Wirtschaft: FTC Act
Die FTC hat mit der Sektion 5 des FTC Acts einen breiten Rechtsrahmen für Datenschutz und Datensicherheit geschaffen. Sektion 5 erklärt "trügerischen oder unlauteren" Handel durch Unternehmen als gesetzeswidrig. Laut FTC handeln Unternehmen dann trügerisch, wenn sie ihr eigenes Sicherheitsniveau falsch darstellen. Unlauterer Handel dagegen ist definiert als "Versagen, angemessene Verfahren zu implementieren, um die Sicherheit personenbezogener Daten zu garantieren."
Wenn beispielsweise ein Unternehmen eine Datenschutzrichtlinie zur eigenen Website veröffentlicht, die verspricht, Kundendaten vor Sicherheitslecks zu schützen - selbst aber keine volle Kontrolle über Collaboration und Sharing hat, um diese Sicherheit der Kundendaten zu garantieren - so würde dieses Unternehmen nach dem FTC Act des trügerischen und unlauteren Handels für schuldig befunden.
HTC America musste die Wirkung von Sektion 5 bereits kennenlernen. Der Smartphone-Hersteller hatte den Kunden in seinem Handbuch versichert, dass Dritte ohne Erlaubnis keinen Zugriff auf Kundendaten hätten, die sich auf dem Telefon befinden. Doch HTCs Smartphone-Software enthielt Codefehler, die Sicherheitslecks öffneten und die Nutzerdaten nicht ausreichend schützten. Die FTC befand HTC für schuldig; das Unternehmen musste einwilligen, sich einem 20 Jahre dauernden unabhängigen Prüfungsprozess zu unterziehen.
- Das Windows-Mobile-Gerät HTC HD2 mini erhielt im <a href="http://www.channelpartner.de/haendlertests/2010/07/htc-hd-mini-%E2%80%93-ein-revival-von-windows-mobile/">Händlertest</a> vier Sterne.
- Das Android-Smartphone HTC Wildfire bietet einen besonders enge Integration von Social-Media-Plattformen.
- Das HTC Smart basiert auf der Qualcomm-Plattform "Brew".
- Das Android-Gerät HTC Desire verfügt über einen 1-GHz-Snapdragon-Prozessor.
- Das HTC Magic, ebenfalls auf Android-Basis, ist mit Vodafone co-gebrandet.
- Das ungewöhnliche Design des "Knick-Handys" HTC Hero konnte auch unsere CP product experts überzeugen (<a href="http://www.channelpartner.de/haendlertests/2009/10/htc-hero/">zum Test</a>).
- Wie die aktuellen Apple-Notebooks wird das HTC Legend aus einem Alublock gefräst.
- Das HTC Touch 2, ebenfalls ein Windows-Smartphone, verfügt über einen 2,8 Zoll großen Touchscreen.
- Das Windows-Smartphone HTC HD2 verkauft sich laut Hesteller bestens.
Die FTC kann substanzielle organisatorische Änderungen in Unternehmen erzwingen, die durch Langzeitprüfungen überwacht werden und natürlich Strafzahlungen anordnen. Das belegen zwei weitere Beispiele: CBR Systems, eine Blut- und Stammzellenbank, musste einem 20-jährigem Audit-Plan zustimmen, da sie Transportbänder mit Sicherungskopien nicht verschlüsselt hatten; die Bänder enthielten finanzielle und medizinische Informationen. Die Selbsthilfegruppe Path Inc. musste 800.000 Dollar an die FTC zahlen, damit ein Verfahren wegen der Online-Verbreitung von Informationen über Kinder ohne die Einwilligung der Eltern eingestellt wurde. Sie hatte gegen den Children Online Privacy Protection Act verstoßen.
Finanzen und Gesundheit: GLB Act und HIPA Act
Der GLB Act reguliert Finanzinstitutionen wie Banken und Versicherungen sowie Anbieter von Finanzprodukten und -dienstleistungen. Das Gesetz soll Kundendaten schützen und verpflichtet die genannten Organisationen zur Einhaltung zweier FTC-Regulierungen: die Financial Privacy Rule und der Safeguard Rule. Die Financial Privacy Rule zwingt ein Unternehmen, seine Kunden über die Weitergabe von Kundendaten zu informieren und zu erklären, mit wem diese geteilt werden. Die Safeguard Rule erfordert die Einrichtung und Erhaltung von Schutzvorrichtungen für personenbezogene und Kundendaten.
Der HIPA Act reguliert Anbieter im Gesundheitswesen und Apotheken sowie Anbieter von Datenanalysen und Datenverarbeitung. Auch hier findet sich die gesetzliche Verpflichtung, angemessene technische und organisatorische Maßnahmen zu ergreifen, um die Vertraulichkeit, Integrität und Verfügbarkeit elektronisch geschützter Gesundheitsinformationen (ePHI - "electronic Protected Health Information") zu gewährleisten. Zum typischen Prozedere gehören Gefährdungsbeurteilungen, um offene Stellen im ePHI-Schutz zu finden und zu schließen; auch die Datenverarbeitung und deren Risiken müssen geprüft werden.
In den USA gelten Patientendaten als äußerst sensibel, daher führen Verstöße gegen den HIPA Act zu massivsten Strafen. So musste das Gesundheitsministerium des Bundesstaates Alaska im November 2012 eine Strafe von 1,7 Millionen Dollar zahlen. Das Vergehen: Man hatte keine adäquate Gefährdungsbeurteilung durchgeführt, tragbare Speichermedien mit ePHI nicht verschlüsselt und keine angemessene Arbeitsunterweisung zur Datensicherheit vorgenommen.
Weitere Gesetze
Außer den genannten existieren in den USA viele weitere Gesetze und Verordnungen, die Unternehmen dazu verpflichten, sensible Daten zu schützen und angemessene Technik zu implementieren - etwa der Federal Information Security Management Act (FISMA). Das übergreifende Thema aller Gesetzgebung ist, dass Unternehmen Gefährdungsbeurteilungen der möglichen Risiken vornehmen und passende Kontrollen einrichten sollen. Dazu gehören technische Sicherheitsvorrichtungen, aber auch schriftliche Prozesse, Regelungen und Prozeduren, Mitarbeiterschulungen und generelle Aufmerksamkeit. Ein Unternehmen, das seine Collaboration-Prozesse und Informationsflüsse nicht ganzheitlich und langfristig in den Griff bekommt, riskiert nicht nur Sicherheitslecks, sondern den Konflikt mit dem Gesetz.