Eine Frau aus Kalifornien verklagt die Datenhandelsfirma Choice Point, weil sie private Daten von mehr als 140.000 Personen an Identitätsdiebe verkauft hat. Sie möchte damit einen Musterprozess gegen die Firma führen, da Choice Point ihre Pflichten bei der Verwaltung sensibler Daten vernachlässigt und erst nach einem Jahr die Identität der Betrüger festgestellt habe.
Die Betrüger hätten über 50 Kundenaccounts bei der Firma eröffnet und sensible Daten wie Sozialversicherungsnummern, Kreditverhalten und andere sensible Daten tausender Personen angekauft, die Choice Point gesammelt hatte.
Ob die Klage Erfolg hat, ist fraglich: Einerseits hat die Klägerin kein eigenes Kundenverhältnis mit Choice Point unterhalten, so dass die Daten nicht unter das Datenschutzrecht fielen, andererseits könnte das Gericht feststellen, dass die Firma eine – wenn auch indirekte – Beziehung zur Öffentlichkeit habe, so dass sie durchaus Verantwortung für die Daten trage. Es könne allerdings 5 bis 10 Jahre dauern, bis ein endgültiges Urteil gefällt ist, so Andrea Matwyshyn, eine Jura-Prozessorin und Spezialistin für Technikregulierung und Informationssicherheitsrecht.
Sollte der Prozess wirklich geführt werden, müsste Choice Point interne Vorgänge und Verfahrensweisen offen legen, wie es die Datenschutzorganisation EPIC schon länger fordert.
Nach eigener Auskunft ist Choice Point der größte Dienstleister im Bereich Identifizierung, Beschaffung, Lagerung und Analyse von Daten in den USA. Zu den Kunden zählen Kreditkartenfirmen, Telekommunikationdienstleister und die US-Regierung.