Varonis debuts trailblazing features for securing Salesforce. Learn More

Wir stellen vor: Die Least Privilege Automation für Microsoft 365, Google Drive und Box

Mehr erfahren
Blog Datensicherheit & Compliance

Einhaltung der Datenschutzgesetze von Illinois: Was Sie wissen müssen

The Illinois Personal Information Protection Act (PIPA) is designed to safeguard the personal data of Illinois residents. Learn what PIPA is, who it affects, and how to maintain compliance.
David Harrington
4 minute gelesen
Letzte aktualisierung 24. Januar 2023

Inhalt

    Der Staat Illinois hat vor kurzem mehrere wichtige Gesetzesvorschriften verabschiedet, um die Datenschutzrechte und den Schutz seiner Einwohner zu stärken. Das Datenschutzgesetz von Illinois verfolgt ähnliche Ziele wie andere internationale Vorschriften, beispielsweise die Datenschutz-Grundverordnung (DSGVO) der EU und US-Datenschutzgesetze wie der California Consumer Privacy Act (CCPA).

    Um natürliche Personen mit Wohnsitz in Illinois besser zu schützen, wurde der Illinois Personal Information Protection Act (PIPA) im Juni 2005 von der Legislative des Bundesstaates unterzeichnet und trat am 1. Januar 2006 in Kraft. 2017 wurde PIPA aktualisiert, um Änderungen in der Technologie und den Methoden der Datenerfassung, wie z. B. der Biometrie, Rechnung zu tragen.

    In diesem Artikel erfahren Sie, für wen PIPA gilt und wie Sie Ihr Unternehmen in Hinblick auf Compliance am besten positionieren können.

    Was ist der Personal Information Protection Act?

    Blog_Design_IllinoisPrivacyLaws_20211008_V1_DE2

    PIPA wurde eingeführt, um die Einwohner von Illinois vor der unsachgemäßen Verarbeitung oder dem Missbrauch ihrer personenbezogenen Daten zu schützen. Das Gesetz stellt eine Reihe von Anforderungen an Unternehmen und andere Organisationen, die nichtöffentliche personenbezogene Daten erfassen, verarbeiten oder speichern. PIPA legt auch die Schritte fest, die Unternehmen im Falle einer Sicherheitsverletzung zu unternehmen haben.

    Darüber hinaus müssen Unternehmen und Organisationen, die im Besitz von personenbezogenen Daten von Einwohnern des Bundesstaates Illinois sind, angemessene Sicherheitsmaßnahmen einführen und pflegen, um diese Daten vor unbefugtem Zugriff, unbefugter Nutzung oder Veränderung zu schützen. Organisationen müssen ebenso Datenschutzbestimmungen in Verträge mit Drittanbietern aufnehmen, bei denen Daten gespeichert oder an die Daten übertragen werden.

    Seit seiner Einführung – und der anschließenden Aktualisierung – diente PIPA dazu, sicherzustellen, dass personenbezogene, sensible Daten der Einwohner von Illinois ordnungsgemäß verarbeitet, gespeichert und geschützt werden.

    Wer ist von PIPA betroffen?

    PIPA gilt für alle Unternehmen, Organisationen oder Einrichtungen, die in Illinois als Datensammler tätig sind. Dazu gehören kommerzielle Unternehmen, Regierungsbehörden, gemeinnützige Organisationen, Universitäten und andere Unternehmen, die nichtöffentliche personenbezogene Daten verarbeiten. Unabhängig davon, ob solche Einrichtungen ihren Sitz in Illinois haben, unterliegen sie dem PIPA, wenn sie private, nichtöffentliche Daten von Bürgern aus Illinois sammeln oder verarbeiten.

    Eine Vielzahl von Unternehmen aus verschiedenen Branchen sollte über PIPA informiert – und damit konform – sein. Unabhängig davon, ob Sie ein Gesundheits- oder Versicherungsunternehmen sind, das private Kundendaten erfasst, oder ein Marketingunternehmen, das Daten für gezielte Werbung verwendet – Sie müssen früher oder später PIPA-konform werden, wenn Sie Nutzer im Bundesstaat Illinois haben.

    Hauptelemente des Illinois Privacy Act

    Blog_Design_IllinoisPrivacyLaws_20211008_V1_DE3

    Der Illinois Privacy Act enthält mehrere wichtige Elemente, die Organisationen kennen sollten, falls sie Daten von Einwohnern von Illinois erfassen und verarbeiten.

    1. Benachrichtigung bei Datenschutzverletzungen

    Eines der Hauptziele von PIPA besteht darin, die Einwohner von Illinois angemessen zu informieren, wenn ihre personenbezogenen Daten kompromittiert wurden. Tritt eine Datenschutzverletzung auf, dann hat das Unternehmen die betroffenen Benutzer „so schnell wie möglich und ohne unnötige Verzögerungen“ zu benachrichtigen, so das Gesetz. Datensammler müssen Personen schriftlich oder elektronisch benachrichtigen. Falls diese Möglichkeiten nicht zur Verfügung stehen, reicht auch eine allgemeine Benachrichtigung über die Medien des Bundesstaates aus.

    2. Datenentsorgung

    Gemäß PIPA müssen Unternehmen Daten, die für laufende Dienste oder Betriebsabläufe nicht mehr benötigt werden, auch sicher entsorgen. Das umfasst Dokumente auf Papier oder in elektronischer Form, die personenbezogene Daten von Personen aus Illinois enthalten. Papierunterlagen müssen ordnungsgemäß verbrannt, geschreddert oder anderweitig entsorgt werden, und elektronische Unterlagen müssen unlesbar und nicht wiederherstellbar gemacht werden. Dadurch werden die Datensicherheit und der Datenschutz für Verbraucher in Illinois langfristig gewährleistet.

    3. Sicherheitsanforderungen

    Der PIPA legt außerdem fest, dass Datensammler „angemessene Sicherheitsmaßnahmen“ implementieren und pflegen müssen, um Datensätze vor unbefugtem Zugriff, Beschaffung, Zerstörung, Nutzung, Änderung oder Offenlegung zu schützen. Obwohl der PIPA keine spezifischen Maßnahmen vorgibt, können Unternehmen diese Standards einhalten, indem sie die geltenden Datenschutzstandards der USA und der Bundesstaaten einhalten, beispielsweise HIPAA.

    Welche Daten werden durch PIPA geschützt?

    Die folgenden Datentypen sind die Hauptformen personenbezogener Daten, die unter den Schutz des PIPA fallen:

    • Sozialversicherungsnummer
    • Nummer des Führerscheins oder des Personalausweises
    • Nummer des Bundesreisepasses
    • Medizinische Kontonummern
    • Finanzkontonummern
    • Kreditkarten- oder Debitkartennummern
    • Kontopasswörter oder Sicherheitscodes

    Was kann ich für die Compliance mit dem Illinois Personal Information Protection Act tun?

    Blog_Design_IllinoisPrivacyLaws_20211008_V1_DE4

    Die Einhaltung des Illinois PIPA ist nicht unbedingt sehr komplex oder schwierig. Mit einigen grundlegenden Schritten können Sie dafür sorgen, dass Ihre Erfassung, Speicherung und Entsorgung von Daten von Einwohnern des Bundesstaates Illinois sicher und vollständig PIPA-konform ist.

    1. Überprüfung der Verwaltungsabläufe

    Eine der effektivsten Maßnahmen für die PIPA-Compliance ist die Überprüfung Ihrer gesamten Verwaltungsabläufe im Zusammenhang mit der Erfassung vertraulicher Informationen und dem gesamten Datenschutz der Bürger von Illinois. Sehen Sie sich genau an, wie Sie Daten erfassen und welche Arten von Daten unter PIPA fallen. Wenn Sie den gesamten Prozess einmal abbilden, können Sie sich ein klares Bild davon machen, welche Lücken zu schließen sind.

    2. Implementierung von Benachrichtigungen bei Datenschutzverletzungen

    Personen aus Illinois im Falle einer Datenschutzverletzung angemessen zu informieren ist einer der wichtigsten Aspekte von PIPA. Überprüfen Sie nicht nur die Verwaltungsprozesse, sondern auch Ihre dokumentierten Best Practices für die Benachrichtigung bei Verletzungen. Stellen Sie sicher, dass Sie in der Lage sind, Personen schnell per E-Mail oder Post zu benachrichtigen, und dass Sie über Medienkontakte verfügen, um Verletzungen bekanntzumachen, damit auch die Personen davon erfahren, mit denen Sie möglicherweise keinen direkten Kontakt haben.

    3. Verschlüsselung der gesamten Kommunikation

    Insbesondere die Verschlüsselung der E-Mail-Kommunikation ist ein wichtiger Schritt, um Datenschutzverletzungen zu verhindern und die kontinuierliche Compliance mit PIPA zu gewährleisten. Die E-Mail-Verschlüsselung wird immer mehr zur Standardpraxis, und die Anforderungen an die Verschlüsselung werden sowohl in internationalen als auch in US-Datenschutzgesetzen immer strenger. Indem Sie Verschlüsselungstechnologien implementieren, können Sie Datenschutzverletzungen verhindern und müssen sich dadurch gar nicht erst mit den Meldepflichten von PIPA befassen.

    4. Vertrauliche Informationen löschen

    Die Löschung privater Daten ist eine Best Practice im Datenschutz und stellt eine wichtige Säule der PIPA-Compliance dar. Stellen Sie sicher, dass Ihr Datenerfassungs- und Sicherheitsplan ausführliche und gründliche Prozesse zur Löschung von Daten – ob physisch oder digital – umfasst. Dazu gehört auch, wie bereits erwähnt, das Schreddern oder Verbrennen von Papierdokumenten und die Löschung von digitalen Daten, sodass diese nicht wiederherstellbar sind. Wenn Sie die privaten Daten für die Dienstleistungserbringung oder den Betrieb Ihres Unternehmens nicht benötigen, sollten Sie sie so schnell wie möglich loswerden.

    An wen kann ich mich wenden, wenn ich eine Datenschutzverletzung vermute?

    Wenn Sie eine Datenschutzverletzung vermuten, sollten Sie sich mit den zuständigen Stellen in Verbindung setzen, um sicherzustellen, dass Sie PIPA-konform sind, und um Bußgelder und Strafen zu vermeiden. Mit der Varonis Data Security Platform können Sie Ihre Systeme überwachen und Verstöße erkennen, sobald diese auftreten. Sie können also sicherstellen, dass Sie die richtigen Parteien innerhalb des im PIPA festgelegten Zeitraums benachrichtigen.

    Im Folgenden finden Sie die Personen, Parteien und Einrichtungen, an die Sie sich wenden sollten, wenn Sie eine Datenschutzverletzung vermuten, von der Einwohner von Illinois betroffen sind:

    Abschließende Überlegungen

    Vorschriften wie der California Privacy Rights Act spornen andere Bundesstaaten wie Illinois an, ähnliche Standards und Praktiken einzuführen – daher wurde der PIPA verabschiedet und überarbeitet. Bei der Einhaltung des PIPA geht es jedoch um mehr als nur darum, die richtigen Personen zu benachrichtigen, wenn ein Verstoß vorliegt. Am besten ist es, wenn Sie die Daten von Bürgern in Illinois schützen und verhindern, dass es überhaupt zu einer Verletzung kommt. Mithilfe von Technologien wie E-Mail-Verschlüsselung und fortschrittlicher Bedrohungserkennung können Sie die Wahrscheinlichkeit von Sicherheitsverstößen erheblich verringern und die Einhaltung von PIPA langfristig gewährleisten.

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    David Harrington
    David Harrington

    David ist ein professioneller Autor und Berater für Technologieunternehmen, Start-ups und Risikokapitalfirmen.

    Testen Sie Varonis gratis.
    Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
    Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
    Ohne Bedingungen und Auflagen
    Erste Schritte Vorschau des Beispielreports
    Keep reading
    was-ist-data-governance?-framework-und-best-practices
    Was ist Data Governance? Framework und Best Practices
    was-ist-data-governance?-framework-und-best-practices
    David Harrington
    22. Juli 2022
    Data Governance unterstützt die Organisation, Sicherung und Standardisierung von Daten für verschiedene Organisationen. Erfahren Sie hier mehr über Data-Governance-Frameworks.
    was-ist-das-nist-framework-für-cybersecurity?
    Was ist das NIST-Framework für Cybersecurity?
    was-ist-das-nist-framework-für-cybersecurity?
    Josue Ledesma
    13. Juni 2022
    Erfahren Sie, wie Sie das NIST-Framework für Cybersecurity in Ihrer eigenen Organisation umsetzen können.
    einhaltung-der-datenschutzgesetze-von-illinois:-was-sie-wissen-müssen
    Einhaltung der Datenschutzgesetze von Illinois: Was Sie wissen müssen
    einhaltung-der-datenschutzgesetze-von-illinois:-was-sie-wissen-müssen
    David Harrington
    20. Oktober 2021
    The Illinois Personal Information Protection Act (PIPA) is designed to safeguard the personal data of Illinois residents. Learn what PIPA is, who it affects, and how to maintain compliance.
    die-12-pci-dss-anforderungen:-4.0-compliance-checkliste
    Die 12 PCI-DSS-Anforderungen: 4.0-Compliance-Checkliste
    die-12-pci-dss-anforderungen:-4.0-compliance-checkliste
    David Harrington
    29. September 2021
    Version 4.0 des Payment Card Industry Data Security Standard (PCI DSS) tritt bald in Kraft. Bereiten Sie sich mit unserer PCI-DSS-Compliance-Checkliste vor.