Telefongesellschaften müssen möglicherweise neue Vorschriften darüber befolgen, wie sie Kunden und die Regierung nach einer Datenschutzverletzung benachrichtigen, wenn ein Vorschlag der Vorsitzenden der Federal Communication Commission, Jessica Rosenworcel, angenommen wird. Die am Mittwoch veröffentlichte Mitteilung über die vorgeschlagene Regelsetzung nennt die „zunehmende Häufigkeit und Schwere von Sicherheitsverletzungen im Zusammenhang mit Kundeninformationen“ als Risiko für Verbraucher.
Die aktuellen Regeln geben Telekommunikationsanbietern sieben Werktage Zeit, um das FBI und den Geheimdienst über Datenschutzverletzungen zu informieren, bei denen kundeneigene Netzwerkinformationen (CPNI) verloren gehen. In den meisten Fällen kann das Unternehmen die Kunden erst sieben Werktage nach Übermittlung der Informationen an die Strafverfolgungsbehörden des Bundes über den Verstoß informieren. Der Vorschlag schlägt vor, diese obligatorische Wartezeit abzuschaffen und die FCC in die Liste der Behörden aufzunehmen, die Unternehmen im Falle einer Datenschutzverletzung benachrichtigen müssen. Es heißt auch, dass sie auch bei unbeabsichtigten Verstößen Benachrichtigungen versenden müssten.
Nachrichten über einen Verstoß müssen derzeit an die Strafverfolgungsbehörden weitergeleitet werden, bevor sie an Verbraucher gesendet werden können
CPNI ist laut FCC „einige der sensibelsten personenbezogenen Daten, die Netzbetreiber und Anbieter über ihre Kunden haben“. Es kann Daten enthalten, z. B. wen ein Kunde angerufen hat und wann und wo diese Anrufe getätigt wurden. Es kann auch den Rechnungskontonamen, die Telefon- und Kontonummer des Kunden sowie Informationen zu seinem Plan enthalten. Die vorgeschlagene Aktualisierung würde „die Vorschriften der Kommission besser an diejenigen anpassen“, die kürzlich von Bundes- und Landesregierungen für andere Branchen eingeführt wurden, heißt es in der Mitteilung.
Dieser Vorschlag wird nicht im luftleeren Raum gemacht. Ende Dezember wurde bekannt, dass eine Datenschutzverletzung die CPNI einiger T-Mobile-Kunden offengelegt hatte. Die Fluggesellschaft hatte Anfang 2021 auch einen viel größeren Cybersicherheitsvorfall erlitten, von dem über 50 Millionen Menschen betroffen waren und der bereits die fünfte Verletzung der Fluggesellschaft in vier Jahren war. Während T-Mobile angibt, betroffene Kunden nach dem Verstoß im Dezember informiert zu haben, hätten die von der FCC vorgeschlagenen Regeln strengere Anforderungen an das Versenden dieser Benachrichtigungen gestellt.
Es kann eine Weile dauern, bis wir sehen, dass diese Anforderungen tatsächlich für Telefongesellschaften gelten – die FCC befindet sich derzeit in einer politischen Sackgasse, mit zwei demokratischen Mitgliedern (einschließlich Rosenworcel) und zwei republikanischen Mitgliedern. Das Weiße Haus hat Gigi Sohn nominiert, den fünften Sitz der Kommission zu besetzen, was das Zünglein an der Waage wäre, aber es gibt derzeit eine Pattsituation mit dem Senat, um sie tatsächlich zu bestätigen. Selbst wenn es dem Senat gelingt, Sohn zu bestätigen, trotz der Gelübde einiger republikanischer Senatoren, ihre Nominierung zu blockieren, ist der Vorschlag nur der Anfang des Regeländerungsprozesses.