Neue Datensicherheitsvorschriften

Was Sie zum SHIELD ACT wissen müssen

16.08.2019
Von    und
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Dr. Axel Spies ist Special Legal Consultant bei Morgan, Lewis & Bockius.
Mit dem SHIELD ACT tritt in New York ein neues Gesetzespaket für mehr Datenschutz und -sicherheit in Kraft. Erfahren Sie, was es besagt und warum es auch für Firmen außerhalb des Staates wichtig ist.

Der Gouverneur des Staates New York, Andrew M. Cuomo hat am 25. Juli 2019 ein Gesetzespaket für diesen Bundesstaat unterzeichnet, das Unternehmen verpflichtet, neue Datensicherheitsmaßnahmen zu implementieren. Das Paket erweitert auch die Kategorien der personenbezogenen Daten, die bei Verstößen einer Meldepflicht unterliegen, und gewährt Schutz vor Identitätsdiebstahl für diejenigen, die von Verstößen gegen die Vorschriften der Kreditauskunfteien betroffen sind. Die beiden neu erlassenen Gesetze sind die Reaktion des Staates New York auf eine Reihe von Verstößen gegen die Datenschutzbestimmungen.

Der "Stop Hacks and Improve Electronic Data Security Act" (SHIELD ACT) erweitert Datenschutz und -sicherheit in New York. Das betrifft auch ausländische Unternehmen, die Daten von New Yorkern besitzen oder lizensieren.
Der "Stop Hacks and Improve Electronic Data Security Act" (SHIELD ACT) erweitert Datenschutz und -sicherheit in New York. Das betrifft auch ausländische Unternehmen, die Daten von New Yorkern besitzen oder lizensieren.
Foto: nep0 - shutterstock.com

SHIELD ACT

Der Stop Hacks and Improve Electronic Data Security Act (SHIELD ACT) als Teil des Paketes erweitert unter anderem die Datenkategorien, die unter das New Yorker Gesetz zur Meldung bei einem Bruch der Datensicherheit (§899-aa New York General Business Law) fallen, um biometrische Informationen und Anmeldeinformationen. Das Gesetz enthält auch neue Anforderungen an Unternehmen, angemessene Garantien zum Schutz der Daten von Personen in New York ("New York Residents") zu ergreifen.

Auswirkungen bei Datenschutzverletzungen

Besonders bedeutsam für die Compliance von Unternehmen ist, dass der SHIELD Act die rechtliche Definition einer "Datenschutzverletzung" erheblich erweitert: Die Definition deckt nunmehr den unbefugten Zugriff auf private Informationen in jedem Datensystem ab, unabhängig davon, ob solche privaten Informationen tatsächlich abgerufen wurden.

Das Gesetz erweitert auch die Definition von "privaten Informationen". Die Definition umfasst nunmehr ausdrücklich auch biometrische Daten wie Fingerabdrücke, Netzhaut-Scandaten oder andere "elektronische Messungen der individuellen physikalischen Eigenschaften einer Person" sowie Benutzernamen, E-Mail-Adressen, Passwörter sowie Sicherheitsfragen und -antworten, die den Zugang zu Online-Konten ermöglichen. Darüber hinaus aktualisiert der SHIELD Act das bundesstaatliche Meldeverfahren nach einem Bruch der Datensicherheit, so dass der Verstoß den Betroffenen "so schnell wie möglich und ohne unangemessene Verzögerung, im Einklang mit den legitimen Bedürfnissen der Strafverfolgung" offengelegt werden muss.

Angemessene Datenschutzorganisation

Der SHIELD Act verpflichtet Unternehmen und andere Einrichtungen, die personenbezogene Daten von Einwohnern des Staates New York digital speichern, zur Umsetzung angemessener Anforderungen an den Datenschutz, einschließlich der Benennung von Cybersicherheitspersonal und der Durchführung angemessener Kontrollen zum Schutz personenbezogener Daten, Mitarbeiterschulungen in Bezug auf Cybersicherheitsrichtlinien, -praktiken und -verfahren usw.

Auswirkungen auch außerhalb von New York

Der SHIELD Act erweitert die territoriale Anwendung des bestehenden Gesetzes auf jedes Unternehmen, das private Informationen von New Yorkern "besitzt oder lizenziert" ("owns or licenses personal information"). Dadurch entfällt die herkömmliche Anforderung des geltenden Rechts, dass ein Unternehmen innerhalb des Staates New York "Geschäfte tätigen" muss. Das ist für viele ausländische Unternehmen von Belang. Der SHIELD Act tritt neunzig Tage nach dem Inkrafttreten des Gesetzes in Kraft, mit Ausnahme der angemessenen Sicherheitsanforderung, die zweihundertvierzig Tage nach Inkrafttreten des Gesetzes wirksam werden. (jd)