Einhaltung der Datenschutzgesetze von Illinois: Was Sie wissen müssen

The Illinois Personal Information Protection Act (PIPA) is designed to safeguard the personal data of Illinois residents. Learn what PIPA is, who it affects, and how to maintain compliance.
David Harrington
4 minute gelesen
Letzte aktualisierung 24. Januar 2023

Der Staat Illinois hat vor kurzem mehrere wichtige Gesetzesvorschriften verabschiedet, um die Datenschutzrechte und den Schutz seiner Einwohner zu stärken. Das Datenschutzgesetz von Illinois verfolgt ähnliche Ziele wie andere internationale Vorschriften, beispielsweise die Datenschutz-Grundverordnung (DSGVO) der EU und US-Datenschutzgesetze wie der California Consumer Privacy Act (CCPA).

Um natürliche Personen mit Wohnsitz in Illinois besser zu schützen, wurde der Illinois Personal Information Protection Act (PIPA) im Juni 2005 von der Legislative des Bundesstaates unterzeichnet und trat am 1. Januar 2006 in Kraft. 2017 wurde PIPA aktualisiert, um Änderungen in der Technologie und den Methoden der Datenerfassung, wie z. B. der Biometrie, Rechnung zu tragen.

In diesem Artikel erfahren Sie, für wen PIPA gilt und wie Sie Ihr Unternehmen in Hinblick auf Compliance am besten positionieren können.

Was ist der Personal Information Protection Act?

Blog_Design_IllinoisPrivacyLaws_20211008_V1_DE2

PIPA wurde eingeführt, um die Einwohner von Illinois vor der unsachgemäßen Verarbeitung oder dem Missbrauch ihrer personenbezogenen Daten zu schützen. Das Gesetz stellt eine Reihe von Anforderungen an Unternehmen und andere Organisationen, die nichtöffentliche personenbezogene Daten erfassen, verarbeiten oder speichern. PIPA legt auch die Schritte fest, die Unternehmen im Falle einer Sicherheitsverletzung zu unternehmen haben.

Darüber hinaus müssen Unternehmen und Organisationen, die im Besitz von personenbezogenen Daten von Einwohnern des Bundesstaates Illinois sind, angemessene Sicherheitsmaßnahmen einführen und pflegen, um diese Daten vor unbefugtem Zugriff, unbefugter Nutzung oder Veränderung zu schützen. Organisationen müssen ebenso Datenschutzbestimmungen in Verträge mit Drittanbietern aufnehmen, bei denen Daten gespeichert oder an die Daten übertragen werden.

Seit seiner Einführung – und der anschließenden Aktualisierung – diente PIPA dazu, sicherzustellen, dass personenbezogene, sensible Daten der Einwohner von Illinois ordnungsgemäß verarbeitet, gespeichert und geschützt werden.

Wer ist von PIPA betroffen?

PIPA gilt für alle Unternehmen, Organisationen oder Einrichtungen, die in Illinois als Datensammler tätig sind. Dazu gehören kommerzielle Unternehmen, Regierungsbehörden, gemeinnützige Organisationen, Universitäten und andere Unternehmen, die nichtöffentliche personenbezogene Daten verarbeiten. Unabhängig davon, ob solche Einrichtungen ihren Sitz in Illinois haben, unterliegen sie dem PIPA, wenn sie private, nichtöffentliche Daten von Bürgern aus Illinois sammeln oder verarbeiten.

Eine Vielzahl von Unternehmen aus verschiedenen Branchen sollte über PIPA informiert – und damit konform – sein. Unabhängig davon, ob Sie ein Gesundheits- oder Versicherungsunternehmen sind, das private Kundendaten erfasst, oder ein Marketingunternehmen, das Daten für gezielte Werbung verwendet – Sie müssen früher oder später PIPA-konform werden, wenn Sie Nutzer im Bundesstaat Illinois haben.

Hauptelemente des Illinois Privacy Act

Blog_Design_IllinoisPrivacyLaws_20211008_V1_DE3

Der Illinois Privacy Act enthält mehrere wichtige Elemente, die Organisationen kennen sollten, falls sie Daten von Einwohnern von Illinois erfassen und verarbeiten.

1. Benachrichtigung bei Datenschutzverletzungen

Eines der Hauptziele von PIPA besteht darin, die Einwohner von Illinois angemessen zu informieren, wenn ihre personenbezogenen Daten kompromittiert wurden. Tritt eine Datenschutzverletzung auf, dann hat das Unternehmen die betroffenen Benutzer „so schnell wie möglich und ohne unnötige Verzögerungen“ zu benachrichtigen, so das Gesetz. Datensammler müssen Personen schriftlich oder elektronisch benachrichtigen. Falls diese Möglichkeiten nicht zur Verfügung stehen, reicht auch eine allgemeine Benachrichtigung über die Medien des Bundesstaates aus.

2. Datenentsorgung

Gemäß PIPA müssen Unternehmen Daten, die für laufende Dienste oder Betriebsabläufe nicht mehr benötigt werden, auch sicher entsorgen. Das umfasst Dokumente auf Papier oder in elektronischer Form, die personenbezogene Daten von Personen aus Illinois enthalten. Papierunterlagen müssen ordnungsgemäß verbrannt, geschreddert oder anderweitig entsorgt werden, und elektronische Unterlagen müssen unlesbar und nicht wiederherstellbar gemacht werden. Dadurch werden die Datensicherheit und der Datenschutz für Verbraucher in Illinois langfristig gewährleistet.

3. Sicherheitsanforderungen

Der PIPA legt außerdem fest, dass Datensammler „angemessene Sicherheitsmaßnahmen“ implementieren und pflegen müssen, um Datensätze vor unbefugtem Zugriff, Beschaffung, Zerstörung, Nutzung, Änderung oder Offenlegung zu schützen. Obwohl der PIPA keine spezifischen Maßnahmen vorgibt, können Unternehmen diese Standards einhalten, indem sie die geltenden Datenschutzstandards der USA und der Bundesstaaten einhalten, beispielsweise HIPAA.

Welche Daten werden durch PIPA geschützt?

Die folgenden Datentypen sind die Hauptformen personenbezogener Daten, die unter den Schutz des PIPA fallen:

  • Sozialversicherungsnummer
  • Nummer des Führerscheins oder des Personalausweises
  • Nummer des Bundesreisepasses
  • Medizinische Kontonummern
  • Finanzkontonummern
  • Kreditkarten- oder Debitkartennummern
  • Kontopasswörter oder Sicherheitscodes

Was kann ich für die Compliance mit dem Illinois Personal Information Protection Act tun?

Blog_Design_IllinoisPrivacyLaws_20211008_V1_DE4

Die Einhaltung des Illinois PIPA ist nicht unbedingt sehr komplex oder schwierig. Mit einigen grundlegenden Schritten können Sie dafür sorgen, dass Ihre Erfassung, Speicherung und Entsorgung von Daten von Einwohnern des Bundesstaates Illinois sicher und vollständig PIPA-konform ist.

1. Überprüfung der Verwaltungsabläufe

Eine der effektivsten Maßnahmen für die PIPA-Compliance ist die Überprüfung Ihrer gesamten Verwaltungsabläufe im Zusammenhang mit der Erfassung vertraulicher Informationen und dem gesamten Datenschutz der Bürger von Illinois. Sehen Sie sich genau an, wie Sie Daten erfassen und welche Arten von Daten unter PIPA fallen. Wenn Sie den gesamten Prozess einmal abbilden, können Sie sich ein klares Bild davon machen, welche Lücken zu schließen sind.

2. Implementierung von Benachrichtigungen bei Datenschutzverletzungen

Personen aus Illinois im Falle einer Datenschutzverletzung angemessen zu informieren ist einer der wichtigsten Aspekte von PIPA. Überprüfen Sie nicht nur die Verwaltungsprozesse, sondern auch Ihre dokumentierten Best Practices für die Benachrichtigung bei Verletzungen. Stellen Sie sicher, dass Sie in der Lage sind, Personen schnell per E-Mail oder Post zu benachrichtigen, und dass Sie über Medienkontakte verfügen, um Verletzungen bekanntzumachen, damit auch die Personen davon erfahren, mit denen Sie möglicherweise keinen direkten Kontakt haben.

3. Verschlüsselung der gesamten Kommunikation

Insbesondere die Verschlüsselung der E-Mail-Kommunikation ist ein wichtiger Schritt, um Datenschutzverletzungen zu verhindern und die kontinuierliche Compliance mit PIPA zu gewährleisten. Die E-Mail-Verschlüsselung wird immer mehr zur Standardpraxis, und die Anforderungen an die Verschlüsselung werden sowohl in internationalen als auch in US-Datenschutzgesetzen immer strenger. Indem Sie Verschlüsselungstechnologien implementieren, können Sie Datenschutzverletzungen verhindern und müssen sich dadurch gar nicht erst mit den Meldepflichten von PIPA befassen.

4. Vertrauliche Informationen löschen

Die Löschung privater Daten ist eine Best Practice im Datenschutz und stellt eine wichtige Säule der PIPA-Compliance dar. Stellen Sie sicher, dass Ihr Datenerfassungs- und Sicherheitsplan ausführliche und gründliche Prozesse zur Löschung von Daten – ob physisch oder digital – umfasst. Dazu gehört auch, wie bereits erwähnt, das Schreddern oder Verbrennen von Papierdokumenten und die Löschung von digitalen Daten, sodass diese nicht wiederherstellbar sind. Wenn Sie die privaten Daten für die Dienstleistungserbringung oder den Betrieb Ihres Unternehmens nicht benötigen, sollten Sie sie so schnell wie möglich loswerden.

An wen kann ich mich wenden, wenn ich eine Datenschutzverletzung vermute?

Wenn Sie eine Datenschutzverletzung vermuten, sollten Sie sich mit den zuständigen Stellen in Verbindung setzen, um sicherzustellen, dass Sie PIPA-konform sind, und um Bußgelder und Strafen zu vermeiden. Mit der Varonis Data Security Platform können Sie Ihre Systeme überwachen und Verstöße erkennen, sobald diese auftreten. Sie können also sicherstellen, dass Sie die richtigen Parteien innerhalb des im PIPA festgelegten Zeitraums benachrichtigen.

Im Folgenden finden Sie die Personen, Parteien und Einrichtungen, an die Sie sich wenden sollten, wenn Sie eine Datenschutzverletzung vermuten, von der Einwohner von Illinois betroffen sind:

Abschließende Überlegungen

Vorschriften wie der California Privacy Rights Act spornen andere Bundesstaaten wie Illinois an, ähnliche Standards und Praktiken einzuführen – daher wurde der PIPA verabschiedet und überarbeitet. Bei der Einhaltung des PIPA geht es jedoch um mehr als nur darum, die richtigen Personen zu benachrichtigen, wenn ein Verstoß vorliegt. Am besten ist es, wenn Sie die Daten von Bürgern in Illinois schützen und verhindern, dass es überhaupt zu einer Verletzung kommt. Mithilfe von Technologien wie E-Mail-Verschlüsselung und fortschrittlicher Bedrohungserkennung können Sie die Wahrscheinlichkeit von Sicherheitsverstößen erheblich verringern und die Einhaltung von PIPA langfristig gewährleisten.

What should I do now?

Below are three ways you can continue your journey to reduce data risk at your company:

1

Schedule a demo with us to see Varonis in action. We'll personalize the session to your org's data security needs and answer any questions.

2

See a sample of our Data Risk Assessment and learn the risks that could be lingering in your environment. Varonis' DRA is completely free and offers a clear path to automated remediation.

3

Follow us on LinkedIn, YouTube, and X (Twitter) for bite-sized insights on all things data security, including DSPM, threat detection, AI security, and more.

Testen Sie Varonis gratis.

Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen

Weiter lesen

Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

die-12-pci-dss-anforderungen:-4.0-compliance-checkliste
Die 12 PCI-DSS-Anforderungen: 4.0-Compliance-Checkliste
Version 4.0 des Payment Card Industry Data Security Standard (PCI DSS) tritt bald in Kraft. Bereiten Sie sich mit unserer PCI-DSS-Compliance-Checkliste vor.
ich-klicke,-also-bin-ich:-verstörende-forschungsergebnisse-zum-phishing
Ich klicke, also bin ich: verstörende Forschungsergebnisse zum Phishing
Der Homo sapiens klickt auf Links in unbeholfenen, nicht personalisierten Phishing-E-Mails. Er tut das einfach. Es gibt Forschungsergebnisse, die nahelegen, dass ein kleiner Prozentsatz der Bevölkerung einfach so verdrahtet ist,...
befindet-sich-ihr-größtes-sicherheitsrisiko-innerhalb-ihres-unternehmens-?
Befindet sich Ihr größtes Sicherheitsrisiko innerhalb Ihres Unternehmens ?
Die Person neben Ihrem Arbeitsplatz könnte das größte Sicherheitsrisiko in Ihrem Unternehmen sein. Die groß angelegten Angriffe, über die wir in den Nachrichten lesen — Yahoo, Equifax, WannaCry Ransomware —...
finden-personenbezogener-eu-personendaten-mit-regulären-ausdrücken-(regex)
Finden personenbezogener EU-Personendaten mit regulären Ausdrücken (RegEx)
Wenn es einen überaus wichtigen, aber unterschätzten Punkt zur Einhaltung strenger Datensicherheitsrichtlinien wie der Datenschutz-Grundverordnung (DSGVO) gibt, dann ist es die Bedeutung des Findens und Klassifizierens personenbezogenen Daten. Herauszufinden, wo...