Die FTC erinnert uns an das Recht auf Vergessenwerden

„Das Internet vergisst nie“ ist eine Warnung, dass das, was Sie online tun, Sie später heimsuchen könnte. Es ist auch eine gemeinsamer Mythos, da Inhalte häufig verschwinden, entweder aus Versehen oder mit Absicht. Versuchen Sie einfach mal, auf die Online-Diskussionsforen zuzugreifen, die Sie 1998 gelesen haben. Oder Jahrzehnte von MTV News.

In manchen Fällen möchten die Leute jedoch, dass ihre digitalen Informationen verschwinden – insbesondere, wenn sie von Unternehmen gehostet werden, denen sie nicht mehr vertrauen. Die FTC hat das im Oktober etwas einfacher gemacht, als sie geregelt Fall mit Marriott International. Diese Einigung ermöglicht es Verbrauchern, von Marriott International die Löschung ihrer Daten zu verlangen. Könnte dies in den USA einen Präzedenzfall schaffen, von dem europäische Verbraucher seit Jahren profitieren?

Als Kriminelle Millionen von Datensätzen ein- und auscheckten

Im Jahr 2018 gab Marriott bekannt, dass Eindringlinge das Reservierungssystem seiner Tochtergesellschaft Starwood Hotels & Resorts manipuliert hatten. Bei zwei Angriffen stahlen sie 339 Millionen Kundendaten von Starwood, darunter Kreditkartendaten und Passnummern.

Die Angriffe begannen 2014, bevor Marriott Starwood übernahm. Als Marriott den Einbruch zwei Jahre nach der Übernahme 2016 entdeckte, hatte es Starwood noch immer nicht auf sein eigenes Reservierungssystem umgestellt. Dann, zwischen 2018 und 2020, kam es zu einem dritten Einbruch, diesmal in Marriotts eigenen Systemen. Bei diesem Einbruch wurden weitere 5.2 Millionen Kundendaten gestohlen, hauptsächlich um ihre Treuepunkte zu stehlen.

Die Beschwerde der FTC gegen Marriott konzentriert sich auf zwei Dinge. Erstens auf das angebliche Versäumnis, angemessene Sicherheitsmaßnahmen wie Passwortkontrollen, Software-Patches und Netzwerkprotokollierung bereitzustellen. Zweitens betrachtet die FTC Verbrauchertäuschung durch irreführende Sicherheitsaussagen.

Was die FTC in ihrer Beschwerde nicht explizit darlegt, ist Marriotts Kehrtwende in Bezug auf seine Verschlüsselungsansprüche. Der Hotelier sagte damals, dass die Kreditkartennummern und einige Passdaten im Starwood-Datenleck mit AES-128, einem leistungsstarken Verschlüsselungsprotokoll, verschlüsselt worden seien. In einer rechtlichen Anhörung am 10. April dieses Jahres sagte er jedoch: zeigten, dass Tatsächlich wurde es mit dem Hash-Algorithmus SHA-1 verarbeitet. Dabei handelt es sich nicht nur nicht um einen Verschlüsselungsmechanismus, sondern Sicherheitsforscher haben bereits 1 Schwachstellen in SHA-2005 aufgedeckt. Die NSA hat ihn inzwischen ganz außer Dienst gestellt.

Verbraucher können ihre Marriott-Daten bald löschen

Marriott willigte in einem separaten Vergleich mit 52 Generalstaatsanwälten in eine Zahlung von 50 Millionen Dollar ein. Das entspricht 0.8 Prozent des Umsatzes des Konzerns oder etwas mehr als drei Tageseinnahmen – oder anders ausgedrückt etwa 15 Cent pro betroffenem Kunden.

Ein vielleicht noch wichtigeres Ergebnis für die wahren Opfer des Marriott-Datenlecks war die Vereinbarung der Hotelkette mit den Bundesstaaten und der FTC, dass sie ihren Kunden die Löschung ihrer persönlichen Daten aus ihren Systemen gestattet. Marriott muss auf seiner Website einen Button bereitstellen, über den Kunden die Löschung dieser Daten beantragen können. Innerhalb von 60 Tagen nach jeder Anfrage muss Marriott den Erhalt bestätigen und den Vorgang der Datenlöschung erläutern.

Dies ist nicht das erste Mal, dass die FTC im Rahmen ihrer Vergleiche Anträge auf Datenlöschung gestellt hat. Im Oktober 2022 einigte sich die Kommission mit dem Bildungstechnologieanbieter Chegg wegen dessen angeblicher Cybersicherheitsmängel, und die Vereinbarung beinhaltete eine Anordnung für das Unternehmen, Verbrauchern das Löschen ihrer Daten zu gestatten. Abrechnung mit Die Aufforderung an das Marketingunternehmen InMarket vom Mai dieses Jahres beinhaltete zudem die Aufforderung, auf Kundenanfrage sämtliche Standortdaten von Kunden zu löschen.

In einem Analyse von Jim Dempsey, Geschäftsführer des IAPP Cybersecurity Law Center, sagt im Marriott-Fall, dass der Vergleich mit Marriott etwas Neues enthalte. „Es war das erste Mal, dass die FTC von einem Unternehmen, das einen Sicherheitsverstoß erlitt, verlangte, allen Kunden einen Link zur Verfügung zu stellen, über den sie die Löschung der mit einer E-Mail-Adresse und/oder einer Treueprogramm-Kontonummer verknüpften persönlichen Daten beantragen können“, sagte er.

Ausbreitung von Anforderungen zur Löschung von Verbraucherdaten

Diese Bestimmungen zur Datenlöschung könnten sich noch weiter verbreiten. In den USA gibt es kein bundesstaatliches Datenschutzgesetz. Allerdings sind viele Gesetze zur Datenlöschung auf Bundesstaatsebene bereits in Kraft oder werden bald in Kraft treten. Unternehmen in Kalifornien, Colorado, Connecticut, Utah und Virginia müssen Verbraucherdaten jetzt auf Anfrage löschen, während ähnliche Gesetze in Iowa und Nebraska im Januar nächsten Jahres in Kraft treten werden. Weitere sind in Arbeit.

In Europa sind Unternehmen schon lange mit diesem Problem konfrontiert. Die Datenschutz-Grundverordnung (DSGVO), die 2018 in Kraft trat, hat Verbrauchern das Recht auf Löschung ihrer Daten eingeräumt.

All dies bedeutet, dass der jüngste und aggressivste Vergleich der FTC zum Recht auf Löschung wahrscheinlich nicht der letzte sein wird. Angesichts einer neuen, weitgehend regulierungsfeindlichen Regierung ist unklar, ob der Kongress in naher Zukunft ein übergreifendes Bundesgesetz zum Recht auf Löschung verabschieden wird. Da jedoch die Unterstützung für Maßnahmen zum Recht auf Löschung auf Bundesstaatsebene zunimmt, hat die FTC eine bessere Grundlage, dieses Konzept bei Vergleichen mit Unternehmen anzuwenden.

Wie vorzubereiten

Organisationen, die glauben, von Datenlöschungsanfragen betroffen zu sein, sollten sich darauf vorbereiten. Dabei geht es sowohl um rechtliche als auch um technische Aspekte. Um ihre Verantwortung im Zusammenhang mit einer eingehenden Löschanfrage zu verstehen, müssen sie die spezifischen Merkmale dieser Daten anhand des Geltungsbereichs der Regel bewerten – sei es eine behördliche Regelung, ein staatliches Gesetz oder eine regionale Regelung. Dazu gehört auch, zu verstehen, ob der Zweck Ihrer Datenspeicherung von der Regel ausgenommen ist und ob Sie die Daten benötigen, um einen Vertrag mit der Person zu erfüllen.

Wenn Sie die Daten löschen müssen, müssen Sie die betreffenden Informationen identifizieren und sammeln, oft aus mehreren Systemen. Die Entwicklung einer Data-Governance-Strategie, die dies unterstützt, kann die Verwendung von Technologie zum Markieren und Lokalisieren der Daten auf Anfrage und das anschließende Erstellen von Löschdatensätzen zur Automatisierung der Berichterstellung umfassen.

Je mehr Rechte Verbraucher erhalten, ihre Daten zu löschen, desto mehr könnte dies das Vertrauen in ein Online-Ökosystem wiederherstellen, das sie schwer enttäuscht hat. Unternehmen, die sich jetzt auf diese Möglichkeit vorbereiten, stellen nicht nur sicher, dass sie diese spezielle Regel einhalten können; sie verbessern auch die Datenverwaltung in einer Welt, die dies dringend benötigt.