Datenschutzregeln in New York geändert

Am 1.11.2023 hat das US-amerikanische New York Department of Financial Services (NYDFS) die zweite Änderung seiner Part 500 Cybersicherheitsregeln finalisiert und damit auch die Datenschutzregeln geändert. Neben den ursprünglich vor einem Jahr vorgeschlagenen Vorschriften, gibt es auch einige Neuerungen.

Neue Unternehmensgruppe: „Class A Companies“

Die wohl wichtigste Änderung stellt die Einführung der sogenannten „Class A Companies“ dar. Bei dieser Gruppe handelt es sich um NYDFS-regulierte Konzerne, die entweder mehr als 2.000 Angestellte haben oder über 1 Milliarde Euro Bruttojahresumsatz generieren.

Diese Unternehmen treffen besonders hohe Anforderungen. Zum einen sind sie dazu verpflichtet jährlich eine externe oder interne unabhängige Prüfung ihrer Cybersicherheitsprogramme durchzuführen. Weiterhin sollen sie eine Privileged Access Management-Lösung einführen sowie Methoden zum automatischen Blockieren häufig verwendeter Passwörter implementieren. Zuletzt müssen Betriebe Prozesse zur Überwachung und Protokollierung potenziell nicht autorisierter Aktivitäten schaffen.

Neuer Begriff: „Cybersecurity Incident”

Die aktualisierte Vorschrift führt den neuen Begriff „Cybersecurity Incident” ein. Obwohl der breitere Begriff „Cybersecurity Event” weiterhin in verschiedenen Abschnitten Verwendung findet, gilt „Cybersecurity Incident” speziell für Benachrichtigungen an das NYDFS. Die beiden Begriffe werden wie folgt definiert:

• Cybersecurity Event: Ein Cybersecurity Event ist jede Handlung oder Versuch, erfolgreich oder nicht, um unbefugten Zugang zu einem Informationssystem zu erlangen oder dieses zu stören oder die darauf gespeicherten Informationen zu missbrauchen.
• Cybersecurity Incident: Ein Cybersecurity Incident ist ein Cybersecurity Event, das beim betroffenen Unternehmen, seinen Tochtergesellschaften oder seinen Drittdienstleistern aufgetreten ist und entweder:
  • das betroffene Unternehmen betrifft und dieses verpflichtet eine übergeordnete Aufsichtsorganisation zu benachrichtigen,
  • eine hinreichende Wahrscheinlichkeit hat, einen wesentlichen Teil des normalen Betriebs des betroffenen Unternehmens erheblich zu schädigen, oder
  • zum Einsatz von Ransomware innerhalb eines wesentlichen Teils der Informationssysteme des betroffenen Unternehmens führt.

72-Stunden-Meldepflicht nur für betroffenes Unternehmen

Das NYDFS reagierte zudem auf Kritik bezüglich der 72-Stunden-Benachrichtigungsanforderung gegenüber einer übergeordneten Aufsichtsorganisation. Das NYDFS änderte die Formulierung entsprechend und erklärte, dass es das betroffene Unternehmen und nicht etwa ein Dienstleister ist, der die Benachrichtigungspflicht trägt. Deshalb werde die 72-Stunden-Meldepflicht auch erst ausgelöst, wenn das betroffene Unternehmen von einem meldepflichtigen Vorfall Kenntnis erlangt hat.

Reduzierte Updatepflicht zu Datenschutzvorfällen

Das NYDFS präzisierte auch die Anforderung, Updates zu Datenschutzvorfällen bereitzustellen. Diese Anforderung bezieht sich nur auf materille Änderungen oder neue Informationen, die zuvor nicht verfügbar waren.

Umsetzungsfristen

Die meisten Änderungen sollen 180 Tagen nach Inkrafttreten der neuen Verordnung (1.11.2023), also am 29.04.2024, wirksam werden. Es gibt jedoch auch einige hiervon abweichende Übergangsfristen je nach dem, welche Bereiche betroffenen sind.

Fazit

Durch die beschriebenen Neuerungen werden auch Datenschutzregeln in New York geändert. Das NYDFS normiert hier insbesondere Schutzvorkehrungen und Meldepflichten, die Unternehmen beachten müssen. Auch für deutsche Firmen können diese von Bedeutung werden, wenn sie mit US-Unternehmen zusammenarbeiten oder dort Mutter- oder Tochtergesellschaften haben. Betroffene Unternehmen sollten bereits jetzt mit der Vorbereitung und finanziellen Planung der neuen Anforderungen starten. Konkret sollten Unternehmen vor allem prüfen, ob sie als „Class A Company“ klassifiziert werden. In einem nächsten Schritt müssen sie Dokumentationsprozesse aktualisieren, um den neuen Regeln Rechnung zu tragen.