Archiv Datenschutz

    Ob bereit oder nicht, hier kommt das kalifornische Datenschutzgesetz

    Unternehmen in aller Welt müssen bis zum 1. Juli das kalifornische Verbraucherschutzgesetz (CCPA) erfüllen. Wenn Ihr Unternehmen noch nicht bereit ist, ist es jetzt an der Zeit, damit zu beginnen.

    by Mercedes Cardona
    900-getty-hand-on-mouse.jpg

    Wichtige Punkte

    • Am 1. Juli tritt in Kalifornien das strengste Datenschutzgesetz der Vereinigten Staaten in Kraft, was sich auf eine Vielzahl von Unternehmen auswirken kann, die mit Verbrauchern in diesem Bundesstaat Geschäfte machen.
    • Das kalifornische Gesetz zum Schutz der Privatsphäre von Verbrauchern legt wichtige Rechte zum Schutz der Verbraucherdaten fest und sieht erhebliche Geldstrafen für Unternehmen vor, die sich nicht daran halten.
    • Unternehmen können sich darauf vorbereiten, indem sie ein Daten-Audit durchführen, Archivierungstechnologien einsetzen und angemessene Richtlinien für die Datenverwaltung und -aufbewahrung einführen.

    Unternehmen auf der ganzen Welt stehen vor einer Frist bis zum 1. Juli, wenn die Durchsetzung des California Consumer Privacy Act (CCPA) in Kraft tritt. Das Gesetz legt einige der strengsten Datenschutz Vorschriften in den USA fest und betrifft viele Unternehmen außerhalb Kaliforniens ebenso wie solche mit Sitz in diesem Bundesstaat. Einige Experten sind der Meinung, dass der CCPA für viele Unternehmen die gleichen Auswirkungen haben könnte wie die Abgasnormen des Bundesstaates für Automobilhersteller weltweit.[i]

    Kalifornien beschloss, den Durchsetzungstermin im Juli beizubehalten, obwohl eine Koalition von Wirtschaftsverbänden den Staat aufgefordert hatte, bis Januar 2021 zu warten, um Unternehmen zu helfen, die von COVID-19-Sperren betroffen sind. "Diese Tatsache wird die Unternehmen bei der Ausarbeitung ihrer endgültigen CCPA-Compliance-Programme erheblich aufhalten", so die Koalition in einem Schreiben, das von 66 Wirtschaftsverbänden unterzeichnet wurde, vom American Council of Life Insurers bis hin zum Spielzeugverband. [ii]

    CCPA betrifft jede Organisation, die personenbezogene Daten sammelt und mit Verbrauchern in Kalifornien Geschäfte macht. Das Gesetz definiert "geschäftlich tätig" als Unternehmen, das einen Umsatz von 25 Millionen Dollar oder mehr erzielt, mit mehr als 50.000 Datenpunkten - Haushalten, Einzelpersonen oder Geräten - arbeitet oder mehr als 50 % seines Umsatzes aus dem Verkauf von Daten erzielt.[iii] Diese breite Palette von Kriterien bedeutet, dass selbst ein Startup-Unternehmen, das E-Mail-Listen verkauft, unter die Aufsicht des Gesetzes fallen kann. Unternehmen, die sich nicht an das Gesetz halten, müssen mit Strafen von bis zu 7.500 Dollar pro Verstoß rechnen, was sich für ein Unternehmen, das Daten über viele kalifornische Verbraucher besitzt, auf Millionen oder sogar Milliarden Dollar summieren kann.[iv]

    Kosten und Auswirkungen der CCPA auf die Produktivität

    Das Datenschutzgesetz gibt den Verbrauchern vier weitreichende Rechte in Bezug auf ihre Daten: Offenlegung, Löschung, Opt-out und Nichtdiskriminierung. Organisationen müssen die Verbraucher darüber informieren, warum sie ihre Daten sammeln und welche Arten von Daten sie sammeln. Die Rechte auf Löschung und Opt-out ermöglichen es den Nutzern, die Löschung ihrer Daten zu verlangen und den Verkauf ihrer Daten zu verweigern, während die Nichtdiskriminierung es Organisationen verbietet, diese Verbraucher unterschiedlich zu behandeln.

    "Es gibt zahlreiche Auswirkungen für Unternehmen, die sich in größeren Produktivitätseinbußen und finanziellen Kosten niederschlagen", sagte Garth Landers, Mimecast Director Product Marketing, Archiving. Er verwies auf eine vom Staat durchgeführte Folgenabschätzung, die schätzte, dass etwas mehr als die Hälfte der betroffenen Unternehmen zwischen 100.000 und 1 Million Dollar für die Einhaltung der Vorschriften ausgeben würde, und fast jedes fünfte würde mehr als 1 Million Dollar ausgeben.[v] Landers merkte an, dass die Abschätzung vor fast einem Jahr durchgeführt wurde und "es keine Garantie dafür gibt, dass die befragten Unternehmen vorsichtig optimistisch waren oder auch nur ein Gefühl für den Umfang hatten, den CCPA mit sich bringt."

    "Die CCPA erfordert von den Unternehmen einen erheblichen Planungs- und Berichterstattungsaufwand, um festzustellen, welche Daten über Verbraucher sie haben, wo sie sich befinden, warum sie sie aufbewahren und wie lange sie sie aufbewahren müssen", sagte Landers. "Darüber hinaus müssen die Unternehmen die geplante Datenvernichtung und -aufbewahrung sowie die Verfahren und technischen Mittel zu deren Durchführung entsprechend planen. Der Zeit-, Arbeits- und Personalaufwand für die Dokumentation all dieser Vorgänge muss ebenfalls berücksichtigt werden.

    "Personal und Personalausstattung im Zusammenhang mit dem Datenschutz mag für einige Unternehmen in der Vergangenheit kein Problem gewesen sein, aber jetzt müssen viele von ihnen den Umfang der Investitionen und Einstellungen bestimmen, die sie benötigen", fügte Landers hinzu.

    CCPA-Datenschutzanforderungen sind ein bewegliches Ziel

    Der Geltungsbereich des Gesetzes war ein bewegliches Ziel. Das CCPA wurde ursprünglich im Juni 2018 verabschiedet und trat am 1. Januar 2020 in Kraft, wobei der 1. Juli 2020 als Datum für die Durchsetzung der Einhaltung festgelegt wurde. Viele der genauen Datenschutzanforderungen für Unternehmen wurden jedoch erst vor Kurzem in Regeln definiert, die vom Büro des kalifornischen Generalstaatsanwalts entwickelt wurden. Die endgültigen Regeln wurden erst am 1. Juni veröffentlicht.[vi] Sie fügten biometrische Informationen wie Fingerabdrücke und Netzhautscans zu den Daten hinzu, die unter das Gesetz fallen, und enthielten weitere Leitlinien zu den Opt-in- und Opt-out-Hinweisen, die Unternehmen veröffentlichen müssen, um die Verbraucher darüber zu informieren, welche Daten gesammelt werden und warum.

    Einige Unternehmen werden feststellen, dass die Arbeit, die sie bereits geleistet haben, um die Allgemeine Datenschutzverordnung der Europäischen Union (GDPR) einzuhalten, ihnen den Weg zur Einhaltung der CCPA ebnen wird. "Die gute Nachricht für viele Unternehmen, die international tätig sind, ist, dass vieles davon den Vorbereitungen ähneln wird, die sie getroffen haben, um die GDPR einzuhalten", sagte Josephine Wolff, Assistenzprofessorin für Cybersicherheitspolitik an der Tufts University. Einige der CCPA-Anforderungen ähneln denen der GDPR, wie z. B. die Notwendigkeit für Unternehmen, nachzuverfolgen, welche Daten sie sammeln, und eine Opt-out-Möglichkeit anzubieten, bemerkte sie.

    Ausgehend von den Erfahrungen mit der Datenschutz-Grundverordnung (GDPR) ist es möglich, dass CCPA keine seismischen Auswirkungen auf das Verbraucherverhalten haben wird, auch wenn es den Unternehmen, die sich auf die Einhaltung der Vorschriften vorbereiten, Schmerzen bereiten wird, so Wolff. "Ich weiß einfach nicht, ob plötzlich Millionen von Menschen sich beeilen werden, um sich von allem abzumelden", sagte sie. "Die meisten Menschen werden einfach weiter das Internet nutzen und den Unternehmen erlauben, ihre Daten so zu nutzen, wie sie es immer getan haben.

    Ähnlich wie die strengen kalifornischen Abgasvorschriften die Messlatte für Autohersteller weltweit höher gelegt haben, könnte die CCPA nach Ansicht von Experten dazu beitragen, den Datenschutzstandard für viele Unternehmen außerhalb des Staates zu setzen. Wolff wies auf eine mögliche Parallele zu den Meldepflichten bei Datenschutzverletzungen hin. Auf Bundesebene gibt es noch kein Gesetz zur Meldung von Datenschutzverletzungen, aber die meisten Bundesstaaten haben ihre eigenen Gesetze erlassen, und die meisten Unternehmen sind dazu übergegangen, den strengsten Standard einzuhalten - den kalifornischen, sagte sie. Technologieunternehmen werden sich entweder für ein Bundesgesetz einsetzen, das den CCPA ablöst, oder sie werden den CCPA als Standard übernehmen, prognostizierte sie.

    Datenschutz beginnt mit einem Audit

    Um sich auf die Einhaltung der Vorschriften vorzubereiten, sollten Unternehmen ein Datenaudit durchführen, falls sie dies noch nicht getan haben, so Wolff. "Finden Sie heraus, welche Daten Sie sammeln, an wen sie gehen, mit wem Sie sie teilen und wie sie geschützt werden", sagte sie. "Das ist eine wichtige Voraussetzung."

    Offenlegungen und Datenschutzrichtlinien in einfachem Englisch sind ebenfalls wichtige Merkmale für die Einhaltung des CCPA. "Nicht nur ein Standarddokument, in dem steht, dass wir eine Menge Daten sammeln und diese zur Verbesserung unserer Dienstleistungen verwenden, sondern ein Dokument, das tatsächlich etwas aussagt", so Wolff. Sie schlug vor, mit der Rechtsabteilung zusammenzuarbeiten, um die erforderlichen Opt-in- und Opt-out-Mechanismen zu erstellen und sie klar und zugänglich zu machen.

    Unternehmen sollten prüfen, ob ihre internen Auditprozesse in der Lage sind, auf Governance-Ereignisse wie den CCPA zu reagieren, und sich dabei auf eine kontinuierliche Verbesserung und Verfeinerung konzentrieren, so Landers. "Neue Geschäftseinheiten, die Einführung neuer Technologien, neue Produkte und Dienstleistungen haben alle Auswirkungen. Er schlug vor, dass Unternehmen mehrere wichtige Schritte unternehmen, darunter:

    • Führen Sie eine Bestandsaufnahme der Inhalte durch: Es ist wichtig, den Umfang der relevanten Unternehmensdaten zu verstehen.
    • Nutzen Sie Praktiken und Technologien der Information Governance: Die Anforderungen an die Datensicherheit und den Datenschutz haben einige Ähnlichkeiten mit den Bemühungen um Information Governance, wie z. B. e-Discovery, bei denen Unternehmen innerhalb eines engen Zeitrahmens riesige Mengen digitaler Daten durchsuchen müssen, um für eine Person oder einen Vorgang relevante Inhalte zu finden. Ein Unternehmensarchiv, in dem unternehmenskritische Daten gesammelt und aufbewahrt werden, bildet die Grundlage für die Bemühungen um den Datenschutz. Die nächste Ebene ist , die eine Fallprüfungsanwendung nutzt, um Suchvorgänge auszuführen, rechtliche Sperrvermerke anzuwenden und Extrakte und Exporte durchzuführen. Eine gute Information Governance erfordert auch die notwendigen Menschen, die Zusammenarbeit und die entsprechenden Prozesse - wie die Durchsetzung von Aufbewahrungsrichtlinien -, um langfristig erfolgreich zu sein.
    • Planen Sie die Datenminimierung: Aufgrund der Datenschutzgesetze müssen sich Unternehmen fragen, warum sie Informationen aufbewahren und zu welchem Zweck. Je größer die Oberfläche ist, desto größer ist das Risiko eines Datenverstoßes und desto größer ist die Möglichkeit, dass Daten bei Rechtsstreitigkeiten und anderen Governance-Ereignissen entdeckt werden können. Unternehmen sollten Aufbewahrungsrichtlinien systematisch anwenden: arbeiten Sie bei Bedarf zusammen, um sie zu erstellen, stellen Sie sicher, dass sie konsequent angewendet werden, und wählen Sie die richtige Archivierungstechnologie, um sie durchzusetzen.

    Die Quintessenz

    Der CCPA wird erhebliche Auswirkungen auf viele Unternehmen haben - aber es ist noch nicht zu spät, sich darauf vorzubereiten. Beginnen Sie damit, die von Ihnen gespeicherten Verbraucherdaten und deren Verwendung zu bewerten, und bauen Sie dann ein System von Richtlinien und Technologien auf, das Ihnen den Weg zur erfolgreichen Einhaltung der Vorschriften erleichtert.

    [i] " In Kalifornien gibt es einen Vorstoß für einen neuen Datenschutz," Roll Call

    [ii] "Antrag auf vorübergehende Aussetzung der CCPA-Durchsetzung," Insights Association

    [iii] "Im Jahr 2020 werden die Datenschutzgesetze die USA von Küste zu Küste überziehen" Cyber Resilience Insights

    [iv] "Top 5 Operational Impacts of CCPA-Part 5: Penalties and Enforcement Mechanisms", International Association of Privacy Professionals

    [v] "Standardisierte Gesetzesfolgenabschätzung: California Consumer Privacy Act of 2018 Regulations," State of California Department of Justice

    [vi] "Proposed Regulations Package Submitted to OAL," State of California Department of Justice

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang