Launch Q3 2026
BearGuard®
BearGuard®
Governance & AI Guardrails
DE EN
🔒 US Privacy Laws

GLBA — Gramm-Leach-Bliley Act

GLBA (1999) verpflichtet US-Finanzinstitute zum Schutz der Finanzdaten ihrer Kunden mit Datenschutzhinweisen, Opt-out-Rechten und Sicherheitsmaßnahmen.

LinkedIn X WhatsApp

Zusammenfassung

Der Gramm-Leach-Bliley Act (GLBA) ist ein US-Bundesgesetz, das 1999 verabschiedet wurde und Finanzinstituten vorschreibt, die Privatsphäre und Sicherheit der nicht-öffentlichen persönlichen Informationen (NPI) ihrer Kunden zu schützen.

  • Financial Privacy Rule: Finanzinstitute müssen Kunden Datenschutzhinweise zukommen lassen und ihnen das Recht einräumen, der Weitergabe ihrer Daten an Dritte zu widersprechen.
  • Safeguards Rule: Finanzinstitute müssen Informationssicherheitsprogramme zum Schutz von Kundendaten implementieren.
  • Pretexting-Verbot: Verbot der Erschleichung von Finanzinformationen durch Täuschung.
  • FTC Safeguards Rule (2023): Erheblich verstärkte Sicherheitsanforderungen für nicht-bankliche Finanzinstitute.

Geschichte

GLBA wurde am 12. November 1999 von Präsident Clinton unterzeichnet. Das Gesetz war in erster Linie darauf ausgerichtet, das Glass-Steagall-Gesetz teilweise aufzuheben — insbesondere die Sections 20 und 32 zu den Affiliierungsverboten zwischen Banken und Wertpapierfirmen — und so Banken, Wertpapierfirmen und Versicherungsunternehmen die Fusion zu erlauben. Die Sections 16 und 21 des Glass-Steagall-Gesetzes blieben hingegen in Kraft. Als Teil des Gesetzes wurden auch die Datenschutzbestimmungen aufgenommen. Die FTC veröffentlichte im Mai 2000 die Financial Privacy Rule. Die Safeguards Rule wurde im Mai 2002 erlassen und trat im Mai 2003 in Kraft. Die Safeguards Rule wurde 2021 erheblich überarbeitet (vollständig in Kraft ab Juni 2023) und stärkte die technischen Sicherheitsanforderungen erheblich, darunter Verschlüsselungspflichten, Multi-Faktor-Authentifizierung und Meldepflichten für Datenpannen. Im Mai 2024 trat die Breach-Notification-Anforderung der überarbeiteten Safeguards Rule in Kraft. Die SEC verabschiedete 2024 Änderungen an Regulation S-P mit aktualisierten Datenschutz- und Sicherheitsanforderungen für Broker-Dealer und Anlageberater. Auf Ebene der Bundesstaaten schränken Montana (SB 297, ab 1. Oktober 2025) und Connecticut (SB 1295, ab 1. Juli 2026) die GLBA-Ausnahmen in ihren State Privacy Laws ein.

Geltungsbereich

GLBA gilt für „Finanzinstitute“ im weiteren Sinne: Banken, Sparkassen, Kreditgenossenschaften, Wertpapierhändler, Versicherungsunternehmen, Hypothekenbanken, Finanzberater, Steuerpräparateure, Inkassounternehmen, Reisebüros (sofern sie Finanzdienstleistungen anbieten) und viele andere. Die FTC Safeguards Rule gilt speziell für nicht-bankliche Finanzinstitute. Die Federal Reserve, OCC und FDIC haben eigene parallele Vorschriften für Banken.

Kernanforderungen

  • Datenschutzhinweis: Datenschutzhinweise an Kunden mit Informationen über gesammelte Daten und Weitergabepraktiken. Seit dem FAST Act (2015) sind Finanzinstitute, die ihre Datenschutzpraktiken nicht geändert haben und Daten nur im Rahmen bestimmter gesetzlicher Ausnahmen weitergeben, von der jährlichen Zustellungspflicht befreit.
  • Opt-out-Recht: Kunden müssen die Möglichkeit haben, der Weitergabe ihrer Daten an nicht verbundene Dritte zu widersprechen.
  • Informationssicherheitsprogramm: Schriftliches, umfassendes Sicherheitsprogramm mit Risikoanalyse, technischen und administrativen Schutzmaßnahmen.
  • Technische Anforderungen (Safeguards Rule 2023): Verschlüsselung, Multi-Faktor-Authentifizierung, Penetrationstests, Schwachstellenbewertungen, Sicherheitsbeauftragter.
  • Breach Notification: Meldung von Datenpannen an die FTC innerhalb von 30 Tagen, sofern mindestens 500 Verbraucher betroffen sind (ab Mai 2024).
  • Lieferantenmanagement: Überwachung von Dienstleistern, die Zugang zu Kundendaten haben.

Verwandte Frameworks

Privacy/DatenschutzPCI DSS

Korrekturen & Errata

2026-QA-083 Korrektur 28. Februar 2026
Qualitaetsaudit: GLBA — Gramm-Leach-Bliley Act

2 Korrekturen:
- Breach-Notification-Schwelle fehlt: 500 Verbraucher-Minimum nicht erwaehnt
- Fehlerhafte Chronologie: FTC Privacy Rule und Safeguards Rule nicht gleichzeitig erlassen
2 Aktualisierungen:
- Jaehrliche Datenschutzhinweise: FAST Act Ausnahme (2015) nicht erwaehnt
- Fehlende aktuelle Entwicklungen 2024-2026: Staatsgesetzgebung und CFPB-Modernisierung
2 Praezisierungen.

Alle Details auf der Errata-Seite →

Inhalt zuletzt geprüft: 23. Februar 2026. Fehler gefunden oder Aktualisierung nötig? [email protected]