Der Gramm-Leach-Bliley Act (GLBA) ist ein US-amerikanisches Bundesgesetz, das den als "Finanzinstitute" bezeichneten Unternehmen vorschreibt, wie sie mit den nicht öffentlichen personenbezogenen Daten ihrer Kunden umgehen. GLBA verpflichtet die Finanzinstitute, die Sicherheit, Vertraulichkeit und Integrität der NPI ihrer Kunden zu gewährleisten, einschließlich Namen, Adressen, Telefonnummern, Bankauszüge, Sozialversicherungsnummern, Kreditverläufe usw. Außerdem sind die Finanzinstitute verpflichtet, ihre Kunden über ihre Praktiken zur Weitergabe von Informationen zu informieren und ihnen das Recht einzuräumen, die Weitergabe ihrer Daten an Dritte zu untersagen. Die Federal Trade Commission (FTC) setzt die Einhaltung des GLBA durch.
>
GLBA ist auch bekannt als -
- Finanzdienstleistungs-Modernisierungsgesetz von 1999
- Federal Home Loan Bank System Modernization Act von 1999
- Programm für Investitionen in Kleinstunternehmen Act of 1999
Die Nichteinhaltung des GLBA kann zu erheblichen Strafen und sogar zu Gefängnisstrafen führen, wie in einem späteren Abschnitt dieses Artikels erläutert wird.
Hauptziele des Gramm-Leach-Bliley Act
Das Hauptziel des GLBA besteht darin, die Vertraulichkeit der Finanzdaten der Kunden und der Personal Identifiable Information (PII) durch die Einführung angemessener Datenschutz- und Sicherheitsstandards wie folgt zu gewährleisten:
1. Datenschutzstandards
Nach den GLBA-Datenschutzstandards müssen Organisationen ihre Kunden über ihre Praktiken der Informationsweitergabe informieren. Den Kunden muss die Möglichkeit gegeben werden, sich bei Bedarf gegen eine unnötige Weitergabe zu entscheiden.
2. Sicherheitsstandards
Die Sicherheitsstandards des GLBA sehen vor:
- Gewährleistung der Vertraulichkeit und Integrität von privaten Aufzeichnungen und Daten
- Schutz von Kundendaten vor potenziellen Cyber-Bedrohungen und -Angriffen
- Verbraucherdaten und -informationen vor unbefugtem Zugriff zu schützen, der dem Kunden Schaden oder Probleme verursachen könnte.
Neben der Financial Privacy Rule und dem Schutz vor Social Engineering oder Pretexting (Pretexting Provision) sieht das GLBA auch eine explizite Compliance-Komponente vor, die Safeguards Rule. Die Safeguards Rule verpflichtet die Finanzinstitute, detaillierte Informationssicherheitspläne zu entwickeln und umzusetzen, um die Nonpublic Public Information (NPI) der Kunden zu schützen.
Wer muss den GLBA einhalten?
Alle Unternehmen oder Einrichtungen, die nach dem Gesetz als "Finanzinstitut" bezeichnet werden, fallen in den Geltungsbereich des GLBA. Laut FTC-Leitfaden gilt die Vorschrift für alle Unternehmen, unabhängig von ihrer Größe, die "in erheblichem Umfang" Finanzprodukte oder -dienstleistungen anbieten. Zu diesen Unternehmen können gehören
- Versicherungsdienstleistungen
- Anlageberatung
- Finanzberater
- Scheck-Cash-Geschäft
- Kreditkarteneinrichtungen
- Zahltagskreditverleiher
- Darlehen wie Studenten-, Privat- oder Geschäftskredite
- Hypothekenmakler
- Kreditgeber, die keine Banken sind
- Schuldeneintreibung
- Privatgutachter oder Immobiliengutachter
- Online-Geldtransfer
- Professionelle Steuerberater
- Kurierdienste, etc.
Das GLBA gilt für alle Unternehmen, die Finanzprodukte und -dienstleistungen wie die oben genannten anbieten, unabhängig von der Größe ihres Unternehmens.
Es ist wichtig, an dieser Stelle darauf hinzuweisen, dass gemäß 16 CFR § 682.3 - Proper disposal of consumer information "alle Personen, die dem GLBA und der "Safeguards Rule" der FTC unterliegen, nicht-öffentliche personenbezogene Daten (NPI) ordnungsgemäß entsorgen müssen, indem sie angemessene Maßnahmen ergreifen, um sich vor unbefugtem Zugriff auf die Daten oder deren Verwendung im Zusammenhang mit ihrer Entsorgung zu schützen."
Was sind nicht-öffentliche personenbezogene Daten (NPI)?
Gemäß FTC sind NPI alle "persönlich identifizierbaren Finanzinformationen", die ein Finanzinstitut über eine Person im Hinblick auf die Bereitstellung eines Finanzprodukts oder einer Finanzdienstleistung erhebt, sofern diese Informationen nicht anderweitig "öffentlich zugänglich"
sind.
Der Anwendungsbereich der NPI umfasst
- Alle Informationen, die ein Kunde einem Finanzinstitut mitteilt, um ein Produkt oder eine Dienstleistung zu erhalten
- Informationen, die sich aus Transaktionen zwischen dem Kunden und dem Finanzinstitut ergeben oder die auf eine Dienstleistung zurückzuführen sind, die das Finanzinstitut für den Kunden erbringt
- Informationen, die das Finanzinstitut auf anderem Wege beschafft hat
Nicht-öffentliche persönliche Informationen (NPI) umfassen im Allgemeinen die folgenden Angaben zu einem Kunden:
- Sozialversicherungsnummer
- Persönliches Einkommen
- Familienstand
- Details zu Investitionen und Ersparnissen
- Angaben zu Krediten
- Einlagenbestand
- Biometrische Daten
- Angaben zu Vermögenswerten
- Kreditkartenverlauf
- Bankkontodaten
In den meisten Fällen werden öffentlich verfügbare Informationen nicht als NPI betrachtet.
Was sind die Anforderungen der GLBA Compliance?
Die Einhaltung des GLBA fällt in den Zuständigkeitsbereich der Federal Trade Commission (FTC). Nach dem GLBA sind die drei Hauptkomponenten, die ein Unternehmen erfüllen muss, folgende:
1. Die Financial Privacy Rule
Die erste Komponente der GLBA-Compliance-Checkliste ist die Financial Privacy Rule. Der Hauptzweck der Financial Privacy Rule besteht darin, eine Vereinbarung zwischen Finanzinstituten und ihren Kunden über den Schutz ihrer nicht-personenbezogenen Daten (NPI) zu treffen.
Nach der Financial Policy Rule muss ein Unternehmen die Verbraucher in geeigneter Weise über seine Datenschutznormen und -richtlinien informieren. Verbraucher sind definiert als diejenigen Personen, die das Produkt oder die Dienstleistungen des Unternehmens nutzen. Der Hinweis sollte Angaben zu folgenden Punkten enthalten:
- Mit wem werden die Informationen geteilt?
- Wie werden die gemeinsam genutzten Informationen verwendet?
- Wie werden die privaten Daten geschützt?
Die Financial Policy Rule regelt die Erhebung und Weitergabe privater Finanzdaten, um die Weitergabe nicht personenbezogener Daten (Non-Personal Information, NPI) Ihrer Kunden an externe Stellen zu regeln. Außerdem müssen die Unternehmen den Kunden die Möglichkeit geben, sich für oder gegen die Weitergabe ihrer NPI (Non-Personal Information) an nicht angeschlossene Dritte zu entscheiden.
2. Die Safeguards-Regel
Nach der Safeguards Rule müssen Finanzinstitute einen detaillierten Informationssicherheitsplan entwickeln, implementieren und aufrechterhalten, der erklärt, wie das Unternehmen die nicht-öffentlichen persönlichen Daten (NPI) von Kunden und früheren Kunden schützt. Die "Safeguards Rule" sollte Einzelheiten zu den Maßnahmen enthalten, die zum Aufbau eines NPI-Schutzplans für eine bessere Cybersicherheit ergriffen werden, darunter:
- Schutz vor gängigen Angriffsvektoren, Cyber-Bedrohungen und Cyber-Angriffen
- Schutz vor Datenlecks, Datenschutzverletzungen und unbefugtem Zugriff zum Zwecke der Nutzung nicht öffentlicher personenbezogener Daten (NPI).
3. Die Pretexting-Bestimmungen
Die "Pretexting Provisions"-Regel unterstützt Finanzinstitute dabei, einen Schutz gegen das Problem des Social Engineering oder Pretexting aufzubauen. Dies geschieht in der Regel, wenn sich eine betrügerische Person per Telefon, Post oder oft auch durch Phishing oder Spear-Phishing als Kontoinhaber ausgibt und versucht, unbefugten oder betrügerischen Zugang zu persönlichen Informationen zu erhalten. Zu den beliebtesten Vorschriften für Pretexting gehören:
- Ein umfassender schriftlicher Plan zur Überprüfung der Kontoaktivitäten
- Durchführung von Mitarbeiterschulungen, um sicherzustellen, dass Mitarbeiter keine NPI an betrügerische Unternehmen weitergeben
- Identifizierung und Durchführung von Prozessen der Betriebssicherheit (OPSEC) für das Risikomanagement
Was sind die Strafen für die Nichteinhaltung des GLBA?
Die Strafen für die Nichteinhaltung von GLBA können für Finanzinstitute ziemlich ernst sein. Sie umfassen sowohl Geld- als auch Freiheitsstrafen. Die GLBA Strafen für die Nichteinhaltung umfassen:
- Eine Geldstrafe von bis zu 100.000 Dollar für jeden Verstoß
- Eine Geldstrafe von bis zu 10.000 Dollar für leitende Angestellte und Direktoren des Finanzinstituts
- Bei schwerwiegenden Verstößen drohen Freiheitsstrafen von bis zu 5 Jahren
- Entzug von Lizenzen
Die Nichteinhaltung des GLBA bedeutet auch eine Schädigung des Rufs des Unternehmens. In der Vergangenheit waren Unternehmen wie PayPal und Venmo ebenfalls mit GLBA-Verstößen konfrontiert und mussten Vergleiche mit der FTC schließen.
Checkliste zur Einhaltung des GLBA
Nachfolgend sind einige der wichtigsten Punkte aufgeführt, die zur Einhaltung der GLBA-Vorschriften beitragen können, insbesondere der Safeguards Rule, die einen dokumentierten Informationssicherheitsplan zum Schutz von Kundendaten vorschreibt:
- Bestimmen Sie bestimmte Personen innerhalb der Organisation, die das Informationssicherheitsprogramm gemäß den GLBA-Richtlinien koordinieren
- Bestimmen und bewerten Sie die Risiken für die Kundeninformationen in den relevanten Bereichen der Unternehmenstätigkeit
- Entwerfen und Einrichten eines Datensicherheitsprogramms und dessen regelmäßige Überwachung und Bewertung
- Nur mit solchen Partnern zusammenarbeiten, die die erforderlichen Standardkontrollen einhalten können
- Stellen Sie sicher, dass der Vertrag die Partner dazu verpflichtet, Sicherheitsvorkehrungen zum Schutz der NPI zu treffen
Wie hilft die Datenlöschung bei der Einhaltung des GLBA?
Eine wichtige Bestimmung des GLBA ist im Schutz der nicht-öffentlichen persönlichen Daten von Kunden durch die Implementierung eines Informationssicherheitsplans verankert. In der Safeguards Rule werden drei Schlüsselbereiche für die Gewährleistung der Informationssicherheit und damit für die Einhaltung der Vorschriften genannt: Mitarbeiterführung und -schulung, Informationssysteme sowie Erkennung und Verwaltung von Systemausfällen. Von diesen Bereichen befasst sich der Bereich Informationssysteme mit der Erhebung und Speicherung von NPI, d. h. damit, welche Informationen erhoben werden, wie sie gespeichert werden und ob eine geschäftliche Notwendigkeit für die Erhebung der Informationen besteht.
Datenlöschtechnologien können Unternehmen dabei helfen, die Anforderungen an die Einhaltung dieser Informationssystembestimmung in der Safeguards Rule des GLBA zu erfüllen. Software-Tools wie BitRaser können alle unerwünschten oder überflüssigen NPI, die auf Festplatten & SSDs von Computern und Servern gespeichert sind, überschreiben (d.h. löschen), um die Daten vor Verletzungen oder unerwünschter Offenlegung zu schützen. Durch das Löschen der Speichermedien und die Bereitstellung von fälschungssicheren Zertifikaten und Berichten über die Löschung kann BitRaser die Einhaltung des GLBA garantieren.
