Ein neuer Satz geänderter Vorschriften für den California Consumer Privacy Act (CCPA) ist da: Während das erste Datenschutzgesetz der USA vom Büro des Generalstaatsanwalts erst am 1. Juli 2020 durchgesetzt werden kann, sind diese ergänzenden Vorschriften zum Gesetz wichtige Leitlinien für Unternehmen hinsichtlich der Einhaltung von Vorschriften und Verfahren, mit denen Verbraucher ihre neu erworbenen Rechte ausüben können.
Wie bereits die ersten im Oktober letzten Jahres veröffentlichten Verordnungsvorschläge haben auch die neuen Regelungen zunächst konkrete Auswirkungen auf die Umsetzung. Darüber hinaus verpflichten diese Aktualisierungen die betroffenen Unternehmen dazu, eine nachhaltige, wiederholbare und nachweisbare Strategie zur Einhaltung der Datenschutzbestimmungen zu entwickeln.
Wir haben gesehen, dass sich nicht wenige Unternehmen für einen „CCPA light“-Ansatz entschieden haben, da sie so weniger mit einer großen Anzahl von DSARs konfrontiert werden. Die jüngsten Aktualisierungen zeigen jedoch, dass beides notwendig ist. fundierte Kenntnisse über Unternehmensdaten und die Fähigkeit, das Datenwissen automatisch mit Berichts- und Kategorisierungsanforderungen zu verknüpfen, um den manuellen Aufwand zu reduzieren und Compliance-Risiken zu verwalten.
Bei BigID haben wir fünf wirkungsvolle Elemente der Vorschriften identifiziert, die die Strategie hinter dem Compliance-Ansatz „CCPA light“ in Frage stellen und auf die langfristigen Vorteile eines datengesteuerten Ansatzes hinweisen, der sich problemlos in das Workflow-Management integrieren lässt:
1. Klarstellung zur Definition personenbezogener Daten
Was es bedeutet: Daten werden als PI betrachtet, je nachdem, ob das Unternehmen die Informationen auf eine Weise verwaltet, die „einen bestimmten Verbraucher oder Haushalt identifiziert, sich auf ihn bezieht, ihn beschreibt, vernünftigerweise mit ihm in Verbindung gebracht werden kann oder vernünftigerweise direkt oder indirekt mit ihm verknüpft werden könnte … Wenn ein Unternehmen beispielsweise die IP-Adressen der Besucher seiner Website sammelt, diese IP-Adresse jedoch nicht mit einem bestimmten Verbraucher oder Haushalt verknüpft und die IP-Adresse auch nicht vernünftigerweise mit einem bestimmten Verbraucher oder Haushalt verknüpfen könnte, dann wäre die IP-Adresse keine ‚personenbezogene Information‘.“
Auswirkungen: Die Bestimmung, welche Datentypen und Attribute vom Gesetz abgedeckt sind, ist ein Eckpfeiler von Compliance-ProgrammenDas Beispiel mit der Sprache und der IP-Adresse scheint deutlich zu machen, dass ein Datenattribut, das nicht direkt einem Verbraucher zugeordnet ist und keine sinnvolle Methode zur Zuordnung dieses Attributs zu einem Verbraucher bietet, keine personenbezogenen Daten darstellt. Obwohl die Formulierung mehrdeutig ist, müssen Unternehmen dennoch eindeutig wissen, ob ein Datenattribut verknüpfbar ist, um personenbezogene Daten darzustellen. Die einzige Möglichkeit, diese Einschätzung vorzunehmen, besteht darin, Datenmapping, Klassifizierung und Anwendung von maschinellem Lernen um den Kontext der Datenverarbeitung zu verstehen.
2. Aufzeichnungspflichten (Allgemeines)
Was es bedeutetUnternehmen müssen DSAR-Anfragen mindestens 24 Monate lang protokollieren. Diese Aufzeichnungen können in Ticket- oder Protokollform geführt werden, sofern sie Datum, Art und Weise der Anfrage, Datum und Art der Antwort des Unternehmens sowie den Grund für die Ablehnung der Anfrage enthalten. Diese Informationen dürfen ausschließlich zur Erfüllung des CCPA-Compliance-Prozesses verwendet werden. Das Unternehmen muss bei der Führung dieser Aufzeichnungen geeignete technische und administrative Sicherheitsmaßnahmen ergreifen.
AuswirkungenDie AG-Verordnung legt Dokumentationspflichten fest, die in der ursprünglichen Gesetzesfassung nicht existierten. Unternehmen müssen nun in der Lage sein, einzelne DSAR-Anfragen zu dokumentieren – und nicht nur darauf zu antworten. Für Organisationen, die DSARs manuell bearbeiten, bedeutet diese Verordnung zusätzlichen Dokumentationsaufwand. Die Erstellung und Pflege dieser Dokumentation stellt einen weiteren direkten Kostenfaktor für Datenschutzprogramme dar, insbesondere wenn Datenerfassung und DSAR-Aufnahme Prozesse sind unterschiedliche Elemente mit inkonsistenten Prozessen.
3. Aufzeichnungspflichten (speziell für große Unternehmen)
Was es bedeutet: Ein Unternehmen, das jährlich in einem Kalenderjahr die personenbezogenen Daten von 4 Millionen oder mehr Verbrauchern kauft, erhält, verkauft oder (zu kommerziellen Zwecken) weitergibt, muss in seiner Datenschutzrichtlinie die folgenden Kennzahlen angeben: (1) Anzahl der erhaltenen/erfüllten/abgelehnten Anfragen, (2) Anzahl der erhaltenen/erfüllten/abgelehnten Anfragen zur Löschung dieses Unternehmens, (3) Anzahl der erhaltenen/erfüllten und abgelehnten Opt-out-Anfragen und (4) mittlere oder durchschnittliche Anzahl von Tagen, die das Unternehmen benötigt hat, um diese Anfragen inhaltlich zu beantworten.
AuswirkungenUnternehmen, die Daten von mehr als vier Millionen Verbrauchern verarbeiten, müssen nicht nur berücksichtigen, welche Daten in einem einzelnen DSAR enthalten sind, sondern auch, wie sie die Datenrechte im Allgemeinen verwalten. Die Zusammenstellung dieser Kennzahlen führt nicht nur zu zusätzlichem Aufwand, sondern auch zu größerer Komplexität, da kein gut strukturiertes Datenschutzprogramm vorhanden ist, das Arbeitsabläufe integriert und Dateninventarisierung.
4. DSAR-Verbote für „Request to Know“
Was es bedeutet: Als Reaktion auf die DSAR-Anfrage eines Verbrauchers nach Informationen darf das Unternehmen in seiner Antwort keine Angaben zur Sozialversicherungsnummer, Führerscheinnummer oder anderen von der Regierung ausgestellten Identifikationsnummer, Bankkontonummer, Krankenversicherungs- oder medizinischen Identifikationsnummer, einem Kontopasswort oder Sicherheitsfragen und -antworten oder eindeutigen biometrischen Daten des Verbrauchers machen, die aus Messungen oder technischen Analysen menschlicher Merkmale generiert wurden.
AuswirkungenUnternehmen müssen ihre Kunden zwar über diese Informationen informieren, dürfen die tatsächlichen Datenattribute jedoch nicht im Klartext offenlegen. Stattdessen müssen sie alternative Methoden wie die Maskierung bestimmter Datenfelder und Attribute in Betracht ziehen. Jedes effektive Berichtstool sollte es Kunden ermöglichen, die Maskierung für jede Phase des Anforderungslebenszyklus zu konfigurieren
5. Klarstellung der Definition von „Haushalt“:
Was es bedeutet: Die Definition eines Haushalts wird dahingehend präzisiert, dass damit eine Person oder eine Gruppe von Personen gemeint ist, die (1) an derselben Adresse wohnen, (2) ein gemeinsames Gerät oder denselben Dienst eines Unternehmens teilen und (3) vom Unternehmen als Personen identifiziert werden, die dasselbe Gruppenkonto oder dieselbe eindeutige Kennung teilen.
AuswirkungenVernetzte IoT-Haushaltsgeräte wie Alexa, Ring, Roomba, Smart-TVs und vernetzte Autos erzeugen enorme Datenmengen. Diese IoT-Daten werden innerhalb von Unternehmen typischerweise mithilfe von Datenstreaming-Technologien transportiert. Unternehmen müssen in der Lage sein, übertragene Daten zu erkennen, zu klassifizieren und sie anschließend dem ursprünglichen „Haushalt“ zuzuordnen. Darüber hinaus müssen sie feststellen können, welche Personen im selben Haushalt leben.
Die Richtung, in die sich das Büro des Generalstaatsanwalts bewegt, ist klar: mehr Rechenschaftspflicht für die Datenverarbeitung und -erhebung sowie strengere Anforderungen, um nachzuweisen, dass die betroffenen Unternehmen diese Anforderungen ernst nehmen. Diese Aktualisierungen sorgen nicht nur für mehr Klarheit, sondern weisen auch auf die zunehmende Komplexität bei der Umsetzung des ersten umfassenden Datenschutzgesetzes in den USA hin, und weitere sind in Planung.
Viele unserer Kunden haben in die Automatisierung der Datenermittlung und Datenschutzkonformität investiert, um das Markenvertrauen zu stärken und zu sichern. Die Integration der Datenermittlung und -klassifizierung personenbezogener Daten in ein fortschrittliches Datenrechtemanagement bietet den zusätzlichen Vorteil, Effizienz, Automatisierung und Genauigkeit für sich entwickelnde Datenschutzvorschriften zu gewährleisten. Die Kenntnis Ihrer Daten erleichtert eine flexible Reaktion auf sich ändernde Berichtsanforderungen: Sehen Sie, wie BigID mit einer individuellen 1:1-Demo hilft.