Unternehmen, die nicht bereit sind für den kalifornischen CCPA Privacy Act | VPNoverview.com

Unternehmen in Kalifornien bemühen sich, die umfassenden Anforderungen des neuen California Consumer Privacy Act (CCPA) zu verstehen und zu erfüllen. Dies ist keine Überraschung, da dies auch in den Monaten vor Inkrafttreten der europäischen Allgemeinen Datenschutzverordnung (DSGVO) der Fall war. Mit dem Stichtag 1. Januar 2020, gleich um die Ecke, läuft jedoch die Zeit für Unternehmen ab, die in Kalifornien geschäftlich tätig sind oder über personenbezogene Daten von Einwohnern Kaliforniens verfügen. Selbst mit einer sechsmonatigen Nachfrist, bevor Ermittlungen und Durchsetzungsmaßnahmen der Regierung beginnen, gibt es Anlass zur Sorge.


Datenregulierung a Work in Progress

In den USA ist die Datenregulierung noch in Arbeit. Seit 2018 haben mehrere Staaten Gesetze eingeführt und verabschiedet, die einen Teil des Schutzes der DSGVO widerspiegeln. Andere, insbesondere die Gesetze von Kalifornien und in geringerem Maße von Vermont, zielen darauf ab, den Verbrauchern einen umfassenderen Schutz zu bieten und über die Regeln für die Benachrichtigung über Datenschutzverletzungen hinauszugehen. Ähnlich wie bei der DSGVO bietet das umfassende kalifornische Verbraucherschutzgesetz den Benutzern eine Reihe neuer Rechte bei der Kontrolle ihrer Daten.

Ab dem 1. Januar 2020 haben Einwohner Kaliforniens das Recht:

  • Wissen, welche persönlichen Daten gesammelt werden
  • Wissen, ob und an wen ihre persönlichen Daten verkauft oder weitergegeben werden
  • Sagen Sie “Nein” zum Verkauf ihrer persönlichen Daten
  • Greifen Sie auf ihre persönlichen Daten zu
  • Fordern Sie ein Unternehmen auf, alle persönlichen Daten zu löschen
  • Nicht für die Ausübung dieser Rechte diskriminiert werden

Ein weiterer Unterschied zu den bestehenden Datenschutzgesetzen in den meisten Bundesstaaten besteht darin, dass die CCPA für alle gemeinnützigen Organisationen (oder Unternehmen, die solche Unternehmen kontrollieren oder von diesen kontrolliert werden) gilt – unabhängig von ihrem Standort -, die Geschäfte in Kalifornien tätigen und / oder über Informationen verfügen auf kalifornische Einwohner.

Unternehmen müssen die CCPA-Anforderungen erfüllen, wenn sie eines der folgenden Kriterien erfüllen:

  • Generieren Sie einen jährlichen Bruttoumsatz von mehr als 25 Millionen US-Dollar
  • Besitzen Sie personenbezogene Daten von mehr als 50.000 Verbrauchern, Haushalten oder Geräten
  • Verdienen Sie mehr als die Hälfte des Jahresumsatzes Ihres Unternehmens mit dem Verkauf personenbezogener Daten

Schätzungsweise 500.000 US-Unternehmen erfüllen eine oder mehrere dieser Anforderungen und müssen diese daher erfüllen.

Monumentale Verschiebung der US-Datenschutzbestimmungen

Die CCPA markiert eine monumentale Verschiebung der US-Datenschutzbestimmungen. Derzeit ist die Datenregulierung immer noch ein Flickenteppich aus verschiedenen Regeln und Vorschriften in verschiedenen Staaten und Sektoren. Für die meisten Verbraucher ist es unmöglich, ihre Rechte zu verfolgen. Auf der anderen Seite haben viele Unternehmen Schwierigkeiten, die gesetzlichen Vorschriften einzuhalten und zu begrüßen. Im September äußerten 51 Top-CEOs von Unternehmen wie Amazon, IBM, Dell, SAP und JP Morgan Chase ihre Bedenken in einem offenen Brief an den Kongress, in dem sie die politischen Entscheidungsträger aufforderten, umfassende Datenschutzgesetze für Verbraucher zu verabschieden.

In den kommenden Monaten werden zweifellos alle Augen auf Kalifornien gerichtet sein. Nicht nur viele der Top-Tech-Unternehmen mit Sitz in Silicon Valley und Palo Alto, darunter Apple, Alphabet Inc. und Google. Mit einem BIP von 3 Billionen US-Dollar (2018) ist es auch das Kronjuwel in der Wirtschaft der Vereinigten Staaten vor Ländern wie Indien und Großbritannien.

Ab Januar 2020 wird Kalifornien auch die strengsten Datenschutzgesetze der USA haben, vergleichbar mit der DSGVO, aber auch in gewisser Weise anders. Ähnlich wie die DSGVO qualifiziert die CCPA „Online-Kennungen“ wie Ihre IP-Adresse als persönliche Informationen sowie Geräte-IDs. Ein wesentlicher Unterschied besteht darin, dass die CCPA auch Informationen berücksichtigt, die mit „einem Haushalt“ verknüpft werden können und nicht unbedingt eine Person dieses Haushalts. Überraschenderweise wird zwischen personenbezogenen Daten eines Verbrauchers (einschließlich) und personenbezogenen Daten, die von einem Dritten gekauft oder erworben wurden (größtenteils ausgeschlossen), unterschieden, während dennoch ein Opt-out-Recht für den Verkauf personenbezogener Daten angeboten wird.

Die Einhaltung der CCPA stellt erhebliche Herausforderungen

Für die meisten Unternehmen erfordern diese Datenschutzbestimmungen große Änderungen an Technologie und Prozessen. Sie müssen verstehen, welche Regeln für sie gelten, und herausfinden, wie sie ihre Daten am besten verwalten können. Kein Wunder, dass das neue CA-Datenschutzgesetz Unternehmen jeder Größe vor eine Reihe von Compliance-Herausforderungen stellt, sei es im Hinblick auf den Verkauf personenbezogener Daten, Zugriffsrechte für betroffene Personen, Datensicherheit und Einhaltung von Datenschutzbestimmungen oder Datenschutzrichtlinien.

Leider scheint den meisten Unternehmen eine klare Roadmap zu fehlen. Das Datenschutztechnologieunternehmen Ethyca hat kürzlich eine Studie durchgeführt, um die unterschiedlichen Herangehensweisen von Unternehmen an Datenschutz und Compliance zu verstehen. Der Bericht zeigt, dass nur 12% der Befragten der Meinung sind, einen angemessenen Konformitäts- oder Konformitätsbereitschaftszustand erreicht zu haben, was bedeutet, dass 88% „nicht bereit“ sind. Mehr als 70% haben keine technische Lösung und verlassen sich auf Arbeitsstunden und nachgerüstete Prozesse. Die grundlegende Datenzuordnung ist für Unternehmen im Frühstadium nach wie vor das größte Problem. Start-ups verfügen am seltensten über formalisierte Datenschutzressourcen und -prozesse.

Genau wie wir es im Datenskandal von Facebook-Cambridge Analytica gesehen haben, summieren sich die Geldbußen leicht. Im Rahmen der CCPA können alle Verstöße und nicht konformen Parteien mit Geldstrafen bestraft werden, wenn ein Verstoß auftritt. Von 750 US-Dollar pro betroffenem Benutzer für zivilrechtliche Schäden bis zu 2.500 US-Dollar für Personen ohne Vorsatz und 7.500 US-Dollar pro Verstoß, falls beabsichtigt.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me