Neuseeländische Datenschutzgesetze haben sich geändert - sind Sie bereit?

Am 1. Dezember ist in Neuseeland ein neues Datenschutzgesetz in Kraft getreten, the Privacy Act 2020. Das Gesetz verschärft die möglichen Konsequenzen für Unternehmen, die gegen den Datenschutz verstoßen, z. B. wenn personenbezogene Kundendaten von einem Hacker gestohlen werden.

Was bedeutet das für die Unternehmen?

Das Gesetz schreibt vor, dass eine Organisation, die eine Verletzung des Datenschutzes erleidet, die einer Person ernsthaften Schaden zufügt oder zufügen könnte, sowohl die betroffenen Personen als auch den Datenschutzbeauftragten benachrichtigen muss. Es gibt dem Datenschutzbeauftragten die Befugnis, einer Organisation in Bezug auf die Verletzung Anweisungen zu erteilen, und verhängt Geldstrafen von bis zu 10.000 Dollar pro Verletzung gegen jede Organisation, die eine Anfrage nach personenbezogenen Daten vereitelt oder diese Informationen vernichtet, nachdem eine Anfrage danach gestellt wurde.

Mit dem neuen Gesetz soll auch ein Schlupfloch in der aktuellen Gesetzgebung, dem Privacy Act 199, geschlossen werden, das es Google 2018 ermöglichte, die im Rahmen des Gesetzes ergangenen Anordnungen zu ignorieren , weil es ein in den USA ansässiges Unternehmen ist. Mit dem Inkrafttreten des neuen Gesetzes wird dies nicht mehr möglich sein.

Überseeische Einrichtungen jetzt gedeckt

Alle ausländischen Agenturen, die in Neuseeland tätig sind, unterliegen dem neuen Gesetz, unabhängig davon, ob sie dort rechtlich oder physisch präsent sind oder nicht. Das Gesetz gilt auch dann, wenn personenbezogene Daten anderswo gesammelt und aufbewahrt werden oder wenn die Person, auf die sich die personenbezogenen Daten beziehen, in einem anderen Land wohnt.

June Hardacre, Senior Associate bei der Anwaltskanzlei MinterEllisonRuddWatts, sagt jedoch, dass die Frage, wie die Gesetze für ausländische Unternehmen festgelegt werden sollen, noch nicht geklärt ist.

"Diese Bestimmung wird sich auf ausländische Unternehmen auswirken, die in der Vergangenheit behauptet haben, sie unterlägen nicht dem neuseeländischen Recht, da sie hier keine physische oder rechtliche Präsenz hätten. Allerdings ist die Durchsetzbarkeit dieser Bestimmung für ausländische Agenturen ohne Präsenz in Neuseeland noch unklar".

Die Möglichkeit kostspieliger Auszahlungen an jede Person, auf deren Daten zugegriffen wurde, sollte Organisationen dazu veranlassen, alle möglichen Maßnahmen zu ergreifen, um eine Datenverletzung zu verhindern.

Das Gesetz ermächtigt "geschädigte Personen", deren Privatsphäre beeinträchtigt wurde, ein Verfahren vor dem Human Rights Review Tribunal als Sammelklage einzuleiten. Das Gericht ist befugt, jedem Mitglied einer solchen Sammelklage bis zu 350.000 USD als Schadensersatz für erlittene Verluste zuzusprechen.

Schnelle Reaktionsfähigkeit unerlässlich

Jede Organisation, die über Daten von Neuseeländern verfügt, muss robuste Sicherheitstechnologien, -richtlinien und -verfahren einführen, um sicherzustellen, dass sie die Privatsphäre ihrer Kunden nicht verletzt. Sie müssen auch Richtlinien und Verfahren einführen, um im Falle einer Datenverletzung schnell und angemessen zu handeln.

Die Sensibilisierung der Mitarbeiter für die Cybersicherheit ist von entscheidender Bedeutung, sowohl um Sicherheitsverletzungen zu verhindern als auch um schnell und angemessen reagieren zu können, falls es doch zu einer Verletzung kommt. Das schwächste Glied in der Kette der Cybersicherheit ist fast immer der Mensch. Bei mehr als 90 % aller Sicherheitsverletzungen sind menschliche Fehler im Spiel.

Sicherheitsschulungen sind eine der effektivsten Möglichkeiten, Ihr Cybersecurity-Risiko zu verringern. Erfolgreiche Schulungen behandeln ernste Themen auf witzige Art und Weise, um Ihre Mitarbeiter zu motivieren und ihr Verhalten zu ändern. Der Ansatz sollte darin bestehen, die Videos kurz und unterhaltsam zu gestalten, damit sich die Mitarbeiter darauf einlassen, während gleichzeitig eine Vielzahl von Sicherheitsrisiken im Zusammenhang mit menschlichem Versagen und Themen der Cyberhygiene wie Passwörter, Phishing, ungeprüfte Downloads, Vishing und Ransomware behandelt werden.

Ziel ist es, die Sicherheit mit Inhalten zu vermenschlichen, die sowohl Sicherheitsmitarbeiter als auch Nicht-Sicherheitsmitarbeiter effektiv ansprechen. Insgesamt können Schulungen zum Thema Cybersicherheit die Sicherheitskultur eines Unternehmens erheblich verbessern, das Verhalten der Mitarbeiter radikal ändern und das Sicherheitsrisiko senken.

Ständige Wachsamkeit erforderlich

Keiner der Bestandteile Ihres Systems zum Schutz vor und zur Reaktion auf Datenschutzverletzungen sollte "einsatzbereit" sein. Sie sollten die Sicherheitstechnologien regelmäßig überprüfen, Ihre Verfahren für die Reaktion auf Datenschutzverletzungen einüben und Ihre Mitarbeiter ständig weiter schulen.

Wie Hardacre sagt: "Organisationen sind gut beraten, wenn sie den Schutz der Privatsphäre als kulturelle Norm behandeln und ihn in die Gestaltung und Struktur der Arbeitsweise einer Organisation einbetten."

Und wenn Ihr Unternehmen nicht gut vorbereitet ist und eine Datenschutzverletzung erleidet, müssen Sie mit Schwierigkeiten rechnen. Hardacre geht davon aus, dass der Datenschutzbeauftragte "zu Beginn der neuen Regelung einige öffentlichkeitswirksame Beispiele für Verstöße nennen wird, die den Ton für die Erwartungen an die Einhaltung der Vorschriften in der Zukunft angeben werden".

Die Quintessenz

Unternehmen brauchen einen Ansatz, der Technologie, Bewusstsein und Wachsamkeit kombiniert, um die richtige Sicherheitslage zu erreichen und auf die Änderungen der Datenschutzgesetze vorbereitet zu sein. Wie bei jedem neuen Gesetz oder Verfahren sind regelmäßige Schulungen erforderlich, um Organisationen und ihre Teams zu schützen. Beginnen Sie also mit der Planung von Schulungen, die bis 2021 durchgeführt werden.