Datenschutz News 04.09.2020

USA: Der Gesetzgeber verabschiedet Gesetze über deidentifizierte Gesundheitsdaten und genetische Informationen

Die Legislative des Staates Kalifornien verabschiedete am 31. August 2020 und am 1. September 2020 die Assembly Bill (AB) 713 zur Deidentifizierung von Gesundheitsinformationen und die Senate Bill (SB) 980 zum Genetic Privacy Information Act. Insbesondere befreit AB 713 von der Anwendung des California Consumer Privacy Act of 2018 (CCPA) Informationen, die gemäß den Anforderungen des Health Information Portability and Accountability Act von 1996 (HIPAA) deidentifiziert werden und aus Patienteninformationen sowie aus Informationen abgeleitet sind, die in der Forschung gesammelt, verwendet oder offengelegt werden, wie im HIPAA definiert. Darüber hinaus verbietet AB 713 einem Unternehmen oder einer anderen Person die Reidentifizierung von Informationen, die deidentifiziert wurden, es sei denn, eine spezifizierte Ausnahme ist erfüllt und erfordert, dass ab dem 1. Januar 2021 ein Vertrag über den Verkauf oder die Lizenz von deidentifizierten Informationen spezifizierte Bestimmungen bezüglich des Verbots der Reidentifizierung enthält. SB 980 schreibt vor, dass Unternehmen, die genetische Daten sammeln, verwenden, pflegen oder offenlegen, die von einem direkt an den Verbraucher gerichteten Produkt oder einer direkt an den Verbraucher gerichteten genetischen Test-Dienstleistung gesammelt oder abgeleitet sind oder die direkt von einem Verbraucher bereitgestellt werden, einem Verbraucher bestimmte Informationen über die Richtlinien und Verfahren des Unternehmens für die Sammlung, Verwendung, Pflege und Offenlegung genetischer Daten zur Verfügung stellen und die ausdrückliche Zustimmung des Verbrauchers zur Sammlung, Verwendung oder Offenlegung seiner genetischen Daten einholen müssen. Darüber hinaus verlangt SB 980 von einem Unternehmen, das genetische Tests direkt an den Verbraucher durchführt, dass es dem Widerruf der Zustimmung des Verbrauchers nach bestimmten Verfahren nachkommt und die biologische Probe des Verbrauchers innerhalb von 30 Tagen nach Widerruf der Zustimmung vernichtet. Beide Gesetzesvorlagen müssen vom kalifornischen Gouverneur Gavin Newsom unterzeichnet werden, bevor sie Gesetz werden.

leginfo.legislature.ca.gov, 03.09.2020

USA: NIST veröffentlicht Jahresbericht zum Cybersicherheitsprogramm 2019 und hebt Erfolge hervor

Das National Institute of Standards and Technology (NIST) veröffentlichte am 24. August 2020 die NIST-Sonderpublikation 800-211: 2019 NIST/ITL Cybersecurity Program Annual Report. Im Jahresbericht werden unter anderem die Forschungsagenda für das Haushaltsjahr 2019 und die Aktivitäten für das NIST Information Technology Laboratory Cybersecurity and Privacy Program, die laufende Beteiligung und Entwicklung internationaler Standards, die Verbesserung von Modellen zum Schutz der Privatsphäre und zum Management von Sicherheitsrisiken, z.B. zum Schutz kontrollierter, nicht klassifizierter Informationen, Systemtechnik und Cyber-Resilienz, Lieferketten und mobile Technologien, dargelegt. Darüber hinaus hebt der Jahresbericht den Fortschritt der kryptographischen Technologien und den verbesserten Schutz der Infrastruktur in Bereichen wie Zero-Trust-Architekturen und fortgeschrittene Netzwerksicherheit hervor.

Nist.gov, 24.08.2020

International: Cyber-Sicherheitsgremien geben gemeinsame Beratung über technische Ansätze zur Aufdeckung und Behebung bösartiger Aktivitäten heraus

Die US-Behörde für Cybersicherheit und Infrastruktursicherheit, das australische Cybersicherheitszentrum, das neuseeländische nationale Cybersicherheitszentrum und das neuseeländische Computer-Notfallteam, die kanadische Einrichtung für Kommunikationssicherheit und das nationale Cybersicherheitszentrum Großbritanniens veröffentlichten am 1. September 2020 eine gemeinsame Cybersicherheitsberatung zu technischen Ansätzen zur Aufdeckung und Behebung böswilliger Aktivitäten. Der Ratgeber hebt insbesondere technische Ansätze zur Aufdeckung böswilliger Aktivitäten hervor, enthält Schritte zur Schadensbegrenzung auf der Grundlage bewährter Verfahren und verbessert die Leitlinien für die Reaktion auf Vorfälle für Netzwerkverteidiger unter den Partnern, Unternehmen und Organisationen, die wichtige Infrastrukturen betreiben. Der Ratgeber umreißt unter anderem Schritte, die unternommen werden sollten, die aber bei der Reaktion auf einen Vorfall oft übersehen oder nicht richtig ausgeführt werden, darunter das zu frühe Eindämmen der betroffenen Systeme, das präventive Blockieren der gegnerischen Infrastruktur, das präventive Zurücksetzen von Passwörtern, das keine Lösung gewährleistet, oder das Versäumnis, kritische Protokolldaten zu bewahren oder zu sammeln. Darüber hinaus bietet das Gutachten verfahrenstechnische Best Practices, wie z.B. zunächst das Sammeln und Entfernen relevanter Artefakte, Protokolle und Daten zur weiteren Analyse, die Implementierung von Maßnahmen zur Schadensbegrenzung und schließlich die Prüfung der Bitte um Unterstützung bei der Reaktion auf einen Vorfall durch eine dritte IT-Sicherheitsorganisation.

Cisa.gov, 01.09.2020

Irland: DPC leitet Untersuchung des Online-Dienstes Banking365 der Bank of Ireland ein

OneTrust DataGuidance bestätigte am 1. September 2020 gegenüber dem Datenschutzbeauftragten (DPC), dass es eine Untersuchung des Online-Dienstes Banking365 der Bank of Ireland eingeleitet hat. Der DPC teilte OneTrust DataGuidance insbesondere mit: “Der DPC hat eine Untersuchung der Bank of Ireland, insbesondere der Banking365-Plattform, eingeleitet. Diese aus eigener Initiative durchgeführte Untersuchung wird sich auf eine Reihe von Benachrichtigungen über Vertragsverletzungen konzentrieren, die zwischen Januar und April dieses Jahres bei der DPC eingegangen sind”.

OneTrust DataGuidance, 01.09.2020

USA: GAO-Bericht über den Einsatz von Gesichtserkennungstechnologie durch den US-Zoll drängt auf Verbesserungen

Am 2. September 2020 veröffentlichte das Government Accountability Office (GAO) seinen Bericht über den Einsatz der Gesichtserkennungstechnologie (FRT) durch die US-Zoll- und Grenzschutzbehörden (CBP) an den Eingangshäfen sowie über Fragen der Privatsphäre und Systempräferenzen, mit denen sich die CBP befassen muss. Insbesondere erklärt der Bericht u.a. den Status des Einsatzes der FRT durch die CBP und das Ausmaß, in dem die CBP die Grundsätze des Schutzes der Privatsphäre berücksichtigt hat. Konkret stellt der Bericht fest, dass die CBP Schritte unternommen hat, um einige Datenschutzprinzipien in ihr Programm aufzunehmen, aber nicht durchgehend vollständige Informationen in Datenschutzhinweisen zur Verfügung gestellt oder sichergestellt hat, dass Hinweise ausgehängt und für Reisende sichtbar sind. Darüber hinaus hebt der Bericht hervor, dass die CBP von ihren Handelspartnern, wie z.B. Fluggesellschaften, verlangt, die Datenschutzanforderungen der CBP zu befolgen, und dass sie ihre Partner auditieren kann, um die Einhaltung der Datenschutzbestimmungen zu bewerten, obwohl der Bericht feststellt, dass die CBP bis Mai 2020 nur einen ihrer Fluglinienpartner auditiert hatte, keinen Plan zur Gewährleistung einer vollständigen Auditierung hatte und daher nicht sicherstellen kann, dass die Informationen der Reisenden angemessen geschützt werden. Daher enthält der Bericht Empfehlungen, u.a. dass die CBP sicherstellen sollte, dass die Datenschutzhinweise vollständig sind, dass die Hinweise an den Standorten, die FRT verwenden, verfügbar sind und dass die CBP einen Plan zur Überprüfung der Einhaltung der Datenschutzbestimmungen durch ihre Programmpartner entwickeln und umsetzen sollte.

U.S. Government Accountability Office, 02.09.2020

Verwandte Beiträge