Thema der Woche

10. April 2007

Analyst plädiert für Offenlegungspflicht

Eine gesetzlich verankerte Mitteilungspflicht bei Sicherheitsvorfällen, durch die personenbezogene Daten in falsche Hände geraten, fordert die [externer Link] Butler Group anlässlich der Veruntreuung von 13 000 Hypotheken-Datensätzen einer britischen Bank. Im vorliegenden Fall habe die Bank zwar die betroffenen Kunden unterrichtet, eine zwingende Notwendigkeit dafür gebe es aber nicht. Daher ist zu erwarten, dass nur ein Bruchteil solcher Vorfälle tatsächlich bekannt wird – Betroffene können somit auch nur selten besondere Vorkehrungen treffen, um Missbrauchsfälle zu erkennen oder einzuschränken.

Sue Clarke, Senior Research Analyst der Butler Group, plädiert daher für eine gesetzliche Offenlegungspflicht, wie sie bereits in verschiedenen Bundesstaaten der USA existiert. Die Einführung eines derartigen Gesetzes würde Entscheidern die Notwendigkeit von Maßnahmen zum Schutz personenbezogener Daten klarer vor Augen führen: "Im Moment scheint es, dass die Strafen und Imageschäden beim Bekanntwerden von Sicherheitsbrüchen kein ausreichender Anreiz sind, um Organisationen zu angemessenem Datenschutz zu bewegen." Zudem sei zu erwarten, dass sich Unternehmen keinem "unnötigen Risiko" aussetzen, solange das Verschweigen eines Vorfalls nicht ebenfalls einen Gesetzesverstoß darstellt.

Ohne eine gesetzliche Offenlegungspflicht dürfte daher auch zukünftig nur eine Handvoll Sicherheitsvorfälle öffentlich werden, die sensitive Kundendaten betreffen, resümiert Clarke: "Ich persönlich würde mich bezüglich der persönlichen Details, die bei verschiedenen Geschäftsstellen und Finanzdienstleistern gespeichert sind, deutlich besser fühlen, wenn ich wüsste, dass diese einen wirklichen Ansporn hätten, diese Daten zu schützen." Und im Falle eines Falles hätte man zudem eine deutlich bessere Chance, von unrechtmäßigen Zugriffen zu erfahren und sich darauf einzustellen.