Unter BigIDeas für unterwegs, ein neuer Podcast, der sich auf Branchenführer und relevante Gespräche rund um Datenschutz, Sicherheit und Governance konzentriert. CCPA-Co-Autor Rick Arney spricht mit BigID-CEO Dimitri Sirota darüber, wie der California Privacy Rights Act (CPRA), die neueste Datenschutzinitiative aus Kalifornien, „CCPA ist, noch stärker geworden“.
Der California Privacy Rights Act (CPRA) ist die nächste Entwicklung der kalifornischen Datenschutzbestimmungen. Er zielt darauf ab, die von der Regierung festgelegten Bestimmungen zu stärken, zu erweitern und ihnen „echte Zähne“ zu verleihen. Kalifornisches Verbraucherschutzgesetz (CCPA)Von strengeren Anforderungen an die Datenoffenlegung bis hin zu einer stärkeren Durchsetzung baut CPRA auf den Kernschutzbestimmungen von CCPA auf, um Einzelpersonen mehr Kontrolle über ihre Daten zu geben.
Die Landschaft vor CCPA: Der Datenschutz ist „außer Kontrolle“
Die CCPA hat das Denken von Organisationen und Verbrauchern verändert über Datenschutz und Datenrechte in den Vereinigten Staaten. Doch in einer vorregulierten Welt war es eine Herausforderung, die Gesetzgeber zu sinnvollen Änderungen des Datenschutzrechts zu bewegen – insbesondere angesichts der Macht und Größe der finanzstarken Organisationen, die ein begründetes Interesse an der Aufrechterhaltung des Status quo hatten.
Als Arney den Gesetzesentwurf mitverfasste, begann er als Volksinitiative mit genügend Unterschriften, um ihn direkt den Wählern vorzulegen. Interessengruppen zeigten Interesse, Fokusgruppen konzentrierten sich, und Umfragen bei 89% weckten die Aufmerksamkeit der Gesetzgeber. Kalifornien verabschiedete den CCPA, um die Zuständigkeit für zukünftige Gesetzesänderungen und -anpassungen zu behalten, anstatt ihn direkt als Vorschlag zur Abstimmung – und damit direkt den kalifornischen Wählern – vorzulegen.
Die Verabschiedung des CCPA war zwar eine wichtige Maßnahme, doch eine zentrale Erkenntnis ist: Der kalifornische Gesetzgeber hat die Befugnis, den CCPA zu ändern. Zu diesem Zweck werden häufig Gesetzesentwürfe eingebracht. Und das könnte ihn schwächen.
Das Recht auf Wissen: Bewusstsein schaffen, eine Bewegung ins Leben rufen
Die Popularität des CCPA unter den Einwohnern Kaliforniens war keine kleine Überraschung. In der Vergangenheit stießen Datenschutzinitiativen auf Widerstand, da es an Bewusstsein und Transparenz darüber mangelte, was tatsächlich auf dem Spiel stand.
„Wenn man die Leute fragt, was sie von Datenschutz halten, sagen fast alle: ‚Ja, ich bin für Datenschutz‘“, sagt Arney. Sobald man jedoch Vorschriften erlässt, die genau diesen Leuten das Leben etwas erschweren, neigen sie dazu, nachzugeben. Der CCPA hat dies geändert, indem er den Menschen Transparenz über die tatsächlich über sie gesammelten Daten und deren Verwendung verschafft.
Das „Recht auf Wissen“ des CCPA gibt den Menschen das Recht, herauszufinden, was Informationen, die Unternehmen sammeln Sie haben den Eindruck, dass Unternehmen Zugriff auf ihren Gesundheitszustand, ihre Religionszugehörigkeit, ihre politischen Ansichten, ihre Sexualgeschichte und eine Menge anderer sensibler Informationen haben, die in verschiedenen Datenbanken gespeichert sind – und oft an den Meistbietenden verkauft werden.
„Wenn die Leute herausfinden, persönliche Daten potenziell zum Verkauf steht, verstärkt es lediglich den Wunsch der Menschen nach mehr Privatsphäre“, sagt Arney.
Mit anderen Worten: Diese Daten sind wertvoll– und Einzelpersonen sind sich oft nicht bewusst, dass es über ihre eigenen persönlichen Daten hinaus noch weitere Informationen gibt. Der CCPA informiert sie nicht nur darüber, dass sie ein Recht auf Information haben, sondern versucht auch, die Kontrolle über diese Daten wieder in die Hände des Einzelnen zu legen und nicht in die des Konzerns.
Was ist bei CPRA anders?
Gesetze sind wichtig, aber ihre Durchsetzung ist noch wichtiger. Und das ist ein zentraler Teil des CPRA-Ziels. Arney nennt einige der Highlights, die CPRA in die Datenschutzlandschaft:
Durchsetzung
Die CPRA verstärkt die Rechenschaftspflicht durch einen transformativen Ansatz zur Durchsetzung. Sie sieht die Einrichtung einer neuen Behörde im Bundesstaat Kalifornien vor, die für die tatsächliche Durchsetzung der im Rahmen der Initiative vorgeschlagenen neuen Vorschriften sowie aller im CCPA enthaltenen Vorschriften zuständig ist.
Zu den Durchsetzungsmaßnahmen der neuen Behörde gehören Vorladungs- und Prüfungsbefugnisse, die die Dringlichkeit und Art und Weise ändern würden, mit der Unternehmen Datenschutzstandards einführen.
Neue Rechte und Strafen im Rahmen der CPRA
- Das Recht, die genaue Geolokalisierung abzulehnen, die derzeit auf weniger als eine halbe Meile festgelegt ist.
- Verdreifachung der Bußgelder für den Missbrauch der Erhebung von Kinderdaten. Das CCPA verhindert den Verkauf von Kinderdaten, und die neuen Bußgelder im Rahmen des CPRA unterstreichen diese Regelung.
- Datenminimierung, um zu verhindern, dass Unternehmen mehr Informationen sammeln, als tatsächlich benötigt werden.
Verstärkung des Bodens
Um den oben genannten Bedrohungen zu begegnen, denen der CCPA seit seiner Verabschiedung ausgesetzt ist, stellt der CPRA sicher, dass die Regelungen des CCPA künftig nicht geschwächt werden. Der CPRA verfügt über einen Mechanismus, der es dem Gesetzgeber ermöglicht, den CPRA kontinuierlich zu ändern – eine Notwendigkeit angesichts des rasanten technologischen Wandels –, jedoch nur im Sinne des Datenschutzes. Sollten die Änderungen den Datenschutz in irgendeiner Weise schwächen, darf der Gesetzgeber sie nicht verabschieden.
Im Wesentlichen wird CPRA dadurch zur Untergrenze – und nicht zur Obergrenze – künftiger Datenschutzbestimmungen und deren Durchsetzung.
Datenschutz in Zeiten des Coronavirus
Es ist ein interessanter Moment für den Datenschutz. Im Zusammenhang mit Covid-19 „denken die Menschen über Datenschutz nach, insbesondere über die Überwachung infizierter Personen.“
Das mag zwar gut klingen, wenn es darum geht, Leben zu retten und die Ausbreitung der Krankheit zu verhindern. Doch es erfordert die Erfassung persönlicher medizinischer Daten und die damit verbundene Profilerstellung durch die Versicherung. Darüber hinaus „wissen wir nicht, welche Nachwirkungen Covid-19 haben wird“, sagt Arney. Auswirkungen Dies könnte sich daraus ergeben, dass Unternehmen diese Daten möglicherweise verkaufen.
Die freiwillige Bereitstellung dieser Informationen ist eine Sache, aber die Menschen sollten verstehen (und informiert werden), wenn es keine ausreichenden Kontrollen dafür gibt. Es gibt Möglichkeiten, Informationen verantwortungsvoll zu nutzen, um die Verbreitung zu verlangsamen und sicherzustellen, dass die Informationen kontrolliert und geschützt werden: „Es gibt Möglichkeiten, diese Informationen zu nutzen, um Leben zu retten.“
Die Zukunft des Datenschutzes: Guter Datenschutz ist gutes Geschäft
Da der CCPA in anderen Bundesstaaten immer beliebter wird, wird immer deutlicher, dass „guter Datenschutz auch gut fürs Geschäft ist“. Viele Unternehmen wollen, dass er zum De-facto-Standard für andere Bundesstaaten wird, da er Compliance Einfacher.
Von der öffentlichen Durchsetzung der CCPA-Datenschutzbestimmungen bis hin zur Schaffung einer „Datenschutzgrundlage“ für zukünftige Änderungsbemühungen baut die CPRA auf einem sich entwickelnden Datenschutzerbe zur Wahrung persönlicher Rechte auf. „Ich denke“, so Arney, „andere Bundesstaaten werden das aufgreifen, es wird sich zu einem nationalen Standard entwickeln. Irgendwann könnte die Bundesregierung tatsächlich etwas Ähnliches verabschieden, und hoffentlich ähnelt es der CPRA, um ehrlich zu sein.“