Viele Organisationen versuchen verzweifelt, den California Consumer Privacy Act von 2018 zu verstehen, den der kalifornische Gesetzgeber im Juni 2018 verabschiedet hat. Er tritt am 1. Januar 2020 in Kraft. Der kalifornische Generalstaatsanwalt ist für die Durchsetzung des Gesetzes verantwortlich.
Der California Consumer Privacy Act (CCPA) gewährt den Einwohnern Kaliforniens viele neue Rechte hinsichtlich der Erfassung und Verwendung ihrer personenbezogenen Daten.
Die Folgen einer Nichteinhaltung der CCPA-Anforderungen können schmerzhaft sein. Für jeden Verstoß kann eine Zivilstrafe von bis zu 14.750 US-Dollar verhängt werden. Einwohner Kaliforniens können zudem bis zu 14.750 US-Dollar pro Vorfall oder tatsächlichem Schaden erhalten, je nachdem, welcher Betrag höher ist.
Organisationen müssen dieses kalifornische Datenschutzgesetz und die praktischen Möglichkeiten zu seiner Einhaltung verstehen.
Es ist wichtig zu bedenken, dass sich das Gesetz 2019 ändern könnte. Das Gesetz wurde 2018 nach nur einer Woche Debatte im Parlament rasch verabschiedet. Im nächsten Jahr wird der kalifornische Gesetzgeber voraussichtlich umfangreiche Lobbyarbeit und Änderungsanträge von verschiedenen Organisationen erhalten, die personenbezogene Daten von Einwohnern Kaliforniens sammeln und verwenden. Das Gesetz verpflichtet den Generalstaatsanwalt Kaliforniens außerdem, spezifische Richtlinien zu entwickeln, wie Organisationen muss CCPA einhalten.
Verstehen Sie, wie CCPA auf Ihr Unternehmen zutrifft
Der erste Schritt besteht darin, festzustellen, ob und wie das kalifornische Datenschutzgesetz auf Ihre Organisation anwendbar ist. Der CCPA gilt für alle Organisationen, die personenbezogene Daten von Einwohnern Kaliforniens erfassen und mindestens einen der folgenden Schwellenwerte erfüllen:
- verfügt über einen jährlichen Bruttoumsatz von über $25 Millionen;
- jährlich die personenbezogenen Daten von 50.000 oder mehr Einwohnern, Haushalten oder Geräten Kaliforniens kauft, erhält, verkauft oder weitergibt; und
- erzielt 50% oder mehr seines Jahresumsatzes durch den Verkauf personenbezogener Daten von Einwohnern Kaliforniens.
Das Gesetz gewährt Einwohnern Kaliforniens die folgenden Grundrechte gegenüber Organisationen, die dem CCPA unterliegen – im Folgenden als abgedeckte Organisationen bezeichnet:
- das Recht, von einer betroffenen Organisation die Offenlegung der Kategorien und spezifischen Arten personenbezogener Daten zu verlangen, die sie über Einwohner Kaliforniens sammelt, der Arten von Quellen, aus denen diese Daten gesammelt werden, der Geschäftszwecke für die Sammlung oder den Verkauf der Daten und der Kategorien von Drittparteien, mit denen die Daten geteilt werden;
- das Recht, die Löschung der gesammelten personenbezogenen Daten zu verlangen;
- das Recht, dem Verkauf der gesammelten personenbezogenen Daten zu widersprechen; und
- das Recht auf gleichen Service und Preis, wenn CCPA-Rechte ausgeübt werden.
Das Gesetz untersagt den betroffenen Organisationen außerdem den Verkauf personenbezogener Daten von Einwohnern Kaliforniens unter 16 Jahren, es sei denn, diese Einwohner genehmigen den Verkauf ausdrücklich.
Obwohl das kalifornische Datenschutzgesetz nur für personenbezogene Daten von Einwohnern Kaliforniens gilt, erfassen viele betroffene Organisationen personenbezogene Daten von Einwohnern mehrerer Bundesstaaten. Diese Organisationen müssen entscheiden, ob sie alle personenbezogenen Daten gemäß den CCPA-Anforderungen verarbeiten oder separate Prozesse erstellen, um nur die personenbezogenen Daten von Einwohnern Kaliforniens zu verarbeiten.
Weil andere Staaten oft nachahmen Kalifornische Datenschutzgesetze – wie zum Beispiel bei der Meldung von Datenschutzverletzungen – und Kunden außerhalb Kaliforniens möglicherweise nicht mit einem geringeren Schutz ihrer persönlichen Daten einverstanden sind, ist es wahrscheinlich, dass viele betroffene Organisationen zu dem Schluss kommen, dass ein gemeinsamer Ansatz für den Umgang mit den persönlichen Daten ihrer Kunden das Beste ist.
Erstellen Sie ein persönliches Informationsinventar
CCPA definiert im weitesten Sinne Personenbezogene Daten sind Informationen, die „einen bestimmten Verbraucher [Einwohner Kaliforniens] oder Haushalt identifizieren, sich auf ihn beziehen, ihn beschreiben, mit ihm in Verbindung gebracht werden können oder vernünftigerweise direkt oder indirekt mit ihm verknüpft werden könnten.“ Beispiele für personenbezogene Daten sind:
- persönliche Kennungen, einschließlich Ihres richtigen Namens, Ihrer Postanschrift, E-Mail-Adresse, Sozialversicherungsnummer, Führerscheinnummer oder Passnummer;
- biometrische Informationen;
- Geolokalisierungsdaten;
- Internet-Browserverlauf;
- berufliche oder arbeitsbezogene Informationen; und
- Aus persönlichen Informationen werden Schlussfolgerungen gezogen, um ein Profil über einen Einwohner Kaliforniens zu erstellen.
Um geeignete Kontrollen und Prozesse zum Schutz personenbezogener Daten zu implementieren, müssen betroffene Organisationen ein Verzeichnis erstellen, das festlegt und abbildet, wie und wann diese Informationen erhoben, verwendet, gespeichert und vernichtet werden und wie sie innerhalb und außerhalb der Organisation fließen. Für eine betroffene Organisation wird es schwierig sein, das kalifornische Datenschutzgesetz einzuhalten, wenn sie nicht versteht, welche personenbezogenen Daten sie besitzt und welche damit verbundenen Datenverarbeitungsprozesse sie schützen muss.
Eine Bestandsaufnahme personenbezogener Daten kann auch dabei helfen, Möglichkeiten zur Pseudonymisierung oder Anonymisierung der erfassten personenbezogenen Daten zu ermitteln.
Kleinere abgedeckte Organisationen können ihre gesammelten persönlichen Daten möglicherweise manuell inventarisieren, größere abgedeckte Organisationen müssen jedoch wahrscheinlich ein Datenzuordnungstool wie OneTrust oder BigID verwenden.
Implementieren Sie bewährte Methoden zur Cybersicherheit
Die Einhaltung des CCPA verpflichtet betroffene Organisationen zur Implementierung geeigneter Sicherheitskontrollen und -prozesse zum Schutz personenbezogener Daten. Das Gesetz ermöglicht es Einwohnern Kaliforniens, Entschädigungen zu erhalten, wenn ihre personenbezogenen Daten „unbefugtem Zugriff, Exfiltration, Diebstahl oder Offenlegung ausgesetzt sind, weil das Unternehmen gegen die Pflicht zur Implementierung und Aufrechterhaltung angemessener Sicherheitsverfahren und -praktiken verstoßen hat.“
Die Kontrollen variieren zwischen den betroffenen Organisationen, abhängig von der Art und Menge der von ihnen gesammelten personenbezogenen Daten und den Prozessen, die für die Interaktion mit den Daten verwendet werden. Die betroffenen Organisationen sollten Verwenden Sie eine risikobasierte Ansatz, der persönliche Informationen angemessen schützt und gleichzeitig die notwendige Geschäftsverarbeitung und -speicherung ermöglicht.
Sie müssen das Rad nicht neu erfinden. Richten Sie Ihr Cybersicherheitsprogramm auf eine weit verbreitete und anerkannte Reihe von Best Practices für Cybersicherheit aus, wie zum Beispiel das NIST Rahmenwerk für Cybersicherheit oder die Critical Security Controls des Center for Internet Security. Unternehmen können auch einen Branchenstandard für Cybersicherheit wie PCI DSS einhalten. Auf diese Weise kann Ihr Unternehmen nachweisen, dass es angemessene und sinnvolle Maßnahmen zum Schutz personenbezogener Daten implementiert hat und bewährte Sicherheitspraktiken befolgt.
Entwickeln Sie einen Reaktions- und Benachrichtigungsprozess bei Datenschutzverletzungen
Um dem kalifornischen Datenschutzgesetz zu entsprechen, müssen betroffene Organisationen auf Datenschutzverletzungen vorbereitet sein. Klar definierte und dokumentierte Verfahren, die für Ihr Unternehmen angemessen und realistisch sind, erleichtern eine schnelle und koordinierte Reaktion erheblich.
Ihr Verfahren bei Verstößen gegen den Schutz personenbezogener Daten sollte im Wesentlichen Folgendes umfassen:
- ein detailliertes Verfahren, wie Sie den Generalstaatsanwalt von Kalifornien und die entsprechenden Geschäftspartner benachrichtigen, welche Art von Informationen die Benachrichtigung enthält und wer in Ihrer Organisation die Benachrichtigung vornimmt, wenn es zu einer Verletzung des Schutzes personenbezogener Daten kommt; und
- ein detailliertes Verfahren, wie Einwohner Kaliforniens, die von einer Verletzung des Schutzes personenbezogener Daten betroffen sind, benachrichtigt werden und wie schnell die Benachrichtigung erfolgt.
Betroffene Organisationen sollten im Voraus sorgfältig Kommunikations- und Eindämmungsprozesse definieren. Dies mitten in einer Sicherheitsverletzung herauszufinden, kann stressig und zeitaufwändig sein.
Testen Sie die Prozesse Ihres Unternehmens im Falle einer Datenschutzverletzung mindestens einmal jährlich sorgfältig. Sie sollten sie nicht erst bei einer tatsächlichen Datenschutzverletzung ausprobieren.
Datenschutz ist sehr wichtig geworden. Die DSGVO trat im Mai 2018 in Kraft und jetzt CCPA steht vor der TürOrganisationen, die personenbezogene Daten erfassen oder verarbeiten, müssen sich auf eine verstärkte Kontrolle und Regulierung ihrer Praktiken im Umgang mit personenbezogenen Daten und deren Schutz vorbereiten. Mit sorgfältiger Analyse, Planung und Gestaltung können betroffene Organisationen die CCPA erfolgreich einhalten.