • Beteiligen Sie Interessengruppen aus dem gesamten Unternehmen.
    • Vergewissern Sie sich, dass Ihre Verträge mit Händlern und Dienstleistern Datenschutz- und Sicherheitsbestimmungen enthalten.

    Auf organisatorischer Ebene empfiehlt Gartner, beim Datenschutz noch einen Schritt weiter zu gehen. Das heißt, die Unternehmen sollten ihre Wahrnehmung des Datenschutzes über die Einhaltung von Vorschriften hinaus erweitern und eine kundenorientierte Kultur des Datenschutzes schaffen, die zu einem Wettbewerbsvorteil auf dem Markt wird.

    Auf technologischer Ebene sollten Instrumente und Schulungen von starken Cybersicherheitssystemen, die personenbezogene Daten schützen, bis hin zu Archiven reichen, die leicht verwaltet werden können , um zu reagieren, wenn Einzelpersonen auf ihre Daten zugreifen oder Änderungen beantragen wollen.

    Die Quintessenz

    Datenschutzklagen häufen sich. Wie viel das ist, könnte durch neue Gesetze bestimmt werden, die derzeit den Kongress passieren. Lesen Sie den Gartner-Bericht, 2022 Prediction: Privacy Risk Expands, um weitere Einblicke in das Spektrum der Risiken in Bezug auf Gesetzgebung, Durchsetzung und Rechtsstreitigkeiten zu erhalten und zu erfahren, wie Unternehmen diese Risiken mindern können.


    [1] "U.S. Chamber Warns It Will Oppose Any Privacy Legislation That Creates a Blanket Private Right of Action," U.S. Chamber of Commerce

    [2] "Amerikaner verdienen mehr als den aktuellen American Data Privacy Protection Act," Electronic Frontier Foundation

    [3] "Wicker Comments on Federal Data Privacy Efforts at Committee's Executive Session," Senate Commerce Committee

    [4] "Federal Privacy Legislation - Is it finally happening?," National Law Review

    [5] "Unternehmenslobbyismus könnte weitreichendes Datenschutzgesetz gefährden," The Hill

    [6] "Overview of the American Data Privacy and Protection Act," Congressional Research Service

    [7] "CCPA Litigation Tracker," Perkins Coie

    [8] "In einer Sammelklage über die Datenschutzverletzungen des US-Personalamts und seines Sicherheitsdienstleisters wurde ein Vergleich in Höhe von 63 Mio. Dollar erzielt", so Girard Sharp.

    [9] "T-Mobile willigt ein, 350 Millionen Dollar an Kunden zu zahlen, um einen massiven Datenschutzverstoß zu verhindern," CNN

    [10] "Richter billigt Vergleich, der Plaid zur Zahlung von 58 Millionen Dollar für den Verkauf von Verbraucherdaten verurteilt," Courthouse News Service

    [11] "2023, wir kommen: Wie Sie Ihr Datenschutzprogramm vorbereiten," International Association of Privacy Professionals

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang