Zum Inhalt springen
Alle Beiträge anzeigen

CPRA: Mitarbeiter und die Neues kalifornisches Datenschutzgesetz

Kalifornien hat die Voraussetzungen für neue umfassende Datenschutzgesetze und -anforderungen in den USA. Dies begann mit dem Spatenstich Kalifornischer Verbraucherdatenschutzgesetz („CCPA“) die den kalifornischen Verbrauchern verschiedene Datenschutzrechte einräumte. Kalifornien ist zum Trendsetter geworden, da es der erste (und bislang einzige) Bundesstaat ist, der seinen Mitarbeitern eine Reihe von Datenschutzrechte.

Zu den „kalifornischen Verbrauchern“ sollten auch Arbeitnehmer gehören; nach zwei Jahren trat das Gesetz in Kraft, aber mit der Verabschiedung des Kalifornisches Datenschutzgesetz („CPRA“), die die Anforderungen des CCPA erheblich geändert und erweitert hat – die Bestimmung zu den Arbeitnehmerrechten tritt nun am 1. Januar 2023.

Die California Privacy Protection Agency (CPPA) Derzeit finden Informationsveranstaltungen zum CPRA statt, und formelle Regelungen werden erst später in diesem Jahr erwartet. Unternehmen hätten daher nur wenig Zeit, neue Regelungen umzusetzen. Angesichts der großen Unsicherheit sollten Unternehmen praktische Schritte unternehmen, um die Einhaltung der Arbeitnehmerbestimmungen des CPRA zu gewährleisten.

Wer ist Arbeitnehmer?

Im Rahmen des CPRA gelten die Arbeitnehmeranforderungen für Einwohner Kaliforniens in ihren Rollen als Voll-/Teilzeitbeschäftigte, Bewerber, unabhängige Auftragnehmer und in anderen arbeitsbezogenen Rollen („Mitarbeiter“). Da viele Unternehmen während/seit der Pandemie zunehmend Möglichkeiten zur Fernarbeit anbieten, müssen sie festlegen, welche Mitarbeiter dem CPRA unterliegen.

Das [Arbeitnehmer-]Recht auf Privatsphäre

Der wichtigste Aspekt des kalifornischen Gesetzes ist die Ausweitung der Datenschutzrechte, die Verbrauchern zustehen, auch auf Arbeitnehmer. Dazu gehören:

  • Das Recht zu wissen
  • Das Recht auf Berichtigung unrichtiger Informationen
  • Das Recht auf Löschung personenbezogener Daten, die vom Unternehmen – oder von Dritten des Unternehmens im Namen des Unternehmens – gespeichert werden
  • Das Recht, dem Verkauf oder der Weitergabe von Daten zu widersprechen
  • Das Recht, die Verwendung und Offenlegung sensibler personenbezogener Daten von Mitarbeitern einzuschränken
  • Und, was wichtig ist, das Recht, für die Ausübung dieser Rechte keine Vergeltungsmaßnahmen zu erleiden.

Eine der wichtigsten Aufgaben besteht darin, Anfragen zu Arbeitnehmerrechten schnell zu prüfen und zu beantworten, indem die Anfrage erfüllt oder festgestellt wird, ob eine anwendbare Ausnahme vorliegt. Unternehmen müssen einen detaillierten Prozess zur Regelung von Anfragen zu Arbeitnehmerrechten entwickeln, damit diese geprüft, angenommen oder ganz oder teilweise abgelehnt und zeitnah beantwortet werden können.

Einige der Rechte können im Rahmen eines Self-Service-Modells erfüllt werden. Viele Unternehmen bieten ihren Mitarbeitern beispielsweise bereits die Möglichkeit, bereits vorhandene Informationen zu aktualisieren oder zu korrigieren. In anderen Fällen gelten einige der Arbeitnehmerrechte möglicherweise überhaupt nicht für die Mitarbeiter. Wenn ein Unternehmen beispielsweise keine Daten an Lieferanten verkauft, besteht keine Verpflichtung, ein Widerspruchsrecht gegen den Datenverkauf einzuräumen.

Darüber hinaus dürfte es gesetzliche Ausnahmen geben, auf die sich Unternehmen berufen können – denn die Datenschutzrechte der Arbeitnehmer berühren nicht das berechtigte Interesse eines Unternehmens, bestimmte personenbezogene Daten seiner Mitarbeiter weiterhin zu verarbeiten und aufzubewahren. So ist beispielsweise der Wunsch eines Mitarbeiters nach Löschung personenbezogener Daten nicht bindend, da ein Arbeitgeber personenbezogene Daten wie Name, Adresse und Bankdaten aufbewahren kann, da diese zur Erfüllung eines bestehenden Arbeitsvertrags erforderlich sind.

Verbraucher ≠ Mitarbeiter

Bestehende CCPA-Rechte für kalifornische Verbraucher gelten im Beschäftigungskontext möglicherweise nicht in gleicher Weise. Ein gutes Beispiel von Baker Holister ist das Recht der CPRA, die Verwendung und Offenlegung sensibler personenbezogener Daten („SPI“) einzuschränken. Nach der einfachen Auslegung des Gesetzes gilt dieses Recht nur für Daten, die zum „Zweck der Rückschlusses auf Merkmale“ erhoben werden (§ 1798.121(a). Unternehmen erheben SPI im Allgemeinen nicht mit dem Ziel, auf Merkmale ihrer Mitarbeiter zu schließen. Im Beschäftigungskontext werden SPI vielmehr typischerweise verarbeitet, um personalbezogene Aufgaben zu erfüllen, wie z. B. die Bearbeitung von Gehaltsabrechnungen und Sozialleistungen. Die CPRA erlaubt es, Informationen, die nicht mit dem Ziel der Rückschlusses auf Merkmale erhoben wurden, in allen Abschnitten der CPRA als „personenbezogene Daten“ zu behandeln. Sofern zukünftige Vorschriften nichts anderes vorsehen, reduziert dies die Belastung für das Unternehmen, da es möglicherweise nicht notwendig ist, das Recht auf Einschränkung der Verwendung und Offenlegung sensibler personenbezogener Daten in den CPRA-Antragsprozess aufzunehmen.

Ganz Amerika oder nur Kalifornien:

Während viele Unternehmen Verbraucherrechte mittlerweile unabhängig vom Standort des Verbrauchers gewähren, sind sich die Unternehmen uneinig, ob Arbeitnehmerrechte nur auf in Kalifornien ansässige Mitarbeiter beschränkt sein sollten. Auch andere Bundesstaaten könnten Datenschutzgesetze mit spezifischen Anforderungen für ihre dort ansässigen Mitarbeiter erlassen. Darüber hinaus besteht das Risiko, dass Mitarbeiter die CPRA-Rechte missbrauchen, um Informationen zu erlangen, die für rechtliche Schritte gegen das Unternehmen verwendet werden könnten. Dies ist ein wiederkehrendes Problem im Zusammenhang mit der DSGVO – und US-Unternehmen sollten sich dessen bewusst sein.

4 Schritte zur Compliance:

1. Führen Sie eine Datenzuordnungsübung durch: Unternehmen sollten eine Datenanalyse ihrer HR-Systeme durchführen, um festzustellen, welche personenbezogenen Daten sie über ihre Mitarbeiter erfassen, warum diese Daten erfasst werden und wie diese möglicherweise an Dritte weitergegeben werden. Dieser grundlegende Schritt ermöglicht es Unternehmen zu verstehen, was in einer Anfrage zu Datenrechten angegeben werden sollte und was nicht.

2. Speicherung von Mitarbeiterdaten: Im Rahmen der Datenzuordnung müssen Unternehmen überlegen, wie sie Mitarbeiterdaten verwalten und speichern – da diese üblicherweise getrennt von Kundenverwaltungssystemen verwaltet werden. Die meisten Unternehmen speichern und verwalten Verbraucher- und Mitarbeiterdaten in völlig getrennten Systemen, und für die Verwaltung der einzelnen Datentypen sind unterschiedliche Abteilungen zuständig.

3. Mitarbeitermitteilungen überprüfen: Das CPRA verpflichtet Unternehmen, ihre Mitarbeiter über die vom Unternehmen erhobenen Daten und deren Verwendung zu informieren. Obwohl weder das CCPA noch das CPRA ein Muster für eine solche Mitteilung vorsehen, muss die Mitteilung die Kategorien der zu erhebenden personenbezogenen Daten und die Zwecke beschreiben, für die diese Kategorien personenbezogener Daten verwendet werden. Die Datenschutzerklärung muss den Mitarbeitern spätestens zum Zeitpunkt der Datenerhebung ausgehändigt werden und eine Kopie oder einen Link zur Datenschutzrichtlinie des Unternehmens enthalten. Vieles davon kann bereits im Rahmen der Einarbeitung der Mitarbeiter geklärt werden. Die Geschäftsteams müssen jedoch Standardarbeitsanweisungen erstellen, um festzulegen, wann diese Mitteilungen erfolgen sollen, da jede neue wesentliche Datenverwendung eine neue Mitteilung an die Mitarbeiter erfordern kann.

4. Sicherheitsmaßnahmen: Wie bei Verbraucherdaten verpflichtet die CPRA Unternehmen zum Schutz von Mitarbeiterdaten. Wie bei Verbraucherdaten sollten Unternehmen auch wissen, dass Einwohner Kaliforniens bei der Verletzung sensibler personenbezogener Daten Schadensersatz in Höhe von $100–750 verlangen können.

Wie BigID mit CPRA-Mitarbeiterdaten hilft (b2e)

BigID unterstützt Unternehmen bei der Anpassung an die spezifischen Änderungen in CCPA. Nutzen Sie BigID, um die vollständige Einhaltung der CPRA zu erreichen, indem Sie unsere Self-Service-Portal und automatisierte DSAR-Erfüllung für CPRA-KonformitätMit BigID können Unternehmen:

 

Inhalt