Der Gramm-Leach-Bliley Act (GLBA), der auch als GLB Act oder in einigen Fällen als Financial Services Modernization Act von 1999 bezeichnet wird, ist ein vom US-Kongress erlassenes Gesetz, das regelt, wie Finanzinstitute mit sensiblen persönlichen Daten ihrer Kunden umgehen.

Um die Bestimmungen dieses US-Gesetzes einzuhalten, müssen die Finanzinstitute den Umgang mit den privaten Daten ihrer Kunden transparent gestalten, über die Weitergabe dieser Daten informieren und den Kunden mitteilen, dass sie das Recht haben, sich gegen eine Weitergabe von Daten zu entscheiden.

Darüber hinaus werden in den Sicherheits- und Datenschutzbestimmungen des Gesetzes die spezifischen Schritte beschrieben, die ein Finanzinstitut zum Schutz der Kundendaten unternehmen muss.

Der GLBA wird hauptsächlich von der Federal Trade Commission, anderen Bundesaufsichtsbehörden und staatlichen Versicherungsaufsichtsbehörden durchgesetzt.

Im Folgenden werden die Details des GLBA erläutert und wie Unternehmen die Einhaltung der Rechtsvorschriften jederzeit sicherstellen können.

Die wichtigsten Bestandteile des GLBA

Der Gramm-Leach-Bliley Act besteht aus drei Abschnitten:

  • Financial Privacy Rule (Vorschrift zum Schutz der finanziellen Privatsphäre)
  • Safeguards Rule (Bestimmungen zu Schutzmaßnahmen)
  • Pretexting Provisions (Bestimmungen über Vortäuschung falscher Tatsachen)

Die Financial Privacy Rule regelt die Erhebung und Offenlegung von Finanzdaten, während die Safeguards Rule den Finanzinstituten vorschreibt, Sicherheitsprotokolle zum Schutz der erhobenen Daten einzuführen. Die Pretexting-Bestimmungen decken alle fingierten Versuche ab, auf sensible Informationen zuzugreifen.

Der Hauptzweck des GLBA besteht darin, die Strategien und Programme für das Risikomanagement im Bereich der Cybersicherheit zu ergänzen, die Unternehmen bereits eingeführt haben. Der GLBA fügt im Wesentlichen eine weitere Sicherheitsebene für persönlich identifizierbare Finanzdaten hinzu.

Der GLBA verpflichtet das Institut, das die sensiblen personenbezogenen Daten sammelt, diese zu schützen, wobei der Wunsch des Kunden, dass diese Daten vertraulich behandelt werden, zu respektieren ist. Wenn ein Unternehmen einige der personenbezogenen Daten eines Kunden weitergeben oder für künftige Zwecke aufbewahren möchte, muss es den Kunden ordnungsgemäß benachrichtigen und ihm die Möglichkeit geben, sich gegen eine Weitergabe der Daten zu entscheiden.

Was ist ein “Finanzinstitut” im Sinne des GLBA?

Im GLBA ist klar definiert, was als Finanzinstitut gilt – sowohl in Bezug auf den Einschluss als auch auf den Ausschluss. Konkret gilt jedes Unternehmen, das Finanzprodukte wie Versicherungen, Kredite, Finanzberatung oder Anlageberatung anbietet, als Finanzinstitut.

Nach dem GLBA sind diese Unternehmen verpflichtet, ihre Verfahren zur gemeinsamen Nutzung von Daten und den Schutz sensibler Daten ihrer Kunden offenlegen. Außerdem müssen sie ihre Kunden über ihr Recht informieren, sich gegen eine eventuell bestehende Datenweitergabe zu entscheiden.

Der GLBA schränkt ein, in welchem Umfang ein Finanzinstitut sensible Daten an nicht angeschlossene Dritte weitergeben darf und wie es seine Kunden diesbezüglich zu benachrichtigen hat. Darüber hinaus ist jedes Unternehmen, das solche Informationen erhalten könnte, in der Art und Weise eingeschränkt, wie die Daten verwendet oder an andere Parteien weitergegeben werden.

Welche Unternehmen müssen den GLBA befolgen?

Der GLBA oder Financial Services Modernization Act von 1999 gilt für alle Unternehmen, die in erheblichem Umfang Finanzdienstleistungen und -produkte für Verbraucher anbieten.

Der Begriff “in erheblichem Umfang” ist in dem Gesetz genau definiert und schließt bestimmte Unternehmen ein und andere aus. Kurz gesagt müssen alle Unternehmen, die im Rahmen ihrer normalen Geschäftstätigkeit mit nicht-öffentlichen personenbezogenen Daten finanzieller Art ihrer Kunden in Berührung kommen, die Vorschriften dieses Gesetzes einhalten.

Dazu gehören auch Unternehmen, die man normalerweise nicht als Finanzinstitute bezeichnen würde. Beispiele hierfür sind:

  • Immobiliensachverständige
  • Inkassobüros
  • Kreditanbieter
  • Kreditgenossenschaften
  • Steuerberater
  • Scheckeinlösende Unternehmen
  • Buchhaltungsfirmen
  • Kurierdienste
  • Hypothekenmakler
  • Autovermietungen
  • Kreditauskunfteien
  • ATM-Betreiber
  • Börsenmakler
  • Hedge-Fonds

Traditionelle Finanzinstitute wie Banken, Versicherungen, Wertpapierfirmen und Maklerfirmen, die große Mengen sensibler Daten verarbeiten, gelten ebenfalls als Finanzdienstleister, die unter den GLBA fallen. Wenn ein Unternehmen in eine dieser oder andere Kategorien fällt, die in erheblichem Umfang Finanzdienstleistungen erbringen, ist die Einhaltung des GLBA obligatorisch.

Unter den GLBA fallende Daten

Der GLBA gilt für nicht-öffentliche personenbezogene Daten (Nonpublic Personal Information, NPI), die von Finanzinstituten von ihren Kunden erhoben werden. NPI sind gesetzlich definiert als personenbezogene Finanzinformationen. Der GLBA deckt keine öffentlichen Aufzeichnungen oder in den Medien verbreitete Informationen ab. Zu den Informationen, die als NPI betrachtet werden können, gehören unter anderem:

  • Adressen
  • Persönliches Einkommen
  • Kredit-/Debitkarteninformationen
  • Bankkonten
  • Bankguthaben
  • Kreditgeschichte
  • Vermögensaufzeichnungen
  • Informationen zur Sozialversicherung
  • Steuerinformationen

Diese Liste ist nicht vollständig; es handelt sich lediglich um Beispiele für die Art von Informationen, die als NPI gelten. Der GLBA deckt zum Beispiel auch Rückschlüsse aus diesen Daten ab.

Die Einhaltung des GLBA

Der Schlüssel zur Einhaltung des Gesetzes liegt im Verständnis der drei Regeln. Dies sind die drei Abschnitte, die wir zuvor beschrieben haben.

Financial Privacy Rule

Die Financial Privacy Rule legt fest, welche Unternehmen das Gesetz einhalten müssen und welche Arten von Informationen geschützt werden müssen. Sie definiert NPI, wie Namen, Adressen, Sozialversicherungsnummern und andere Transaktionsdaten wie Bankkonten, Kreditkarteninformationen und Kreditberichte.

Die Financial Privacy Rule schreibt vor, dass ein Unternehmen zu Beginn einer Kundenbeziehung einen “klaren und auffälligen Hinweis” auf alle seine Datenschutz- und Datenvertraulichkeitsrichtlinien geben muss. Außerdem müssen die Kunden jährlich über den Datenschutz informiert werden.

Die Financial Privacy Rule geht noch weiter und definiert, wer ein Kunde und wer ein Verbraucher ist. Ein Kunde ist jemand, der eine dauerhafte Beziehung zu einem Finanzinstitut unterhält. Ein Verbraucher hingegen ist jemand, der keine Beziehung zu einem Institut unterhält.

Safeguards Rule

Die Safeguards Rule umreißt die Mittel, die zum Schutz der in der Financial Privacy Rule genannten Informationen erforderlich sind. Sie besagt, dass die Unternehmen, die unter den GLBA fallen, technische, administrative und physische Sicherheitsvorkehrungen treffen müssen, wenn sie Kundendaten erfassen, darauf zugreifen, sie verwenden, verteilen und weitergeben.  

Zu den von der Safeguards Rule abgedeckten Cybersicherheitsrisiken gehören:

  • Phishing
  • Cyber-Attacken
  • E-Mail-Spoofing

Die von der Federal Trade Commission im Jahr 2002 herausgegebene Safeguards Rule schreibt darüber hinaus vor, dass ein Finanzinstitut im Sinne des Gesetzes eine Person benennen muss, die für die Entwicklung und Prüfung eines integrierten Plans für Risiko- und Bedrohungsmanagement im Unternehmen verantwortlich ist.

Ein Finanzinstitut, das NPI-Daten weitergibt, muss über einen Risikomanagementplan für Dritte verfügen. Außerdem ist das die Daten erfassende Institut im Falle einer Sicherheitsverletzung verantwortlich.

Pretexting Provisions

Die Pretexting-Bestimmungen zielen darauf ab, alle Schlupflöcher zu finden, die clevere oder böswillige Akteure ausnutzen könnten, um auf vertrauliche Daten zuzugreifen und sie zu stehlen. Finanzinstitute, die dem GLBA unterliegen, müssen Maßnahmen ergreifen, um einen solchen unbefugten Zugriff auf die in ihrem Besitz befindlichen Daten zu erkennen und zu verhindern.

Strafen für die Nichteinhaltung des GLBA

Finanzinstitute, die in den Anwendungsbereich des GLBA fallen, müssen mit empfindlichen Geldstrafen rechnen, wenn sie gegen die Bestimmungen des Gesetzes verstoßen. Darüber hinaus drohen den für den Datenschutz verantwortlichen Führungskräften und Mitarbeitern individuelle Geldbußen.

Für Institutionen beträgt das Bußgeld bis zu US$ 100.000 für jeden Verstoß. Führungskräfte und Mitarbeiter müssen mit Geldstrafen von bis zu US$ 10.000 und Freiheitsstrafen von bis zu fünf Jahren oder beidem rechnen, wenn sie sich der Fahrlässigkeit schuldig machen.

Neben den potenziellen Strafen und Bußgeldern besteht ein erhöhtes Risiko des Vertrauensverlusts von Kunden, Partnern und Investoren in die Geschäftspraktiken, was größere negative Auswirkungen haben kann als die finanziellen Strafen und Bußgelder.

Eine gängige Methode, mit der Unternehmen Probleme bei der Einhaltung des GLBA und anderer Gesetze vermeiden, ist die Investition in eine robuste Cybersicherheitsplattform, die so konzipiert ist, dass sie den Geschäfts- und Kundenanforderungen gerecht wird und gleichzeitig die Einhaltung der Gesetze gewährleistet.

Eine weitere Möglichkeit, die GLBA Compliance zu erreichen, ist die Beauftragung unabhängiger Beratungsunternehmen mit der Prüfung Ihrer Cybersicherheitsinfrastruktur und -verfahren, um Schlupflöcher zu finden, die zu Problemen bei der Einhaltung der Vorschriften führen könnten.

Vorteile der GLBA Compliance

Neben der Vermeidung von Strafen und Bußgeldern sorgt die Einhaltung des GLBA dafür, dass ein Finanzinstitut seinen Ruf schützt, was wiederum ein Gefühl des Vertrauens schafft und sich geschäftsfördernd auswirkt. Die Einhaltung der GLBA-Bestimmungen bringt noch weitere Vorteile mit sich. Die für die GLBA Compliance erforderlichen Maßnahmen für das Cybersecurity-Risikomanagement bieten insgesamt mehr Sicherheit. Sie schützen auch andere Arten von vertraulichen Informationen – Patienteninformationen, geistiges Eigentum des Unternehmens, vertrauliche, nicht klassifizierte Informationen und vieles mehr. Diese Kontrollen im Rahmen des Risikomanagements können sogar zum Schutz vor Lieferkettenbedrohungen beitragen.

Ein weiterer bedeutender Vorteil der GLBA Compliance besteht darin, dass sie das Einhalten anderer Datenschutzvorschriften wie des Health Insurance Portability and Accountability Act (HIPAA), des kanadischen Personal Information Protection and Electronic Documents Act (PIPEDA), der General Data Protection Regulation (GDPR) der Europäischen Union, des California Consumer Privacy Act (CCPA) und des Data Protection Act (DPA) in Frankreich und im Vereinigten Königreich unterstützt.

Verfahren zur Benachrichtigung bei Verstößen gegen den GLBA

In manchen Fällen kann es zu einem Verstoß kommen, selbst wenn ein Unternehmen die Vorschriften einhält. In einem solchen Fall verlangt der GLBA, dass das betroffene Unternehmen den Verstoß untersucht, um festzustellen, ob auf sensible personenbezogene Daten von Kunden zugegriffen wurde. Die betroffenen Kunden sollten innerhalb eines angemessenen Zeitrahmens benachrichtigt werden.

In der Benachrichtigung sollten die Art der Datenschutzverletzung, die Daten, auf die zugegriffen wurde, die Maßnahmen, die der Kunde ergreifen muss, um seine Identität zu schützen, sowie eine Telefonnummer für weitere Unterstützung angegeben werden. 

Datenschutz und GLBA Compliance bei der Kommunikation sensibler Inhalte

Die Übermittlung sensibler Inhalte fällt in den Geltungsbereich des GLBA. Finanzdienstleistungsunternehmen, die vertrauliche Informationen senden, weitergeben, empfangen und speichern – sowohl intern als auch extern – müssen die Vorgaben des GLBA einhalten. Für die meisten Unternehmen ist es nach wie vor schwierig, die Kommunikation vertraulicher Inhalte über mehrere Kanäle mit einem Sammelsurium an technologischen Tools zu verwalten, was zu einem erheblichen Aufwand führen kann. Ohne Metadaten für die gesamte Kommunikation mit sensiblen Inhalten müssen Unternehmen wertvolle Zeit und Ressourcen darauf verwenden, die Daten aus den einzelnen Tools zusammenzustellen. Ohne eine zentrale und automatisierte Sicherheits- und Compliance-Verwaltung kann ein effektives Sicherheitsrisikomanagement schwierig, wenn nicht gar unmöglich werden.

Die Kiteworks-Plattform zentralisiert die gesamte Kommunikation mit vertraulichen Inhalten – sichere E-Mail, File-Sharing, File Transfer, Managed File Transfer, Web-Formulare und Application Programming Interfaces (APIs) – so dass Unternehmen eine konsistente und gesetzeskonforme Umsetzung von Governance, Compliance und Sicherheit über alle Kommunikationskanäle hinweg gewährleisten können. Kiteworks ermöglicht es Unternehmen, Private Content Networks zu erstellen, die auch die Option des FedRAMP-autorisierten Hostings beinhalten, um das Risiko der Nichteinhaltung von Gesetzen wie dem GLBA und der Verletzung privater Daten zu minimieren.

Sehen Sie sich einen kurzen Videobeitrag darüber an, wie Kiteworks Private Content Networks ermöglicht. Oder vereinbaren Sie noch heute einen Termin für eine maßgeschneiderte Demo, um die Kiteworks-Plattform in Aktion zu erleben.

 

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Teilen
Twittern
Teilen
Explore Kiteworks