In den letzten Jahren ist der Datenschutz in den USA zu einem nationalen Notfall geworden, insbesondere ohne ein Bundesgesetz zum Datenschutz und zur Datensicherheit. Die weit verbreitete Weitergabe von US- personenbezogene und sensible Daten wurde als ausbeuterisch angesehen, insbesondere von „Ländern, die Anlass zur Sorge geben“. Um dieses eklatante Problem anzugehen, hat die Biden-Administration eine Executive Order (EO) erlassen, um diesen Ländern den Zugriff auf sensible personenbezogene Daten von Amerikanern zu verwehren.
Was ist die Anordnung zum Schutz sensibler personenbezogener Daten: Ein kurzer Überblick
Am 28. Februar 2024 unterzeichnete Präsident Biden die Executive Order 14117 „Verhinderung des Zugriffs auf sensible personenbezogene Daten von Amerikanern und regierungsbezogene Daten durch Länder, die von Belang sind“ (die EO). Diese Executive Order ist die bedeutendste Anordnung des Präsidenten zum Schutz der amerikanischen Datensicherheit. Die EO ermächtigt den Generalstaatsanwalt, die massive Übermittlung von Daten von Amerikanern in Länder, die von Belang sind, zu verhindern und den Zugriff auf sensible Daten von Amerikanern zu verhindern. Die EO konzentriert sich auf die persönlichsten und sensibelsten Informationen der Amerikaner, einschließlich Genomdaten. biometrische Daten, persönliche Gesundheitsdaten, Geolokalisierungsdaten, Finanzdatenund bestimmte Arten von persönlich identifizierbare Informationen.
Hier sind einige wesentliche Aspekte der Durchführungsverordnung zum Schutz sensibler und personenbezogener Daten:
Problemländer
In der EO werden keine konkreten Länder genannt, doch die leitenden Beamten identifizieren diese Länder als China, Russland, Nordkorea, Iran, Kuba und Venezuela. TikTok, eine Tochtergesellschaft des chinesischen Technologieunternehmens ByteDance Ltd., ist ein erheblicher Streitpunkt, da sie über 150 Millionen amerikanische Nutzer hat – ein Punkt, den die US-Führung in den letzten Jahren am lautstärksten kritisierte. Die Biden-Regierung ist besorgt über den Handel mit sensiblen Daten auf TikTok. Die Pressesprecherin des Weißen Hauses, Karine Jean-Pierre, erklärte: „Wir haben Bedenken – deshalb haben wir die Durchführungsverordnung erlassen.“
Sicherheitsrisiken, Datenschutzrechte und bürgerliche Freiheiten
Ein wichtiger Motivationsfaktor für die EO ist die Fähigkeit von Künstliche Intelligenz (KI) große Datensätze für problematische Zwecke zu nutzen (oder neue KI-Modelle zu entwickeln, die der amerikanischen Öffentlichkeit schaden könnten). Jede Organisation, die persönliche und sensible Daten verarbeitet, muss verstehen, wie KI beeinflusst Risiken und das Unternehmen möglicherweise behördlichen Ermittlungen aussetzen.
Die EO stellt ein wachsendes Bemühen der Regierung dar, Datentransaktionen zu überwachen, die feindlichen ausländischen Mächten ermöglichen könnten, Daten als Waffe einzusetzen und KI gegen Amerikaner einzusetzen. Die Überwachung von Amerikanern ermöglicht potenziell aufdringliche Überwachung, Betrug, Erpressung, Datenschutzverletzungen und Sicherheitsrisiken – insbesondere für Angehörige des Militärs oder der nationalen Sicherheit.
Ein weiterer Grund zur Sorge besteht darin, dass diese Länder auf sensible persönliche Daten zugreifen können, um Informationen über Journalisten, Aktivisten, politische Persönlichkeiten und Randgruppen zu sammeln und diese einzuschüchtern, Widerstand zu stiften, die politische Landschaft zu verändern oder die Freiheiten und Bürgerrechte Amerikas einzuschränken.
Regierungsbehörden mit der Aufgabe, Daten zu schützen
Die Executive Order ermächtigt Bundesbehörden, Vorschriften zu erlassen, die die groß angelegte Übermittlung bestimmter Arten sensibler Daten aus „besorgniserregenden Ländern“ verhindern. Zum Schutz der sensiblen personenbezogenen Daten der Amerikaner ordnet die Biden-Regierung Folgendes an:
- Das Justizministerium wird Regelungen erlassen, die die sensiblen Daten der Amerikaner vor Zugriff und Ausbeutung schützen. Der Datenschutz wird bestehen aus biometrische Daten, persönliche Gesundheitsdaten, genomische Daten, Geolokalisierungsdaten, Finanzdaten und bestimmte persönliche Kennungen. Das Justizministerium wird die groß angelegte Weitergabe dieser Daten verhindern, die bekanntermaßen gesammelt und missbraucht werden. Darüber hinaus muss das Justizministerium sensible regierungsbezogene Daten umfassend schützen, insbesondere Geolokalisierungsdaten auf sensiblen Regierungsseiten und Informationen über Militärangehörige.
- Die Ministerien für Justiz und Innere Sicherheit werden zusammenarbeiten, um hohe Sicherheitsstandards festzulegen, die den Zugriff auf die Daten der Amerikaner durch kommerzielle Mittel, wie etwa die Datenverfügbarkeit durch Investitionen, Lieferanten und Arbeitsverhältnisse, verhindern.
- Die Ministerien für Gesundheit und Soziales, Verteidigungund Veteranenangelegenheiten wird dazu beitragen, sicherzustellen, dass Verträge, Zuschüsse und Auszeichnungen den betroffenen Ländern, auch über Unternehmen in den Vereinigten Staaten, keinen Zugang zu sensiblen Gesundheitsdaten ermöglichen.
- Das Consumer Financial Protection Bureau wird mit den bestehenden Rechtsbehörden zusammenarbeiten, um die Amerikaner vor Datenhändlern zu schützen, die äußerst sensible Daten illegal verkaufen.
Einschränkungen bei bestimmten Übertragungen personenbezogener Daten
Die Executive Order soll den Informationsfluss aufrechterhalten, der für Finanzdienstleistungen, Verbraucher-, Wirtschafts-, Wissenschafts- und Handelsbeziehungen mit anderen Ländern erforderlich ist. Die Executive Order betont, dass dies im Einklang mit der US-amerikanischen Unterstützung für einen vertrauenswürdigen freien Datenfluss stehen wird.
Zusätzlich zur EO veröffentlichte das DOJ eine Vorankündigung der vorgeschlagenen Regelsetzung (ANPRM), die den Plan zur Umsetzung dieser Vorschriften definiert. Das DOJ wird angewiesen, Transaktionen im Zusammenhang mit Datenvermittlung, Massenübertragungen sensibler Daten oder Daten der US-Regierung zu regulieren und einzuschränken. Die ANPRM kann außerdem besondere Sicherheitsanforderungen und -beschränkungen für drei Arten von Massendatentransaktionen festlegen: Lieferanten-, Arbeits- und Investitionsverträge.
Datenbroker und Massendatenverkauf
In den USA dürfen Datenhändler legal persönliche Informationen sammeln, um Profile der amerikanischen Bevölkerung zu erstellen, die dann vermietet oder verkauft werden können. Der Verkauf und Weiterverkauf von Informationen ist für Datenhändler relativ gängige Praxis, sie können Daten jedoch legal an Länder verkaufen, die Anlass zur Sorge geben oder von diesen kontrolliert werden. Datenhändler schaffen eine Lücke im nationalen Sicherheitsschutz, da Daten schnell in die Hände ausländischer Geheimdienste, des Militärs oder von Unternehmen ausländischer Regierungen gelangen können.
Compliance und Durchsetzung
Das ANPRM sieht derzeit keine verschuldensunabhängige Haftung für Verstöße gegen die neue Verordnung vor. Das Justizministerium erwägt jedoch die Verhängung zivilrechtlicher Sanktionen mit Mechanismen für Vorabbescheide, Reaktionen und endgültige Entscheidungen. Darüber hinaus wird die Einführung risikobasierter Compliance-Programme erwartet. Bei Verstößen würde das Justizministerium bei etwaigen Durchsetzungsmaßnahmen das Compliance-Programm berücksichtigen.
Wie BigID Unternehmen beim Schutz persönlicher und sensibler Daten unterstützt
Die Executive Order steht im Einklang mit mehreren globalen Initiativen zum Schutz des länderübergreifenden Informationsflusses und -transfers. Die EO unterstreicht, wie wichtig es ist, dass Unternehmen verstehen, welche Daten sie erheben, wie diese verwendet werden und welche potenziellen Nutzungsmöglichkeiten Dritte haben.
BigID ermöglicht es Unternehmen, die Anforderungen der EO zu erfüllen, indem es alle personenbezogenen und sensiblen Daten identifiziert, verwaltet, überwacht und schützt – einschließlich grenzüberschreitender Übertragungen und Datenzugriffsanforderungen. Mit BigID können Unternehmen:
- Daten entdecken: Entdecken und katalogisieren Sie Ihre sensiblen Daten, einschließlich strukturierter, halbstrukturierter und unstrukturierter Daten – in lokalen Umgebungen und in der gesamten Cloud.
- Vollständige Transparenz gewinnen: Klassifizieren, kategorisieren, kennzeichnen und beschriften Sie vertrauliche Daten automatisch mit unübertroffener Genauigkeit, Granularität und Skalierbarkeit, um ein zusammenhängendes Dateninventar zur Vorbereitung auf behördliche Prüfungen durch das US-Justizministerium aufzubauen.
- Minimieren Sie das Risiko des Datenzugriffs: Proaktive Überwachung, Erkennung und Reaktion auf unbefugte interne Offenlegung, Nutzung und verdächtige Aktivitäten im Zusammenhang mit sensiblen Daten.
- Validierte Datenübertragungen: Erstellen Sie Richtlinien und weisen Sie Datenquellen und Einzelpersonen einen Speicherort zu, um die Anforderungen an den Datenspeicherort durchzusetzen und Datenübertragungen zu überwachen und entsprechende Warnmeldungen auszugeben.
- Optimieren Sie die Sanierung: BigID hilft bei der Definition der Abhilfemaßnahmen, um Prüfprotokolle mit Integration in Ticketsysteme wie Jira bereitzustellen für nahtlose Sanierungs-Workflows.
- Compliance erreichen: Erfüllen Sie automatisch die Anforderungen an Sicherheit, Datenschutz und KI sowie die entsprechenden Rahmenbedingungen weltweit, unabhängig davon, wo sich die Daten befinden.
Vereinbaren Sie eine Demo mit unseren Experten um zu sehen, wie BigID Ihrem Unternehmen dabei helfen kann, den Zugriff zu sichern und vertrauliche persönliche Daten zu schützen, um den Anforderungen der neuen Executive Order zu entsprechen.
Autor
