Der Privacy Act 2020 führt Anforderungen für die Benachrichtigung bei Verstößen, zivilrechtliche Sanktionen und erhöhte Verantwortlichkeiten für Datenbearbeiter ein.

Schlüsselpunkte:

  • Am 1. Dezember 2020 hat Neuseeland strengere Datenschutzgesetze in Kraft gesetzt.
  • Die Gesetze gelten für jede Organisation weltweit, die in Neuseeland tätig ist, unabhängig davon, ob sie dort eine physische Präsenz hat oder nicht.
  • Unternehmen und ihre Teams müssen aufeinander abgestimmt sein und fortlaufend Schulungen zur Cybersicherheit durchführen, um sicherzustellen, dass menschliches Versagen nicht zu kostspieligen und markenschädigenden Verstößen führt.

Am 1. Dezember trat in Neuseeland ein neues Datenschutzgesetz, das Privacy Act 2020, in Kraft. Das Gesetz verschärft die möglichen Folgen für jede Organisation, die die Privatsphäre verletzt - wenn beispielsweise die persönlichen Daten der Kunden von einem Hacker gestohlen werden.

Was bedeutet dies für Unternehmen?

Das Gesetz schreibt vor, dass eine Organisation, die einen Verstoß erleidet, der Einzelpersonen ernsthaften Schaden zufügt oder zufügen könnte, sowohl die betroffenen Personen als auch den Datenschutzbeauftragten zu benachrichtigen hat. Der Datenschutzbeauftragte ist befugt, einer Organisation Anweisungen in Bezug auf den Verstoß zu erteilen, und er verhängt Geldstrafen von bis zu 10.000 Dollar pro Verstoß gegen jede Organisation, die eine Anfrage nach persönlichen Daten vereitelt oder diese Daten nach einer entsprechenden Anfrage vernichtet.

Mit dem neuen Gesetz soll auch eine Lücke in der aktuellen Gesetzgebung geschlossen werden, dem Privacy Act 199, der es Google im Jahr 2018 erlaubte, Aufträge, die unter dem Gesetz auferlegt wurden, zu ignorieren, weil es sich um ein Unternehmen mit Sitz in den USA handelt. Mit dem Inkrafttreten des neuen Gesetzes wird diese Lücke nicht geschlossen.

Überseeische Einrichtungen jetzt abgedeckt

Alle Überseebüros, die in Neuseeland geschäftlich tätig sind, werden dem neuen Gesetz unterliegen, unabhängig davon, ob sie dort rechtlich oder physisch präsent sind oder nicht. Das Gesetz gilt auch dann, wenn persönliche Daten anderswo gesammelt und aufbewahrt werden oder wenn die Person, auf die sich die persönlichen Daten beziehen, in einem anderen Land ansässig ist.

June Hardacre, Senior Associate in der Anwaltskanzlei MinterEllisonRuddWatts, sagt jedoch, dass die Frage, wie das Gesetz für ausländische Einheiten festgelegt werden kann, immer noch nicht geklärt ist.

"Diese Bestimmung wird ausländische Unternehmen betreffen, die in der Vergangenheit behauptet haben, sie unterlägen nicht dem neuseeländischen Recht, da sie hier weder physisch noch rechtlich präsent sind. Die Durchsetzbarkeit dieser Bestimmung auf ausländische Agenturen ohne Präsenz in Neuseeland ist jedoch noch unklar.

Die Möglichkeit kostspieliger Auszahlungen an jede Person, auf deren Daten zugegriffen wurde, sollte Organisationen dazu ermutigen, alle möglichen Maßnahmen zu ergreifen, um eine Datenverletzung zu verhindern.

Das Gesetz ermächtigt "geschädigte Personen", deren Privatsphäre kompromittiert wurde, ein Verfahren vor dem Menschenrechtsprüfungsgericht als Sammelklage einzuleiten. Das Tribunal hat die Befugnis, jedem Mitglied einer solchen Sammelklage bis zu 350.000 Dollar als Schadenersatz für erlittene Verluste zuzusprechen.

Schnelle Reaktionsfähigkeit unerlässlich

Jede Organisation, die Daten über Neuseeländer besitzt, muss robuste Sicherheitstechnologien, Richtlinien und Verfahren implementieren, um sicherzustellen, dass die Privatsphäre der Kunden nicht verletzt wird. Sie muss auch Richtlinien und Verfahren einführen, um im Falle einer Datenverletzung schnell und angemessen handeln zu können.

Die Sensibilisierung des Personals für die Cybersicherheit ist sowohl zur Verhinderung von Sicherheitsverletzungen als auch zur Ermöglichung einer schnellen und angemessenen Reaktion im Falle eines Verstoßes unerlässlich. Das schwächste Glied in der Cybersicherheitskette ist fast immer der Mensch. Menschliches Versagen ist an mehr als 90% aller Sicherheitsverletzungen beteiligt.

Die Schulung des Sicherheitsbewusstseins ist eine der effektivsten Möglichkeiten, Ihr Cybersicherheitsrisiko zu verringern. Erfolgreiche Schulungen behandeln ernsthafte Themen auf eine ernsthaft lustige Art und Weise, um Ihre Mitarbeiter einzubinden und ihr Verhalten zu ändern. Der Ansatz sollte darin bestehen, die Videos kurz und leichtherzig zu gestalten, so dass die Teilnehmer sich damit beschäftigen und gleichzeitig eine Vielzahl von Sicherheitsrisiken im Zusammenhang mit menschlichem Versagen und Cyberhygienethemen wie Passwörter, Phishing, nicht abgefangene Downloads, Vishing und Lösegeldforderungen behandeln.

Ziel ist es, Sicherheit mit Inhalten zu humanisieren, die sowohl Sicherheitsmitarbeiter als auch Mitarbeiter außerhalb des Sicherheitsbereichs wirksam einbinden. Insgesamt kann die Schulung des Bewusstseins für Cybersicherheit die Sicherheitskultur einer Organisation erheblich verbessern, das Verhalten der Mitarbeiter radikal verändern und das Sicherheitsrisiko senken.

Ständige Wachsamkeit erforderlich

Keine der Komponenten Ihres Systems zum Schutz und zur Reaktion auf Datenschutzverletzungen sollte "festgelegt und vergessen" sein. Sie sollten die Sicherheitstechnologien regelmäßig überprüfen, Ihre Verfahren zur Reaktion auf Sicherheitsverletzungen einüben und die Schulung des Personals ständig verstärken.

Wie Hardacre sagt: "Organisationen wird gut gedient sein, wenn sie den Schutz der Privatsphäre als kulturelle Norm behandeln und ihn in die Gestaltung und das Gefüge der Arbeitsweise einer Organisation einbetten.

Und wenn Ihre Organisation nicht gut vorbereitet ist und eine Datenverletzung erleidet, rechnen Sie mit Schwierigkeiten. Hardacre erwartet, dass der Datenschutzbeauftragte "zu Beginn des neuen Regimes einige hochkarätige Beispiele von Nicht-Konformitätsverletzungen anführt und dies einen Ton für die Erwartungen an die Einhaltung der Vorschriften in der Zukunft setzen lässt".

Was lässt sich daraus schließen?

Organisationen brauchen einen Ansatz, der Technologie, Bewusstsein und Wachsamkeit kombiniert, um die richtige Sicherheitshaltung zu erreichen und auf die Änderungen der Datenschutzgesetze vorbereitet zu sein. Wie bei jedem neuen Gesetz oder Prozess sind regelmäßige Schulungen erforderlich, um Organisationen und ihre Teams zu schützen. Beginnen Sie daher mit der Planung von Schulungen, die bis 2021 durchgeführt werden sollen.

Sie wollen noch mehr Artikel wie diesen? Abonnieren Sie unseren Blog.

Erhalten Sie alle aktuellen Nachrichten, Tipps und Artikel direkt in Ihren Posteingang

Das könnte Ihnen auch gefallen:

9 Wege zum Aufbau einer robusten Cyber-Sicherheitskultur

Effektive Cybersicherheit erfordert eine ...

Effektive Cybersicherheit erfordert eine durchgängige organisatorische ... Mehr lesen >

Bill Camarda

von Bill Camarda

Mitwirkender Verfasser

Verfasst am 1. Dezember, 2020

Wahlen verändern die Aussichten für die US-Datenschutzpolitik im Jahr 2021

Nationale Datenschutzpolitik steht auf der Tagesordnung...

Die nationale Datenschutzpolitik steht in Washington auf der Tagesordnung, ein st... Mehr lesen >

Karen Lynch

von Karen Lynch

Mitwirkender Verfasser

Veröffentlicht am 24. November 2020

Fokus auf Kanada: Grenzüberschreitender Datenschutz im Fadenkreuz

Shifting data privacy laws and regulatio…

Sich ändernde Datenschutzgesetze und -vorschriften könnten die Art und Weise verändern, wie ... Read More >

Karen Lynch

von Karen Lynch

Mitwirkender Verfasser

Veröffentlicht am 19. Oktober 2020