Der Gouverneur des Staates New York, Andrew M. Cuomo hat am 25. Juli 2019 ein Gesetzespaket für diesen Bundesstaat unterzeichnet, das Unternehmen verpflichtet, neue Datensicherheitsmaßnahmen zu implementieren. Das Paket erweitert auch die Kategorien der personenbezogenen Daten, die bei Verstößen einer Meldepflicht unterliegen, und gewährt Schutz vor Identitätsdiebstahl für diejenigen, die von Verstößen gegen die Vorschriften der Kreditauskunfteien betroffen sind. Die beiden neu erlassenen Gesetze sind die Reaktion des Staates New York auf eine Reihe von Verstößen gegen die Datenschutzbestimmungen.
SHIELD ACT
Der Stop Hacks and Improve Electronic Data Security Act (SHIELD ACT) als Teil des Paketes erweitert unter anderem die Datenkategorien, die unter das New Yorker Gesetz zur Meldung bei einem Bruch der Datensicherheit (§899-aa New York General Business Law) fallen, um biometrische Informationen und Anmeldeinformationen. Das Gesetz enthält auch neue Anforderungen an Unternehmen, angemessene Garantien zum Schutz der Daten von Personen in New York ("New York Residents") zu ergreifen.
Auswirkungen bei Datenschutzverletzungen
Besonders bedeutsam für die Compliance von Unternehmen ist, dass der SHIELD Act die rechtliche Definition einer "Datenschutzverletzung" erheblich erweitert: Die Definition deckt nunmehr den unbefugten Zugriff auf private Informationen in jedem Datensystem ab, unabhängig davon, ob solche privaten Informationen tatsächlich abgerufen wurden.
Das Gesetz erweitert auch die Definition von "privaten Informationen". Die Definition umfasst nunmehr ausdrücklich auch biometrische Daten wie Fingerabdrücke, Netzhaut-Scandaten oder andere "elektronische Messungen der individuellen physikalischen Eigenschaften einer Person" sowie Benutzernamen, E-Mail-Adressen, Passwörter sowie Sicherheitsfragen und -antworten, die den Zugang zu Online-Konten ermöglichen. Darüber hinaus aktualisiert der SHIELD Act das bundesstaatliche Meldeverfahren nach einem Bruch der Datensicherheit, so dass der Verstoß den Betroffenen "so schnell wie möglich und ohne unangemessene Verzögerung, im Einklang mit den legitimen Bedürfnissen der Strafverfolgung" offengelegt werden muss.
Angemessene Datenschutzorganisation
Der SHIELD Act verpflichtet Unternehmen und andere Einrichtungen, die personenbezogene Daten von Einwohnern des Staates New York digital speichern, zur Umsetzung angemessener Anforderungen an den Datenschutz, einschließlich der Benennung von Cybersicherheitspersonal und der Durchführung angemessener Kontrollen zum Schutz personenbezogener Daten, Mitarbeiterschulungen in Bezug auf Cybersicherheitsrichtlinien, -praktiken und -verfahren usw.
Auswirkungen auch außerhalb von New York
Der SHIELD Act erweitert die territoriale Anwendung des bestehenden Gesetzes auf jedes Unternehmen, das private Informationen von New Yorkern "besitzt oder lizenziert" ("owns or licenses personal information"). Dadurch entfällt die herkömmliche Anforderung des geltenden Rechts, dass ein Unternehmen innerhalb des Staates New York "Geschäfte tätigen" muss. Das ist für viele ausländische Unternehmen von Belang. Der SHIELD Act tritt neunzig Tage nach dem Inkrafttreten des Gesetzes in Kraft, mit Ausnahme der angemessenen Sicherheitsanforderung, die zweihundertvierzig Tage nach Inkrafttreten des Gesetzes wirksam werden. (jd)