Wie wirkt sich der New Yorker SHIELD Act auf den Datenschutz unserer privaten Daten aus?
Verständlicherweise bedeutet die aktuelle Coronavirus-Pandemie, dass derzeit nicht so viele Menschen über Datensicherheit nachdenken. Trotzdem wird das Virus (hoffentlich) bald besiegt und wir müssen zu unserem normalen Leben zurückkehren. Aus diesem Grund trat der New Yorker SHIELD Act trotz der Sperrung am 21. März offiziell in Kraft. Mal sehen, wie sich dies auf die Welt der Cybersicherheit auswirken könnte.
Table of Contents
Was ist der SHIELD Act?
SHIELD steht für Stop Hacks und Improve ELectronic Data Security und wurde bereits im Juli 2019 unterzeichnet. Es wurde vom Staat New York akzeptiert, es ist jedoch wichtig zu beachten, dass es alle Organisationen betrifft, die die persönlichen Informationen von New Yorkern verarbeiten. Als Erweiterung des bestehenden Gesetzes zur Meldung von Datenschutzverletzungen wurden einige seiner Bestimmungen in den letzten Monaten in Kraft gesetzt, aber erst Ende März wurden die letzten offiziell.
Ziel ist es sicherzustellen, dass Unternehmen mehr tun, um die persönlichen Daten der Verbraucher zu schützen, und es muss gesagt werden, dass dies nicht der erste Akt dieser Art ist. Die DSGVO (oder Allgemeine Datenschutzverordnung) der Europäischen Union wurde im Mai 2018 umgesetzt, und einen Monat später unterzeichnete Kalifornien seinen eigenen California Consumer Privacy Act (CCPA). Rechtsexperten sagen, dass die Änderungen, die SHIELD einführt, denen der EU und des Goldenen Staates ähneln.
Wie wird das SHIELD-Gesetz die Art und Weise verändern, wie Unternehmen mit unseren Daten umgehen?
Laut dem Gesetz- und Datenschutzblog AdLawAccess.com können Sie die Bestimmungen von SHIELD in drei Kategorien einteilen.
Unternehmen sollten zunächst über die Umsetzung von Verwaltungsinitiativen nachdenken, darunter die Benennung eines oder mehrerer Mitarbeiter, die für das Sicherheitsprogramm des Unternehmens verantwortlich sind, die Organisation von Schulungen, damit die Mitarbeiter besser auf die sichere Verarbeitung von Daten vorbereitet sind und mit den aktuellen Trends im Bereich Cybersicherheit Schritt halten können Einschätzung der von ihnen ausgehenden Risiken.
Aus technischer Sicht müssen Unternehmen die mit ihrer Netzwerkinfrastruktur und den von ihnen verwendeten Softwareprodukten verbundenen Risiken bewerten und zu mindern versuchen. Es wird ihnen auch empfohlen, über das Design ihrer Datenverarbeitungsmechanismen sowie den Notfallplan nachzudenken, falls das Schlimmste passiert.
Last but not least müssen Unternehmen einige physische Sicherheitsvorkehrungen treffen, darunter Mechanismen, die unbefugten Zugriff erkennen und verhindern und die sichere Entsorgung privater Daten gewährleisten.
Das neue Gesetz nimmt auch einige Änderungen an den Anforderungen für Unternehmen vor, bei denen Cybersicherheitsvorfälle aufgetreten sind, und erweitert einige der Definitionen, die in den geltenden Gesetzen festgelegt sind. Das Gesetz schreibt vor, dass das Ausmaß der Änderungen, die Unternehmen vornehmen müssen, von der Größe ihres Unternehmens abhängt.
Wird SHIELD tatsächlich funktionieren?
Unternehmen werden das neue Gesetz wahrscheinlich zur Kenntnis nehmen. New York ist ein wichtiger Wirtschaftsraum, und es wird nur wenige Organisationen geben, die ihre Geschäftstätigkeit einstellen möchten. Einige werden es unweigerlich unmöglich finden, die neuen Regeln einzuhalten, und werden wahrscheinlich beschließen, sich aus dem Staat zurückzuziehen, aber die Mehrheit wird versuchen, ihre Verteidigung zu verbessern und bessere Sicherheitspraktiken nicht nur für ihre in New York ansässigen Benutzer, sondern für alle zu implementieren. Das müssen doch gute Nachrichten sein. Wird es jedoch alle unsere Probleme lösen?
Es gibt Leute, die die Gültigkeit von Gesetzen wie GDPR, CCPA und SHIELD in Frage stellen, und sie haben nicht ganz Recht. Die neuen Gesetze haben den Benutzern den Zugang zu Informationen über den Umgang mit ihren Daten erleichtert und die Unternehmen gezwungen, ihre Schutzmechanismen zu verstärken. Diejenigen, die versagt haben, mussten mit ziemlich hohen Geldstrafen rechnen.
Leider hat nichts davon den endlosen Strom von Datenverletzungen und -lecks gestoppt. Tatsächlich machen Unternehmen weiterhin dumme Fehler, und die Ergebnisse sind manchmal ziemlich verheerend. Also, nein, SHIELD ist kein Allheilmittel. Es wird hoffentlich dazu führen, dass Unternehmen robustere Sicherheitsstrategien entwickeln, aber es wird sie nicht immun gegen Cybersicherheitsvorfälle machen. Unternehmen sollten dies auch erkennen und sehen, welche zusätzlichen Maßnahmen sie ergreifen können, um die Sicherheit ihrer Benutzer zu gewährleisten. Je früher sie es tun, desto besser.
