Große Datenschutzverletzungen rücken Gesetze zum Schutz von Mitarbeiterdaten in den Fokus

Es scheint, als würden wir fast jede Woche von einem neuen massiven Datenleck erfahren, bei dem Tausende von persönlichen und vertraulichen Daten von Einzelpersonen an einen anonymen Hacker auf der anderen Seite der Welt verloren gehen könnten.

Eine schnelle Internetsuche nach den neuesten Nachrichten über Datenschutzverletzungen zeigt das schiere Ausmaß an Informationen, die täglich gehackt oder geleakt werden, von unseren Sozialversicherungs- und Bankkontonummern bis hin zu geschützten Gesundheitsdaten, unseren Verbraucherpräferenzen und vielem mehr.  Und natürlich kommt es bei Datenschutzverletzungen auch zu Rechtsstreitigkeiten. Tatsächlich hat gerade diese Woche das Berufungsgericht des Siebten Bezirks (zuständig für Illinois, Indiana und Wisconsin) in einer Sammelklage von Verbrauchern zugunsten der Kläger entschieden, bei der der mutmaßliche Hack zur Offenlegung von Kundennamen, Kredit- und Debitkartennummern, Ablaufdaten und PINs geführt hatte.

Aber nicht nur Verbraucherdaten sind gefährdet – auch Arbeitgeber sammeln und speichern sensible Informationen und Daten über ihre Mitarbeiter, die häufig Gegenstand von Datenschutzverletzungen sind. Der Verlust der Kontrolle über diese Mitarbeiterdaten kann erhebliche negative Auswirkungen auf die Glaubwürdigkeit und das Geschäftsergebnis eines Arbeitgebers haben.

Die Gesetzgeber der Bundesstaaten nehmen die Risiken zur Kenntnis, und im ganzen Land entstehen derzeit eine Vielzahl neuer Datenschutzgesetze. Wir haben bereits über einige bestehende Gesetze berichtet, die sich darauf auswirken, wie Arbeitgeber biometrische Daten von Mitarbeitern wie Fingerabdrücke und Gesichts- oder Netzhautscans erfassen und speichern. Der Umfang der Informationen, die unter den Schutz der neuen Gesetze fallen, erweitert sich jedoch ebenso wie die Meldepflichten und Strafen bei Nichteinhaltung. Um die Einhaltung der Vorschriften und den Schutz von Mitarbeiter- und Verbraucherdaten gleichermaßen zu gewährleisten, sollten Arbeitgeber daher die folgenden staatlichen Gesetze beachten, die 2018 in Kraft treten:

• Alabama (gültig ab 1. Juni 2018): Das Gesetz des Bundesstaates zur Meldung von Datenschutzverletzungen gilt für alle Personen oder Organisationen, die sensible personenbezogene Daten von Einwohnern Alabamas verwenden, darunter ungekürzte Sozialversicherungsnummern, Führerscheinnummern, Passnummern, Militärausweisnummern oder andere eindeutige Identifikationsnummern, die auf amtlichen Dokumenten angegeben sind, Finanzkontonummern, Informationen zur Krankengeschichte, Informationen zur Krankenversicherung, persönliche Benutzernamen und Passwörter usw. Das Gesetz schreibt außerdem vor, dass Personen, deren geschützte Daten gehackt wurden, benachrichtigt werden müssen.
• Delaware (in Kraft seit 14. April 2018): Das Gesetz zu Datenschutzverletzungen in Delaware gilt für alle Unternehmen, die in diesem Bundesstaat geschäftlich tätig sind. Mit dieser Gesetzgebung wurde das bestehende Recht dahingehend geändert, dass die Definition der erfassten personenbezogenen Daten um biometrische Daten (z. B. Fingerabdrücke, Netzhautscans usw.) und andere Gesundheitsdaten erweitert wurde und dass nach einer Datenschutzverletzung eine Meldefrist von 60 Tagen gilt.
• Oregon (gültig ab 2. Juni 2018): Das Gesetz zu Datenschutzverletzungen in Oregon, das für Unternehmen gilt, die personenbezogene Daten von Einwohnern Oregons erheben, wurde dahingehend geändert, dass nun auch biometrische Daten und Gesundheitsdaten als gesetzlich geschützte Daten gelten und dass Datenschutzverletzungen den betroffenen Personen innerhalb von 45 Tagen nach ihrer Entdeckung mitgeteilt werden müssen.
• South Dakota (gültig ab 1. Juli 2018): Das Gesetz zu Datenschutzverletzungen in South Dakota gilt für alle Personen oder Unternehmen, die in South Dakota geschäftlich tätig sind und computergestützte personenbezogene oder geschützte Daten von Einwohnern South Dakotas „besitzen oder lizenzieren“. Das Gesetz schützt eine Vielzahl von Informationen, darunter „Identifikationsnummern, die einer Person von ihrem Arbeitgeber zugewiesen wurden, in Kombination mit erforderlichen Sicherheitscodes, Zugangscodes, Passwörtern oder biometrischen Daten“. Die Meldung einer Verletzung solcher Daten ist innerhalb von 60 Tagen nach der Verletzung erforderlich, wobei bei Nichteinhaltung Geldstrafen von bis zu 10.000 US-Dollar pro Tag und Verstoß verhängt werden können.

Darüber hinaus sehen neue Gesetze für Arbeitgeber, die in Kanada geschäftlich tätig sind, eine Strafe in Höhe von 100.000 Dollar pro Person und Tag für alle betroffenen Unternehmen vor, darunter Banken, Telekommunikations- und Rundfunkunternehmen sowie Speditionen, die die bundesstaatlichen Meldepflichten bei Datenschutzverletzungen nicht erfüllen.

Und natürlich stellt die viel diskutierte Datenschutz-Grundverordnung (DSGVO) der Europäischen Union, die für Unternehmen gilt, die personenbezogene Daten europäischer Bürger überwachen oder verarbeiten, strenge Anforderungen an die Erhebung, Speicherung und Pflege solcher personenbezogenen Daten.

Kurz gesagt: Da fast alle Arbeitgeber zumindest einige Informationen sammeln und speichern, die unter die weltweit immer zahlreicheren Datenschutzgesetze fallen, ist es wichtig zu wissen, welche Daten geschützt sind, welche Pflichten Arbeitgeber in Bezug auf die gesammelten Daten haben und wie und wann sie die betroffenen Personen im Falle einer Verletzung benachrichtigen müssen.