Die Kalifornischer Verbraucherdatenschutz (CCPA) tritt in einigen Monaten in Kraft, und Anfang dieses Monats Der kalifornische Generalstaatsanwalt Xavier Becerra Die mit Spannung erwarteten ersten Leitlinien zur Umsetzung des Gesetzes wurden veröffentlicht. Dies ist besonders interessant, da die Generalstaatsanwaltschaft für die Durchsetzung des Gesetzes zuständig sein wird. Die Verordnungen haben zwar für Unsicherheit gesorgt, aber definitiv die Unsicherheit darüber verstärkt, wie man sich optimal auf den CCPA – und die Zeit danach – vorbereiten kann.
Vom Spezifischen zum Allgemeinen
Die ersten Kritiken zu den Verordnungen fielen nicht durchweg positiv aus, doch der Fokus richtete sich schnell auf die praktischen Auswirkungen. Bemerkenswert ist, dass die Verordnungen nicht nur im Detail, sondern auch im Ökosystem des Waldes ansetzen.
Zum Beispiel:
– Die Verordnungen sind sehr konkret, was die Art und Weise betrifft, wie die betroffenen Unternehmen die Identität von Nicht-Kontoinhabern bei Anfragen zu PI-Kategorien oder den spezifischen PI, die über sie gesammelt wurden, überprüfen sollten.
– Die Verordnungen enthalten ausführliche Angaben dazu, wo und wie Schaltflächen zur Erleichterung von „Opt-Out“- oder „Nicht verkaufen“-Anfragen auf Unternehmenswebsites angezeigt werden sollten
– Und – was wahrscheinlich noch wichtiger ist – die Verordnungen sehen nun vor, dass Unternehmen 15 Tage Zeit haben, um den Widerspruch gegen Datenverkaufsanfragen umzusetzen.
In der Zwischenzeit führte das Büro des Generalstaatsanwalts von Kalifornien in der beigefügten Begründung aus, dass die Absicht des Gesetzes darin bestehe, den Verbrauchern die Kontrolle über ihre Daten zurückzugeben und Transparenz darüber zu gewährleisten, „wie Unternehmen personenbezogene Daten erfassen, verwenden und weitergeben und was Unternehmen tun müssen, um dem CCPA zu entsprechen“.
Transparenz ist in diesem Sinne mehr als die Summe ihrer Teile.
Der Weg zum Ruin ist mit guten Vorsätzen gepflastert
Da die Einhaltung des Datenschutzes in den USA ein aufstrebendes Thema ist, wird der praktische Fokus in naher Zukunft wahrscheinlich auf dem Kleinen liegen: Sicherstellen, dass die notwendigen Hinweise, Richtlinien und Prozesse zur Weiterleitung von Anfragen vorhanden sind. All diese Elemente sind offensichtlich notwendige Schritte, doch wer sich auf das Kleinliche konzentriert, läuft Gefahr, den Wald aus den Augen zu verlieren – und genau das ist die Absicht des Gesetzes.
Selbst wenn Unternehmen die Details richtig hinbekommen, tappen sie möglicherweise in die Falle, nur die Details richtig hinzubekommen – auf Kosten der Entwicklung von Programmen, die wiederholbar, nachweisbar und nachhaltig sind.
Beispielsweise ist eine klare und eindeutige Formulierung in der ersten Datenschutzerklärung entscheidend. Ohne datenbasierte Einblicke in die Verwendung der Daten im Rahmen eines Geschäftsprozesses (und die Möglichkeit, zu kennzeichnen, ob die Daten für einen anderen Zweck verwendet werden) beschränkt sich die Transparenz jedoch ausschließlich auf die Datenschutzrichtlinie.
Die sich ständig ändernden Richtlinien weisen auch auf die Fallstricke eines manuellen Ansatzes hin, der ständig auf dem neuesten Stand sein und nur wiederholt werden kann, wenn die Vorschriften unverändert bleiben. Wenn Unternehmen den Datenschutz zu einem zentralen Betriebsprinzip und Unternehmenswert machen wollen, müssen sie vermeiden, in einem Kreislauf kostspieliger und störender Änderungen zu versinken, nur um mit den sich entwickelnden Vorschriften Schritt zu halten.
Um eine nachhaltige, wiederholbare und nachweisbare Strategie zur Datenschutz-Operationalisierung zu entwickeln, benötigen Unternehmen eine solide Grundlage, die automatisiert und erweiterbar ist. Hier kommt kohärente, datenschutzbewusste Datenintelligenz ins Spiel.
Ein Dschungel oder ein Garten?
Durch kohärente Datenintelligenz können sich Unternehmen an neue Anforderungen anpassen, sodass die Änderungen das Ökosystem nicht massiv aus dem Gleichgewicht bringen und die Datenschutzstrategien der Unternehmensinteressensgruppen untergraben.
Sehen wir uns zur Veranschaulichung einige Beispiele an.
Zum Beispiel im Falle der Überprüfung Datenzugriffsanfragen Bei Nicht-Kontoinhabern müssen Unternehmen in der Lage sein, zwei oder drei Datenpunkte (je nach Art der Anfrage) zu verwenden und Tausende oder sogar Millionen von Personen zu filtern, um einen bestimmten Verbraucher herauszufiltern und dann mit einem klaren, umfassenden und aktuellen Bericht zu antworten.
Um auf Opt-out- oder Nichtverkaufsanfragen reagieren zu können, müssen Unternehmen außerdem in der Lage sein:
– die Identität der anfragenden Person zu überprüfen
– Bestimmen Sie, welche Datenkategorien und Attribute im Rahmen eines bestimmten Geschäftsprozesses oder Datenflusses für diese Personen erfasst werden
– festzustellen, mit welchen Dritten die Daten geteilt, übertragen oder verkauft werden
– den Verkauf und die Übertragung von Daten für ein Jahr einzustellen oder bis der Verbraucher sich erneut für den Verkauf von Daten entscheidet
Die Verordnung sieht nun vor, dass alle diese Schritte innerhalb von 15 Tagen durchgeführt und abgeschlossen werden müssen.
Beide Beispiele verdeutlichen die Komplexität eines manuellen Ansatzes – beispielsweise das Durchschneiden des Dschungels mit einer Machete –, der das genaue Gegenteil von wiederholbar ist.
Wenn Unternehmen aktuelle, detaillierte und spezifische Ansichten darüber pflegen, wessen und welche personenbezogenen Daten sie erfassen und verarbeiten – basierend auf automatisierter Erkennung und Klassifizierung –, können sie diese identitätszentrierte, auf Datenintelligenz basierende Ansicht nutzen, um präzise und schnell zu reagieren. Analysten können die Identität von Nicht-Kontoinhabern mithilfe dieser identitätszentrierten Ansicht mit einer einfachen Abfrage überprüfen, ohne sich tagelang damit aufzuhalten.
Wenn ein Verbraucher eine Opt-out-Anfrage stellt, können Analysten mit dieser identitätszentrierten Ansicht genau feststellen, wessen Daten, welche Arten von Daten, für welche Datenflüsse und damit verbundenen Datenverkäufe an Dritte ausgesetzt werden müssen.
Darüber hinaus wird der Anpassungsaufwand an neue Anforderungen minimiert, da sich die Berichterstellung und nicht die Implementierung von Datenschutzmaßnahmen ändern muss. Die für Datenschutzstrategie und -konformität geleistete Datenintelligenz lässt sich zudem problemlos auf Bereiche wie Datenanalyse, Governance und Sicherheit übertragen – und bleibt nicht nur auf die Datenschutzkonformität beschränkt.
Durch die Kohäsion von Datenintelligenz, Datenrechteverwaltung und erweiterter Berichterstellung können Unternehmen die Komplexität einzelner, isolierter Schritte radikal reduzieren.
Blick zum Horizont
Es besteht kein Zweifel, dass die Einhaltung des CCPA die Berücksichtigung der Besonderheiten der CA AG-Verordnung erfordert. Die größere Herausforderung für unsere Kunden besteht darin, den Datenschutz von der reaktiven Seite zu lösen und ihn zu einem integralen Bestandteil ihrer Geschäfts- und Unternehmenswerte zu machen.
Um die Details richtig zu gestalten und sicherzustellen, dass sie sich nicht um das Unkraut kümmern, sondern ihren Garten pflegen, ist ihnen klar, dass die Operationalisierung direkt auf datenschutzbewusster Datenintelligenz basieren muss. Um ihr Engagement für den Datenschutz in die Praxis umzusetzen, beginnen sie mit einer identitätszentrierten Sicht auf alle ihre Daten und nutzen diese Erkenntnisse dann im großen Maßstab, um personenbezogene Daten zu verwalten, zu kontrollieren und zu schützen – und die neuesten CCPA-Anforderungen zu automatisieren.
Genau dieses Ziel verfolgt BigID. Wir haben Unternehmen unterstützt, die Compliance als wichtigen Schritt zu einer umfassenden Datenschutzstrategie betrachten und die Hürden eines reaktiven Ansatzes erkennen, die diesem Ziel im Wege stehen.
Um mehr über BigIDs Ansatz zur Automatisierung der CCPA-Konformität und datenschutzbewusster Datenintelligenz zu erfahren, Laden Sie hier unser Whitepaper herunter.
Autor
