25.10.2018

Datensicherheit in den USA - Kalifornien setzt neue Maßstäbe

Portrait von Mathias Lejeune
Mathias Lejeune

Nachdem der Bundesstaat Kalifornien bereits Mitte des Jahres Schlagzeilen mit dem neuen California Consumer Privacy Act gemacht hat, der erstmals in den USA für Bereiche des Verbraucherschutzes ein allgemeines Datenschutzrecht mit Anklängen an die DSGVO einführt (ausführlich hierzu Lejeune CR 2018, 569 ff. und Determann, CRi 2018, 117 ff.), geht es jetzt weiter.

Pflicht zu Sicherheitsmaßnahmen

Im September hat der Gouverneur des Staates das erste „US Internet of Things (IoT) Cybersecurity“ Gesetz erlassen (Senate Bill 327 und Assembly Bill 1906).

Ab dem 1. Januar 2020 müssen die Hersteller von sog. „connected devices“ diese Geräte mit angemessenen Sicherheitsvorkehrungen ausstatten, um die Gerätschaften vor unberechtigten Zugriffen, Zerstörung, unbefugter Veränderung oder unbefugter Offenbarung von Informationen/Daten zu schützen.

Betroffene Geräte

Als „connected devices“ werden Geräte definiert, die direkt oder indirekt Verbindung mit dem Internet aufnehmen können und denen eine IP-Adresse oder eine Bluetooth Adresse zugeteilt ist.

Ausgenommen sind u.a. Hersteller von Software oder anderen Anwendungen, die der Nutzer eines „connected device“ selbst mit diesem Gerät in Verbindung bringt. Ferner sind die Anbieter von elektronischen Marktplätzen oder elektronischen Geschäften oder andere Anbieter elektronischer Produkte sowie Anbieter von Gerätschaften ausgenommen, die bereits unter bestimmte Bundesgesetze wie z.B. den HIPPA oder den California Confidentiality of Medical Information Act fallen.

Angemessenheit des Schutzes

Was unter „angemessenen Schutzvorkehrungen“ zu verstehen ist, wird im Gesetz nicht genau festgelegt, aber es werden bestimmte Hinweise dazu angeführt:

  • Geeignetheit: Die Vorkehrungen müssen im Hinblick auf die Art und Funktion des Geräts sowie im Hinblick auf diejenigen Informationen, die das Gerät sammelt, speichert oder weitergibt, geeignet („appropriate“) sein.
  • Security by Design: Das Design des Geräts muss den Schutz des Geräts ermöglichen und insbesondere Informationen, die darin enthalten sind, vor Datenpannen schützen (= unberechtigter Zugriff, Zerstörung, Gebrauch, Veränderung oder Offenlegung).
  • Persönliches Passwort: Sofern das Gerät eine Authentifizierung außerhalb eines lokalen Netzwerks ermöglicht, muss jedes Gerät mit einem individuellen, voreingestellten Passwort ausgestaltet sein und der Erwerber muss, bevor er das Gerät zum ersten Mal in Betrieb nehmen kann, verpflichtet sein, ein eigenes neues Passwort einzugeben.

Betroffene Hersteller

Das Gesetz gilt selbstverständlich auch für Hersteller aus anderen Ländern, sofern diese ihre entsprechenden Produkte in Kalifornien verkaufen wollen.

Die Hersteller sind gut beraten, ihre Produkte rechtzeitig vor dem Inkrafttreten des Gesetzes am 1. Januar 2020 an diese neuen Gegebenheiten anzupassen.

Erste Einschätzung

Kalifornien scheint sich immer stärker als Vorreiter für Datenschutz und Datensicherheit in den USA zu etablieren. Es bleibt abzuwarten, ob weitere Bundestaaten diesem Beispiel folgen werden oder ob auf Bundesebene ein entsprechendes Gesetz erlassen wird.

 

Ausführlich zu IT-sicherheitsrechtlichen Pflichten und Haftung in Deutschland:

Paul Voigt IT-Sicherheitsrecht Pflichten und Haftung im Unternehmen 2018, 287 Seiten

 

Zurück