In den USA beliefen sich die durchschnittlichen Kosten einer Datenschutzverletzung im Jahr 2022 auf schwindelerregende 9,5 Millionen Dollar, fast doppelt so viel wie im weltweiten Durchschnitt. Laut dem Breach Level Index sind seit 2013 weltweit über 9,7 Milliarden Datensätze durch Datenschutzverletzungen und Cyberangriffe verloren gegangen oder gestohlen worden. Der Anstieg der weltweiten Datenschutzgesetze kann auf diesen alarmierenden Trend zurückgeführt werden.
Die Datenvernichtung ist eine Grundvoraussetzung für die Einhaltung aller Datenschutzgesetze. Die Gesetze schreiben einen Leitfaden für die Vernichtung von Daten am Ende ihres Lebenszyklus vor. Die unvorsichtige Entsorgung vertraulicher Daten wie PII (Personally Identifiable Information) wird in vielen Ländern mit schweren gesetzlichen Strafen geahndet. Unternehmen, die nicht über geregelte Prozesse für die Vernichtung von Technologie und residenten Daten verfügen, laufen außerdem Gefahr, ihren Ruf, ihr Vertrauen und ihre Einnahmen zu verlieren. Die Nichteinhaltung der Vorschriften kann katastrophale Folgen haben. Die Bußgelder und Strafen können sich auf die Finanzen eines jeden Unternehmens auswirken.
Einblick in die U.S.-Datenschutzgesetze:
Länder auf der ganzen Welt haben wichtige Initiativen zur Verabschiedung ihrer Datenschutzgesetze ergriffen, insbesondere nachdem die Allgemeine Datenschutzverordnung (GDPR) in der Europäischen Union (EU) in Kraft getreten ist. In den USA ist die Situation etwas anders, da es kein übergreifendes Bundesgesetz zum Datenschutz gibt. Die Datenschutzgesetze in den USA lassen sich bis in die frühen 1970er Jahre zurückverfolgen. Die meisten US-Bundesstaaten haben ihre eigenen Datenschutzgesetze erlassen, das bekannteste ist der California Consumer Privacy Act (CCPA). Wachsende Bedenken und Vorfälle haben jedoch zur Einführung weiterer Bundesgesetze geführt, die den Schutz von Daten und die Sicherheit der Entsorgung sensibler Informationen wie PII vorschreiben, wenn diese nicht mehr benötigt werden:
- Fair Credit Reporting Act (FCRA): Ursprünglich 1970 verabschiedet, schützt es Kunden vor der fahrlässigen Aufnahme falscher Daten in Kreditberichte.
- U.S. Privacy Act: Es wurde 1974 erlassen und schränkt die Speicherung von Daten durch Regierungsbehörden ein.
- HIPAA (Health Insurance Portability and Accountability Act): Dieses Gesetz wurde 1996 in Kraft gesetzt und gilt für vertrauliche Gesundheitsinformationen von Patienten.
- COPPA (Gesetz zum Schutz der Privatsphäre von Kindern im Internet): Dieses Gesetz wurde 1998 erlassen, um die Privatsphäre von Kindern unter 13 Jahren zu schützen.
- GLBA (Gramm-Leach-Billey Act): Das Gesetz wurde 1999 erlassen und schützt nicht-öffentliche persönliche Finanzinformationen.
- SOX (Sarbanes-Oxley Act): Dieses Gesetz wurde 2002 zum Schutz von Anlegern in Kraft gesetzt. Es hindert Institutionen daran, betrügerische Finanzinformationen zu melden.
- FACTA (Fair and Accurate Credit Transactions Act): Das Gesetz wurde 2003 als Ergänzung zum FCRA verabschiedet und verbessert den Kundenschutz, insbesondere den Schutz vor Identitätsdiebstahl.
Wie wir sehen, gehen diese Gesetze auf branchenspezifische Belange ein, aber es gibt kein allumfassendes Bundesgesetz zum Datenschutz, das universell angewendet werden kann. Daher haben es die Bundesstaaten auf sich genommen, spezielle Gesetze zu erlassen, die den Datenschutz und die Sicherheit betreffen. Wenn Sie die Anforderungen an die Datenbereinigung und die Folgen der Nichteinhaltung dieser Gesetze verstehen, können Sie das Risiko minimieren und die Einhaltung der Vorschriften sicherstellen. Wir werfen einen Blick auf die umfassenden Datenschutzgesetze, die kürzlich von 5 US-Bundesstaaten erlassen wurden:
CCPA (Kalifornisches Gesetz zum Schutz der Privatsphäre von Verbrauchern):
Dieses Gesetz wurde Anfang 2020 verabschiedet und hat den Weg für viele Staaten geebnet, diesem Beispiel zu folgen. Es enthält die Grundprinzipien der GDPR und konzentriert sich auf den Datenschutz und die Anforderungen an die Sicherheit. Das Gesetz gibt den Kaliforniern mehr Kontrolle und das Recht auf persönliche Daten. Zu den Rechten gehört es zu wissen, welche persönlichen Daten gesammelt, verkauft oder weitergegeben werden und an wen. Darüber hinaus sieht das Gesetz das Recht vor, den Verkauf dieser Daten abzulehnen, auf die Daten zuzugreifen, die Löschung der Daten zu verlangen und bei der Ausübung dieser Rechte nicht diskriminiert zu werden. Die Datenvernichtung ist eine Anforderung des CCPA und fällt unter das Recht des Kunden auf Löschung seiner personenbezogenen Daten oder das Recht auf Widerspruch gegen die Verarbeitung dieser Daten. Unternehmen müssen die dauerhafte Vernichtung dieser Daten innerhalb einer bestimmten Zeit nach Erhalt eines solchen Antrags sicherstellen. Die Nichteinhaltung kann zu hohen Geldstrafen und Bußgeldern führen.
Geldbußen & Strafen: Jeder vorsätzliche Verstoß gegen die CCPA-Richtlinien führt zu einer Geldstrafe von maximal $7500 pro Vorfall. Ein unbeabsichtigter Verstoß wird mit einer Höchststrafe von $2500 pro Vorfall geahndet, wobei eine 30-tägige Frist zur Heilung gilt.
CPRA (California Privacy Rights Act):
Diese Änderung des CCPA wird im Juli 2023 in Kraft treten. Dieses Gesetz zielt darauf ab, die Rechte der Kunden zu stärken, eine Aufsichtsbehörde einzurichten und mehr Anforderungen an Organisationen zu stellen. Die Rechte der Kunden wurden erweitert und umfassen nun das Recht, der Weitergabe personenbezogener Daten zu widersprechen, das Recht auf Berichtigung und Löschung unrichtiger Daten und das Recht auf Zugang zu Daten nach 12 Monaten. Sie haben auch das Recht, der automatisierten Entscheidungsfindung und der Profilerstellung zu widersprechen, sowie erweiterte Rechte, um im Falle von Datenverletzungen rechtliche Schritte einzuleiten. Auch die Rechte von Minderjährigen werden erweitert. Die Datenvernichtung ist eine Anforderung des CPRA. Sie würde unter das Recht des Kunden auf Löschung, das Recht auf Löschung unrichtiger Daten und die Begrenzung der Datenspeicherung fallen (sobald die Daten das Ende ihrer Lebensdauer erreicht haben, müssen sie gelöscht werden).
Bußgelder & Strafen: Ein unbeabsichtigtes Vergehen wird mit einer Geldstrafe von maximal $2500 pro Vorfall geahndet, ein vorsätzliches Vergehen mit einer Geldstrafe von maximal $7500. Jeder Verstoß, an dem ein Kunde unter 16 Jahren beteiligt ist, führt zu einer Geldstrafe von maximal $7500. Unternehmen haben 30 Tage Zeit, um den Verstoß zu beheben, sobald sie über die Nichteinhaltung informiert wurden.
VCDPA (Virginia Verbraucherdatenschutzgesetz):
Im März 2021 hat Virginia als zweiter Staat nach Kalifornien ein umfassendes Datenschutzgesetz erlassen, das im Januar 2023 in Kraft treten wird. Es lehnt sich eng an CCPA & CPRA an und gewährt den Einwohnern von Virginia das Recht, auf ihre persönlichen Daten zuzugreifen, sie zu korrigieren, zu löschen, darüber informiert zu werden und dem Verkauf und der Verarbeitung ihrer Daten zu widersprechen. Sie haben auch das Recht, nicht diskriminiert zu werden, wenn sie ihre Zustimmung verweigern. Die dauerhafte Datenvernichtung ist nach dem VCDPA notwendig, da es eine 45-tägige Frist vorsieht, um auf den Antrag des Kunden auf Löschung zu reagieren.
Geldstrafen und Bußgelder: Obwohl es keine Privatklagen von betroffenen Kunden wie beim CCPA gibt, ist der Generalstaatsanwalt befugt, Geldstrafen von bis zu 7500 Dollar pro Verstoß zu verhängen.
CPA (Colorado Datenschutzgesetz):
Nach Kalifornien und Virginia ist Colorado der dritte Staat, der im Juni 2020 ein Datenschutzgesetz in Kraft setzen wird. Dieses Gesetz ist eng an das CCPA, CPRA und VCDPA & GDPR angelehnt. Das CPA gewährt den Bürgern das Recht auf ihre Daten und nimmt Organisationen, die personenbezogene Daten sammeln, in die Verantwortung. Es gewährt den Bürgern das Recht auf Zugang, Berichtigung und Löschung ihrer Daten. Sie gewährt auch das Recht auf Portabilität (Übertragung von Daten an eine andere Organisation) und das Recht, datenbasierte Werbung von und den Verkauf ihrer Daten abzulehnen. Das Recht des Kunden auf Löschung seiner Daten verpflichtet das Unternehmen, die endgültige Vernichtung dieser Daten innerhalb eines bestimmten Zeitraums zu gewährleisten. Ein Unternehmen muss auf die Anfrage eines Verbrauchers innerhalb von 45 Tagen reagieren.
Geldstrafen und Bußgelder: Die Durchsetzung dieses Gesetzes ist nicht auf den Generalstaatsanwalt beschränkt, sondern auch auf die Bezirksstaatsanwälte, mit einer 60-tägigen Frist zur Heilung. Geldstrafen werden in dem Gesetz nicht direkt erwähnt. Dennoch wird der Verstoß als betrügerische Handelspraxis betrachtet, für die die Bußgelder unter das Verbraucherschutzgesetz von Colorado fallen und bis zu $20.000 pro Verstoß betragen können.
UCPA (Utah Consumer Privacy Act):
Im März 2022 wurde Utah der 4. Staat, der ein Datenschutzgesetz unterzeichnet hat. Es wird am 31. Dezember 2023 in Kraft treten und ist eng an das VCDPA angelehnt. Das Gesetz gibt Verbrauchern das Recht auf Löschung, Zugang, Übertragbarkeit und Widerspruch gegen den Verkauf von Daten an Dritte, einschließlich der Verwendung für gezielte Werbung. Die Anforderungen an die Datenvernichtung gemäß UCPA fallen unter die Rechte der Kunden, die ihnen das Recht geben, ihre Daten aus der Datenbank des Unternehmens entfernen zu lassen. Das Unternehmen muss diesem Wunsch jedoch innerhalb einer bestimmten Frist nachkommen und für eine dauerhafte Datenvernichtung sorgen, um die Vorschriften zu erfüllen.
Geldstrafen und Bußgelder: Der Generalstaatsanwalt kann das Gesetz durchsetzen, das eine 30-tägige Heilungsfrist vorsieht. UCPA sieht Strafen von bis zu $7500 pro Verstoß vor.
CPDPA (Gesetz zum Schutz der Privatsphäre in Connecticut):
Das Gesetz wurde im Mai 2022 unterzeichnet und macht Connecticut zum 5. Bundesstaat in den USA, der Datenschutzgesetze erlässt. Es ist auch der erste Staat, der die Zustimmung von Jugendlichen zwischen 13 und 16 Jahren verlangt, bevor ihre Daten für gezielte Werbung verwendet werden. Dieses Gesetz wird ab Juli 2023 durchsetzbar sein. Es gibt den Bürgern eine größere Kontrolle über ihre Daten für gezielte Werbung, den Verkauf von personenbezogenen Daten und einige automatisierte Entscheidungen. Es steht im Einklang mit dem CPA & VCDPA. Ähnlich wie andere Datenschutzgesetze begünstigt auch dieses Gesetz die dauerhafte Vernichtung von Daten, sobald die Anfrage eines Kunden eingegangen ist. Die Frist für die Beantwortung einer Anfrage beträgt 45 Tage. Sobald die Anfrage eingegangen ist, müssen die Daten ohne jede Möglichkeit der Datenrettung gelöscht werden.
Geldbußen & Strafen: Der Generalstaatsanwalt kann Geldstrafen von bis zu $5000 für vorsätzliche Verstöße und andere Strafen gemäß den Bestimmungen des CUTPA (Connecticut Unfair Trade Practices Act) verhängen.
Zusätzlich zu diesen Gesetzen gibt es in den USA weitere wichtige Gesetze, die auf bestimmte Bereiche des Datenschutzes und der Privatsphäre abzielen:
New Yorker SHIELD-Gesetz (Stop Hacks and Improve Electronic Data Security Act):
Dieses Gesetz, das im Juli 2019 verabschiedet wurde, ändert das bestehende Gesetz zur Meldung von Datenschutzverletzungen. Außerdem werden Organisationen, die Informationen über Einwohner von New York sammeln, stärker zur Verantwortung gezogen. Dieses Gesetz trat im März 2020 in Kraft.
Maine Data Protection Act:
Das Gesetz trat im Juni 2019 in Kraft und betraf Internet Service Provider (ISPs). Dieses Gesetz trat im Juli 2020 in Kraft und hindert Internetdienstleister daran, Kundendaten ohne die ausdrückliche Zustimmung des Kunden zu verkaufen, weiterzugeben oder Zugang zu ihnen zu gewähren.
Washingtoner Gesetz zum Schutz der biometrischen Daten (HB 1493):
Dieses Gesetz, das 2017 in Kraft getreten ist, regelt die Erfassung, Verwendung und Speicherung biometrischer Identifikatoren von Washingtoner Bürgern.
Einblicke in die globalen Datenschutzgesetze:
GDPR (General Data Protection Regulation):
Die Allgemeine Datenschutzverordnung (GDPR) steht an der Spitze der Datenschutzgesetzgebung und bildet die Grundlage für nachfolgende Gesetze, die nach 2018 in Kraft treten. Der Grundsatz des "Rechts auf Löschung" ist ein grundlegendes Thema in allen Datenschutzgesetzen und gibt den betroffenen Personen mehr Kontrolle und Zugang zu ihren Daten. Die GDPR schreibt die dauerhafte Löschung von Daten vor und die betroffene Organisation hat 30 Tage Zeit, um auf die Anfrage zu reagieren. Das "Recht auf Vergessenwerden" schreibt auch die Datenvernichtung durch standardisierte Verfahren vor, bei denen Software zum Überschreiben verwendet wird, um sicherzustellen, dass personenbezogene Daten gelöscht wurden und nicht wiederhergestellt werden können. Software, die zertifizierte und fälschungssichere Berichte über die Löschung erstellen kann, ist für diese Aufgabe am besten geeignet, um die Compliance zu erfüllen und Prüfpfade zu erhalten.
Geldbußen und Strafen: Gemäß Artikel 83(5) kann die Haftung für Verstöße gegen die Datenschutz-Grundverordnung massiv sein. Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Umsatzes, je nachdem, welcher Betrag höher ist ( ), können gegen ein Unternehmen verhängt werden, wenn es die in Artikel 5 festgelegten Grundprinzipien nicht einhält. Seit der Durchsetzung der DSGVO wurden 1087 Geldbußen in Höhe von insgesamt 1,6 Milliarden Euro verhängt. Gegen Amazon Europe Core S.a.r.l. wurde am 22. Juli 2021 eine Geldstrafe in Höhe von 746.000.000 € verhängt, die bisher höchste Geldstrafe.
PIPEDA (Personal Information Protection & Electronic Documents Act):
PIPEDA ist ein kanadisches Gesetz, das zum Schutz der Privatsphäre seiner Bürger erlassen wurde. Es regelt Organisationen in Kanada, die personenbezogene Daten kanadischer Bürger zu kommerziellen Zwecken sammeln, nutzen und verarbeiten. Dieses Gesetz wurde im April 2000 verabschiedet und gilt für alle Organisationen mit Ausnahme von Alberta, British Columbia und Quebec, da diese Staaten ähnliche Datenschutzgesetze wie PIPEDA haben und im Allgemeinen davon ausgenommen sind. Bundesorganisationen fallen alle unter dieses Gesetz. Die Rechte von Einzelpersonen unter PIPEDA erlauben den Zugang zu und die Korrektur von Daten sowie die Benachrichtigung über eine unangemessene Verwendung ihrer Daten, einschließlich des Verkaufs.
PIPEDA verlangt die Vernichtung, Löschung oder Anonymisierung von Daten, sobald sie das Ende ihrer Lebensdauer erreicht haben. Klausel 4.5.3 des PIPEDA (Grundsatz der Einschränkung der Nutzung, Offenlegung und Aufbewahrung) verlangt von Organisationen, Richtlinien für die Vernichtung oder Anonymisierung von Daten zu entwickeln. Die Anonymisierung birgt Risiken, da ein Reverse Engineering zu einer Datenrettung und zu einer Verletzung oder einem Diebstahl von Daten führen kann. Die Verwendung einer softwarebasierten Datenvernichtungsmethode ist für diese Bedingungen ideal.
Geldstrafen und Bußgelder: Die Nichteinhaltung von PIPEDA kann zu hohen Geldstrafen führen. Das Gesetz sieht für jeden Verstoß Geldstrafen von bis zu 100.000 Dollar vor, die sich schnell zu hohen Summen summieren können.
POPIA (Gesetz zum Schutz persönlicher Daten):
POPIA wurde im November 2013 in Kraft gesetzt und tritt im Juli 2020 in Kraft. Dieses südafrikanische Datenschutzgesetz hebt die Anforderungen hervor, die Organisationen beim Umgang mit den persönlichen Daten der Bürger einhalten müssen. Dieses Gesetz räumt den Südafrikanern 9 Rechte ein, darunter das Recht auf Auskunft, Berichtigung und Löschung, das Recht, die Löschung zu beantragen, Widerspruch gegen die Erfassung einzulegen und Rechtsmittel einzulegen. Dieses Gesetz gilt für Organisationen mit Sitz in Südafrika, die die Daten ihrer Bürger verarbeiten.
Die Anforderungen an die Datenvernichtung im Rahmen von POPIA stehen im Einklang mit anderen Datenschutzgesetzen; das Recht auf Löschung erfordert die Vernichtung von Daten, damit sie nicht wiederhergestellt werden können.
Geldbußen und Strafen: Verstöße gegen POPIA haben schwerwiegende Folgen und können grob in schwere und leichte Verstöße eingeteilt werden:
- Geldstrafe zwischen 1 Million und 10 Millionen ZAR (etwa $60.000 - $600.000 USD)
- Bis zu 10 Jahre Gefängnis oder eine Kombination aus beidem.
Fazit:
Die weltweiten Datenschutzgesetze geben uns einen Einblick in die Art und Weise, wie verschiedene Länder und Staaten ihre Abwehrmaßnahmen gegen Datenschutzverletzungen und allgemeine Datensicherheit aufbauen. Es gibt auch einen klaren Trend, dass staatliche Akteure dem Datenschutz die gebührende Bedeutung beimessen. Die Unternehmen sind dafür verantwortlich, Maßnahmen zu ergreifen, um die Einhaltung der Vorschriften zu gewährleisten, da dies nicht länger eine Option, sondern eine Verpflichtung mit schwerwiegenden Folgen ist. Datenbereinigung und Datenvernichtung spielen in diesen Gesetzen eine wichtige Rolle und sind für die Einhaltung der Vorschriften obligatorisch.
Der internationale Standard für die Datenvernichtung, der die Vernichtung von Daten jenseits der Datenrettung sicherstellt, ist NIST 800-88, der eine softwarebasierte Löschung mit Überschreibefunktion empfiehlt. Die BitRaser Datenlöschungslösung ist die weltweit bevorzugte Datenlöschungslösung für die Einhaltung von Gesetzen und Vorschriften. Sie unterstützt 24 internationale Löschstandards, einschließlich, aber nicht beschränkt auf NIST 800-88, DoD 3 oder 7 Passes, usw. Darüber hinaus wurde das Tool vom NIST auf seine Wirksamkeit getestet. Es generiert einen 100%ig überprüfbaren, dokumentierten Nachweis der Löschung und gewährleistet so die Einhaltung von EU-GDPR, CCPA, SOX, GLBA, HIPAA und anderen internationalen Datenschutzvorschriften wie der japanischen APPI.
+1-844-775-0101
