Der Staat Illinois hat vor kurzem mehrere wichtige Gesetzesvorschriften verabschiedet, um die Datenschutzrechte und den Schutz seiner Einwohner zu stärken. Das Datenschutzgesetz von Illinois verfolgt ähnliche Ziele wie andere internationale Vorschriften, beispielsweise die Datenschutz-Grundverordnung (DSGVO) der EU und US-Datenschutzgesetze wie der California Consumer Privacy Act (CCPA).
Um natürliche Personen mit Wohnsitz in Illinois besser zu schützen, wurde der Illinois Personal Information Protection Act (PIPA) im Juni 2005 von der Legislative des Bundesstaates unterzeichnet und trat am 1. Januar 2006 in Kraft. 2017 wurde PIPA aktualisiert, um Änderungen in der Technologie und den Methoden der Datenerfassung, wie z. B. der Biometrie, Rechnung zu tragen.
In diesem Artikel erfahren Sie, für wen PIPA gilt und wie Sie Ihr Unternehmen in Hinblick auf Compliance am besten positionieren können.
- Was ist der Personal Information Protection Act?
- Wer ist von PIPA betroffen?
- Hauptelemente des Illinois Privacy Act
- Welche Daten werden durch PIPA geschützt?
- Was kann ich tun, um die Compliance mit PIPA zu gewährleisten?
- An wen kann ich mich wenden, wenn ich eine Datenschutzverletzung vermute?
Was ist der Personal Information Protection Act?
PIPA wurde eingeführt, um die Einwohner von Illinois vor der unsachgemäßen Verarbeitung oder dem Missbrauch ihrer personenbezogenen Daten zu schützen. Das Gesetz stellt eine Reihe von Anforderungen an Unternehmen und andere Organisationen, die nichtöffentliche personenbezogene Daten erfassen, verarbeiten oder speichern. PIPA legt auch die Schritte fest, die Unternehmen im Falle einer Sicherheitsverletzung zu unternehmen haben.
Darüber hinaus müssen Unternehmen und Organisationen, die im Besitz von personenbezogenen Daten von Einwohnern des Bundesstaates Illinois sind, angemessene Sicherheitsmaßnahmen einführen und pflegen, um diese Daten vor unbefugtem Zugriff, unbefugter Nutzung oder Veränderung zu schützen. Organisationen müssen ebenso Datenschutzbestimmungen in Verträge mit Drittanbietern aufnehmen, bei denen Daten gespeichert oder an die Daten übertragen werden.
Seit seiner Einführung – und der anschließenden Aktualisierung – diente PIPA dazu, sicherzustellen, dass personenbezogene, sensible Daten der Einwohner von Illinois ordnungsgemäß verarbeitet, gespeichert und geschützt werden.
Wer ist von PIPA betroffen?
PIPA gilt für alle Unternehmen, Organisationen oder Einrichtungen, die in Illinois als Datensammler tätig sind. Dazu gehören kommerzielle Unternehmen, Regierungsbehörden, gemeinnützige Organisationen, Universitäten und andere Unternehmen, die nichtöffentliche personenbezogene Daten verarbeiten. Unabhängig davon, ob solche Einrichtungen ihren Sitz in Illinois haben, unterliegen sie dem PIPA, wenn sie private, nichtöffentliche Daten von Bürgern aus Illinois sammeln oder verarbeiten.
Eine Vielzahl von Unternehmen aus verschiedenen Branchen sollte über PIPA informiert – und damit konform – sein. Unabhängig davon, ob Sie ein Gesundheits- oder Versicherungsunternehmen sind, das private Kundendaten erfasst, oder ein Marketingunternehmen, das Daten für gezielte Werbung verwendet – Sie müssen früher oder später PIPA-konform werden, wenn Sie Nutzer im Bundesstaat Illinois haben.
Hauptelemente des Illinois Privacy Act
Der Illinois Privacy Act enthält mehrere wichtige Elemente, die Organisationen kennen sollten, falls sie Daten von Einwohnern von Illinois erfassen und verarbeiten.
1. Benachrichtigung bei Datenschutzverletzungen
Eines der Hauptziele von PIPA besteht darin, die Einwohner von Illinois angemessen zu informieren, wenn ihre personenbezogenen Daten kompromittiert wurden. Tritt eine Datenschutzverletzung auf, dann hat das Unternehmen die betroffenen Benutzer „so schnell wie möglich und ohne unnötige Verzögerungen“ zu benachrichtigen, so das Gesetz. Datensammler müssen Personen schriftlich oder elektronisch benachrichtigen. Falls diese Möglichkeiten nicht zur Verfügung stehen, reicht auch eine allgemeine Benachrichtigung über die Medien des Bundesstaates aus.
2. Datenentsorgung
Gemäß PIPA müssen Unternehmen Daten, die für laufende Dienste oder Betriebsabläufe nicht mehr benötigt werden, auch sicher entsorgen. Das umfasst Dokumente auf Papier oder in elektronischer Form, die personenbezogene Daten von Personen aus Illinois enthalten. Papierunterlagen müssen ordnungsgemäß verbrannt, geschreddert oder anderweitig entsorgt werden, und elektronische Unterlagen müssen unlesbar und nicht wiederherstellbar gemacht werden. Dadurch werden die Datensicherheit und der Datenschutz für Verbraucher in Illinois langfristig gewährleistet.
3. Sicherheitsanforderungen
Der PIPA legt außerdem fest, dass Datensammler „angemessene Sicherheitsmaßnahmen“ implementieren und pflegen müssen, um Datensätze vor unbefugtem Zugriff, Beschaffung, Zerstörung, Nutzung, Änderung oder Offenlegung zu schützen. Obwohl der PIPA keine spezifischen Maßnahmen vorgibt, können Unternehmen diese Standards einhalten, indem sie die geltenden Datenschutzstandards der USA und der Bundesstaaten einhalten, beispielsweise HIPAA.
Welche Daten werden durch PIPA geschützt?
Die folgenden Datentypen sind die Hauptformen personenbezogener Daten, die unter den Schutz des PIPA fallen:
- Sozialversicherungsnummer
- Nummer des Führerscheins oder des Personalausweises
- Nummer des Bundesreisepasses
- Medizinische Kontonummern
- Finanzkontonummern
- Kreditkarten- oder Debitkartennummern
- Kontopasswörter oder Sicherheitscodes
Was kann ich für die Compliance mit dem Illinois Personal Information Protection Act tun?
Die Einhaltung des Illinois PIPA ist nicht unbedingt sehr komplex oder schwierig. Mit einigen grundlegenden Schritten können Sie dafür sorgen, dass Ihre Erfassung, Speicherung und Entsorgung von Daten von Einwohnern des Bundesstaates Illinois sicher und vollständig PIPA-konform ist.
1. Überprüfung der Verwaltungsabläufe
Eine der effektivsten Maßnahmen für die PIPA-Compliance ist die Überprüfung Ihrer gesamten Verwaltungsabläufe im Zusammenhang mit der Erfassung vertraulicher Informationen und dem gesamten Datenschutz der Bürger von Illinois. Sehen Sie sich genau an, wie Sie Daten erfassen und welche Arten von Daten unter PIPA fallen. Wenn Sie den gesamten Prozess einmal abbilden, können Sie sich ein klares Bild davon machen, welche Lücken zu schließen sind.
2. Implementierung von Benachrichtigungen bei Datenschutzverletzungen
Personen aus Illinois im Falle einer Datenschutzverletzung angemessen zu informieren ist einer der wichtigsten Aspekte von PIPA. Überprüfen Sie nicht nur die Verwaltungsprozesse, sondern auch Ihre dokumentierten Best Practices für die Benachrichtigung bei Verletzungen. Stellen Sie sicher, dass Sie in der Lage sind, Personen schnell per E-Mail oder Post zu benachrichtigen, und dass Sie über Medienkontakte verfügen, um Verletzungen bekanntzumachen, damit auch die Personen davon erfahren, mit denen Sie möglicherweise keinen direkten Kontakt haben.
3. Verschlüsselung der gesamten Kommunikation
Insbesondere die Verschlüsselung der E-Mail-Kommunikation ist ein wichtiger Schritt, um Datenschutzverletzungen zu verhindern und die kontinuierliche Compliance mit PIPA zu gewährleisten. Die E-Mail-Verschlüsselung wird immer mehr zur Standardpraxis, und die Anforderungen an die Verschlüsselung werden sowohl in internationalen als auch in US-Datenschutzgesetzen immer strenger. Indem Sie Verschlüsselungstechnologien implementieren, können Sie Datenschutzverletzungen verhindern und müssen sich dadurch gar nicht erst mit den Meldepflichten von PIPA befassen.
4. Vertrauliche Informationen löschen
Die Löschung privater Daten ist eine Best Practice im Datenschutz und stellt eine wichtige Säule der PIPA-Compliance dar. Stellen Sie sicher, dass Ihr Datenerfassungs- und Sicherheitsplan ausführliche und gründliche Prozesse zur Löschung von Daten – ob physisch oder digital – umfasst. Dazu gehört auch, wie bereits erwähnt, das Schreddern oder Verbrennen von Papierdokumenten und die Löschung von digitalen Daten, sodass diese nicht wiederherstellbar sind. Wenn Sie die privaten Daten für die Dienstleistungserbringung oder den Betrieb Ihres Unternehmens nicht benötigen, sollten Sie sie so schnell wie möglich loswerden.
An wen kann ich mich wenden, wenn ich eine Datenschutzverletzung vermute?
Wenn Sie eine Datenschutzverletzung vermuten, sollten Sie sich mit den zuständigen Stellen in Verbindung setzen, um sicherzustellen, dass Sie PIPA-konform sind, und um Bußgelder und Strafen zu vermeiden. Mit der Varonis Data Security Platform können Sie Ihre Systeme überwachen und Verstöße erkennen, sobald diese auftreten. Sie können also sicherstellen, dass Sie die richtigen Parteien innerhalb des im PIPA festgelegten Zeitraums benachrichtigen.
Im Folgenden finden Sie die Personen, Parteien und Einrichtungen, an die Sie sich wenden sollten, wenn Sie eine Datenschutzverletzung vermuten, von der Einwohner von Illinois betroffen sind:
- Cybercrime-Einheit der Illinois State Police. +1 217 782 6637
- Abteilung für rechtliche Mitteilungen der Chicago Sun Times. +1 312-321-2345
- Generalstaatsanwalt des Bundesstaates Illinois. 1-800-243-0618
- PIPA-Compliance-Unterstützung von Varonis. 1-877-292-8767
Abschließende Überlegungen
Vorschriften wie der California Privacy Rights Act spornen andere Bundesstaaten wie Illinois an, ähnliche Standards und Praktiken einzuführen – daher wurde der PIPA verabschiedet und überarbeitet. Bei der Einhaltung des PIPA geht es jedoch um mehr als nur darum, die richtigen Personen zu benachrichtigen, wenn ein Verstoß vorliegt. Am besten ist es, wenn Sie die Daten von Bürgern in Illinois schützen und verhindern, dass es überhaupt zu einer Verletzung kommt. Mithilfe von Technologien wie E-Mail-Verschlüsselung und fortschrittlicher Bedrohungserkennung können Sie die Wahrscheinlichkeit von Sicherheitsverstößen erheblich verringern und die Einhaltung von PIPA langfristig gewährleisten.
Wie soll ich vorgehen?
Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:
Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.
Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.
Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.