• • Anspruch wegen Gruppendiffamierung von Studenten • • USA-Recht für Jedermann: Kapitel 4 - Die Hexe • • US-Vertragsrecht: Darf Gesellschafter statt Firma klagen? • • Copyright Act: Darf eine Fotoagentur überhaupt klagen? • • Neuregelung des Urheberrechtsvermerks mit ©-Symbol • • Rechtsnachfolgerhaftung beim Asset Purchase • • Frist bei Verwirkung des Markenverletzungsanspruchs • • Mindermeinung: Ich widerspreche, gehe jetzt einkaufen • • Neueste Urteile USA

Montag, den 04. Sept. 2017

Hacking-Opfer nach Steuerdatenverlust gestraft  

.   Eine Lehre für alle zieht das Hacking-Opfer, das als Online-Steuerberatungsdienst Kundendaten verlor. Am 5. September 2017 verkündet das Bundesverbraucherschutzamt FTC einen Vergleich, den es mit dem Dienst nach einer gründlichen Untersuchung schließen will. Seine Begründung legt es samt den Tatsachen unter FTC v. TaxSlayer zur Kommentierung vor.

Steuerberaterkundendaten enthalten Finanzdaten, die der Gramm-Leach-Bliley Act schützt. Dessen Datenschutzbestimmungen hatte der Dienstleister laut der Federal Trade Commission in Washington auf verschiedene Weise verletzt. Die notwendige Kundenbelehrung fand online zwar statt, doch nicht deutlich genug - ein eklatanter, doch leicht zu korrigierender Fehler. Das Amt drückt sich in der Verkündung TaxSlayer LLC; Analysis To Aid Public Comment mit der Bitte an die Öffentlichkeit, den beabsichtigten Vergleich zu kommentieren, deutlich aus:
The consent agreement in this matter settles alleged violations of the Gramm-Leach-Bliley Act Privacy Rule, and of the Gramm-Leach-Bli­ley Act Safeguards Rule.…
This matter involves TaxSlayer, a company that advertises, offers for sa­le, sells, and distributes products and services to consumers, in­clu­ding TaxSlayer Online, a browser-based tax return preparation and electronic filing software and service. TaxSlayer Online assists con­su­mers, typically for a fee, in preparing and electronically filing fe­de­ral and state income tax returns. In 2016, more than 950,000 in­di­vi­du­als filed tax returns using TaxSlayer Online.
TaxSlayer Online users create an account by entering a username and password … on an account creation page. They then input a host of personal information in order to create a tax return, in­clu­ding but not limited to: Name, Social Security number…, te­le­pho­ne number, physical address, income, employment status, marital sta­tus, iden­tity of dependents, financial assets, financial activities, re­ceipt of go­vernment benefits, home ownership, indebtedness, health in­su­rance, retirement information, charitable donations, tax pay­ments, tax re­funds, bank account numbers, and payment card num­bers.…
The complaint alleges that TaxSlayer became subject to a list va­li­da­ti­on attack that began in October 2015. List validation attacks oc­cur when attackers use lists of stolen login credentials to attempt to ac­cess ac­counts across a number of Web sites, knowing that con­su­mers of­ten reuse login credentials. In an unknown number of in­stan­ces, the attackers engaged in tax identity theft by e-filing frau­du­lent tax re­turns and diverting the fabricated refunds to them­sel­ves.
The Commission's complaint alleges that TaxSlayer failed to comply with the Gramm-Leach-Bliley … Act Privacy Rule in two ways. First, TaxSlayer failed to provide a clear and conspicuous initial privacy notice. TaxSlayer's Privacy Policy was contained towards the end of a long License Agreement, and TaxSlayer did not convey the im­por­tan­ce, na­ture, and relevance of this Privacy Policy to its custo­mers. Se­cond, TaxSlayer failed to deliver the initial privacy no­ti­ce so that each cus­to­mer could reasonably be expected to receive actual no­ti­ce. For example, TaxSlayer did not require customers to ack­now­led­ge receipt of the initial privacy notice as a necessary step to ob­tai­ning a particular financial product or service.
In addition, the complaint alleges that TaxSlayer engaged in a num­ber of practices that, taken together, failed to provide rea­sona­ble and ap­propriate security for sensitive information from con­su­mers, in violation of the GLB Act Safeguards Rule. First, Tax­Slay­er failed to have a written information security program until No­vem­ber 2015.
Second, TaxSlayer failed to conduct a risk assessment, which would ha­ve identified reasonably foreseeable risks to the security, con­fi­den­ti­a­li­ty, and integrity of customer information, including risks associated with inadequate authentication. Third, TaxSlayer failed to im­plement information safeguards to control the risks to customer in­for­ma­tion from inadequate authentication.







CK
Clemens Kochinke ist Gründer und Herausgeber des German Ame­ri­can Law Journal in der Digitalfassung sowie von Embassy Law. Er ist nach der Ausbildung in Deutschland, Malta, England und USA Jurist, At­tor­ney und Rechtsanwalt, vormals Referent für Wirt­schafts­politik und IT-Auf­sichtsrat, seit 2014 zudem Managing Part­ner einer 75-jäh­ri­gen ame­ri­ka­nischen Kanzlei. Er erklärt deutsch-ame­ri­ka­ni­sche Rechtsfragen in Büchern und Fachzeitschriften.

2014 erschien sein Kapitel Vertragsverhandlung in den USA in Heussen/Pischel, Handbuch Vertragsverhandlung und Ver­trags­management, und 2012 sein Buchbeitrag Business Nego­ti­ati­ons in Ger­many in New York, 2013 sein EBook Der ame­ri­ka­ni­sche Vertrag: Planen - Verhandeln - Schreiben.

Die meisten Mitverfasser sind seine hochqualifizierten, in das amerikanische Recht eingeführten Referendare und Praktikanten.