Florida überarbeitet sein Gesetz zur Meldung von Datenschutzverletzungen mit Wirkung zum 1. Juli 2014

Am 20. Juni 2014 verabschiedete Gouverneur Rick Scott den Florida Information Protection Act von 2014, der die Anforderungen und Maßnahmen überarbeitet, die Unternehmen befolgen müssen, wenn sie mit einer potenziellen oder tatsächlichen Sicherheitsverletzung konfrontiert sind, die zur unbefugten Offenlegung personenbezogener Daten führt. Der Wortlaut des Gesetzes ist zu finden unter hierDas Gesetz tritt am 1. Juli 2014 in Kraft.

Diese Maßnahme in Florida reiht sich ein in eine Reihe von Gesetzesvorlagen und Gesetzen zum Thema Datenschutzverletzungen, die in letzter Zeit in einer Reihe von Bundesstaaten, darunter Kalifornien, New Mexico, Iowa und Kentucky, verabschiedet wurden. Unter anderem ändert das Gesetz die Definition von personenbezogenen Daten, die eine Meldepflicht auslösen können, indem es Krankenversicherungsdaten, medizinische Informationen, Finanzdaten und Online-Kontodaten wie Sicherheitsfragen und -antworten, E-Mail-Adressen und Passwörter hinzufügt. Das derzeitige Gesetz umfasst den Vornamen oder die Initialen und den Nachnamen einer Person in Kombination mit: (i) einer Sozialversicherungsnummer; (ii) der Führerschein- oder Personalausweisnummer; (iii) oder der Kontonummer, Kredit- oder Debitkartennummer in Kombination mit dem erforderlichen Sicherheitscode oder Passwort für den Zugriff auf das Konto.

Die betroffenen Personen müssen so schnell wie möglich benachrichtigt werden, spätestens jedoch 30 Tage nach Entdeckung der Verletzung oder nachdem das Unternehmen Grund zu der Annahme hat, dass eine Verletzung vorliegt. Die geltenden Gesetze verlangen eine Benachrichtigung ohne unangemessene Verzögerung und spätestens 45 Tage nach Entdeckung der Verletzung.

Im Falle einer Datenverletzung, von der 500 oder mehr Einwohner betroffen sind, muss der Generalstaatsanwalt spätestens 30 Tage nach Entdeckung der Verletzung schriftlich benachrichtigt werden. Auf Verlangen des Generalstaatsanwalts muss das Unternehmen eine Kopie seiner Richtlinien zu Verletzungen, der zur Behebung der Verletzung ergriffenen Maßnahmen sowie einen Polizeibericht, einen Vorfallsbericht oder einen Computerforensikbericht an den Generalstaatsanwalt übermitteln.

Wenn die Datenschutzverletzung mehr als 1.000 Personen betrifft, muss das Unternehmen auch die großen Auskunfteien (Experian, TransUnion und Equifax) benachrichtigen.

Eine Benachrichtigung ist nicht erforderlich, wenn das Unternehmen nach einer angemessenen Untersuchung und Rücksprache mit den zuständigen Strafverfolgungsbehörden zu der begründeten Einschätzung gelangt, dass die Datenschutzverletzung nicht zu Identitätsdiebstahl oder anderen endgültigen Schäden für die betroffenen Personen geführt hat und auch nicht führen wird. Diese Einschätzung muss schriftlich dokumentiert, mindestens fünf Jahre lang aufbewahrt und dem Generalstaatsanwalt innerhalb von 30 Tagen nach der Entscheidung vorgelegt werden.

Das Gesetz fügt eine Anforderung hinzu, dass Unternehmen angemessene Maßnahmen zum Schutz und zur Sicherung personenbezogener Daten in elektronischer Form ergreifen müssen. Das Gesetz enthält zwar keine Einzelheiten dazu, wie diese Maßnahmen aussehen müssen, aber im Falle einer Sicherheitsverletzung muss das Unternehmen mindestens nachweisen, dass es wirtschaftlich angemessene Sicherheitsvorkehrungen zum Schutz personenbezogener Daten getroffen hat, die den Branchenstandards entsprechen.

Schließlich ermächtigt das Gesetz den Generalstaatsanwalt, bei Verstößen gemäß dem Gesetz gegen unlautere und irreführende Handelspraktiken des Bundesstaates Florida Durchsetzungsmaßnahmen zu ergreifen. Die zivilrechtlichen Strafen können bis zu 500.000 US-Dollar betragen – 1.000 US-Dollar pro Tag für die ersten 30 Tage des Verstoßes und 50.000 US-Dollar für jeden weiteren Zeitraum von 30 Tagen bis zu einer Dauer von 180 Tagen. Wenn der Verstoß länger als 180 Tage andauert, können die Strafen bis zu 500.000 US-Dollar betragen.

Auswirkungen auf das Geschäft

Das Gesetz sieht zusätzliche und strengere Anforderungen für Unternehmen vor, die eine Sicherheitsverletzung erleiden, durch die personenbezogene Daten von Kunden, Mitarbeitern oder anderen Personen offengelegt werden. Die Verletzung kann durch einen böswilligen Hacker, einen verärgerten Mitarbeiter oder den versehentlichen Verlust eines Laptops oder Smartphones mit personenbezogenen Daten verursacht werden. Unternehmen sollten ihre Pläne für den Umgang mit Datenschutzverletzungen an die neuen Anforderungen anpassen (und natürlich einen Plan entwickeln, falls sie noch keinen haben). Unternehmen sollten sicherstellen, dass ihre Richtlinien mit dem Gesetz und den aktuellen Best Practices im Einklang stehen, falls eine Verletzung zu einer Anfrage des Generalstaatsanwalts nach den geltenden Richtlinien des Unternehmens führt.

---

Legal News Alert ist Teil unseres kontinuierlichen Engagements, aktuelle Informationen zu dringenden Anliegen oder Branchenfragen bereitzustellen, die unsere Mandanten und Kollegen betreffen. Wenn Sie Fragen zu diesem Update haben oder dieses Thema weiter diskutieren möchten, wenden Sie sich bitte an Ihren Foley-Anwalt oder an folgende Ansprechpartner:

Chanley T. Howell
Jacksonville, Florida
904.359.8745
[email protected]

James R. Kalyvas
Los Angeles, Kalifornien
213.972.4542
[email protected]

Michael R. Overly
Los Angeles, Kalifornien
213.972.4533
[email protected]

Steven M. Millendorf
San Diego, Kalifornien
858.847.6737
[email protected]