New Yorks SHIELD Act: Was es für Unternehmen bedeutet

Veröffentlicht: 2020-07-22

Der New Yorker Shield Act ist das neueste Datenschutzgesetz, das Unternehmen im ganzen Land berücksichtigen müssen, insbesondere für Unternehmen mit aktuellen oder potenziellen Kunden, die im Bundesstaat ansässig sind. Welche Auswirkungen wird es auf Organisationen haben und wie können sie sich auf zukünftige Vorschriften und Compliance-Standards vorbereiten?

Was ist der New Yorker SHIELD Act?

Das New Yorker SHIELD-Gesetz trat offiziell am 21. März in Kraft und soll bestehende Vorschriften erweitern, indem es mehr Verbraucherinformationen schützt und neu definiert, was eine Datenschutzverletzung darstellt.

  • Geltungsbereich: Der SHIELD Act erweitert, wer unter die Zuständigkeit des Gesetzes fällt. Früher waren Unternehmen, die sich an das Gesetz halten mussten, Unternehmen, die innerhalb des Staates handelten. Das neue Gesetz erweitert dies auf alle Kunden mit Wohnsitz in New York, unabhängig davon, ob das Unternehmen dort ansässig ist oder nicht.
  • Definition: Die Definition dessen, was eine Sicherheitsverletzung ausmacht, wurde im Rahmen des Gesetzes neu definiert. Früher mussten personenbezogene Daten und Informationen von einer unbefugten Partei erlangt worden sein – die auf Hacker und Cyberkriminelle abzielte. Jetzt müssen Verbraucher benachrichtigt werden, wenn eine unbefugte Partei auf Informationen zugegriffen hat, unabhängig davon, ob diese gestohlen wurden oder nicht.
  • Datentypen: Früher waren alle geschützten Informationen alle Daten, die in Verbindung mit der Sozialversicherungsnummer, der Führerscheinnummer oder anderen Kontonummern einer Person verwendet wurden, die mit Passwörtern oder Zugangscodes verwendet werden können, die den Zugriff auf ein Konto ermöglichen. Diese wurde um Folgendes erweitert:
    • Finanzkontonummern, die für den Zugriff auf ein Konto verwendet werden können, wie eine Kreditkartennummer
    • Kontobenutzernamen, Passwörter, E-Mails und Sicherheitsfragen
    • Biometrische Informationen zur Identifizierung von Personen

Unternehmen müssen sich jetzt an diese neuen Vorschriften halten.

„Es ist entscheidend, dass unsere Gesetze mit der sich schnell verändernden Welt der Technologie Schritt halten. Das SHIELD-Gesetz erhöht die Sicherheitsstandards, damit keine New Yorker mehr unnötig Opfer von Datenschutzverletzungen und Cyberangriffen werden.“ – Senator Kevin Thomas, Vorsitzender des Ausschusses für Verbraucherschutz

Warum sollten sich Unternehmen darum kümmern?

Geldbußen

Die naheliegendste Überlegung sind natürlich die finanziellen Auswirkungen eines Verstoßes gegen die neuen Compliance-Vorschriften.

Das Gesetz hatte zuvor eine Obergrenze von 150.000 US-Dollar an Bußgeldern für ein einzelnes Unternehmen vorgesehen, die jedoch auf 250.000 US-Dollar angehoben wurde.

Für wissentliche und rücksichtslose Verstöße – Organisationen, die keine korrekten Compliance-Verfahren eingeführt haben – kann ein Gericht Strafen von mehr als 5.000 US-Dollar oder bis zu 20 US-Dollar pro Fall bis zu einer Obergrenze von 250.000 US-Dollar verlangen.

Bis August 2019 hatte die Generalstaatsanwaltschaft bereits mehr als 600 Millionen US-Dollar an Bußgeldern von Unternehmen verhängt, die die korrekten Compliance-Standards nach dem vorherigen Gesetz nicht erfüllten.

600 Millionen Dollar sind eine Menge Geld, und das – zusammen mit der Unterzeichnung dieses neuen Gesetzes – ist ein Hinweis darauf, wie ernst New York den Datenschutz für Verbraucher nimmt.

Da das SHIELD-Gesetz drastisch erweitert, was Unternehmen einhalten müssen und welche Praktiken sie anwenden, ist es wahrscheinlich, dass diese Zahl in den kommenden Jahren dramatisch steigen wird.

„Die nackte Realität ist, dass Sicherheitsverletzungen immer häufiger werden und New York mit dieser Gesetzgebung Schritte unternimmt, um den Schutz der Verbraucher zu verbessern und diese Unternehmen zur Rechenschaft zu ziehen, wenn sie sensible Daten misshandeln.“ – Gouverneur Cuomo

Kurz gesagt, es gibt weitaus mehr Aspekte der Datenschutzbestimmungen, bei denen Unternehmen auf die falsche Seite geraten können, daher sollte die Vermeidung von Bußgeldern und die Sicherstellung, dass dies nicht geschieht, oberste Priorität haben.

Halten Sie Ihr Geschäft

Neue Gesetze wie SHIELD, zusammen mit dem bestehenden CCPA in Kalifornien und der DSGVO in der Europäischen Union, sind klare Anzeichen dafür, dass Politiker die Unzufriedenheit der Verbraucher mit dem Umgang von Unternehmen mit ihren Daten erkennen.

Die Menschen sind sich ihrer Datenrechte und ihrer Privatsphäre bewusster als je zuvor, und 84 % der Menschen geben an, dass sie sich um die Privatsphäre kümmern, sich um ihre eigenen Daten kümmern, sich um die Daten anderer Mitglieder der Gesellschaft kümmern und mehr Kontrolle darüber wünschen wie ihre Daten verwendet werden.

Aber wie wirkt sich das auf den Erfolg eines Unternehmens aus?

Nun, ehrlich gesagt ist die Gewährleistung des Datenschutzes für Unternehmen ebenso eine Anstrengung zur Selbsterhaltung wie zur Wahrung der besten Interessen ihrer Kunden.

79 % der Befragten geben an, dass sie sehr oder etwas besorgt darüber sind, wie Unternehmen die über sie gesammelten Daten verwenden

Immer wieder schießen sich Unternehmen, die aufgrund schlechter Datenschutzstandards Daten misshandeln oder Datenschutzverletzungen erleiden, selbst ins Knie, da Verbraucher ihr Geschäft einfach zu jemand anderem bringen, wenn sie das Gefühl haben, nicht geschützt zu sein.

Tatsächlich gaben 48 % der Befragten in einer Umfrage an, dass sie bereits Unternehmen oder Anbieter gewechselt haben, weil sie sich Sorgen um ihre Datenrichtlinien und Weitergabepraktiken machten.

Die Botschaft der Verbraucher ist laut und klar: Nehmen Sie ihre Daten ernst, oder sie werden ihre Gewohnheiten an Unternehmen weitergeben, die dies tun.

Da kommt noch mehr

Wie wir kurz erwähnt haben, weist der SHIELD Act viele Ähnlichkeiten mit bestehenden Datenschutzgesetzen wie CCPA und GDPR auf.

SHIELD ist nicht das erste und wird sicherlich nicht das letzte sein.

Gesetze wie diese prägen die Diskussion darüber, wie viel Verbraucher geschützt werden.

Hochrangige Geschäftsleute und Organisationen fordern ein Bundesdatenschutzgesetz, das von GDPR und CCPA inspiriert ist, und obwohl ein überparteiliches Bundesgesetz derzeit nicht in Sicht ist, scheinen alle diese Vorschriften in eine Richtung zu gehen.

Dies gilt insbesondere, wenn man die Auswirkungen bedenkt, die CCPA und SHIELD allein haben – 60 Millionen Menschen in Kalifornien und New York werden jetzt davon erfasst.

Das sind fast 20 % der gesamten US-Bevölkerung, die Unternehmen einhalten müssen.

Es ist wahrscheinlich, dass andere Bundesstaaten mit der Zeit nachziehen werden, auch wenn es kein Bundesgesetz gibt – Bundesstaaten wie Florida (eines der größten Bevölkerungszentren und Märkte der USA) bringen Gesetzentwürfe in ihren Senat ein.

Unternehmen, die der Zeit voraus sind, werden erkennen, dass Gesetze wie CCPA und SHIELD nur der Anfang sind, und ihre Organisation mit umfassenden Standards und Praktiken auf die Einhaltung von Datenvorschriften vorbereiten, die für die Zukunft erforderlich sein werden.

Was können Unternehmen tun, um sich vorzubereiten?

Unternehmen sollten damit beginnen, in einige Schlüsselaspekte ihres Geschäfts zu investieren, die zum Schutz der Daten ihrer Kunden beitragen. Dies sind nämlich:

Datenschutzmaßnahmen

Wie werden Ihre Kundendaten gespeichert?

Einer der Gründe, warum die Cloud-Akzeptanz bei KMUs so stark zunimmt, liegt in ihrer relativen Benutzerfreundlichkeit und ihren hohen Datenschutzstandards.

Während Unternehmer in den vergangenen Jahren zögerten, vertrauliche Daten in der Cloud zu speichern, tun sie dies jetzt aufgrund der Fortschritte in der Cloud-Sicherheit in großer Zahl.

Cloud-Dienste wie Azure von Microsoft verwenden Tier-IV-Rechenzentren, die maximale Sicherheit und nur 26 Minuten Ausfallzeit pro Jahr bieten.

Viele Unternehmen betreiben ein Hybridsystem für ihre Daten und speichern allgemeine Arbeitsinformationen in öffentlichen Cloud-Rechenzentren. während sie ein privates Rechenzentrum für ihre sensibleren Informationen verwenden, was ihnen mehr Kontrolle und Anpassungsoptionen bietet.

Dies ermöglicht Organisationen, die sich besonders bewusst sind, wie sie mit ihren Daten umgehen, mehr Flexibilität.

Verwandter Beitrag: Warum Sie ein Tier-IV-Rechenzentrum benötigen

Mitarbeiter, die direkt für die Koordinierung und Risikobewertung verantwortlich sind

Im Allgemeinen ist es gut, einen Mitarbeiter (oder einen Anbieter) zu haben, der Ihre Compliance-Richtlinie vorantreibt.

Effizienter und normgerechter Umgang mit Daten ist nicht nur eine Frage der Installation neuer Apps. Es kommt im Wesentlichen darauf an, wie Ihre Mitarbeiter Daten nutzen und teilen und welche Lösungen sie dafür verwenden.

Wenn sie gegen neue Gesetze verstoßen oder gegen bestehende Praktiken verstoßen, brauchen Sie jemanden mit dem Know-how und den Fähigkeiten, um auf diese Bedenken einzugehen und die richtigen Standards umzusetzen.

Diese Person sollte auch dafür verantwortlich sein, auftretende Datenschutzverletzungen zu melden, zusätzlich zur routinemäßigen Bewertung potenzieller Risiken in Bezug auf die Datenverarbeitung, unabhängig davon, ob sie hardware- oder softwarebezogen sind.

Dies wird umso relevanter, wenn man die Schwierigkeiten bedenkt, die Unternehmen beim Austausch von Daten innerhalb und zwischen einer entfernten Belegschaft hatten.

Einige Unternehmen werden sich dafür entscheiden, jemanden intern zu beauftragen, aber viele entscheiden sich für einen MSSP, weil sie kostengünstig sind und über das Fachwissen verfügen, was Unternehmen in Bezug auf den Datenschutz in Bezug auf ihre spezifischen Anforderungen tun müssen Lage.

Imbiss

  • Der New York SHIELD Act ist eine wesentliche Erweiterung bestehender Datenschutzgesetze, die Unternehmen jetzt einhalten müssen.
  • Die Forderungen der Verbraucher und das zunehmende öffentliche Interesse an Datenschutzgesetzen bedeuten, dass Unternehmen ihre Datenverarbeitungspraktiken äußerst ernst nehmen sollten, um ihre Kunden zufrieden zu stellen.
  • SHIELD ist nur das neueste in einer Reihe von Datenschutzgesetzen, und weitere Gesetze in den kommenden Jahren werden die Notwendigkeit für Unternehmen weiter beschleunigen, mit ihrer Einhaltung Schritt zu halten.

Ist Ihr Unternehmen konform?

Neue Gesetze wie GDPR, CCPA und SHIELD sind nur der Anfang von Datenschutz-Compliance-Standards, die Unternehmen berücksichtigen sollten. Ein Hauptziel für jede moderne Organisation sollte es sein, Datenschutzverletzungen zu stoppen. Aber wie?

Werfen Sie einen Blick auf unser kostenloses eBookWas macht eine gute Cybersicherheitsverteidigung für ein modernes KMU aus?“ und erfahren Sie, welche Maßnahmen Unternehmen ergreifen sollten, um ihre Daten zu schützen.