Im letzten Jahr haben gleich zwei US-Bundesstaaten bedeutende, neue Datenschutzgesetze erlassen. Einerseits trat in Kalifornien der California Consumer Privacy Act (CCPA) in Kraft, der strenge Datenschutzregelungen vorsieht. Die Behörden werden den CCPA zwar erst ab 01.07.2020 mit Sanktionen vollziehen. Es empfiehlt sich aber für alle in Kalifornien tätigen Unternehmen, schon jetzt ihre Privacy Policy mit dem CCPA in Einklang zu bringen. Darüber hinaus hat am 25. Juli 2019 der Gouverneur des Bundesstaates New York den "Stop Hacks and Improve Electronic Data Security Act" (SHIELD Act) unterzeichnet.
Foto: remotevfx.com - shutterstock.com
Dieser modifiziert die bestehenden Gesetze des Bundesstaates New York teils signifikant, sodass an zahlreiche Unternehmen neue Anforderungen zum Thema Datenschutz gestellt werden. Von den Regelungen sind Unternehmen betroffen, die private Informationen von Einwohnern des Bundesstaates New York besitzen oder lizenzieren ("owns or licenses personal information"). Demnach ist nicht mehr erforderlich, dass Unternehmen im Bundesstaat New York Geschäfte ausführen ("conduct business"), sodass grundsätzlich jedes Unternehmen, das solche Informationen sammelt, von den neuen Regelungen betroffen sein kann. Es gibt allerdings eine Ausnahme für kleine Unternehmen mit weniger als 50 Mitarbeitern, mit weniger als drei Millionen Dollar Bruttoeinnahmen in jedem der letzten drei Geschäftsjahre oder mit weniger als fünf Millionen Dollar Gesamtvermögen am Jahresende.
SHIELD Act - Teil 1 bereits in Kraft
Der erste Teil des SHIELD Acts ist bereits am 23. Oktober 2019 in Kraft getreten. Diese Änderung betrifft in erster Linie die Anforderungen an eine Datenschutzverletzung: Einerseits wurde der Begriff der "privaten Informationen" erweitert, sodass beispielsweise biometrische Daten und andere "elektronische Messungen der individuellen physikalischen Eigenschaften einer Person", wie etwa Benutzernamen, Passwörter oder Sicherheitsfragen von dem Begriff erfasst sind. Andererseits wurde die Definition einer Verletzung um den unbefugten Zugang erweitert (zuvor lediglich: Erwerb). Daher ist nun die Hürde, eine Datenschutzverletzung zu begehen, deutlich niedriger - und das Risiko somit höher.
Weiterhin wurde auch das bundesstaatliche Meldeverfahren nach einem Bruch der Datensicherheit erneuert. Demnach müssen Unternehmen betroffenen Personen einen Verstoß "so schnell wie möglich und ohne unangemessene Verzögerung, im Einklang mit den legitimen Bedürfnissen der Strafverfolgung" offenlegen. Auch zu diesem Punkt existiert in der DSGVO eine ähnliche Regelung: Nach Art. 33, 34 DSGVO hat der Verantwortliche grundsätzlich die Pflicht, im Falle eines Datenschutzvorfalls, der zu einem hohen Risiko für die Rechte und Freiheiten der Betroffenen führt, den Datenschutzvorfall unverzüglich bei der Datenschutzbehörde und bei einem "hohen Risiko für die persönlichen Rechte und Freiheiten" (Art. 34 Abs. 1) auch der betroffenen Person zu melden.
Mehr Datenschutz-Regelungen im März
Am 21. März 2020 treten die übrigen Bestimmungen des SHIELD Act in Kraft. Diese Regelungen sehen weitere, bedeutende Änderungen vor. Von nun an wird an Unternehmen die Anforderung gestellt, angemessene Sicherheitsvorkehrungen zu entwickeln, zu implementieren und aufrechtzuerhalten. Dadurch sollen die Sicherheit, Vertraulichkeit und Integrität von privaten Informationen geschützt werden. Dementsprechend müssen die betroffenen Unternehmen künftig ein angemessenes Datenschutzmanagement vorweisen, das administrative, technische und physische Sicherheitsmaßnahmen umfasst. Dazu zählen etwa die Benennung von Cybersicherheitspersonal, die Durchführung angemessener Kontrollen zum Schutz personenbezogener Daten oder auch Schulungen für die Mitarbeiter.
Zu angemessenen Sicherheitsmaßnahmen gehört ferner ein Dokumentationsmanagementsystem. Ein solches sollte folgende Punkte enthalten: eine Bewertung des Risikos der Speicherung und Entsorgung von den entsprechenden Daten; die Erkennung, Verhinderung und Reaktion auf Eingriffe sowie Regelungen zum Schutz vor unbefugten Zugriffen und der unbefugten Verwendung von private Informationen, dem unbefugten Transport oder der unbefugten Entsorgung schaffen. Schlussendlich müssen die Daten, soweit sie nicht mehr für Geschäftszwecke benötigt werden, innerhalb einer "angemessenen Zeitspanne" vernichtet werden. Diese Anforderungen erinnern an die Grundsätze, die in Art. 5 der DSGVO niedergelegt sind, wie etwa den Grundsatz der Zweckbindung oder Speicherbegrenzung. Allerdings fehlt es im Zusammenhang mit dem SHIELD Act an einer konkreten Definition des Begriffs der "angemessenen Zeit". Erarbeitet ein Unternehmen also selbst ein Konzept zu Löschfristen, sollte zwingend dokumentiert werden, woraus sie sich ergeben und wie sie sich berechnen.
Interessant ist aus DSGVO-Sicht noch, dass ein Unternehmen nach dem SHIELD Act von den Anforderungen an die Benachrichtigung über einen Bruch der Datensicherheit befreit ist, wenn:
die Offenlegung privater Informationen eine versehentliche Offenlegung war
und das Unternehmen vernünftigerweise feststellt, dass eine solche Offenlegung wahrscheinlich nicht zu einem Missbrauch dieser Informationen oder zu einem finanziellen oder emotionalen Schaden für die betroffenen Personen führen wird.
Diese Prognose ist zu dokumentieren. Art. 33 Abs. 1 DSGVO sieht von der Benachrichtigung an die Aufsichtsbehörde ab, wenn der Bruch der Datensicherheit nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Auf eine konkrete Schadensprognose kommt es bei Art. 33 und 34 DSGVO nicht an. Abgesehen davon sind die Ausnahmen relativ ähnlich.
SHIELD Act - die Folgen für Unternehmen
Schon die ersten Änderungen durch den SHIELD Act waren für die Compliance von Unternehmen bedeutsam, insbesondere durch die Erweiterung des Begriffs der Datenschutzverletzung. Um jedoch den neuen Anforderungen des SHIELD Acts ebenfalls gerecht zu werden, müssen Unternehmen dafür Sorge tragen, dass der Schutz von privaten Informationen über den gesamten Zeitraum, in dem sie unter der Kontrolle des Unternehmens stehen, gewährleistet wird. Daher müssen Unternehmen künftig angemessene Sicherheitsmaßnahmen entwickeln und implementieren. Dazu gehört insbesondere die Festlegung beziehungsweise Anpassung von Aufbewahrungsfristen und Löschkonzepten, die unter anderem die Vernichtung der Daten nach einer angemessenen Zeit sowie eine sichere Entsorgung vorsehen.
Sollten Unternehmen den neuen Anforderungen nicht nachkommen, hat der Generalstaatsanwalt die Befugnis, den SHIELD Act durchzusetzen. Um einer Strafe zu entgehen, könnte es sich für Unternehmen, die von dem SHIELD Act betroffen sind, lohnen, einen Blick nach Europa zu werfen. Denn aufgrund der zahlreichen Parallelen zur europäischen Datenschutzgrundverordnung können die europäischen Maßnahmen eine Orientierungshilfe beispielsweise für Löschkonzepte und Datenschutzmanagementsysteme über die EU-Grenzen hinaus sein. (fm)