U.S. Cybersecurity Laws – Was deutsche Unternehmen, die in den USA geschäftlich tätig sind, wissen sollten

Article

German Practice Alert

November 7, 2019

Click here to view this article in English

Die Zahl der Cyberangriffe nimmt kontinuierlich und drastisch zu. Cybersecurity, der Schutz von Computersystemen und der digitalen Infrastruktur, ist daher zu einem unverzichtbaren Bestandteil eines jeden modernen Geschäftsbetriebs geworden. In der Folge nehmen die rechtlichen Datenschutz- und Sicherheitsverpflichtungen für jedes Unternehmen, das in den USA wirtschaftlich tätig ist, stetig zu. Infolgedessen müssen sich alle Unternehmen, die Geschäfte in den USA betreiben, darauf einstellen, diese gesetzlichen und regulatorischen Anforderungen für die Erfassung und Verarbeitung von persönlichen Daten ihrer US-Mitarbeiter und US-Kunden zu erfüllen. Dies gilt ebenso für Unternehmen, die keinen Sitz in den USA haben! Verstöße gegen die gesetzlichen Vorschriften können großen Schaden für die Unternehmen darstellen: Sie können sehr schnell äußerst kostspielig werden. Jeder potentielle Datenschutzbruch kann nämlich nicht nur in einer zivilrechtlichen Sammelklage der Inhaber der verletzten Rechte, sondern auch gleichzeitig in finanziellen Sanktionen durch US-Bundesstaats- oder Bundesbehörden resultieren.

Regulierung und Durchsetzung auf US-Staats- und Bundesebene

Jeder US-Staat hat seine eigenen Regelungen zur Meldung von Verletzungen des Schutzes personenbezogener Daten an die jeweils zuständigen Aufsichtsbehörden und diese Regelungen werden stetig ausgeweitet und in ihrem Anwendungsbereich weiter gefasst. New York hat mit dem SHIELD-Act kürzlich eines der schärfsten Gesetze des Landes für Cybersicherheit, Schutz der Privatsphäre und Datenschutz erlassen und umgesetzt. Die Regelungen orientieren sich an der Datenschutzgrundverordnung (DSGVO) der Europäischen Union und dem California Consumer Protection Act (CCPA). Weitere Bundesstaaten wollen und werden diesem Beispiel folgen. Alle Unternehmen, die Geschäfte in den USA betreiben, müssen daher prüfen und herausfinden, welche Gesetze der verschiedenen US-Staaten auf ihre Tätigkeiten in den USA anwendbar sind. Hierbei ist zu berücksichtigen, dass das jeweilige Unternehmen möglicherweise Daten von Einwohnern verschiedener US-Staaten sammelt, obwohl es in diesen Staaten nicht tatsächlich selbst tätig wird. Obwohl es in den USA noch kein allumfassendes Datenschutzgesetz auf Bundesebene gibt, verfügen die Federal Trade Commission (FTC), die Securities and Exchange Commission (SEC), die Federal Communications Commission (FCC) und das Consumer Financial Protection Bureau (CFPB) schon bereits jetzt über eine weitrechende Kompetenz zur Durchsetzung von Datenschutz auf Bundesebene. Diese Behörden sind in letzter Zeit zunehmend aktiv geworden und haben eine Zahl von Verfahren eingeleitet, die zu Verfügungen führten, wonach private Unternehmen verpflichtet wurden, sensible Daten zu schützen und umfassende Programme zur Sicherung von Daten zu implementieren oder auszuweiten.

Zum Beispiel erklärte sich AT&T im April 2015 bereit, 25 Millionen US-Dollar zu zahlen, um eine FCC-Untersuchung über Verletzungen des Verbraucherdatenschutzes zu beenden, bei der es um die unbefugte Offenlegung von fast 280.000 Kundennamen, Sozialversicherungsnummern und anderen geschützten kontobezogenen Daten ging.

In einem anderen Fall verhängte das CFPB eine Geldstrafe von 100.000 US-Dollar gegen das Online-Zahlungsabwicklungsunternehmen Dwolla, Inc. und verpflichtete das Unternehmen zur Implementierung eines schriftlichen Cybersecurity-Programms, obwohl es auf Seiten von Dwolla, Inc. keinerlei Datenschutzverletzungen oder Cybersicherheitsvorfälle gab. Das CFPB stützte die Maßnahmen gegen das Unternehmen allein auf irreführende Aussagen, die Dwolla über die eigenen Datenschutzpraktiken getätigt hatte.

Privatrechtliche Klagen

Neben den möglichen staatlichen Sanktionen können – wie oben bereits angedeutet –Verstöße gegen den Datenschutz auch zu einer Vielzahl von privatrechtlichen Klagen führen. Diese reichen in den USA von den Sammelklagen bis hin zu Klagen von Einzelpersonen. Mitarbeiter und Kunden, aber auch Kreditkarten- und andere Unternehmen können Einzel- oder Sammelklagen wegen Verletzungen des Schutzes personenbezogener Daten, vertraglicher Pflichten, von Garantien oder von Bundes- oder Landesgesetzen einreichen. Die in diesen Prozessen regelmäßig zu klärende Hauptfrage ist, ob dem Kläger durch den Verstoß ein konkreter Schaden entstanden ist. Viele Gerichte haben sog. „motions to dismiss“, also Anträge auf Klageabweisung im Stadium der Prüfung der Zulässigkeit der Klage, abgewiesen und so sind den verklagten Unternehmen durch die geschlossenen Vergleiche erhebliche Rechtsanwalts- und Vergleichskosten entstanden, um Urteile abzuwehren.

Als Beispiel für einen zivilrechtlichen Rechtsstreit im Zusammenhang mit Datenschutzverletzungen sah sich das Einzelhandelsunternehmen Target mit einer Sammelklage von Finanzinstituten konfrontiert, die Schadenersatz für ihre Ausgaben im Zusammenhang mit einem Malware-Datenverstoß im Jahr 2013 forderten, der Zahlungsinformationen von Millionen von Kunden offenlegte. Im Laufe des Verfahrens stimmte Target im Rahmen eines Vergleichs zu, den Klägern 39 Millionen US-Dollar zu zahlen. Darüber hinaus vereinbarte Target unter anderem mit dem Kreditkartenunternehmen Visa eine Zahlung von 67 Millionen US-Dollar. Aufgrund dieses datenrschutzrechlichen Verstoßes erzielte Target ebenfalls einen Vergleich mit einzelnen Verbraucherschutzklägern über insgesamt 10 Millionen US-Dollar und musste zusätzlich Maßnahmen ergreifen, um das Risiko eines künftigen Verstoßes zu minimieren., Insbesondere musste Target eine schriftliche interne Sicherheitsrichtlinie entwickeln.

In einem anderen Streit zahlte Yahoo 85 Millionen US-Dollar an eine Gruppe von etwa 200 Millionen Nutzern, die von Verstößen gegen das Datenschutzrecht in den Jahren 2013 und 2014 betroffen waren. Yahoo erklärte sich aus Anlass dieses Rechtsstreits ebenfalls bereit, weitere 80 Millionen US-Dollar an die eigenen Aktionäre zu zahlen, um Verfahren wegen potentieller Ansprüche der Anleger zu beenden, die wegen des Vorwurfs geführt wurden, dass die möglicherweise aktienkursrelevanten Datenschutzverletzungen nicht öffentlich bekannt gemacht wurden.

Zusammenfassung

Die Risiken wegen Verstößen gegen den Datenschutz entweder zivilrechtlich verklagt oder von den Behörden mit Sanktionen belegt zu werden, sollte für Unternehmen Anlass genug sein, sich intensiv mit Fragen des Datenschutzes in ihren Netzwerken zu befassen und anschließend falls nötig, ein umfassendes Compliance-Programm zu entwickeln. Sobald ein Compliance-Plan implementiert ist, sollten Unternehmen ihre Datenschutz- und Cybersecurityverfahren und -mechanismen regelmäßig überprüfen und anpassen. Darüberhinaus sollte den Unternehmen ein System zur Verfügung stehen, um Verstöße oder potenzielle Verstöße schnell innerhalb des Unternehmens an die verantwortlichen Personen zu melden, so dass das zuständige Compliance-Personal, das verantwortliche Management und die Rechtsabteilung im Falle einer Verletzung rasch Maßnahmen ergreifen können, um die Interessen des Unternehmens und die laufenden Geschäfte zu schützen.