Es bedurfte der Magie einer Sonnenfinsternis in ganz Amerika, damit die US-Parlamentarier endlich Fortschritte bei der Entwicklung einer bundesweiten Datenschutzverordnung machten. Der American Privacy Rights Act (APRA) ist überraschend, aber nicht schockierend, da er bereits seit mehreren Jahren in Arbeit ist. Der APRA begann einen geradlinigeren Weg zur Realität zu finden, als kürzlich Durchführungsverordnungen über Datenübertragungen und die Bereitstellung und Entwicklung von KI wären ohne ein nationales Gesetz nur schwer umzusetzen.
Was ist der American Privacy Rights Act (APRA)?
Der American Privacy Rights Act von 2024 ist derzeit ein Diskussionsentwurf. Er bietet einen nationalen Rahmen für Datenschutz und -sicherheit, der Verbraucherrechte und Anforderungen an das Datenmanagement umreißt. Im Rahmen des APRA müssten Unternehmen die Art der von ihnen erhobenen, gespeicherten und genutzten Verbraucherdaten einschränken und nur die für den Betrieb ihrer Dienste erforderlichen Daten zulassen.
Warum ist die APRA wichtig?
Die neue Gesetzgebung ergänzt das Puzzle des Datenschutzes und passt sich den neuen Komplexitäten der Cybersicherheit und den technologischen Fortschritten an, wie beispielsweise Künstliche Intelligenz (KI)Es befasst sich mit den ständigen Herausforderungen des Datenschutzes und schlägt einen einheitlicheren Ansatz vor, um Verbrauchern spezifische Rechte an ihren persönlichen Daten zu geben. Das ARPA gibt den Amerikanern mehr Kontrolle über ihre Online-Privatsphäre, beispielsweise das Recht auf Widerspruch von zielgerichteten Anzeigen und rechtliche Schritte einleiten für Verletzung ihrer Datenschutzrechte.
Was Sie über APRA wissen müssen
Der Entwurf des APRA ist eine weiterentwickelte Version des Amerikanisches Gesetz zum Datenschutz und zur Datensicherheit (ADPPA)Beide Gesetze gewährten den Verbrauchern Datenschutzrechte, verlangten Datenminimierung, erweiterte Sicherheitsmaßnahmen und legten die Regelsetzung durch die Federal Trade Commission (FTC)Obwohl beide ähnlich sind, müssen einige wesentliche Änderungen beachtet werden:
Ausschlüsse
Das APRA schließt kleine Unternehmen nur dann aus, wenn:
- Der Jahresumsatz beträgt weniger als 40 Millionen USD.
- Die Datenverarbeitung betrifft mehr als 200.000 Personen, mit Ausnahmen.
- Durch die Weitergabe der Daten an Dritte werden keine Umsätze erzielt.
Verantwortlichkeit der Führungskräfte
Das ARPA erfordert einen benannten Datenschutz- oder Sicherheitsbeauftragten, es muss sich jedoch nicht um eine eigenständige Position oder Neueinstellung handeln.
Datentransparenz
- Datenschutzrichtlinien müssen spezifische Informationen enthalten, darunter Kategorien der erfassten, verarbeiteten oder gespeicherten Daten, den Zweck der Datenverarbeitung, die Dauer der Datenspeicherung, Datensicherheitspraktiken, eine Liste von Drittparteien und die Namen aller Datenbroker-Übertragungen.
- Die Datenschutzrichtlinie muss auch detailliert darlegen, wie Verbraucher ihre Rechte ausüben können.
- Wesentliche Änderungen der Datenschutzrichtlinie erfordern eine vorherige Ankündigung und die Möglichkeit, sich abzumelden.
Minimierung von Daten
Ein großer Schwerpunkt liegt auf Datensparsamkeit die die erhobenen und verwendeten Daten auf die als notwendig und begrenzt erachteten Zwecke beschränkt, mit besonderer Behandlung und Zustimmung für biometrische und genetische Informationen.
Datensicherheit und -schutz
APRA verlangt von Unternehmen die Einführung angemessener Datensicherheitsstandards für die Unternehmensgröße, die Art und den Umfang des Datenmanagements, das Volumen und die Sensibilität der Daten sowie die eingesetzten Technologien zum Schutz der Daten. Unternehmen müssen außerdem Schwachstellen bewerten und Risiken für Verbraucherdaten minimieren.

Privates Klagerecht
Das APRA hat ein privates Klagerecht eingeführt. Verbraucher können damit Klagen einreichen und Schadensersatz von Unternehmen fordern, die Datenschutzrechte wie etwa die Löschung von Daten wahrnehmen oder personenbezogene Daten ohne Einwilligung verwenden.
Datenschutz-Folgenabschätzungen
Das APRA verlangt Datenschutz-Folgenabschätzungen für abgedeckte Algorithmen, die ein „Folgerisiko“ darstellen, insbesondere wenn sie sich auf Folgendes beziehen:
- Kinder und Minderjährige
- Wohnen, Bildung, Beschäftigung, Gesundheitsversorgung, Versicherung oder Kredit
- Öffentliche Unterkünfte auf der Grundlage geschützter Merkmale;
- Rasse, Hautfarbe, Religion und Geschlecht
- Registrierung und Zugehörigkeit zu einer politischen Partei.
Dienstleister und Drittparteien
- Das APRA verlangt von Organisationen, bei der Auswahl eines Dienstanbieters und der Weitergabe von Daten an Dritte ihre Sorgfaltspflicht walten zu lassen.
- Dienstanbieter müssen den Anweisungen einer abgedeckten Einheit Folge leisten und die Verpflichtungen gemäß APRA erfüllen.
APRA-Verbraucherrechte
Gemäß APRA haben Verbraucher folgende Rechte:
- Zugriff auf die gesammelten, verarbeiteten oder gespeicherten Daten nach dem Absenden einer verifizierten Anfrage
- Kennen Sie den Namen aller Drittanbieter oder Dienstanbieter, an die die Daten übermittelt wurden, und den Zweck der Übermittlung
- Korrigieren Sie unrichtige oder unvollständige Daten zu einer Person
- Löschen der Daten einer Person
- Daten einer Person exportieren
- Keine Vergeltungsmaßnahmen für die Ausübung von Verbraucherrechten
- Widerspruch gegen Datenübertragung und gezielte Werbung
- Opt-out von Algorithmen für folgenschwere Entscheidungen in Bezug auf Beschäftigung, Gesundheitsversorgung, Bildung, Wohnen, Kredite oder Versicherungen
Organisationen müssen die individuellen Datenschutzrechte innerhalb der vorgeschriebenen Fristen einhalten. Organisationen können eine Anfrage ablehnen, wenn sie den Zugriff auf Daten einer anderen Person erfordert, ein Gerichtsverfahren behindert oder gegen andere Gesetze verstößt.
Welchen Einfluss hat das ARPA auf neue und sich entwickelnde Gesetzgebungen der Bundesstaaten?
Auch wenn das ARPA auf nationaler Ebene durchgesetzt wird, sind die Gesetze einzelner Bundesstaaten möglicherweise nicht mehr durchsetzbar, bleiben aber für bestimmte Themen wie Verbraucherschutz, Bürgerrechte, Gesundheit und Finanzdaten weiterhin relevant.
Die Gesetzgebung ähnelt bestehenden Landesgesetzen wie CCPA/CPRA, die ähnliche Bestimmungen zum Schutz genetischer und biometrischer Daten enthalten.
Wie BigID Unternehmen hilft, sich an die Spitze der APRA zu setzen
Unabhängig vom Ergebnis der neuen APRA, BigID ist darauf vorbereitet, Unternehmen dabei zu unterstützen, die sich entwickelnden Datenschutzbestimmungen einzuhalten und sich durch die Implementierung eines umfassenden Datenschutzprogramms an die sich ständig verändernde Datenschutzlandschaft anzupassen.
Nutzen Sie das KI-automatisierte und identitätsbewusste Datenschutzmanagement von BigID für Risiken und Compliance, um über Richtlinien und Prozesse hinauszugehen und:
- Entdecken Sie Ihre Daten: Entdecken und katalogisieren Sie Ihre sensiblen Daten, einschließlich strukturierter, halbstrukturierter und unstrukturierter Daten – in lokalen Umgebungen und in der gesamten Cloud.
- Ordnen Sie Ihre Daten zu: Automatisch PII und PI Identitäten zuordnen, Entitäten und Wohnsitze, um Daten systemübergreifend zu visualisieren.
- Durchsetzung von Datenschutzrichtlinien: Sicherstellung der Anpassung und Durchsetzung von Datenrichtlinien in Übereinstimmung mit den Datenschutzrichtlinien, um die gesetzlichen Anforderungen zu erfüllen.
- Automatisieren Sie die Verwaltung von Datenrechten: Automatisieren Sie die Erfüllung individueller, personenbezogener Datenrechte, von Zugriff und Aktualisierung bis hin zu Einspruch und Löschung.
- KI-Verstöße und Ethik verfolgen: Bewerten und überwachen Sie KI-Technologie und -Nutzung im gesamten Unternehmen, um personenbezogene Daten zu schützen und Risiken zu minimieren.
- Überwachung grenzüberschreitender Datenübertragungen: Wenden Sie den Wohnsitz auf Datenquellen und einzelne, persönliche Daten an, indem Sie Richtlinien verwenden, um Warnmeldungen bei Verstößen gegen die Vorschriften für grenzüberschreitende Datenübertragungen auszulösen.
- Bewerten Sie Datenschutzrisiken: Initiieren, verwalten, dokumentieren und schließen Sie verschiedene Bewertungen ab, darunter PIA, DPIA, Anbieter, KI, TIA, LIA und mehr zur Einhaltung von Vorschriften und zur Risikominderung.
- Beschleunigen Sie die Analyse und Reaktion auf Sicherheitsverletzungen: Bestimmen Sie das Ausmaß einer Datenschutzverletzung genau und benachrichtigen Sie die richtigen Personen und Stellen gemäß den gesetzlichen Anforderungen.
- Optimieren Sie das Datenlebenszyklusmanagement: Wenden Sie einen richtlinienbasierten Ansatz an, um das Datenlebenszyklusmanagement über die Erfassung, Aufbewahrung und Löschung hinweg zu automatisieren.
Fordern Sie eine persönliche Demo an um zu sehen, wie BigID es Unternehmen ermöglicht, ihre Datenschutzprogramme zu automatisieren und zu operationalisieren, um die APRA-Vorschriften einzuhalten.