Staatliche Gesetze zur Benachrichtigung über Datenschutzverletzungen

Obwohl die meisten staatlichen Gesetze zur Benachrichtigung bei Datenschutzverletzungen ähnliche Komponenten enthalten, gibt es doch wichtige Unterschiede, so dass ein einheitlicher Ansatz für die Benachrichtigung nicht ausreicht. Darüber hinaus reagieren die Staaten auf die zunehmende Zahl von Datenschutzverletzungen mit immer häufigeren und abweichenden Änderungen ihrer Gesetze, was die Einhaltung der Vorschriften erschwert. Unternehmen müssen diese Änderungen unbedingt im Auge behalten, um sich auf Datenschutzverletzungen vorzubereiten und auf sie zu reagieren.

Eine Zusammenfassung der grundlegenden staatlichen Meldepflichten, die für Unternehmen gelten, die Daten "besitzen", finden Sie in der Foley-Tabelle zu den staatlichen Gesetzen zur Meldung von Datenschutzverletzungen. Diese Tabelle ist auf dem Stand vom 17. Oktober 2025 und sollte nur zu Informationszwecken verwendet werden, da die empfohlenen Maßnahmen, die ein Unternehmen ergreifen sollte, wenn ein Sicherheitsereignis, ein Vorfall oder eine Sicherheitsverletzung eintritt, von den jeweiligen Fakten und Umständen abhängen.

Diese Tabelle gilt nicht für Nicht-Eigentümer von Daten. Wenn Sie nicht Eigentümer der fraglichen Daten sind, konsultieren Sie die geltenden Gesetze und wenden Sie sich an einen Rechtsbeistand. Diese Tabelle gilt auch nicht für:

• Ausnahmen, die auf der Einhaltung anderer Gesetze beruhen, wie dem Health Insurance Portability and Accountability Act (HIPAA) oder dem Gramm-Leach-Bliley Act (GLBA).
• Ausnahmen in Bezug auf die gutgläubige Beschaffung personenbezogener Daten (PII) durch einen Angestellten oder Beauftragten einer Einrichtung für einen rechtmäßigen Zweck der Einrichtung, vorausgesetzt, es kommt nicht zu einer weiteren unbefugten Nutzung oder Offenlegung der PII.
• Ausnahmen bezüglich der Definition von PII, wie z. B. öffentliche, verschlüsselte, redigierte, unlesbare oder unbrauchbare Daten. Die Tabelle gibt an, ob für Daten, die als öffentlich, verschlüsselt, geschwärzt, unlesbar oder unbrauchbar gelten, ein sicherer Hafen zur Verfügung stehen kann. In einigen Staaten gibt es beispielsweise nur für verschlüsselte Daten einen sicheren Hafen, während andere Staaten einen sicheren Hafen für verschlüsselte und öffentliche Daten haben.
• Die Art und Weise, in der ein Unternehmen eine tatsächliche oder stellvertretende Benachrichtigung vornimmt (z. B. per E-Mail, US-Post usw.).
• Anforderungen an den Inhalt der Bekanntmachung.
• Alle Leitfäden, die von Bundes- und Landesbehörden herausgegeben werden.
• Eine umfassende Bewertung aller Gesetze, die für Verstöße gegen andere Informationen als personenbezogene Daten gelten.

Wenn Sie weitere Informationen zu den staatlichen Gesetzen zur Meldung von Datenschutzverletzungen oder zu anderen Fragen der Datensicherheit benötigen, wenden Sie sich bitte an eine der unten aufgeführten Personen oder an ein anderes Mitglied von Foleys Cybersicherheitsabteilung.