Was ist der Gramm-Leach-Bliley Act (GLBA)?

von: Masha Komnenic CIPP/E, CIPM, CIPT, FIP Masha Komnenic CIPP/E, CIPM, CIPT, FIP | Aktualisiert am: 2. Februar 2024

Was-ist-das-Gramm-Leach-Bliley-Gesetz-GLBA-01

Der Gramm-Leach-Bliley Act(GLBA) ist ein US-amerikanisches Bundesgesetz, das die Compliance-Anforderungen für Finanzdienstleistungen modernisiert hat.

Sie umreißt die Verpflichtungen zur Weitergabe von Informationen und die Praktiken in Bezug auf die persönlichen Daten von Kunden von Finanzprodukten wie Dienstleistungskrediten, Versicherungen und Finanzberatern.

In diesem Artikel erfahren Sie mehr über die Anforderungen des GLBA, die Auswirkungen auf Unternehmen und Verbraucher sowie die Strafen bei Verstößen gegen dieses Gesetz.

Inhaltsübersicht
  1. Was ist der Gramm-Leach-Bliley Act (GLBA)?
  2. GLBA Schlüsselbegriffe und Definitionen
  3. Was deckt der Gramm-Leach-Bliley Act ab?
  4. Anforderungen des Gramm-Leach-Bliley Act
  5. Welche Auswirkungen hat das GLBA auf die Verbraucher?
  6. Welche Auswirkungen hat das GLBA auf Unternehmen?
  7. Wer muss sich an den GLBA halten?
  8. Wer ist von der GLBA ausgenommen?
  9. Wie können sich Unternehmen auf das GLBA vorbereiten?
  10. Wie wird das GLBA durchgesetzt?
  11. Geldbußen und Strafen nach dem Gramm-Leach-Bliley Act
  12. Wie hilft Termly bei der Einhaltung des GLBA?
  13. Gibt es in den USA noch andere Datenschutzgesetze?
  14. Zusammenfassung

Was ist der Gramm-Leach-Bliley Act (GLBA)?

Das Gramm-Leach-Bliley-Gesetz (GLBA) ist ein Bundesgesetz in den USA, das regelt, wie Finanzdienstleister die persönlichen Daten ihrer Kunden erfassen, verarbeiten und schützen.

Das GLBA gilt für die folgenden Arten von Einrichtungen:

  • Finanzberater
  • Versicherungsgesellschaften
  • Anlageberatungsunternehmen
  • Dienstleistungsdarlehen
  • Sonstige Finanzprodukte

Gemäß Titel V, Untertitel A des Gesetzes müssen Organisationen ihre Kunden durch eine Datenschutzrichtlinie über ihre Datenverarbeitungspraktiken informieren.

Sie müssen auch einen Mechanismus vorsehen, mit dem die Verbraucher in bestimmten Situationen der Weitergabe oder Offenlegung ihrer persönlichen Daten an Dritte widersprechen können.

Wann ist das GLBA in Kraft getreten?

Der Gramm-Leach-Bliley Act ist seit 1999 in Kraft.

Doch im Dezember 2011 erließ das Consumer Financial Protection Bureau(CFPB) die Regulation P(12 CFR Part 1016), die einige frühere, von anderen Stellen erlassene Vorschriften neu kodifiziert.

Verordnung P umreißt die Anforderungen im Zusammenhang mit den Datenschutzbelangen der Verbraucher im Rahmen des GLBA, und ihr Anwendungsbereich umfasst die meisten Unternehmen, die im Finanzbereich tätig sind - die so genannten Finanzinstitute.

Sie gilt auch für Unternehmen, die nicht im Finanzbereich tätig sind, aber personenbezogene Daten von Finanzinstituten erhalten.

GLBA Schlüsselbegriffe und Definitionen

Um Sie bei der Einhaltung des GLBA zu unterstützen, habe ich einige der wichtigsten Begriffe und ihre Definitionen aus dem Gesetzestext aufgeführt:

Was deckt der Gramm-Leach-Bliley Act ab?

Das GLBA gilt für Unternehmen, die in erheblichem Maße an Finanztätigkeiten im Sinne von § 4(k) des Bank Holding Company Act von 1956 beteiligt sind, die im Gesetz als Finanzinstitute bezeichnet werden.

Zu den Tätigkeiten mit finanziellem Charakter zählen im Allgemeinen - aber nicht ausschließlich - die folgenden:

  • Verleihen, Umtauschen, Übertragen, Anlegen für andere oder Verwahren von Geld oder Wertpapieren. Diese Tätigkeiten umfassen Dienstleistungen, die von Kreditgebern, Scheckeinlösern, Überweisungsdiensten und Verkäufern von Zahlungsanweisungen angeboten werden
  • Erbringung von Finanz-, Investitions- oder Wirtschaftsberatungsdienstleistungen. Diese Tätigkeiten umfassen Dienstleistungen, die von Kreditberatern, Finanzplanern, Steuerberatern, Buchhaltern und Anlageberatern angeboten werden
  • Vermittlung von Krediten
  • Übernahme von Wertpapieren, Handel mit ihnen oder Handel mit ihnen
  • Bedienung von Darlehen
  • Forderungseinzug
  • Erbringung von Dienstleistungen im Bereich der Immobilienabwicklung
  • Berufsberatung (für Personen, die eine Beschäftigung in der Finanzdienstleistungsbranche suchen)

Es ist bemerkenswert, dass die von der CFPB erlassene Verordnung P ebenfalls in den Anwendungsbereich dieser Definition fällt:

Dritte, die keine Finanzinstitute sind, aber nichtöffentliche personenbezogene Daten von Finanzinstituten erhalten, mit denen sie nicht verbunden sind.

Wenn Ihr Unternehmen solche Tätigkeiten ausübt, sollten Sie eine Datenschutzrichtlinie haben, die den unten beschriebenen Anforderungen entspricht.

Anforderungen des Gramm-Leach-Bliley Act

Das GLBA enthält eine Reihe von Anforderungen, die Finanzdienstleistungen erfüllen müssen und die ich im folgenden Abschnitt im Detail erläutern werde.

Datenschutzbestimmungen

Das GLBA enthält eine Datenschutzregelung, die alle betroffenen Finanzinstitute befolgen müssen.

Sie müssen die Verbraucher darüber informieren:

  • Welche Daten werden von ihnen gesammelt?
  • Wie es geteilt wird
  • Wie sie geschützt wird

Darüber hinaus haben die Kunden das Recht, die Weitergabe einiger ihrer Daten an bestimmte nicht angeschlossene Dritte abzulehnen, und müssen die Mitteilung erneut vorgelegt bekommen, sobald sich dies ändert.

Genauere Einzelheiten zu diesen Anforderungen und was explizit dazu gehört, finden Sie später in diesem Leitfaden.

Schutz der Daten

Finanzdienstleistungen, die unter den GLBA fallen, müssen über einen schriftlichen Sicherheitsplan verfügen, der den Schutz der persönlichen Daten der Kunden zum Ziel hat.

Der Plan muss angemessen sein und Folgendes berücksichtigen:

  • Die Größe des Unternehmens
  • Umfang und Art der Tätigkeiten
  • Die Sensibilität der gesammelten Informationen

Die Unternehmen müssen regelmäßige Tests und Risikobewertungen durchführen, um die Integrität der Sicherheitskontrollen zu überwachen und die ständige Sicherheit der Kundendaten zu gewährleisten.

Schutz bei Vorwand

Zusätzlich zu einem Sicherheitsplan verlangt das GLBA von den Instituten auch Maßnahmen zum Schutz vor unbefugtem Zugriff oder Offenlegung von Daten, dem so genannten Pretexting.

Art und Umfang des erforderlichen Schutzes hängen von der Größe und Komplexität der Finanzdienstleistung ab.

Musterformulare zum Datenschutz

Im Jahr 2006 wurde das GLBA durch den Financial Services Regulatory Relief Act dahingehend geändert, dass sich Unternehmen auf Muster-Datenschutzformulare stützen können, um die Anforderungen des GLBA in Bezug auf die Benachrichtigung und das Opt-out zu erfüllen.

Obwohl die Verwendung von Musterformularen für den Datenschutz nicht vorgeschrieben ist, stellt die Veröffentlichung der Formulare auf der Website eines Unternehmens die Einhaltung der Bestimmungen des Gesetzes über die Benachrichtigung und das Ausschlussverfahren dar.

Es gibt zwei Arten von Formularen, die ich kurz erläutern werde:

  • Mitteilung mit Opt-out-Methode
  • Mitteilung ohne Opt-out-Methode

Mitteilung mit Opt-Out-Methode

Nach dem GLBA informiert eine Mitteilung mit einem Opt-out-Formular den Kunden darüber, wie das Finanzinstitut seine nicht-öffentlichen Informationen verarbeitet.

Das Formular erfüllt die Anforderungen der Verordnung P §1016.6 für Datenschutzhinweise und die Anforderungen für Opt-out-Hinweise in §1016.7.

Ein Beispiel für dieses Formular finden Sie im folgenden Screenshot aus der CFPB - Regulation P Appendices.

Mitteilung-mit-Keinem-Opt-Out-Methoden-CFPB- Verordnung-P-Anhänge

Opt-out-Formulare geben dem Kunden das Recht, die Weitergabe seiner Daten per Telefon oder online abzulehnen.

Ein Institut, das den Verbrauchern die Möglichkeit gibt, sich online abzumelden, muss auf seiner Website eine spezielle Opt-out-Seite einrichten, und die Opt-out-Möglichkeiten müssen mit den "Ja"-Antworten in der Spalte "Können Sie die Weitergabe einschränken?" der Offenlegungstabelle übereinstimmen.

Beachten Sie, dass es eine weitere Version dieses Formulars gibt, das so genannte Mail-In Opt-Out.

Mitteilung ohne Opt-Out-Methode

Ähnlich wie bei den Opt-Out-Formularen können Sie auch einen Hinweis ohne Opt-Out-Methode verwenden, um die Anforderungen an den Datenschutzhinweis gemäß Verordnung P §1016.6 zu erfüllen.

Nachfolgend finden Sie einen Screenshot dieses Formulars von der CFPB - Regulation P Appendices.

Muster-Datenschutzformulare-CFPB- Verordnung-P-Anhänge

Ausnahmen von den Opt-out-Anforderungen sind in §1016.13 bis §1016.15 der Verordnung P beschrieben, wo eine Organisation nicht verpflichtet ist, eine Opt-out-Benachrichtigung und -Methode bereitzustellen.

Ich erkläre dies später in diesem Leitfaden im Detail, aber diese Ausnahmen sind:

  • Bei der Weitergabe von NPI an einen nicht angeschlossenen Dritten zur Erbringung von Dienstleistungen für das Finanzinstitut oder in dessen Namen, einschließlich gemeinsamer Vermarktung.
  • Bei der Bearbeitung und Abwicklung von Transaktionen, d. h. bei der Bearbeitung von Transaktionen auf Antrag des Verbrauchers und wenn dies zur Durchführung, Verwaltung oder Durchsetzung einer Transaktion erforderlich ist.
  • Bei der Offenlegung von NPI für bestimmte Offenlegungen, die Finanzinstitute üblicherweise vornehmen, z. B. zur Verhinderung von tatsächlichem oder potenziellem Betrug oder zur Einhaltung gesetzlicher Verpflichtungen.

Welche Auswirkungen hat das GLBA auf die Verbraucher?

Der Gramm-Leach-Bliley Act wirkt sich auf die Verbraucher aus, indem er ihnen mehr Sicherheit, Kontrolle und Vertraulichkeit in Bezug auf ihre persönlichen Finanzdaten bietet.

Die Verbraucher haben das Recht zu erfahren, welche Daten über sie gesammelt werden, wann ihre Daten an andere Stellen weitergegeben werden, und in bestimmten Situationen dieser Weitergabe zu widersprechen.

Da die Finanzdienstleister verpflichtet sind, die Informationen zu schützen, können die Verbraucher darauf vertrauen, dass die Finanzinstitute ihre Daten angemessen sichern und schützen.

Für wen gilt das GLBA?

Das GLBA gilt für alle Finanzinstitute, verbundene Unternehmen und Einzelpersonen, die in den USA in diesem Bereich tätig sind.

Sie schützt die personenbezogenen Daten der Kunden dieser Einrichtungen.

Unternehmen, die außerhalb der USA ansässig sind und Finanzdienstleistungen für Verbraucher im Inland anbieten, sind ebenfalls verpflichtet, das Gesetz zu befolgen.

Welche Auswirkungen hat das GLBA auf Unternehmen?

Neben den Anforderungen an die Datensicherheit und den Datenschutz hat das GLBA auch erhebliche Auswirkungen auf die Datenschutzpolitik der Unternehmen.

Wie wirkt sich das GLBA auf meine Datenschutzrichtlinie aus?

Die Finanzinstitute müssen die in Abschnitt 502 des Gesetzes festgelegten besonderen Informationspflichten erfüllen, die sich auf Teile Ihrer Datenschutzpolitik auswirken.

Wie in Verordnung P festgelegt, muss ein Datenschutzhinweis die folgenden Angaben enthalten:

Wer muss sich an den GLBA halten?

Jedes Finanzinstitut in den USA muss das Gramm-Leach-Bliley-Gesetz einhalten, einschließlich:

  • Finanz- oder Anlageberatung
  • Versicherung
  • Finanzielle Produkte
  • Dienstleistungsdarlehen
  • ATM-Betreiber
  • Inkassobüros
  • Autovermietungen

Organisationen außerhalb der USA, die Finanzdienstleistungen für Privatpersonen im Land anbieten, unterliegen ebenfalls dem Gesetz.

Wer ist von der GLBA ausgenommen?

Geschäfte zwischen Unternehmen, die nicht als Finanzdienstleistungen gelten, fallen in der Regel nicht in den Anwendungsbereich des GLBA.

Darüber hinaus gibt es einige Ausnahmen von den bereits erwähnten Meldepflichten, auf die ich in den folgenden Abschnitten näher eingehen werde.

Ausnahme von der anfänglichen Pflicht zum Datenschutzhinweis

Das GLBA sieht einige Ausnahmen von der Verpflichtung zur erstmaligen Mitteilung des Datenschutzes vor.

Sie sind davon ausgenommen, wenn Sie keine nicht-öffentlichen persönlichen Informationen über den Verbraucher an nicht angeschlossene Dritte weitergeben.

Alternativ sind Sie gemäß §1016.14 und §1016.15 von der Verpflichtung befreit, wenn Sie die Daten zwar offenlegen, aber nur unter der Voraussetzung, dass dies zur Abwicklung von Transaktionen geschieht:

  • Auf Antrag des Verbrauchers
  • Erforderlich zur Durchführung, Verwaltung oder Durchsetzung einer Transaktion
  • Um eine Dienstleistung von einer nicht angeschlossenen dritten Partei zu erhalten, einschließlich gemeinsamer Vermarktung

Sie sind auch befreit, wenn Sie keine Kundenbeziehung mit dem Verbraucher haben.

Ausnahmen für eine verspätete Zustellung der Mitteilung

Einige Ausnahmeregelungen des GLBA erlauben es Ihnen, die Zustellung des Datenschutzhinweises an Ihre Kunden zu verzögern.

So können Sie beispielsweise den ersten Datenschutzhinweis innerhalb eines angemessenen Zeitraums nach der Aufnahme einer Kundenbeziehung bereitstellen, wenn die Aufnahme der Kundenbeziehung nicht auf Wunsch des Kunden erfolgt.

Oder Sie können eine Mitteilung machen, wenn Sie eine Kundenbeziehung herstellen, die die Transaktion des Kunden erheblich verzögern würde, und der Kunde zustimmt, die Mitteilung zu einem späteren Zeitpunkt zu erhalten.

Ausnahme vom Erfordernis einer jährlichen Datenschutzmitteilung

Schließlich sind Sie nach dem GLBA aus zwei Hauptgründen nicht verpflichtet, eine jährliche Datenschutzmitteilung zu erstellen.

Erstens: Sie stellen nicht-öffentliche personenbezogene Daten gemäß §1016.13, §1016.14 oder §1016.15 an nicht angeschlossene Dritte zur Verfügung.

Zur Erinnerung: Diese Bestimmungen beziehen sich auf die Bearbeitung von Übergängen:

  • Auf Antrag des Verbrauchers
  • Erforderlich zur Durchführung, Verwaltung oder Durchsetzung einer Transaktion
  • Um eine Dienstleistung von einer nicht angeschlossenen dritten Partei zu erhalten, einschließlich gemeinsamer Vermarktung

Zweitens brauchen Sie keine jährliche Mitteilung zu versenden, wenn Sie Ihre Richtlinien und Praktiken bezüglich der Offenlegung nicht-öffentlicher personenbezogener Daten gegenüber denjenigen, die Sie dem Kunden in der letzten Datenschutzerklärung mitgeteilt haben, nicht geändert haben.

Wie können sich Unternehmen auf das GLBA vorbereiten?

Um Ihr Unternehmen auf die Einhaltung der GLBA-Vorschriften vorzubereiten, sollten Sie die folgenden Schritte unternehmen:

  • Schritt eins: Prüfen Sie das Gesetz, um zu verstehen, wie es sich auf Ihre Finanzdienstleistung auswirkt.
  • Zweiter Schritt: Prüfen Sie, welche Aufsichtsbehörde die GLBA-Bestimmungen für Ihr Unternehmen durchsetzt.
  • Dritter Schritt: Aktualisieren Sie Ihre Datenschutzrichtlinie, um alle Meldepflichten zu erfüllen.
  • Vierter Schritt: Bieten Sie den Kunden die Möglichkeit, bestimmte Datenverarbeitungen abzulehnen.
  • Schritt fünf: Implementieren Sie Sicherheitsmethoden zum Schutz der von Ihnen erfassten personenbezogenen Daten.

Wie wird das GLBA durchgesetzt?

Abschnitt 504 von Titel V ermächtigte mehrere Bundesaufsichtsbehörden im Finanzbereich, Vorschriften zur Durchsetzung des GLBA zu erlassen.

Jede Aufsichtsbehörde erlässt ihre eigenen Vorschriften zur Durchsetzung der Bestimmungen des GLBA, zu denen auch die folgenden gehören:

  • Rat der Gouverneure des Federal Reserve System (FRS)
  • Nationale Kreditgenossenschaftsverwaltung (NCUA)
  • Amt des Comptroller of the Currency (OCC)
  • Amt für die Überwachung von Finanzinstituten (OTS)
  • Federal Deposit Insurance Corporation (FDIC)
  • Bundeshandelskommission (FTC)

Doch 2011 übertrug der Dodd-Frank Act der CFPB die Regelungsbefugnis für Datenschutzbestimmungen (Titel V des GLBA), um dieses komplexe System zu harmonisieren.

Einige Ausnahmen bleiben bestehen, wie z. B. die FTC, die weiterhin für bestimmte Kraftfahrzeughändler zuständig ist.

Da mehrere Aufsichtsbehörden Vorschriften für verschiedene Gruppen von Finanzinstituten erlassen, ist es von entscheidender Bedeutung, sich zu vergewissern, an welche Aufsichtsbehörde Sie sich halten müssen, bevor Sie die entsprechenden Vorschriften einsehen.

Im Folgenden finden Sie eine vollständige Liste der Zuständigkeiten der einzelnen Aufsichtsbehörden und der erlassenen Vorschriften zur Umsetzung der GLBA-Vorschriften über die Benachrichtigung und die Nichtbeteiligung.

Regler Code-Zitat Umfang der Anwendung
Federal Reserve 12 C.F.R. §216.1 Staatliche Mitgliedsbanken, Bank-Holdinggesellschaften und bestimmte ihrer Nichtbanken-Tochtergesellschaften oder verbundenen Unternehmen, staatliche nicht versicherte Zweigstellen und Agenturen ausländischer Banken, kommerzielle Kreditunternehmen, die sich im Besitz ausländischer Banken befinden oder von diesen kontrolliert werden, sowie Edge- und Agreement-Unternehmen.
Federal Deposit Insurance Corporation (FDIC) 12 C.F.R. §332 Von der FDIC versicherte Banken (mit Ausnahme von Mitgliedern des Federal Reserve System), versicherte staatliche Zweigstellen ausländischer Banken und bestimmte Tochtergesellschaften solcher Einrichtungen.
Amt für die Überwachung von Finanzinstituten (OTS) 12 C.F.R. §573 Sparvereine, deren Einlagen durch die Federal Deposit Insurance Corporation versichert sind, sowie alle Tochtergesellschaften solcher Sparvereine, nicht jedoch Tochtergesellschaften, die Makler, Händler, Versicherungsanbieter, Investmentgesellschaften oder Anlageberater sind
Amt des Comptroller of the Currency (OCC) 12 C.F.R. §40 Nationale Banken, bundesstaatliche Zweigstellen und bundesstaatliche Agenturen ausländischer Banken sowie alle Tochtergesellschaften solcher Unternehmen, mit Ausnahme von Maklern oder Händlern, die gemäß dem Securities Exchange Act von 1934 registriert sind, registrierten Anlageberatern, Investmentgesellschaften, die gemäß dem Investment Company Act von 1940 registriert sind, Versicherungsgesellschaften, die der Aufsicht durch eine staatliche Versicherungsaufsichtsbehörde unterliegen, und Unternehmen, die der Regulierung durch die Commodity Futures Trading Commission unterliegen.
Bundeshandelskommission (FTC) 16 C.F.R. §313 Alle in 12 U.S.C. 5519 beschriebenen Personen, die überwiegend im Verkauf und Service von Kraftfahrzeugen, im Leasing und Service von Kraftfahrzeugen oder in beiden Bereichen tätig sind.
Wertpapier- und Börsenaufsichtsbehörde (SEC) 17 C.F.R. §248 Makler, Händler und Investmentgesellschaften sowie Anlageberater, die bei der Kommission registriert sind. Sie gilt auch für ausländische Makler, Händler, Investmentgesellschaften und Anlageberater, die bei der Kommission registriert sind.
Kommission für den Handel mit Warentermingeschäften (CFTC) 17 C.F.R. §160 Alle Terminkommissionshändler, Devisenhändler für Privatkunden, Rohstoffhandelsberater, Betreiber von Rohstoffpools, Introducing Broker, wichtige Swap-Teilnehmer und Swap-Händler, die der Rechtsprechung der Kommission unterliegen, unabhängig davon, ob sie verpflichtet sind, sich bei der Kommission registrieren zu lassen.
Büro für Verbraucherschutz (CFPB) 12 C.F.R. §1016

(Verordnung P)

Alle Finanzinstitute und andere erfasste Personen oder Dienstleister, die dem Untertitel A von Titel V des GLBA unterliegen, einschließlich Dritter, die keine Finanzinstitute sind, aber nicht-öffentliche persönliche Daten von Finanzinstituten erhalten, mit denen sie nicht verbunden sind. Dieser Teil gilt nicht für bestimmte Kraftfahrzeughändler, die in 12 U.S.C. 5519 beschrieben sind, oder für Einrichtungen, für die die Securities and Exchange Commission oder die Commodity Futures Trading Commission gemäß Abschnitt 504(a)(1)(A)-(B) des GLB Act (15 U.S.C. 6804(a)(1)(A)-(B[/small].

Geldbußen und Strafen nach dem Gramm-Leach-Bliley Act

Die im Rahmen des GLBA verhängten Geldbußen sind beträchtlich und können Einzelpersonen oder ganze Organisationen treffen.

Organisationen, die gegen das Gesetz verstoßen, können mit einer Geldstrafe von bis zu 100.000 Dollar pro Verstoß belegt werden, während leitende Angestellte oder Direktoren mit einer Geldstrafe von bis zu 10.000 Dollar pro Verstoß belegt werden können.

Wie hilft Termly bei der Einhaltung des GLBA?

Aktualisierungen brauchen Zeit, aber Termly arbeitet daran, unsere Datenschutzerklärung Generator zu aktualisieren und die Nutzer in die Lage zu versetzen, die im GLBA festgelegten Anforderungen an Datenschutzmeldungen zu erfüllen.

Nach der Inbetriebnahme werden einfache Fragen zu Ihrem Unternehmen und seinen Datenverarbeitungsaktivitäten gestellt, um dann auf der Grundlage Ihrer Antworten eine individuelle Richtlinie zu erstellen.

Sie können sie dann direkt mit Ihrer Website oder mobilen App verknüpfen und sie bei Bedarf in Ihrem Termly Dashboard aktualisieren.

Schauen Sie bald wieder vorbei, um zu erfahren, wann dieses Datenschutzerklärung Generator Update live ist!

Zwar gibt es in den USA derzeit kein Bundesgesetz zum Schutz der Privatsphäre, doch die folgenden Rechtsvorschriften bestehen auf bundesstaatlicher Ebene und sind in Kraft oder treten in den nächsten Jahren in Kraft:

  • California Consumer Privacy Act(CCPA), geändert durch den California Privacy Rights Act(CPRA) - in Kraft
  • Colorado Privacy Act(CPA) - in Kraft
  • Connecticut-Datenschutzgesetz(CTDPA) - in Kraft
  • Delaware Personal Data Privacy Act(DPDPA) - 1. Januar 2025
  • Florida Digital Bill of Rights(FDBR) - 1. Juli 2024
  • Iowa Verbraucherdatenschutzgesetz(Iowa CDPA) - 1. Januar 2025
  • Verbraucherdatenschutzgesetz von Indiana(Indiana CDPA) - 1. Januar 2026
  • Montana Consumer Data Privacy Act(MCDPA) - Oktober 1, 2024
  • Oregon Consumer Privacy Act(OCPA) - 1. Juli 2024
  • Tennessee Information Protection Act(TIPA) - 1. Juli 2025
  • Gesetz zum Datenschutz und zur Datensicherheit in Texas(TDPSA) - 1. Juli 2024
  • Utah Consumer Privacy Act(UCPA) - in Kraft
  • Virginia Consumer Data Protection Act(VCDPA) - in Kraft

Das GLBA und die Datenschutzgesetze der US-Bundesstaaten

Als Bundesgesetz kann das GLBA mit anderen Gesetzen der US-Bundesstaaten kollidieren, die dieselben Organisationen oder personenbezogenen Daten regeln wollen.

Abschnitt 507 des GLBA befasst sich speziell mit diesem Fall und sieht vor, dass das GLBA diesen staatlichen Gesetzen vorgeht, wenn diese Gesetze mit den Anforderungen des GLBA unvereinbar sind.

Ein staatliches Gesetz gilt nicht als widersprüchlich, wenn es einer Person einen Schutz gewährt,der"über den Schutz hinausgeht, den das Gesetz bietet".

In ähnlicher Weise ermöglicht der GLBA den Bundesstaaten, GLBA-regulierte Unternehmen von der Einhaltung der staatlichen Datenschutzgesetze zu befreien.

Zusammenfassung

Wenn Sie in den Geltungsbereich des Gramm-Leach-Bliley Act fallen, müssen Sie Ihren Kunden unbedingt eine konforme Datenschutzrichtlinie und geeignete Kontrollmechanismen für die Ablehnung der Weitergabe ihrer persönlichen Daten vorlegen.

Sie müssen auch einen schriftlichen Plan entwickeln und umsetzen, um die von Ihnen gesammelten Daten vor unbefugtem Zugriff oder Datenverletzungen zu schützen.

Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Mehr über die Autorin

Geschrieben von Masha Komnenic CIPP/E, CIPM, CIPT, FIP

Masha ist Spezialistin für Informationssicherheit und Datenschutz und zertifizierte Datenschutzbeauftragte. In den letzten sechs Jahren war sie als Datenschutzbeauftragte tätig und half kleinen und mittleren Unternehmen bei der Einhaltung von Rechtsvorschriften. Außerdem war sie Mentorin für die Einhaltung von Datenschutzbestimmungen bei vielen internationalen Business Accelerators. Sie ist spezialisiert auf die Umsetzung, Überwachung und Prüfung der Einhaltung von Datenschutzvorschriften (HIPAA, PIPEDA, ePrivacy-Richtlinie, DSGVO, CCPA, POPIA, LGPD). Masha hat an der Universität Belgrad Jura studiert und 2016 die Anwaltsprüfung abgelegt. Mehr über die Autorin

Verwandte Artikel

Weitere Artikel ansehen