Nichtbanken-Finanzinstitute, darunter Hypothekenmakler, Kfz-Händler und Zahltagskreditgeber, müssen bestimmte Datenschutzverletzungen und andere Sicherheitsvorfälle dem meldenFederal Trade Commission (FTC).
Gemäß einer am Freitag angekündigten Änderung der Safeguards Rule der Kommission müssen diese Unternehmen die FTC so schnell wie möglich und spätestens 30 Tage nach der Datenschutzverletzung benachrichtigen.
Die Verpflichtung gilt jedoch nur, wenn mindestens 500 Kunden von dem Ereignis betroffen waren und unverschlüsselte Informationen ohne Zustimmung der Kunden erlangt wurden.
„Unternehmen, denen vertrauliche Finanzinformationen anvertraut werden, müssen transparent sein, wenn diese Informationen kompromittiert wurden“, sagte Samuel Levine, Direktor des Bureau of Consumer Protection der FTC, in einer Erklärung.
Die Möglichkeit, eine Benachrichtigung über Datenschutzverletzungen und andere Sicherheitsvorfälle zu verlangen, wird seit Oktober 2021 diskutiert, als die FTC eine Stellungnahme zu einer vorgeschlagenen ergänzenden Änderung der Safeguards Rule einholte.
Damals schlug die FTC vor, Finanzinstitute zu verpflichten, jedes Sicherheitsereignis, das zum Missbrauch von Kundeninformationen führte oder führen könnte, der mindestens 1.000 Verbraucher betrifft, elektronisch zu melden. Bei der FTC gingen unter anderem 14 Kommentare von Branchenverbänden, Verbraucherschützern und einzelnen Verbrauchern ein.
Befürworter sagten, die Benachrichtigung über Datenschutzverletzungen würde es der FTC ermöglichen, die Regel, die Finanzinstitute dazu verpflichtet, ein umfassendes Sicherheitsprogramm aufrechtzuerhalten, um die Daten ihrer Kunden zu schützen, einfacher durchzusetzen.
Unterdessen argumentierten Gegner, dass es sich um eine Duplizierung staatlicher Gesetze zur Meldung von Verstößen handelt und dass die FTC auf die Berichte regulierter Unternehmen zugreifen und diese an Verbraucher und staatliche Behörden überprüfen könnte.
Als Reaktion darauf erklärte die FTC, dass diese indirekte Methode die Abzweigung von Ressourcen von der Durchsetzung erfordern würde, um nach Informationen über Verstöße zu suchen und diese zu sammeln.
„Der Erhalt dieser Mitteilungen wird es der Kommission ermöglichen, neue Bedrohungen für die Datensicherheit zu überwachen, die Finanzinstitute betreffen, und eine schnelle Untersuchungsreaktion auf schwerwiegende Sicherheitsverstöße zu ermöglichen“, schrieb die FTC in ihrem Bericht letzte Regel.
Die Kommission stimmte mit 3:0 für die Veröffentlichung der Bekanntmachung zur Änderung der Safeguards Rule im Bundesregister – und die Änderungen treten 180 Tage nach der Veröffentlichung in Kraft.