Das Datenschutz-Startup Ethyca war im Vorfeld des 1. Juli – dem Tag, an dem der California Consumer Privacy Act in Kraft trat – sehr beschäftigt.
Von April bis Juni verzeichnete das in New York ansässige Unternehmen einen Anstieg der Nachfrage um 1501 TP3T im Vergleich zum Vormonat. Dies sei ein Hinweis darauf, dass sich viele Unternehmen mit Hochdruck auf die Durchsetzung des CCPA vorbereiteten, sagte Mitbegründer und CEO Cillian Kieran.
Obwohl das Gesetz bereits seit Jahresbeginn in Kraft ist, kann der Generalstaatsanwalt des Bundesstaates, Xavier Becerra, nun direkt gegen Unternehmen vorgehen, die gegen die Vorschriften verstoßen.
Mehrere Startups hatten gehofft, Kalifornien würde den Inkrafttretenstermin des Gesetzes verschieben. Doch nachdem Becerra sich dagegen entschieden hatte, mussten die Unternehmen sicherstellen, dass sie genügend finanzielle Reserven für Datenschutzlösungen hatten, um die nächsten Monate zu überstehen, sagte Kieran.
„Es liegt sicherlich nicht an mangelnder Sorge um den Datenschutz, sondern an der Frage der Prioritätensetzung“, erklärte er. „Wenn Unternehmen während einer Pandemie wirtschaftlich zu kämpfen haben, ist es sehr schwierig, Datenschutzprobleme anzugehen, die nicht gerade umsatzgenerierend sind.“
Ethyca entwickelt eine Datenschutz-Cloud, die in Anwendungen wie Shopify, Zendesk und Stripe integriert werden kann, um die Datenzuordnung zu automatisieren, individuelle Verbraucheranfragen zu verfolgen und Berichte gemäß den Datenschutzbestimmungen zu erstellen.
Der CCPA gilt für Unternehmen mit einem Jahresumsatz von mehr als 1425 Millionen TP25 Millionen sowie für Unternehmen, die Daten von 50.000 oder mehr Verbrauchern, Haushalten oder Geräten erfassen. Er gilt auch für Unternehmen, die mindestens 501 TP3 Billionen Umsatz mit dem Verkauf von Verbraucherinformationen erzielen.
Berichten zufolge werden fast 751.000 Unternehmen im Bundesstaat Kalifornien von dem Gesetz betroffen sein.
Der CCPA soll kalifornischen Verbrauchern Kontrolle über ihre personenbezogenen Daten geben, beispielsweise das Recht auf Auskunft, Löschung und Widerspruch gegen den Verkauf personenbezogener Daten, die Unternehmen erheben. Wenn ein Verbraucher bei einem Unternehmen eine Anfrage stellt, um zu erfahren, welche personenbezogenen Daten weitergegeben werden, haben Unternehmen in der Regel 45 Tage Zeit, um zu antworten.
Wenn Unternehmen nicht reagieren können, kann der Generalstaatsanwalt sie wegen allgemeiner Verstöße strafrechtlich verfolgen. Kalifornien gibt ihnen 30 Tage Zeit, die Verstöße zu beheben. Andernfalls drohen ihnen Strafen von 14 Billionen TP2.500 pro unbeabsichtigtem Verstoß und 14 Billionen TP7.500 pro vorsätzlichem Verstoß.
Damit Startups richtig auf Verbraucheranfragen reagieren können, müssen sie zunächst verstehen, welche Verbraucherinformationen sie sammeln, und feststellen, wer darauf Zugriff hat und warum, sagte Kieran.
Anschließend müssen sie Methoden entwickeln, die es Verbrauchern ermöglichen, Anfragen zu stellen, Mitarbeiter in der Informationsbeschaffung schulen und geeignete Sicherheitsverfahren einsetzen, um das Risiko von Strafen zu minimieren.
Kleinere Unternehmen tendieren typischerweise dazu, sich mit manuellen Vorgängen zufrieden zu geben, wenn sie damit durchkommen, sagt Dimitri Sirota, Mitbegründer und CEO der Datenschutz-Compliance-Plattform BigID.