Zum Inhalt springen
Alle Beiträge anzeigen

Kalifornier stimmen mit Ja für die Kalifornisches Datenschutzgesetz (CPRA)

Die Kalifornier stimmten für Proposition 24 – auch bekannt als California Privacy Rights Act von 2020 (CPRA).

Während die CPRA, eine Änderung der California Consumer Privacy Act von 2018 (CCPA), war heiß umkämpft und stieß auf Widerstand sowohl Unternehmen und Datenschutzbeauftragteist die Verabschiedung dieses Gesetzes ein großer Schritt vorwärts für die US-Datenschutzlandschaft.

Was ändert sich unter CPRA?

CPRA ändert den CCPA Die Einführung zusätzlicher Datenschutzrechte für Verbraucher, wie beispielsweise das Recht auf Berichtigung und das Recht auf Einschränkung der Nutzung und Offenlegung sensibler personenbezogener Daten, ist geplant. Außerdem wird die California Privacy Protection Agency (CPPA) gegründet, wodurch die Gesetzgebungs- und Durchsetzungsbefugnis vom kalifornischen Generalstaatsanwalt auf die neue staatliche Behörde übertragen wird.

Die CPPA wird die erste US-Behörde sein, die sich ausschließlich dem Datenschutz widmet – ähnlich wie die EU-Mitgliedsstaaten ihre eigenen Datenschutzbehörden gemäß DSGVO.

„Nicht verkaufen“ gemäß CPRA

CPRA hat direkte Auswirkungen auf die Ad-Tech-Community, da Es stärkt das CCPA-Mandat von „Verkaufen Sie keine persönlichen Daten“. Während einige argumentierten, dass CCPA kein Opt-out von gezielter Werbung vorschreibt, macht CPRA diese Debatte zunichte, indem es die Möglichkeit des Einzelnen berücksichtigt, Widerspruch gegen die Weitergabe von Informationen – nicht nur dessen Verkauf – für verhaltensbasierte Werbezwecke.

Angesichts der Kombination aus CPRA, den Datenschutzbemühungen der großen Browser und den jüngsten iOS14-Updates zur Abschaffung des Trackings durch Dritte wird die Ad-Tech-Branche wahrscheinlich zurückschlagen oder sich an die Datenschutzbestimmungen halten müssen.

Sensible personenbezogene Daten (SPI) gemäß CPRA

CPRA führt eine neue Definition von „sensiblen persönlichen Informationen“ (SPI) mit umfassenderen Anforderungen ein als die DSGVO „besondere Kategorien personenbezogener Daten“. Die SPI-Definition der CPRA umfasst:

  • von der Regierung ausgestellte Kennungen
  • Konto-Anmeldeinformationen
  • Finanzkontoinformationen
  • präzise Geolokalisierung
  • Inhalte bestimmter Nachrichtentypen
  • genetische Daten
  • rassische oder ethnische Herkunft
  • religiöse Überzeugungen
  • Biometrie
  • Gesundheitsdaten
  • Daten zum Sexualleben oder zur sexuellen Orientierung 

Gemäß CPRA müssen Unternehmen Verbrauchern die Möglichkeit bieten, die Nutzung und Weitergabe ihrer sensiblen personenbezogenen Daten einzuschränken. Anders ausgedrückt: Ein Verbraucher kann ein Unternehmen anweisen, seine SPI nur für Zwecke zu verwenden, die für die Erbringung der Dienstleistung oder die Bereitstellung der gewünschten Waren erforderlich sind. Unternehmen sind dann verpflichtet, solchen Aufforderungen Folge zu leisten, es sei denn, der Verbraucher erteilt nachträglich die Genehmigung zur Nutzung der SPI für weitere Zwecke.

Zusätzlich zu den Der erweiterte Umfang der regulierten Informationen umfasst im Gesetzesentwurf Datensparsamkeit und Anforderungen an die DatenaufbewahrungUnternehmen müssten offenlegen, wie lange sie Daten aufbewahren und sicherstellen, dass der Zeitraum nur so lang ist, wie es „vernünftigerweise notwendig“ ist.

Jährliche Audits und Risikobewertungen

Eine weitere neue Bestimmung des CPRA – und neu in der amerikanischen Datenschutzgesetzgebung – beinhaltet die Anforderung jährlicher Audits und Risikobewertungen für alle Verarbeitungsaktivitäten mit hohem Risiko, die vom Generalstaatsanwalt und schließlich von der neuen Datenschutzbehörde reguliert werden sollen.

Diese Vorschriften verpflichten Unternehmen, deren Verarbeitung erhebliche Risiken für die Privatsphäre oder Sicherheit der Verbraucher birgt, dazu, eine gründliche und unabhängige Cybersicherheitsaudit jährlich. 

Um zu bestimmen, ob eine solche Prüfung gerechtfertigt ist, würden die Vorschriften die Größe und Komplexität des Unternehmens sowie Art und Umfang der Verarbeitung berücksichtigen. Betroffene Unternehmen müssten der CPPA regelmäßig Risikobewertungen vorlegen, in denen das Ziel der Verarbeitung dargelegt und der Nutzen für alle Beteiligten gegen die Risiken für den Verbraucher abgewogen wird.

CPRA und grenzüberschreitende Datenübertragungen

Darüber hinaus besteht eine kleine, aber bemerkenswerte Chance, dass CPRA vorübergehend dazu beitragen könnte, Herausforderungen rund um die Ungültigkeitserklärung des EU-US-Datenschutzschildes.

Bestimmte Bestimmungen der CPRA – wie das Recht des Verbrauchers auf Berichtigung, Aufbewahrungspflichten, Zweckbindung und Datenminimierung – könnten dazu beitragen, den Staat Kalifornien zu einer „angemessenen“ Gerichtsbarkeit im Rahmen der DSGVO zu machen für grenzüberschreitende DatenübertragungenDa zwischen den USA und der EU ein Handelsvolumen von über 1 Billion Tonnen auf dem Spiel steht, könnte Kalifornien sich zum zentralen Datenhosting-Hub entwickeln.

Was bedeutet CPRA für die Datenschutzlandschaft – und als Bundesgesetz?

Mit Blick auf die Zukunft ist unklar, welche Auswirkungen CPRA auf die allgemeine Datenschutzlandschaft haben wird – insbesondere im Hinblick auf Bundesgesetzgebung.

Einerseits wird die neue Version des kalifornischen Datenschutzgesetzes im Januar 2023 in Kraft treten und rückwirkend bis Januar 2020 eine Kontrolle über die Datenpraktiken eines Unternehmens ermöglichen. Da zwischen der nationalen Verabschiedung und Umsetzung zwei Jahre liegen, könnte das CPRA dem Kongress den nötigen Anstoß geben, bundesweite US-Datenschutzgesetze umzusetzen.

Darüber hinaus werden wir im Jahr 2021 wahrscheinlich eine Wiederbelebung der Datenschutzgesetze erleben – wie zum Beispiel die Gesetzentwurf zum Washington Privacy Act, das zum dritten Mal in der staatlichen Legislative aufgetaucht ist und Elemente aus sowohl CCPA als auch GDPR.

Die Branche beobachtet auch aufmerksam die umstrittene State Uniform Law Commission (ULC) Vorschlagsentwurf, die die Bundesstaaten möglicherweise als Vorbild für ihre eigene Datenschutzgesetzgebung übernehmen könnten. Sollten CPRA und andere Datenschutzvorschläge umgesetzt werden, wird der Ruf nach einem Bundesmandat noch lauter werden. 

Schauen Sie sich den BigID-Leitfaden zur CPRA-Konformität an um mehr über die Neuigkeiten in CPRA zu erfahren – und wie man Bereiten Sie Ihr Unternehmen auf die CPRA-Konformität vor.

Inhalt