Welche Gesetze gibt es zum Thema Internet und Datensicherheit?

Was ist Internetrecht?

Unter Internetrecht – manchmal auch Onlinerecht genannt – versteht man die Rechtsgrundsätze und Vorschriften, die die Nutzung des Internets regeln. Die Internetgesetzgebung ist nicht immer klar und eindeutig, weil:

• Das Internet ist relativ neu und entwickelt sich immer weiter, sodass es gelegentlich schwer fällt, den rechtlichen Rahmen auf dem neuesten Stand zu halten.
• Internetgesetze erstrecken sich häufig auf andere Rechtsbereiche wie den Datenschutz oder das Vertragsrecht, die es bereits in der Zeit vor dem Internet gab und manchmal sehr unterschiedlich ausgelegt werden können.
• Online-Privatsphäre ist kein eigenes Rechtsgebiet. Vielmehr gibt es einen Flickenteppich aus Bundes- und Landesgesetzen. Hinzu kommt, dass Online-Datenschutzgesetze in den einzelnen Ländern der Welt sehr unterschiedlich ausgelegt werden.

Die Europäische Union hat ein übergreifendes Datenschutzgesetz verabschiedet, die so genannte Datenschutz-Grundverordnung (DSGVO). Im Gegensatz dazu gibt es in den USA kein zentrales Online-Datenschutzgesetz auf Bundesebene. Stattdessen gibt es eine Reihe von branchenspezifischen Datenschutzgesetzen auf Bundesebene und einige an den Verbraucherschutz angelehnte Datenschutzgesetze in einzelnen Bundesstaaten. In diesem Artikel geben wir Ihnen einen Überblick über einige der wichtigsten Gesetze zur Internetsicherheit, die Sie kennen sollten.

US-Datenschutzgesetz von 1974

Auch wenn der Privacy Act von 1974 bereits vor dem Internet verabschiedet wurde, bildet er trotzdem die Grundlage für viele Gesetze zum Datenschutz und zum Schutz der Privatsphäre in den USA. Das Gesetz wurde als Reaktion auf die große Menge an personenbezogenen Daten verabschiedet, die von US-Behörden in Computerdatenbanken gespeichert werden. Das Gesetz regelt Folgendes:

• Ein Auskunftsrecht für US-amerikanische Bürger über die von den Behörden gespeicherten Daten und das Recht auf eine Kopie dieser Daten.
• Das Recht der Bürger auf Korrektur von fehlerhaften Informationen.
• Die Einschränkung, dass Behörden grundsätzlich nur die Informationen erfassen dürfen, die zur Erreichung ihrer Ziele relevant und notwendig sind.
• Beschränkung des Datenzugriffs auf das absolut Notwendige
• Einschränkung des Informationsaustauschs zwischen Bundesbehörden (und anderen untergeordneten Behörden), der damit nur unter ganz bestimmten Bedingungen zulässig ist

Mit der Erfindung des Internets änderte sich allerdings die Definition des Begriffs „Privatsphäre“, sodass neue Datenschutzgesetze für die elektronische Kommunikation erforderlich wurden.

Federal Trade Commission Act

Mitdem Federal Trade Commission Act von 1914 wurde die US Federal Trade Commission gegründet, deren Aufgabe darin besteht, den Handel vor unlauterem Wettbewerb und unfairen Handelspraktiken zu schützen.

Auch wenn die FTC heute nicht mehr explizit regelt, welche Informationen in den Datenschutzrichtlinien von Webseiten enthalten sein sollten, wacht sie noch immer über die Herausgabe von Vorschriften, die Durchsetzung von Datenschutzgesetzen und den Verbraucherschutz. Die FTC geht beispielsweise gegen Organisationen vor, die:

• veröffentlichte Datenschutzrichtlinien nicht einhalten,
• personenbezogene Daten in einer Weise übermitteln, die von der Datenschutzrichtlinie nicht abgedeckt ist,
• gegenüber dem Verbraucher ungenaue Angaben zu Datenschutz und -sicherheit machen, 
• keine angemessenen Maßnahmen zum Schutz von Daten ergreifen,
• sich nicht an die für ihre Branche geltenden Grundsätze der Selbstregulierung halten.

Die FTC spielt vor allem deswegen eine wichtige Rolle bei der Regulierung des Internets, weil sie Untersuchungen gegen führende Technologieanbieter und Betreiber von sozialen Medien einleitet, deren Angaben zur Privatsphäre der von ihnen erhobenen Verbraucherdaten irreführend sind. So ist die FTC in der Vergangenheit Beschwerden nachgegangen, die bezüglich der Verwendung von Kundendaten gegen Facebook erhoben wurden.

Gesetz zum Schutz der Privatsphäre von Kindern im Internet

Der Children's Online Privacy Protection Act von 1998 – auch als COPPA bekannt  – ist ein US-Bundesgesetz. Laut diesem Gesetz sollen Eltern die Kontrolle darüber haben, welche Informationen über ihre kleinen Kinder im Internet erfasst werden. COPPA richtet sich an die Betreiber kommerzieller Webseiten und Online-Dienste (einschließlich mobiler Apps und Geräte des Internets der Dinge) für unter 13-Jährige, deren personenbezogene Daten auf diesen Seiten erfasst werden.

Wesentliche Vorgaben von COPPA:

• Webseiten, Apps und Online-Tools,die sich an Kinder unter 13 Jahren richten, dürfen Informationen von diesen Kindern nur dann erfassen, wenn eine Einverständniserklärung der Eltern vorliegt.
• Sie müssen eine eindeutige und umfassende Datenschutzrichtlinie vorweisen.
• Sämtliche Informationen, die sie von Kindern erhalten, müssen gesichert aufbewahrt werden.

Das Gesetz stammt zwar aus den Anfängen des Internets, hat aber im Zeitalter von sozialen Medien und programmatischer Werbung zunehmend an Bedeutung gewonnen. Eine Schlüsselfrage im Zusammenhang mit COPPA ist, inwieweit eine Website an Kinder unter 13 Jahren „gerichtet“ ist. In den USA bewertet die Federal Trade Commission Webseiten anhand verschiedener Kriterien, wie zum Beispiel:

• Thema
• Inhalt
• Einsatz von Animationen
• Vorhandensein kindgerechter Aktivitäten oder Anreize
• Alter der Models
• Einsatz von Kinderstars oder Prominente, die vor allem Kinder ansprechen
• An Kinder gerichtete Werbung auf der Webseite

Einige Webseiten oder Dienste legen sich selbst Altersbeschränkungen auf, um die COPPA-Vorschriften nicht einhalten zu müssen. So legen beispielsweise viele soziale Netzwerke, deren Geschäftsmodell auf der Erfassung und Vermarktung von Nutzerdaten beruht, das Mindestalter für die Registrierung auf 13 Jahre fest.

Eine weitere Frage, die im Zusammenhang mit COPPA diskutiert wird, ist, was genau unter die „Erfassung personenbezogener Daten“ fällt. Das Erfassen von Namen, Adressen und Fotos gehört zweifelsohne dazu. Schwieriger wird es allerdings bei verhaltensbezogener Werbung, also Anzeigen, die das Nutzerverhalten auf Webseiten und in Apps nachverfolgen. Auch das stellt laut COPPA eine Erhebung von personenbezogener Daten dar. Selbst wenn diese verhaltensbezogenen Anzeigen von einem Dritten geschaltet werden, bleibt der Eigentümer der Webseite dafür verantwortlich, wenn auf seiner Webseite Inhalte speziell für Kinder bereitstellt werden. Angesichts der Tatsache, dass verhaltensbezogene Werbung einen so großen Teil des Internet-Ökosystems ausmacht, hat diese Interpretation erhebliche Auswirkungen auf kindgerechte Webseiten.

California Consumer Privacy Act

Das kalifornische Gesetz zum Schutz der Privatsphäre von Verbrauchern (CCPA) trat 2018 in Kraft. Gegenstand dieses Gesetzes war es, den Schutz der Privatsphäre für Verbraucher in US-Staat Kalifornien auf das Internet auszuweiten. Das CCPA gilt als das umfassendste Online-Datenschutzgesetz in den USA, das auch keine Entsprechung auf Bundesebene hat.

Ebenso wie die DSGVO in der EU gibt es Verbrauchern ein Recht auf Auskunft und Löschung sowie das Recht, der Datenverarbeitung zu widersprechen. Im Gegensatz zum CCPA räumt die DSGVO den Verbrauchern außerdem das Recht auf Berichtigung unrichtiger oder unvollständiger personenbezogener Daten ein. Im Rahmen der DSGVO muss der Verbraucher darüber hinaus der Nutzung seiner Daten zum Zeitpunkt der Übergabe explizit zustimmen. Im Gegensatz dazu schreibt das CCPA lediglich vor, dass auf jeder Webseite darauf hingewiesen werden muss, dass Verbraucher der Erhebung bestimmter Daten widersprechen können. Weitere Besonderheiten des CCPA:

• Verbrauchen haben ein Recht auf Auskunft, von dem sie durch Einreichen eines Auskunftersuchens Gebrauch machen können.
• Unternehmen dürfen personenbezogene Daten von Verbrauchern nicht ohne entsprechenden Hinweis im Internet weiterverkaufen und müssen dem Verbraucher eine Widerspruchsmöglichkeit geben.
• Verbraucher haben im Fall einer Datenpanne nur ein begrenztes Klagerecht.
• Im Falle eines Falles ist der Generalstaatsanwalt grundsätzlich befugt, Unternehmen im Namen von Bürgern zu verklagen.

Im CCPA ist die Definition von personenbezogenen Daten sehr breit gefasst: „Informationen, die einen bestimmten Verbraucher oder Haushalt identifizieren, sich auf ihn beziehen, ihn beschreiben, vernünftigerweise mit ihm in Verbindung gebracht werden können oder vernünftigerweise direkt oder indirekt mit ihm in Verbindung gebracht werden könnten“. Diese Sichtweise von personenbezogenen Daten ist damit ähnlich weitreichend wie die der DSGVO.

Datenschutz-Grundverordnung (DSGVO)

Die Datenschutz-Grundverordnung der EU – GDPR – ist seit 2018 in Kraft. Sie bildet den Rechtsrahmen, in dem die Richtlinien zur Erhebung und Verarbeitung personenbezogener Daten von Personen mit Wohnsitz in der Europäischen Union festgelegt sind. Die DSGVO gilt unabhängig vom Standort des Webservers oder des Webseiten-Anbieters, was bedeutet, dass sie auf allen Webseiten gilt, die EU-Bürger ansprechen. Die Datenschutz-Grundverordnung gilt als eines der weltweit strengsten Datenschutzgesetze.

In der DSGVO ist festgelegt, dass Webseiten-Nutzer informiert werden müssen, welche Daten von der Webseite erfasst werden, und dass Nutzer dieser Erhebung ihrer Daten ausdrücklich zustimmen müssen. Aus diesem Grund erscheinen auf vielen Websites Popups, in denen die Nutzer aufgefordert werden, der Speicherung von Cookies – das sind kleine Dateien, die persönliche Informationen wie Webseiten-Einstellungen und Präferenzen enthalten – zuzustimmen.

Wesentliche Eckpunkte der DSGVO:

• Der Verbraucher hat das Recht zu erfahren, wie seine Daten erfasst und verwendet werden.
• Der Verbraucher hat das Recht, von einer Webseite Auskunft darüber zu verlangen, welche Informationen über ihn erfasst wurden (gebührenfrei).
• Wenn die Daten der Verbraucher fehlerhaft sind, besteht ein Recht auf Korrektur.
• Der Verbraucher hat ein Recht auf Löschung seiner Daten.
• Der Verbraucher hat das Recht, der Datenverarbeitung (z. B zu Marketingzwecken) zu widersprechen.
• Webseiten müssen den Nutzer benachrichtigen, wenn seine Daten gefährdet oder einer Datenpanne zum Opfer gefallen sind.

Auf der offiziellen Webseite der Europäischen Kommission gibt es eine ausführliche Erläuterung der DSGVO. Es gab eine Reihe von aufsehenerregenden Fällen, in denen große Unternehmen wegen Verstößen gegen die DSGVO mit hohen Strafen belegt wurden. So wurde Google zu einer Geldstrafe in Höhe von 57 Millionen Dollar verurteilt, weil bei der Einrichtung neuer Android-Telefone wichtige Informationen ausgeblendet wurden, so dass die Nutzer nicht wussten, welchen Datenerfassungsrichtlinien sie zustimmten. Und British Airways musste eine Geldbuße in Höhe von 28 Millionen Dollar zahlen, nachdem 500.000 Buchungsdaten von Kunden bei einem Hackerangriff gestohlen wurden.

Schutz von Gesundheitsinformationen in den USA

Der Health Insurance Portability and Accountability Act von 1996 (HIPAA) ist ein US-amerikanisches Bundesgesetz, das unter anderem die Bereiche Datenschutz und Datensicherheit im Gesundheitswesen regelt. Es verhindert, dass Leistungserbringer bzw. Unternehmen im Gesundheitswesen oder deren Mitarbeiter Gesundheitsdaten von Verbrauchern ohne deren Zustimmung weitergeben.

Wenn von der HIPAA die Rede ist, geht es meist um die darin enthaltene und 2003 eingeführte Regel zum Datenschutz. Die Einführung dieser Vorschrift war teilweise auch der Erkenntnis des US-Kongresses geschuldet, dass das Internet Datenschutzverletzungen im Gesundheitswesen in besonderem Maße Vorschub leistet. Die Datenschutzbestimmungen des HIPAA geben den Verbrauchern das Recht, gegenüber einem Gesundheitsdienstleister der Weitergabe ihrer Gesundheitsdaten ganz oder teilweise zu widersprechen.

Allerdings unterliegen nur bestimmte Bereiche der Gesundheitsversorgung dem HIPAA. Die Gesundheitsdaten auf Ihrem Fitness-Tracker sind zum Beispiel nicht davon abgedeckt. Genetische Daten, die Sie auf Webseiten wie Ancestry.com eingeben, fallen ebenfalls nicht unter den HIPAA. Diese Informationen sind durch andere Datenschutzgesetze oder -vereinbarungen, wie sie z. B. in vielen Apps vorgeschrieben sind, geschützt, nicht aber durch den HIPAA.

Gramm-Leach-Bliley Act

Der Gramm-Leach-Bliley Act (GLBA) – auch bekannt als Financial Services Modernization Act von 1999 – ist ein Gesetz, das die Finanzdienstleistungsbranche regelt und gewisse Datenschutzelemente und Regelungen zur Datensicherheit enthält. Der in diesem Gesetz verankerte Schutz personenbezogener Daten baut auf früheren Gesetzen zu Finanzdaten von Verbrauchern wie dem Fair Credit Reporting Act (FCRA) auf.

Im Wesentlichen schützt der GLBA nicht-öffentliche personenbezogene Daten, die definiert sind als „Informationen, die über eine Person in Verbindung mit der Bereitstellung eines Finanzprodukts oder einer Finanzdienstleistung erhoben werden, sofern diese Informationen nicht anderweitig öffentlich zugänglich sind“. Der Verweis auf „öffentlich zugänglich“ bezieht sich auf Eintragungen im Kataster oder Hypothekeneinträge, die öffentlich zugänglich sein können.

Die GLBA Safeguards Rule macht zur Auflage, dass Firmen die von ihnen erhobenen Daten schützen und für angemessen ausgelegte Datensicherungssysteme sorgen. Mit anderen Worten: Große Nationalbanken benötigen weitaus höhere Schutzmaßnahmen als beispielsweise die Volksbank um die Ecke.

Die Unternehmen sind außerdem zu regelmäßigen Sicherheitstests verpflichtet. Darüber hinaus müssen sie innerbetriebliche Sicherheitsmaßnahmen ergreifen, indem sie z. B. Mitarbeiter einer Hintergrundüberprüfung unterziehen und Aktionspläne für den Angriffsfall aufstellen.

Die Vorspiegelung falscher Tatsachen ist laut GLBA strafbar. Von Vorspiegelung falscher Tatsachen spricht man, wenn sich jemand unrechtmäßig Zugang zu nicht öffentlichen Informationen verschafft. Der Ausdruck wird oft im Zusammenhang mit Social-Engineering-Hacks verwendet, wenn sich beispielsweise jemand als Vorgesetzter oder Polizist ausgibt, um an Informationen zu gelangen. Ein weiteres Beispiel für die Vorspiegelung falscher Tatsachen sind Phishing-Betrügereien, bei denen Menschen auf gefälschten Webseiten dazu verleitet werden sollen, private Informationen preiszugeben. Laut GLBA sind Finanzinstitute verpflichtet, im Rahmen ihrer Sicherheitspläne angemessene Maßnahmen zur Verhinderung solcher Betrügereien zu ergreifen.

Online-Datenschutzgesetze: Zusammenfassung

Jedes Land hat seine eigenen Gesetze zum Schutz der Online-Privatsphäre und Datensicherheit. So gibt es beispielsweise in Brasilien das Lei Geral de Proteção de Dados (LGPD) und in Kanada den Consumer Privacy Protection Act (CPPA), die beide weitgehend der europäischen DSGVO und dem kalifornischen CCPA entsprechen.

In den USA ist der Datenschutz nicht über ein einheitliches Bundesgesetz geregelt. Die Regulierung des Internets ist ein komplexer Flickenteppich aus branchen- und medienspezifischen Gesetzen, wie den Gesetzen und Vorschriften zu Telekommunikation, Gesundheitsdaten, Kreditinformationen, Finanzinstituten und Marketing. 

Den besten Schutz für Ihre Online-Privatsphäre und die Sicherheit Ihrer Daten bietet eine umfassenden Antiviren-Lösung. Ein Produkt wie Kaspersky Total Security blockiert zum Beispiel gängige und komplexe Bedrohungen wie Viren, Malware, Ransomware, Spionage-Apps und die neuesten Hacker-Aktivitäten.

Ähnliche Artikel:

• Was ist Datenschutz? Empfohlene Schutzmaßnahmen
• Was ist Internetsicherheit? So schützen Sie sich online
• Schutz der Privatsphäre: Wie Sie Ihre Privatsphäre schützen, wenn die Grenzen zwischen beruflicher und privater Internetnutzung schwinden
• So verbergen Sie Ihre IP-Adresse