Die FCC hat am 24.10.2014 ihren Vorschlag bekannt gegeben, den Firmen TerraCom und YourTel America jeweils Bußgelder i.H.v. $US 10 Millionen aufzuerlegen (Download als PDF hier).

Die beiden TK-Firmen bieten Telefon und Internet für ihre Kunden an. Arme Kunden konnten einen verbilligten Tarif buchen, wenn sie nachwiesen, dass sie ein Einkommen von 135% der Armutsgrenze der USA oder weniger hatten. Hierfür mussten sie online ihre Daten eingeben und Unterlagen einreichen (u.a. Steuerbescheide).

Diese Daten speicherten die Firmen auf den Servern eines Vertragspartners, wo sie sowohl im Volltext als auch als gescannte Dateien für jedermann frei verfügbar waren.

Der Reporter Isaac Wolf von Scripps News lud einen Teil der Dateien herunter und wies die TK-Firmen am 26.4.2013 auf die Sicherheitslücke hin. Vier Tage später sandten die Firmen eine Abmahnung (cease and desist letter), in der sie Wolf als Hacker bezeichneten. Am 7.5.2014 meldeten die TK-Firmen das Abhandenkommen von Daten an das „Enforcement Bureau“ und 10 Tage später an die FCC.

Die FCC begründet die hohe Strafe wie folgt:

• Die TK-Firmen haben gegen Datenschutzstandards verstoßen, indem sie die Daten ungesichert über das Internet verfügbar machten.

They failed to use even the most basic and readily available technologies and security features and thus created an unreasonable risk of unauthorized access. …

The Companies exposed over 300,000 consumers to potential data security breaches through their lax and virtually non-existent security practices.

• Die TK-Firmen haben gegen ihre eigenen Datenschutzbedingungen verstoßen, in denen sie ihren Kunden den Schutz der Daten versprochen hatten.

• Die TK-Firmen unterließen es, ihre Kunden über das Abhandenkommen der Daten zu informieren.

When learning that a security breach had occurred, the Companies failed to notify all potentially affected consumers and thereby deprived them of any opportunity to take steps to protect their PI from misappropriation by third parties

Die FCC begründet ihre Ansicht auf den nachfolgenden Seiten des immerhin 30-Seiten langen Vorschlages. Wer sich für amerikanisches Datenschutzrecht interessiert, wird daran seine Freude haben.

Die Höhe des Bußgeldes erläutert die FCC u.a. wie folgt (Rn. 45 ff.):

Section 503(b)(2)(B) of the Act empowers the Commission to assess a forfeiture of up to $150,000 against a common carrier for each willful or repeated violation of the Act or of any rule, regulation, or order issued by the Commission under the Act.99 For a violation to be willful, it need not be intentional. In exercising our forfeiture authority, we are required to take into account “the nature, circumstances, extent, and gravity of the violation and, with respect to the violator, the degree of culpability, any history of prior offenses, ability to pay, and such other matters as justice may require.”

In determining the proper forfeiture in this case, we are guided by the principle that the protection of consumer PI is a fundamental obligation of all telecommunications carriers. Consumers are increasingly concerned about their privacy and the security of the sensitive, personal data that they must entrust to service providers of all stripes. Given the increasing concern about the security of personal data, we must take aggressive, substantial steps to ensure that carriers implement necessary and adequate measures to protect consumers’ PI. In this case, the evidence shows that TerraCom and YourTel have not taken those obligations seriously. For the reasons articulated below, we propose a total forfeiture of $10,000,000 for the apparent violations in this case. ….

Spannend sind im Anschluss daran noch die Einzelvoten (teilweise abweichend).

Chairman Tom Wheeler schreibt z.B.:

But rather than safeguarding the information, the companies outsourced this responsibility to a vendor that collected and stored customers’ Social Security numbers, names, addresses, driver’s licenses, and other sensitive information on unprotected Internet servers. In other words, the most sensitive, personal information of up to 305,000 Americans was available to anyone with an Internet connection anywhere in the world. We do not need detailed ex ante rules and regulations to know that this is simply unacceptable.

Auch die abweichende Meinung von Commissioner Ajit Pai ist interessant (S. 25 ff.). Nach seiner Auffassung bestand nämlich gar keine durchsetzbare Pflicht der TK-Anbieter hier, die Daten ihrer Kunden zu schützen:

… Thus, an agency cannot at once invent and enforce a legal obligation.

Yet this is precisely what has happened here. In this case, there is no pre-existing legal obligation to protect personally identifiable information (also known as PII) or notify customers of a PII data breach to enforce. The Commission has never interpreted the Communications Act to impose an enforceable duty on carriers to “employ reasonable data security practices to protect” PII. The Commission has never expounded a duty that carriers notify all consumers of a data breach of PII. The Commission has never adopted rules regarding the misappropriation, breach, or unlawful disclosure of PII. The Commission never identifies in the entire Notice of Apparent Liability a single rule that has been violated.

Nevertheless, the Commission asserts that these companies violated novel legal interpretations and never-adopted rules. And it seeks to impose a substantial financial penalty. In so doing, the Commission runs afoul of the fair warning rule. I cannot support such “sentence first, verdict afterward” decision-making. …

Consumer protection is a critical component of the agency’s charge to promote the public interest. But any enforcement action we take in that regard must comport with the law. For the reasons stated above, I dissent.

Ähnliche Bedenken äußert dann noch Commissioner O’Reilly (S. 27 ff.).

(via @fborgesius)