GLBA

Der Gramm-Leach-Bliley Act (GLBA, oder genauer gesagt der Financial Services Modernization Act) verpflichtet Finanzinstitute, nicht-öffentliche personenbezogene Informationen (NPI) zu schützen und Transparenz darüber zu gewährleisten.

‍
Diese Daten können Bank- und Steuerunterlagen, Adresshistorien, Kreditauskünfte, Aktiengeschäfte, Investitionen und vieles mehr umfassen – sogar Metadaten (Daten, die andere Daten und deren Beziehungen beschreiben). Das GLBA definiert außerdem, welche Parteien der Regulierung unterliegen und welche Arten von Transaktionen als Datennutzung und -zugriff gelten.

‍
Vor dem digitalen Informationszeitalter (der Erfindung der Großrechner, Mitte der 1960er Jahre) und nach der Großen Depression in den USA (Anfang der 1930er Jahre) versuchten der Bank Holding Company Act (BHCA) und der Glass-Steagall Act (GSA), einen weiteren nationalen wirtschaftlichen Zusammenbruch zu verhindern, indem sie bestimmte Arten von Finanzinstituten regulierten. Die Spar- und Kreditkrise der 1980er Jahre machte jedoch deutlich, dass Überarbeitungen notwendig waren, die den Wandel moderner Finanzprinzipien und Technologien widerspiegelten. Zu diesem Zeitpunkt begann der Kongress, einen Ersatz für den BHCA und den GSA zu prüfen.

‍
Im Jahr 1999 wurde das GLBA gesetzlich verabschiedet, wodurch das GSA aufgehoben und die Vorschriften für die US-Finanzbranche modernisiert wurden. Das Modernisierungsgesetz von 1999 verbesserte die Richtlinien und den Schutz persönlicher Daten.

‍
Das Gesetz von 1999 enthält drei Hauptbestimmungen, die sich auf Datenschutz und Privatsphäre beziehen:

• Die Financial Privacy Rule: verlangt von Finanzinstituten, dass sie ihre Datenschutzrichtlinien und -praktiken gegenüber Kunden offenlegen und eine Opt-out-Möglichkeit anbieten.
• Die Safeguards-Regel: Finanzinstitute müssen die Daten ihrer Kunden vor unbefugtem Zugriff, Gebrauch oder Offenlegung schützen.
• Die Pretexting-Regel: Finanzinstitute und deren Beauftragte dürfen Kundendaten nicht durch falsche oder betrügerische Mittel beschaffen.

‍
2021 bringt die erste große Überarbeitung des GLBA mit der aktualisierten FTC Safeguards Rule (in Kraft seit dem 9. Juni 2023). Diese Überarbeitung bietet einen umfassenden Leitfaden zu den Do’s und Don’ts der GLBA-Compliance, einschließlich finanzieller Datensicherheit, Vertraulichkeit und Integrität auf Basis der Risiken und Bedrohungen Ihres Unternehmens.

‍
Wie bei anderen branchenspezifischen Governance-Standards bestehen die Anforderungen des GLBA aus mehreren Bereichen, die sich speziell auf Prozesse und die Umsetzung der Datensicherheit beziehen, wie z. B. Zugriffskontrolle, Vernichtung, Vorfallmanagement, Personal und Dokumentation. Die Einhaltung dieser Vorgaben erfordert die Definition eines Informationssicherheitsmanagementplans für Ihr Unternehmen, die Festlegung von Themen wie Risikotoleranz, die Durchführung geplanter Überprüfungen, den Aufbau einer sicheren Infrastruktur sowie die Einführung interner Kontrollen zur Identifizierung, Klassifizierung und zum Schutz von Kundeninformationen.