Der California Consumer Privacy Act von 2018 (CCPA) ist das erste US-Gesetz seiner Art, das Verbrauchern mit Wohnsitz im Bundesstaat mehr Datenschutzrechte einräumt (Details zu Checkliste zur CCPA-Konformität hier). Das Gesetz übernimmt viele der Kernprinzipien der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union und verankert wichtige Rechte für Verbraucher, indem es ihnen eine beispiellose Kontrolle über ihre persönliche Daten.
Das Gesetz tritt in weniger als neun Monaten am 1. Januar 2020 in Kraft und zwingt Unternehmen zu verstehen, welche Auswirkungen es auf die Erhebung und Verarbeitung personenbezogener Daten von Verbrauchern haben wird. Aufgrund der weitreichenden Bestimmungen des Gesetzes herrscht Verwirrung hinsichtlich vieler Details. Vieles davon beruht auf einer grundlegenden Bestimmung: Was sind personenbezogene Daten (PI) und wie unterscheiden sie sich von persönlich identifizierbare Informationen (PII).
Das Verständnis des Unterschieds zwischen beiden ist entscheidend, um die Anforderungen des CCPA sowie ähnlicher geplanter staatlicher und bundesstaatlicher Vorschriften zu erfüllen, die wahrscheinlich eine ähnliche Sicht auf personenbezogene Daten haben werden. Unternehmen, die den Unterschied nicht verstehen, laufen Gefahr, mit Geldbußen und möglichen zivilrechtlichen Sammelklagen belegt zu werden.
Was sind personenbezogene Daten und was sind persönlich identifizierbare Daten?
Der Ausgangspunkt für das Verständnis des Unterschieds zwischen PI und PII liegt in der Definition personenbezogener Daten gemäß CCPA:
„Persönliche Informationen“ Wie in Abschnitt 1798.140 des CCPA definiert
(o) (1) „Personenbezogene Daten“ sind Informationen, die einen bestimmten Verbraucher oder Haushalt direkt oder indirekt identifizieren, sich auf ihn beziehen, ihn beschreiben, mit ihm in Verbindung gebracht werden können oder vernünftigerweise mit ihm verknüpft werden könnten.
Die wichtigsten Erkenntnisse hier sind „die mit einem Verbraucher oder einem Haushalt direkt oder indirekt in Verbindung gebracht werden können oder vernünftigerweise mit diesen in Verbindung gebracht werden könnten.“ Diese Definition eröffnet die Möglichkeit einer extrem weiten rechtlichen Auslegung dessen, was personenbezogene Daten ausmacht. Als personenbezogene Daten gelten alle Daten, die mit einer Person oder einem Haushalt in Kalifornien in Verbindung gebracht werden können. Dies geht weit über Daten hinaus, die offensichtlich mit einer Identität verbunden sind, wie Name, Geburtsdatum oder Sozialversicherungsnummer, die traditionell als PII gelten. Letztlich sind es diese „indirekten“ Informationen – wie Produktpräferenzen oder Geolokalisierungsdaten –, die wesentlich sind, da sie viel schwieriger zu identifizieren und einer Person zuzuordnen sind als gut strukturierte personenbezogene Daten.
Da Unternehmen die Kontaktpunkte mit ihren Kunden über mehr Kanäle hinweg erhöhen, sammeln sie in atemberaubendem Tempo Petabytes an Daten über einzelne Personen. Personenbezogene Daten aller Art, von leicht identifizierbaren bis hin zu indirekten, werden über eine Reihe von Anwendungen und Datenspeichern gesammelt, was zu einer rasanten Datenflut führt. Da diese enormen Datenmengen in einer Kombination aus strukturierten und unstrukturierten Datenspeichern im Rechenzentrum und der Cloud gespeichert sind, ist es für Unternehmen schwierig, sich ein genaues Bild davon zu machen, wessen Daten sie tatsächlich haben, wo diese gespeichert sind und wie sie verwendet werden. Die weit gefasste Definition des CCPA, was als personenbezogene Daten einer betroffenen Person gilt, stellt für Unternehmen vielleicht die größte Herausforderung dar. Sie müssen die Vorschriften vom ersten Tag an einhalten und die Einhaltung auch dann beibehalten, wenn Datenvolumen und -komplexität mit der Zeit zunehmen. Die Notwendigkeit, die Rechte betroffener Personen in großem Umfang zu schützen, erfordert einen anderen Ansatz zur Ermittlung und Korrelation von Daten als den, den Unternehmen traditionell verwenden.
Speziell entwickelte PI-Datenermittlung für CCPA
Der Schutz personenbezogener Datenrechte gemäß CCPA bedeutet, dass für die Daten jeder Person Rechenschaft abgelegt werden muss – einschließlich PI und PII. Aber traditionell, klassifizierungsbasiert Datenermittlungstools können Daten nicht einer Person zuordnen oder zuordnen. Sie können Ihnen zwar sagen, welche Art von Daten Sie haben, aber nicht, wessen Daten Sie besitzen. Herkömmliche Data-Discovery-Tools nutzen Klassifikatoren auf Basis regulärer Ausdrücke, um strukturierte Daten wie sechzehnstellige Zahlungskarteninformationen zu finden. Sie wurden nicht dafür entwickelt, personenbezogene Daten anhand ihrer Identität zu identifizieren. Daher fehlen diesen Tools die Möglichkeiten, über wohlgeformte klassische PII-Typen hinauszublicken. Das macht sie für die Erkennung und Klassifizierung von Daten ungeeignet und überholt. PI gemäß CCPA.
Die Datenschutzplattform von BigID wurde speziell für die erweiterte Erkennung von personenbezogenen Daten und personenbezogenen Daten (PI) in strukturierten und unstrukturierten Big Data- und Cloud-Daten im Rechenzentrum und in der Cloud entwickelt. BigID verfolgt einen modernen Ansatz zur Datenerkennung und nutzt die Leistungsfähigkeit des maschinellen Lernens, um schwer zu findende PI-Daten zu identifizieren. Der Ansatz von BigID bietet Unternehmen einen Vorsprung bei der Bewältigung der spezifischen Herausforderung, alle personenbezogenen Daten gemäß der Definition des CCPA zu ermitteln und zu korrelieren.
• Entdecken von PI und PII mithilfe von ML-basierter „Identitätsintelligenz“, um die Identifizierbarkeit von Daten zu messen und zu verbinden, wie jedes PI-Attribut mit anderen Daten verbunden ist, die sich im gesamten Unternehmen auf dieselbe Identität beziehen
• Korrelieren personenbezogener Daten mit einer Einzelperson durch Indizierung der Daten nach Person, um die Rechte der betroffenen Person zu wahren und zu schützen
• Durchsuchen aller Unternehmensdatenquellen nach personenbezogenen Daten
• Identifizierung von PI im Petabyte-Maßstab
Seien Sie vorbereitet
Wenn wir etwas aus der DSGVO gelernt haben, dann ist es, dass sich Unternehmen so früh wie möglich vorbereiten müssen, um rechtzeitig zur Frist zu kommen. Vor diesem Hintergrund sind hier die wichtigsten Überlegungen, die priorisiert werden sollten:
1. Stellen Sie sicher, dass Ihr Team ein gemeinsames Verständnis der Definition personenbezogener Daten gemäß CCPA hat
2. Erweitern Sie die Datenverwaltung auf PI, nicht nur auf PII. Unternehmen müssen ihre Datenbestände erfassen, alle personenbezogenen Daten identifizieren und mit dem aktuellen Standard direkt oder indirekt identifizierbarer Attribute vergleichen sowie Daten nach Person und Wohnsitzstaat inventarisieren.
3. Einwilligungen effektiv verwalten und die Verarbeitung überwachen. Um die Einhaltung der Datenschutzbestimmungen nachzuweisen und das Vertrauen der Verbraucher zu gewinnen, sollten Unternehmen Kontrollen zur Verwaltung der nachgelagerten Nutzung personenbezogener Daten prüfen, um die Angemessenheit von Einwilligungen und der Nutzung personenbezogener Daten zu überwachen und sicherzustellen.
Um mehr darüber zu erfahren, wie BigID Sie bei der Vorbereitung auf CCPA unterstützen kann, besuchen Sie BigID.com/demo
Autor
