Kalifornisches Gesetz zur Meldung von Angriffen auf IT-Systeme in Kraft

In Kalifornien sind Firmen ab dem heutigen Dienstag per Gesetz verpflichtet, Angriffe auf ihre IT-Systeme an die Kunden zu melden: Der kalifornische Security Breach Information Act zwingt Unternehmen zur Meldung von Einbrüchen in ihre Systeme, wenn dort personenbezogene Daten verarbeitet werden. Dazu muss das Unternehmen nicht zwangsläufig seinen Sitz in Kalifornien haben, es genügt auch, kalifornische Kunden zu haben. Dem Gesetz nach reicht auch der begründete Verdacht eines Einbruchs, um eine entsprechende Meldung an die Kunden weitergeben zu müssen. Von dieser Pflicht ist man nur dann befreit, wenn die gespeicherten Kundendaten durch Verschlüsselung geschützt sind. Unternehmen, die der Meldungspflicht nicht nachkommen, müssen mit einer Klage vor Zivilgerichten rechnen.

Das Gesetz kann als ein weiterer Schritt interpretiert werden, Unternehmen dazu zu zwingen, ihre IT-Sicherheit zu erhöhen. Die Zahl der von Kunden gemeldeten Missbräuche durch das Ausspähen von Benutzerdaten hat sich nach Angaben der Federal Trade Commission (FTC) auf 162.000 verdoppelt, wovon der Großteil mit 42 Prozent auf Kreditkartenmissbräuche entfällt. (dab)