Pflichten zur Datenspeicherung und Benachrichtigung bei Datenschutzverletzungen

Da Unternehmen mit zunehmenden regulatorischen Anforderungen und Einschränkungen im Umgang mit sensiblen Daten konfrontiert werden, sind sie einem erhöhten Risiko von Umsatzeinbußen ausgesetzt. Noch schlimmer ist, dass der CEO und die Mitglieder des Vorstands persönlich haftbar gemacht werden können, wenn sie den sich ständig ändernden Vorschriften nicht nachkommen.

Beispielsweise verlangen jüngste regulatorische Änderungen wie die der Securities and Exchange Commission (SEC) in Bezug auf Vorfallmeldungen und Offenlegung von Cybersicherheitsvorfällen, dass börsennotierte US-Unternehmen Cybersicherheitsvorfälle innerhalb von vier Werktagen melden. Außerdem müssen börsennotierte Unternehmen ihre Strategien zum Management der Cybersicherheit in den Jahresberichten darlegen. Solche Vorschriften führen dazu, dass Unternehmen Verpflichtungen zur Datenaufbewahrung und zur Benachrichtigung über Datenschutzverletzungen in ihre Verträge mit Anbietern aufnehmen.

Was sind Verpflichtungen zur Datenaufbewahrung und zur Meldung von Datenschutzverletzungen?

Regeln zur Datenaufbewahrung legen fest, wie lange ein Anbieter Kundendaten aufbewahrt, bevor sie gelöscht werden. Sobald die Beziehung zwischen Anbieter und Kunde endet, muss der Anbieter die Daten des Kunden finden und sicher löschen, um das Risiko eines Cybersecurity-Vorfalls zu verringern, indem die Datenexponierung begrenzt wird. Andererseits sind Benachrichtigungen über Datenschutzverletzungen vertragliche Anforderungen, die Anbieter verpflichten, Kunden schnell über Sicherheitsvorfälle zu informieren, die zu unbefugtem Zugriff oder Datenverlust führen. Dies gibt den Kunden die Möglichkeit, im Falle einer Verletzung geeignete Maßnahmen zu ergreifen, wie z. B. die Benachrichtigung betroffener Personen und die Verhinderung weiterer Schäden.

Zur weiteren Erläuterung: Richtlinien zur Datenspeicherung und zur Meldung von Datenschutzverletzungen sind für Kunden ein Mittel, um die Nutzung und Verwaltung ihrer Daten durch die von ihnen beauftragten Anbieter abzusichern. Ein Anbieter kann verschiedene Arten sensibler Kundendaten besitzen, darunter Kundendaten (Namen, Adressen und andere personenbezogene Daten), Mitarbeiterinformationen und vertrauliche Geschäftsdaten (geistiges Eigentum und Geschäftsgeheimnisse).

Welche bestehenden Gesetze regeln die Vorratsdatenspeicherung und die Meldepflicht bei Datenschutzverletzungen?

Die Hauptgründe, warum Unternehmen eine Richtlinie zur Datenspeicherung und zur Benachrichtigung über Datenschutzverletzungen benötigen, sind der Schutz vor Haftung bei Ansprüchen im Zusammenhang mit Datenmanagement, die Erfüllung vertraglicher Verpflichtungen gegenüber Kunden sowie die Einhaltung gesetzlicher Vorschriften. Die National Conference of State Legislatures (NCSL) berichtet, dass allein im Jahr 2023 acht US-Bundesstaaten neue Datenschutzgesetze für Verbraucher eingeführt haben. Unter den bestehenden Gesetzen gibt es mehrere rechtliche Rahmenwerke und bundesstaatliche Vorschriften, die Ihr Unternehmen zur Einhaltung von Vorschriften zur Datenspeicherung und zur Benachrichtigung über Datenschutzverletzungen verpflichten können. ‍

Gesetz zur Übertragbarkeit und Verantwortlichkeit von Krankenversicherungen (HIPAA)‍

Dies ist ein bundesweites Gesetz zum Schutz der Gesundheits- und Patientendaten, das eingeführt wurde, um die Weitergabe von geschützten Gesundheitsinformationen (PHI) ohne Zustimmung oder Wissen des Patienten zu verhindern. ‍

Datenaufbewahrung: Die HIPAA-Vorschriften zur Datenaufbewahrung verlangen von den betroffenen Organisationen, Patientendaten und -unterlagen mindestens sechs (6) Jahre lang aufzubewahren. ‍

Meldung von Datenschutzverletzungen: Verantwortliche Stellen sind verpflichtet, die betroffenen Personen und das US-Gesundheitsministerium (HHS) „ohne unangemessene Verzögerung“ und spätestens innerhalb von 60 Kalendertagen nach Entdeckung der Verletzung zu benachrichtigen.‍

Datenschutz-Grundverordnung (DSGVO)

‍Die Datenschutz-Grundverordnung (DSGVO) ist ein Datenschutzgesetz, das für Organisationen gilt, die personenbezogene Daten von Personen in der Europäischen Union verarbeiten. ‍

Datenaufbewahrung: Die DSGVO schreibt vor, dass personenbezogene Daten nur so lange aufbewahrt werden dürfen, wie es zur Erfüllung der ursprünglichen Zwecke, für die sie erhoben wurden, erforderlich ist (außer für wissenschaftliche und Forschungszwecke). ‍

Meldung von Datenschutzverletzungen: Artikel 33 schreibt vor, dass Cybersecurity-Verletzungen innerhalb von 72 Stunden nach Entdeckung an die Aufsichtsbehörden gemeldet werden müssen.‍

Gramm-Leach-Bliley Act (GLBA)

Das Gramm-Leach-Bliley Act regelt nicht-öffentliche personenbezogene Informationen (NPI) und verpflichtet Institutionen, die Finanzprodukte oder -dienstleistungen für Verbraucher anbieten (wie Kredite, Finanz- und Anlageberatung oder Versicherungen), offenzulegen, wie sie Verbraucherinformationen weitergeben und deren Daten schützen.

‍Datenaufbewahrung: Die Anforderungen betragen sechs (6) Jahre und beinhalten die Durchsetzung sicherer Zugriffskontrollen zum Schutz gespeicherter Finanzinformationen.

‍Meldung von Datenschutzverletzungen: Nach der neuen Änderung der Federal Trade Commission (FTC) vom November 2023 müssen Finanzinstitute, die von einer Datenschutzverletzung betroffen sind, die FTC innerhalb von 30 Tagen informieren, wenn die Daten von 500 oder mehr Verbrauchern betroffen sind.

Wie Cyera Unternehmen dabei unterstützt, die Anforderungen an Datenaufbewahrung und Meldepflichten bei Datenschutzverletzungen einzuhalten

Cyera ermöglicht es Sicherheitsteams, nachzuvollziehen, wo und wie lange Daten gespeichert wurden, damit Unternehmen ihre vertraglichen Verpflichtungen in einer Anbieter-Kunden-Beziehung erfüllen können.

‍Datenaufbewahrung:  Cyera erstellt ein Inventar von Daten, einschließlich Kunden-, geistigem Eigentum und Geschäftsdaten, die möglicherweise im Rahmen von Anbieter-Kunden-Beziehungen weitergegeben wurden. Cyera bietet Unternehmen die notwendige Transparenz, um operative Aufbewahrungsanforderungen, wie z. B. die Notfallwiederherstellung, mit vertraglichen oder regulatorischen Anforderungen in Einklang zu bringen.

Datenminimierung: Eine der sichersten Methoden, sensible Daten zu schützen, besteht darin, die Angriffsfläche zu minimieren. Cyera hilft Sicherheitsteams dabei, veraltete oder redundante Daten zu identifizieren, die gegen Aufbewahrungsrichtlinien verstoßen und entfernt werden müssen.

‍Erkennung und Eindämmung von Verstößen: Bei Vorfällen mit Datenschutzverletzungen ermöglicht Cyera Sicherheitsteams, die betroffenen Daten schnell zu identifizieren, einschließlich der Anzahl der Datensätze und des Wohnsitzes der betroffenen Personen. Der Wohnsitzkontext ist wichtig, um zu verstehen, welche Rechtsgebiete im Falle eines Verstoßes benachrichtigt werden müssen. Darüber hinaus ermöglicht die Plattform von Cyera den Teams, zu sehen, wer Zugriff auf die Daten hat, sowie bestehende Schwachstellen, die zu einem Verstoß führen könnten. Dies hilft den Teams, den Ausbreitungsbereich des Vorfalls zu analysieren, um das Ausmaß des Angriffs zu bestimmen, ihn einzudämmen und die relevanten Stakeholder darüber zu informieren, welche Daten verloren gegangen sind.

Um mehr über Cyeras Data Security Platform zu erfahren und besser zu verstehen, wie Sie Ihre Daten schützen können, besuchen Sie bitte cyera.io/demo.