Der Tag, auf den wir alle gewartet haben, ist endlich da. Heute ist die Kalifornisches Verbraucherschutzgesetz (CCPA) ist nicht nur voll wirksam, sondern auch ein voll durchsetzbar Regulierung. Der Staat kann nun rechtliche Schritte gegen Unternehmen einleiten, die gegen Datenschutzbestimmungen verstoßen – und es können sich Bußgelder anhäufen.
Nicht jeder begrüßt die Durchsetzung mit offenen Armen. Erst im April Verband der nationalen Werbetreibenden, unterstützt von rund 60 gleichgesinnten Unternehmen, drängte den kalifornischen Generalstaatsanwalt Xavier Becerra, die Durchsetzung des CCPA bis Januar nächsten Jahres zu verlängern, und verwies dabei auf Störungen, die durch die COVID-19-Pandemie verursacht wurden.
Der Generalstaatsanwalt nannte jedoch die Pandemie als weiteren Grund um das Datum 1. Juli 2020 einzuhalten in den Büchern. „Wir ermutigen Unternehmen, in dieser Notlage besonders auf die Datensicherheit zu achten“, schrieb Becerra und machte deutlich, dass der Inkraftsetzungstermin am 1. Juli nicht zur Verhandlung stehe.
Während die gleiche Gruppe von Werbetreibenden fragte kürzlich das California Office of Administrative Law (OAL) Obwohl das OAL die vom Generalstaatsanwalt vorgeschlagenen Regelungen, die mit dem CCPA im Einklang stehen, ablehnte, stellte es sich letztlich auf die Seite des Generalstaatsanwalts. Becerras Büro ist nun befugt, bei jedem Verstoß gegen den CCPA, der theoretisch bis zum 1. Januar 2019 zurückreichen könnte, ein Zwangsverfahren einzuleiten.
Der steinige Weg zur Durchsetzung des CCPA
Vor über drei Jahren entwarf die Gruppe „Californians for Consumer Privacy“ von Alastair Mactaggart eine mutige Volksinitiative – eine restriktivere Version des heutigen CCPA, die ein großzügigeres Klagerecht für Privatpersonen und strengere Durchsetzungsbestimmungen vorsah. Nachdem die Gruppe die notwendigen Unterschriften für das kalifornische Referendum im November 2018 erhalten hatte, verschwendeten Gesetzgeber und Lobbyisten keine Zeit mit der Ausarbeitung eine Alternative.
Innerhalb einer Woche zog Mactaggart seine ursprüngliche Initiative zugunsten einer modifizierten Version des CCPA zurück – die anschließend einstimmig vom Repräsentantenhaus und Senat des Bundesstaates verabschiedet wurde. Der Gesetzesentwurf 375 landete auf dem Schreibtisch von Gouverneur Jerry Brown, der ihn am 28. Juni 2018 unterzeichnete.
Die Umwandlung des CCPA in ein Gesetz und nicht in eine Volksinitiative bedeutete, dass die kalifornischen Gesetzgeber das Landesgesetz ändern konnten – ein großer Vorteil für sie. Es bedeutete auch, dass der kalifornische Generalstaatsanwalt Vorschriften erlassen konnte, die Unternehmen dabei halfen, ihre Compliance-Anforderungen besser zu verstehen. Beides geschah, mit interessierte Gesetzgeber, die mehrere Änderungen für Ausnahmen erlassen, und der AG lieferte mehrere Runden von Verordnungsentwürfen.
In mancher Hinsicht gingen die Verordnungsentwürfe über die Anforderungen des CCPA hinaus – etwa hinsichtlich der Anforderungen an die Aufzeichnungsführung und der Berechnung des Werts von Verbraucherdaten. Trotz lautstarker Kritik Obwohl die Vorschriften eher für Verwirrung als für Klarheit gesorgt haben, kann der Generalstaatsanwalt bereits heute mit der Durchsetzung des CCPA beginnen, auch wenn die Vorschriften noch nicht offiziell abgeschlossen sind.
Die Bühne für CPRA bereiten
Die letzten zwei Jahre haben gezeigt Unzufriedenheit der Unternehmen mit dem CCPA sowohl hinsichtlich seiner Bestimmungen als auch seines Inkrafttretens. Die Beobachtung all dessen spornte Mactaggarts Gruppe zu weiteren Maßnahmen an und startete im Herbst 2019 eine neue Wahlinitiative, um den CCPA zu ändern und letztlich zu stärken.
Als Mactaggart heißt es in der Ankündigung zur CCPA Version 2.0 – jetzt der California Privacy Rights Act (CPRA). „In dieser Zeit sind zwei Dinge passiert: Erstens haben einige der weltweit größten Unternehmen die Schwächung des CCPA aktiv und explizit priorisiert. Zweitens haben sich technologische Werkzeuge so weiterentwickelt, dass sie Verbraucherdaten mit potenziell gefährlichen Folgen ausnutzen. Ich glaube, dass die Verwendung von Verbraucherdaten auf diese Weise nicht nur unmoralisch ist, sondern auch unsere Demokratie bedroht.“
Kürzlich erklärte der kalifornische Außenminister, dass die CPRA genügend Stimmen habe, um sich für die allgemeinen Wahlen im kommenden November zu qualifizieren. Sollten genügend kalifornische Bürger dieser Initiative zustimmen, würde die CPRA die Datenschutzrechte der Einwohner des Bundesstaates erheblich verbessern und stärken.
Zu den neuen Bestimmungen gehören das Recht der Verbraucher auf Berichtigung ihrer Daten, Einschränkungen bei der Nutzung und Weitergabe „sensibler personenbezogener Daten“ sowie Beschränkungen bei der Weitergabe und dem Verkauf (ein heiß diskutierter Begriff im CPRA) personenbezogener Daten. Damit würden die Datenschutzbestimmungen des Golden State mit der bahnbrechenden europäischen Datenschutz-Grundverordnung (DSGVO) gleichgesetzt.
Was Unternehmen tun, um die Einhaltung von CCPA und CPRA sicherzustellen
Wenn es um die Durchsetzung des CCPA geht, haben Unternehmen ein breites Vertrauen – und Kompetenz – in Erreichen der CCPA-KonformitätFür jedes Unternehmen, das unter das CCPA fällt, gibt es fünf große Bereiche, die es berücksichtigen muss:
- Karte und Inventar Kunden-, Verbraucher-, Mitarbeiter- und sensible personenbezogene Daten
- Erstellen Sie eine automatisierte und skalierbare Lösung für Datenschutzrechte erfüllen
- Aktualisieren Sie die Datenschutzrichtlinie und Offenlegungsbenachrichtigungen
- Definieren Sie Schwellenwerte für Verstöße und Arbeitsabläufe des Datenschutzteams für Reaktion auf Verstöße
- Alles validieren und testen, von Zugriffsanfragen über die Datenfreigabe bis hin zu Sicherheitsrichtlinien
Neue Datenschutzbestimmungen = neue Möglichkeiten
Trotz des heutigen Stichtags für die Umsetzung kann es Jahre dauern, bis die vollen Auswirkungen des CCPA, der dazugehörigen Regelungen und des kommenden CPRA klar sind. Vieles davon wird sich vor den staatlichen Gerichten abspielen, da Unternehmen in den Anwendungsbereich dieses Gesetzes fallen.
In der Zwischenzeit können Datenschutzteams den CCPA als Gelegenheit nutzen, um zu beleuchten, warum ihre Funktion unerlässlich ist – nicht nur aus Compliance-Gründen, sondern auch, weil es gut fürs Geschäft ist. Verbraucher und Mitarbeiter gleichermaßen mit Organisationen interagieren möchten die gute Produkte und Dienstleistungen entwickeln und gleichzeitig ihre Daten effektiv verwalten.
Erfahren Sie mehr darüber, wie Sie das Vertrauen Ihrer Kunden gewinnen können, indem Sie Sicherstellung der CCPA-Konformität Ihres Unternehmens – und wie man Vorbereitung auf die CPRA.
Autor
