Das kalifornische Verbraucherschutzgesetz (California Consumer Privacy Act) tritt am 1. Januar 2020 in Kraft. Das bedeutet, dass Kalifornien in weniger als zwei Monaten als erster Bundesstaat ein klares und präzise definiertes Datenschutzgesetz einführen wird. Das CCPA soll die Datenschutzrechte und den Verbraucherschutz für die Einwohner Kaliforniens verbessern und hat eine weit gefasste Definition dessen, was als private Daten gilt. Lesen Sie weiter, um alles über das CCPA und seine Auswirkungen auf Ihr Geschäft oder Ihre persönlichen Informationen zu erfahren.
Was ist das CCPA?
Offiziell als AB-375 bezeichnet, wurde das kalifornische Verbraucherschutzgesetz (California Consumer Privacy Act) mit dem Ziel entworfen, einen Schutz für eine Gruppe von US-Bürgern gegen das Ernten und Verkaufen ihrer persönlichen Daten ohne deren Wissen zu etablieren. Das Gesetz wurde am 28. Juni letzten Jahres verabschiedet und unterzeichnet. Oft als "Kaliforniens GDPR" bezeichnet, verspricht dieses kalifornische Datenschutzgesetz dringend benötigte Änderungen in Bezug auf Datensicherheit und Verbraucherschutz. Während das kalifornische Informationsschutzgesetz nur für Unternehmen gilt, die Waren oder Dienstleistungen an Einwohner Kaliforniens verkaufen, könnte seine Anwendung außerhalb der USA die weltweite Verbreitung ähnlicher Gesetze erheblich beschleunigen.
Natürlich gibt es, da dieses kalifornische Datensicherheitsgesetz für einen anderen Standort als die GDPR erstellt wurde, einige wesentliche Unterschiede zwischen den beiden. Der Hauptunterschied liegt im Gesamtumfang und der territorialen Reichweite jedes Gesetzes sowie in den Definitionen der geschützten Daten. Ein weiterer wesentlicher Unterschied zwischen den beiden Gesetzen besteht darin, dass das CCPA in einigen Fällen nur Informationen berücksichtigt, die von den Nutzern bereitgestellt werden, während die GDPR immer alle persönlichen Daten abdeckt, unabhängig von der Quelle oder ob die Informationen öffentlich waren. Dies macht die GDPR zu einem viel umfassenderen Gesetz als das CCPA.
Welche Unternehmen betrifft das CCPA?
Das kalifornische Datenschutzgesetz definiert klar, auf welche Art von Unternehmen es zutrifft. Das Gesetz betrifft jedes Unternehmen, das Geschäfte in Kalifornien tätigt, und die einzige Möglichkeit, sich davon abzumelden, besteht darin, das Geschäft aufzugeben. Dieses Gesetz wird für jedes Unternehmen durchsetzbar sein, das mit kalifornischen Verbrauchern zu tun hat und mindestens eine der folgenden drei CCPA-Anforderungen erfüllt:
- Hat einen jährlichen Bruttoumsatz von mehr als 25 Millionen US-Dollar;
- Hat eine Datenbank von 50.000 oder mehr Nutzern, Haushalten oder Geräten;
- Erzielt mehr als die Hälfte seines Jahresumsatzes durch den Verkauf von Nutzerdaten.
Zusätzlich zu diesen drei Schwellenwerten besagen die kalifornischen Datenschutzanforderungen, dass jede Organisation verpflichtet ist, "angemessene Sicherheitsverfahren und -praktiken zu implementieren und aufrechtzuerhalten", um den Schutz der Nutzerdaten zu gewährleisten. Jedes Unternehmen, das in eine dieser Kategorien fällt und die CCPA-Anforderungen nicht erfüllt, könnte die folgenden Sanktionen und Rechtsmittel erleiden:
- Geldstrafen von bis zu 7.500 US-Dollar für jede absichtliche Verletzung und bis zu 2.500 US-Dollar für jede unbeabsichtigte Verletzung;
- Unternehmen, Verbände, Aktivisten und andere können ihr Recht auf Abmeldung im Namen der Einwohner Kaliforniens ausüben;
- Unternehmen, die Opfer von Datendiebstahl oder ähnlichen Sicherheitsverletzungen werden, können zur Zahlung von gesetzlichen oder tatsächlichen Schäden verurteilt werden, je nachdem, welcher Betrag höher ist.
Mit einer solchen Regelung könnten selbst einige große Unternehmen Schwierigkeiten mit der Einhaltung des kalifornischen Online-Datenschutzgesetzes haben. Unternehmen wie Facebook und Google, deren gesamte Geschäftsmodelle auf der Sammlung persönlicher Informationen basieren, könnten stark leiden, wenn nur ein Bruchteil ihrer Nutzer verlangt, die gesammelten Informationen einzusehen und zu löschen. Insbesondere Facebook hat im Laufe der Jahre schwere Rückschläge erlitten, und es wird interessant sein zu sehen, wie die Plattform mit der bevorstehenden Gesetzgebung umgehen wird.
Eine einfache Möglichkeit, Datenverletzungen und resultierende Geldstrafen für die Nichteinhaltung zu verhindern, ist die Nutzung der Hideez Enterprise Solution. Unsere unkomplizierten Sicherheitsfunktionen entsprechen dem CCPA und umfassen Phishing-Prävention, zentrale Bereitstellung und Deaktivierung von Zugangsdaten für ehemalige Mitarbeiter und mehr. Unsere All-in-One-Identitäts- und Zugriffsmanagementlösung stellt sicher, dass nur autorisierte Benutzer auf sensible Daten zugreifen können. Minimieren Sie den menschlichen Faktor, ohne den Alltag Ihrer Mitarbeiter zu verkomplizieren.
Welche Daten deckt das CCPA ab?
Aus dem, was wir bisher über die kalifornischen Datenschutzanforderungen gelernt haben, können wir sagen, dass diese bevorstehende Regelung in der Definition "persönliche Informationen, die Kalifornische Einwohner oder Haushalte identifizieren oder mit ihnen verknüpft werden könnten" zusammengefasst werden kann. Um vollständig zu verstehen, was das bedeutet, müssen wir auch wissen, was der Begriff "persönliche Informationen" umfasst. In der aktuellen Form des CCPA umfasst dieser Ausdruck:
- Individuelle Kennungen wie den echten Namen, Adresse, Sozialversicherungsnummer, Führerscheinnummer, Passnummer, IP-Adresse, E-Mail-Adresse oder jede ähnliche eindeutige Kennung;
- Kommerzielle Informationen wie Aufzeichnungen über Dienstleistungen, Produkte oder persönliches Eigentum, die gekauft, erworben oder in Betracht gezogen wurden;
- Online- oder elektronische Netzwerkinformationen einschließlich Suchverlauf, Browsing-Tendenzen und Interaktionen mit einer Website, Anwendung oder Anzeige;
- Audio-, visuelle, thermische oder ähnliche Informationen;
- Biometrische Daten, Bildungs- oder beschäftigungsbezogene Informationen;
- Geolokationsdaten.
In Übereinstimmung mit den oben genannten Informationen ist es wichtig zu bedenken, dass das CCPA jeden Einwohner Kaliforniens abdeckt. Das bedeutet, dass die in diesem Gesetz enthaltenen Regelungen jede Person betreffen, die sich aus anderem Grund als einem vorübergehenden Aufenthalt im Bundesstaat Kalifornien befindet. Noch wichtiger ist, dass eine so weit gefasste Formulierung des Begriffs "persönliche Informationen" auch bedeutet, dass diese Gesetzgebung kalifornische Einwohner auch dann abdeckt, wenn sie in anderen US-Bundesstaaten reisen.
Was bedeutet das CCPA für die Sicherheit?
Obwohl einige Datensicherheitsunternehmen ihre Bedenken geäußert haben, dass die CCPA-Anforderungen zu schwer durchzusetzen sein werden, haben viele Unternehmen, die im Bundesstaat Kalifornien tätig sind, bereits begonnen, Änderungen an ihren Datenrichtlinien vorzunehmen. Fakt ist, dass das CCPA zweifellos die aktuelle Landschaft des Datenschutzes verbessern wird.
Verbraucher-Datenschutzstatistiken zeigen, dass es unter den Verbrauchern eine wachsende Besorgnis über ihre Online-Privatsphäre und Sicherheit gibt. Das CCPA wird sicherstellen, dass die Gesetze zum Verkauf persönlicher Informationen, die derzeit in Kraft sind, transparent angewendet werden, was dazu beitragen wird, die Datenschutzbedenken der Verbraucher zu lindern. Mit anderen Worten, jedes Unternehmen, das persönliche Informationen verwaltet oder verkauft, wird verpflichtet sein, die Informationen offenzulegen und den Kunden die Möglichkeit zu geben, sich abzumelden und ihre persönlichen Daten aus der Datenbank des Unternehmens löschen zu lassen.
Mehrere Gesetzesänderungen folgten bereits der Verabschiedung des CCPA. Obwohl das endgültige noch durchgesetzt werden muss, wird dieses Verbraucherschutzgesetz zweifellos die Art und Weise ändern, wie Unternehmen Benutzerdaten betrachten.