Zum Inhalt springen
Alle Beiträge anzeigen

VA Datenschutz steht an erster Stelle | Was ist CDPA?

Unter Heather Federman

6 Minute gelesen

Der Staat Virginia hat für seine Verbraucher ein eigenes Datenschutzgesetz verabschiedet: das Verbraucherdatenschutzgesetz (CDPA) – inspiriert von der Kalifornisches Verbraucherschutzgesetz (CCPA) und die vorgeschlagene Washingtoner Datenschutzgesetz. Das Repräsentantenhaus und der Senat von Virginia haben dem CDPA innerhalb einer Frist von drei Wochen zugestimmt – und es liegt nun beim Gouverneur, damit es in Kraft gesetzt wird.

Wie der vorgeschlagene Washington Privacy Act und CCPA zuvor führt CDPA eine Reihe neuer Rechte für Verbraucher in Virginia ein – und legt Datenverantwortlichen und -verarbeitern neue Pflichten auf.

Was ist CDPA?

Der CDPA ist weitgehend dem Washington Privacy Act nachempfunden und gilt für Personen, die im Bundesstaat Virginia geschäftlich tätig sind oder Produkte oder Dienstleistungen herstellen, die sich an Einwohner Virginias richten – und:

    1. die personenbezogenen Daten von 100.000 oder mehr Verbrauchern in Virginia während eines Kalenderjahres kontrollieren oder verarbeiten
    2. kontrollieren oder verarbeiten die personenbezogenen Daten von mindestens 25.000 Verbrauchern und erzielen einen Bruttoumsatz von über 501 TP3 Billionen aus dem Verkauf personenbezogener Daten.

CDPA-Ausnahmen

Das CDPA enthält eine Reihe relevanter Ausnahmen, beispielsweise für:

  • Finanzinstitute, die Titel V des GLBA
  • Abgedeckte Einheiten und Geschäftspartner unterliegen den HIPAA/HITECH-Regeln zu Datenschutz, Sicherheit und Meldung von Verstößen
  • gemeinnützige Organisationen
  • Institutionen der Hochschulen

CCPA hingegen nimmt nur die von GLBA und HIPAA regulierten Daten aus.

Darüber hinaus nimmt der vorgeschlagene CDPA 14 Kategorien von Informationen von seinem Geltungsbereich aus, darunter – aber nicht beschränkt auf – HIPAA-geschützte Gesundheitsinformationen und personenbezogene Daten, die durch die FCRA geregelt sind, FERPA, das Driver's Privacy Protection Act und das Farm Credit Act. Daten, die im Rahmen einer Beschäftigung erhoben werden, fallen ebenfalls nicht in den Geltungsbereich des CDPA.

Neu Daten Definitionen

Persönliche Daten

Unter CDPA bedeutet dies: „alle Informationen, die mit einer identifizierten oder identifizierbaren natürlichen Person verknüpft sind oder vernünftigerweise verknüpft werden können.“ Öffentlich verfügbare und anonymisierte Daten sind hiervon ausgenommen – und das Gesetz enthält spezifische Standards für den Umgang mit anonymisierten Daten.
Was Unternehmen tun müssen: Ermitteln und inventarisieren Sie alle sensiblen und persönlichen Daten, die zu einer Identität gehören – direkte und abgeleitete –, um ein vollständiges Bild davon zu erhalten, welche Verbraucherdaten Sie erfassen.

Kategorie sensibler Daten

CDPA definiert sensible Daten wie:

  1. Daten, die die rassische oder ethnische Herkunft, religiöse Überzeugungen, psychische oder physische Gesundheitsdiagnosen, Staatsbürgerschaft oder den Einwanderungsstatus offenbaren
  2. genetische oder biometrische Daten
  3. Daten, die von einem Kind erhoben wurden, oder
  4. präzise Geolokalisierungsdaten

Verantwortliche dürfen sensible Daten nur mit Zustimmung des Verbrauchers verarbeiten – oder mit der „elterlichen Zustimmung“ für Daten von Kindern gemäß das Children’s Online Privacy Protection Act (COPPA).

Was Unternehmen tun müssen: Automatisch finden, identifizieren und klassifizieren Alle Ihre sensiblen Daten, egal wo sie gespeichert sind – vor Ort, in der Cloud und hybrid – über alle Datenquellen hinweg, im Petabyte-Bereich. Überprüfen Sie, ob die Geolokalisierung erfasst wird.

Anforderungen gemäß CDPA

Datenrechte

Virginia Rechte der Verbraucher in Bezug auf personenbezogene Daten enthalten:

  • Auskunftsrecht, das das Recht auf Bestätigung darüber umfasst, ob eine Organisation personenbezogene Daten von Verbrauchern verarbeitet – sowie das Recht auf Zugang zu diesen Informationen
  • Recht auf Berichtigung
  • Recht auf Löschung
  • Recht auf Datenübertragbarkeit
  • Recht auf Widerspruch gegen die Verarbeitung zu Zwecken gezielter Werbung, des Verkaufs personenbezogener Daten oder der Profilerstellung zur Förderung von Entscheidungen, die rechtliche oder ähnlich bedeutende Auswirkungen auf den Verbraucher haben.

Auf Verbraucheranfragen muss reagiert werden innerhalb von 45 Tagen nach Erhalt der Anfrage und Organisationen müssen ein internes Beschwerdeverfahren für Fälle einrichten, in denen ein Verantwortlicher sich weigert, auf eine Verbraucheranfrage hin tätig zu werden.

Was Unternehmen tun müssen: Ermöglichen Sie Ihrer Organisation, Kundenwünsche erfüllen von:

  • Schnelles und effektives Reagieren auf regulatorische Anforderungen, Ermöglichen von Korrektur-Workflows, Erfüllen aller Verbraucherdatenanfragen im großen Maßstab und Berichten über Aktivitäten
  • Bestimmen, welche Daten gelöscht werden sollen und wo sie sich befinden – und Sicherstellen einer fortlaufenden Löschvalidierung durch automatisierte Abfragen
  • Verfolgung und Dokumentation des Präferenzmanagements, der Einwilligung und der gesamten Datenfreigabe an Dritte

Anforderungen an Datenverantwortliche

Datenschutzbewertungen

Das vorgeschlagene Gesetz verpflichtet die Verantwortlichen, bei jeder der folgenden Verarbeitungstätigkeiten eine Datenschutzbeurteilung im Zusammenhang mit personenbezogenen Daten durchzuführen:

  1. die Verarbeitung personenbezogener Daten zu Zwecken gezielter Werbung
  2. der Verkauf personenbezogener Daten
  3. die Verarbeitung personenbezogener Daten zum Zwecke der Profilerstellung, wenn diese Profilerstellung ein vernünftigerweise vorhersehbares Risiko einer erheblichen Schädigung der Verbraucher birgt
  4. die Verarbeitung sensibler Daten
  5. alle Verarbeitungstätigkeiten mit personenbezogenen Daten, die ein erhöhtes Risiko für den Verbraucher darstellen

Was Unternehmen tun müssen: Bestandsdaten; dokumentieren Sie Datenflüsse, RoPA und Freigabeaktivitäten; und automatisieren Sie den Bewertungsprozess für ein stärkeres Datenschutzmanagementprogramm.

Minimierung von Daten

Die Erhebung personenbezogener Daten durch den Verantwortlichen muss angemessen und relevant sein und sich auf das beschränken, was im Hinblick auf den festgelegten und ausdrücklichen Zweck, zu dem diese Daten verarbeitet werden – wie dem Verbraucher mitgeteilt –, vernünftigerweise erforderlich ist.

Was Unternehmen tun müssen: Definieren und Durchsetzen Datenaufbewahrung Regeln mit automatisierten Workflows – und udoppelte, abgeleitete und ähnliche Daten abdecken für datenschutzkonforme Governance und effektives Reporting.

Vermeidung von Zweitnutzung

Sofern ein Verantwortlicher nicht die Einwilligung eines Verbrauchers einholt, ist es ihm nicht gestattet, personenbezogene Daten zu Zwecken zu verarbeiten, die für die angegebenen und ausdrücklichen Zwecke, zu denen personenbezogene Daten verarbeitet werden und die dem Verbraucher mitgeteilt wurden, nicht erforderlich oder mit diesen vereinbar sind.

Was Unternehmen tun müssen: Verfolgen und dokumentieren Sie die Verpflichtungen zum Präferenzmanagement und zur Einwilligungsverwaltung in Bezug auf sensible Daten.

Datensicherheit

Die Verantwortlichen sind verpflichtet, angemessene administrative, technische und physische Datensicherheitspraktiken einzurichten, umzusetzen und aufrechtzuerhalten, um die Vertraulichkeit, Integrität und Zugänglichkeit personenbezogener Daten zu schützen.

Was Unternehmen tun müssen: Ermitteln und korrelieren Sie persönliche Informationen wie E-Mail-Adressen mit Passwörtern, um sie besser vor potenziellen Datendiebstählen zu schützen. Identifizieren Sie potenziell betroffene Benutzer anhand bekannter Datendiebstähle, um proaktiv auf Vorfälle reagieren zu können.

Zusätzliche Anforderungen für Datenverarbeiter

Gemäß dem CDPA müssen Datenverarbeitungsaktivitäten durch einen schriftlichen Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter geregelt werden, der Verarbeitungsanweisungen enthält. Der Vertrag muss Folgendes festlegen:

  • Art und Zweck der Verarbeitung
  • die Art der personenbezogenen Daten, die verarbeitet werden
  • die Dauer der Verarbeitung
  • Pflichten und Rechte beider Parteien

Was Unternehmen tun müssen: Neben der Sicherstellung angemessener Datenschutzbestimmungen in Verträgen müssen Verantwortliche den Datenaustausch mit Dritten überwachen und verfolgenS.

Auf Anweisung des Verantwortlichen ist der Auftragsverarbeiter verpflichtet, nach Abschluss seiner Tätigkeit sämtliche personenbezogenen Daten zu löschen oder an den Verantwortlichen zurückzugeben. Der Auftragsverarbeiter ist verpflichtet, dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der gesetzlichen Verpflichtungen sowie zur Durchführung von Audits und Inspektionen zur Verfügung zu stellen.

Was Unternehmen tun müssen: Prozessoren müssen in der Lage sein, alle personenbezogenen Daten, die sie vom Verantwortlichen erhalten, zu berichtigen – und aktivieren Sie Validierungsscans, um sicherzustellen, dass die Daten gelöscht werden.

Darüber hinaus müssen Auftragsverarbeiter sicherstellen, dass die Personen, die personenbezogene Daten verarbeiten, Vertraulichkeitsverpflichtungen unterliegen und Subunternehmer auf der Grundlage einer schriftlichen Vereinbarung beauftragen, die die Subunternehmer verpflichtet, die den Auftragsverarbeitern auferlegten Verpflichtungen zu erfüllen.

Darüber hinaus müssen Auftragsverarbeiter die Verantwortlichen bei der Erfüllung ihrer gesetzlichen Verpflichtungen unterstützen und den Verantwortlichen die erforderlichen Informationen zur Verfügung stellen, damit diese ihre Datenschutzbewertungen durchführen und dokumentieren können.

Was Unternehmen tun müssen: Auftragsverarbeiter müssen ihr eigenes Dateninventar erstellen und Geschäftsabläufe dokumentieren, um auf etwaige Anfragen von Verbrauchern zu Datenrechten, die die mit ihnen zusammenarbeitenden Verantwortlichen möglicherweise erhalten, umgehend reagieren zu können.

Durchsetzung und Inkrafttreten des CDPA

Das CDPA kann durch Zivilklagen des Generalstaatsanwalts von Virginia durchgesetzt werden. Obwohl Verbraucher kein privates Klagerecht haben, ist der Generalstaatsanwalt befugt, im Namen der Verbraucher Zivilklagen einzureichen, vorbehaltlich einer 30-tägigen Frist zur Abhilfe. Er kann für jeden Verstoß gegen das Gesetz, der den Verbraucher betrifft, Schadensersatz von bis zu 14.7500 TP1T geltend machen.

Das Gesetz soll am 1. Januar 2023 in Kraft treten, am selben Tag, an dem auch der California Privacy Rights Act (CPRA) – die neue Version des CCPA – in Kraft treten soll.

Das Gesetz Virginias ist Teil eines wachsenden parteiübergreifenden Trends, den die Parlamente der Bundesstaaten anstreben, umfassende Datenschutzgesetze zu erlassen. Darüber hinaus besteht zunehmend Einigkeit darüber, dass das VA-Modell aufgrund der schnellen Umsetzung auch andere Bundesstaaten inspirieren wird. Und je mehr Gesetze auf Landesebene verabschiedet werden, desto motivierter ist natürlich auch der Kongress, gemeinsam an der Verabschiedung bundesweiter Datenschutzgesetze zu arbeiten.  Fordern Sie eine persönliche Demo an um zu sehen, wie BigID Unternehmen dabei hilft, die kommenden Anforderungen zur CDPA-Konformität zu erfüllen und ein nachhaltiges, proaktives Datenschutzprogramm aufzubauen, um aktuelle und neue Vorschriften zu erfüllen.

Autor

Heather Federman

Inhalt