Der CCPA, California Consumer Privacy Act, ist seit dem 1. Juli des letzten Jahres rechtlich durchsetzbar. Es handelt sich um das erste bedeutende Datenschutzgesetz in den USA, das sich auf die Kontrolle personenbezogener Daten durch Verbraucher bezieht. Und obwohl seit der offiziellen rechtlichen Durchsetzung des CCPA noch nicht einmal ein Jahr vergangen ist, haben die Kalifornier bereits für das Folgegesetz gestimmt, das California Privacy Rights Act (CPRA) genannt wird.
Warum sind diese Änderungen am CCPA bedeutend, und wie unterscheidet sich der CPRA vom CCPA? Und vor allem, wie werden sich die Änderungen am CCPA auf die Durchsetzung des Datenschutzes auswirken? Auf dieser Seite werden wir alle neuen Änderungen diskutieren, um festzustellen, wie der CPRA den CCPA ändern würde.
Was ist das neue kalifornische Datenschutzgesetz (CPRA)?
Im November 2020 wurde der neue California Privacy Rights Act von den Wählern mit 56 % zu 44 % genehmigt. Obwohl die bestehende CCPA-Gesetzgebung dem Staat helfen sollte, ein strengeres Datenschutzgesetz zu erlassen, bringt das neue Gesetz strengere Gesetzgebungen mit sich, die denen der GDPR näher kommen als die bestehende CPPA.
Das Hauptziel der neuen Vorschriften gemäß dem CPRA ist es, die Datenschutzanforderungen zu verschärfen und das Gesamtrisiko an anderen Punkten, die im vorherigen Gesetz genannt wurden, zu reduzieren. Die neue Gesetzgebung tritt am 1. Januar 2023 in Kraft, und die rechtliche Durchsetzung beginnt sechs Monate danach. Das bedeutet, dass Unternehmen ab diesem Zeitpunkt zwei Jahre Zeit haben, sich auf das neue Gesetz vorzubereiten.
CPRA vs. CCPA. Was ist der Unterschied?
Es herrscht in der Öffentlichkeit oft die Meinung vor, dass der CPRA ein völlig neues Gesetz ist, was nicht der Fall ist. Der Hauptunterschied zwischen der alten Version und der neuen besteht in einem stärkeren Verbraucherschutz und präziseren Fragen zur CPRA-Konformität für Unternehmen. In diesem Sinne handelt es sich bei dieser neuen Gesetzgebung um eine Erweiterung des bestehenden Gesetzes. Um mit dem CPRA konform zu sein, haben Unternehmen mehr Verantwortlichkeiten als unter dem CCPA.
Der CPRA wird oft als CCPA 2.0 angesehen. Wenn Sie jedoch die Regeln und Richtlinien durchgelesen haben, werden Sie auch feststellen, dass diese Gesetzgebung starke Ähnlichkeiten mit der Datenschutz-Grundverordnung (GDPR) aufweist. Es enthält ähnliche Elemente, die Sie in den Richtlinien zur GDPR-Konformität finden können, obwohl die Anforderungen und Definitionen des CPRA etwas breiter gefasst sind.
Abgesehen von den Unterschieden ist die entscheidende Ähnlichkeit zwischen beiden, dass die Konformität nicht nur auf den Bundesstaat Kalifornien beschränkt ist. Sie erstreckt sich weltweit und gilt für jeden kalifornischen Einwohner, unabhängig von seinem genauen Aufenthaltsort zu einem bestimmten Zeitpunkt. Wenn Ihre Website Kaliforniern den Zugang nicht blockiert, ist die Konformität erforderlich.
Durchsetzung und Strafen des CPRA
Eine bedeutende Neuerung ist die Einführung der California Privacy Protection Agency, einer unabhängigen Aufsichtsbehörde, die durch den CPRA etabliert wurde. Die Hauptaufgabe der CalPPA ist es sicherzustellen, dass Unternehmen und Verbraucher über ihre Rechte und Pflichten gemäß den Bestimmungen des CPRA gut informiert sind.
Die CalPPA wird das Büro des Generalstaatsanwalts als Hauptregulierungsbehörde zur Kontrolle der Umsetzung der CPRA-Regeln ablösen. In Bezug auf die Strafen werden diese für Verstöße gegen Minderjährige unter 16 Jahren verdreifacht (Strafe erhöht auf 7.500 USD). Darüber hinaus wird das private Klagerecht der Verbraucher erweitert, um E-Mail-Adressverletzungen abzudecken, die in Kombination mit einem Passwort und einer Sicherheitsfrage und -antwort erfolgten, die den Zugriff auf das Konto ermöglichen.
Obwohl all dies für den durchschnittlichen Geschäftsinhaber überwältigend erscheinen mag, werden Unternehmen, die bereits auf das vorherige Gesetz vorbereitet waren, nur minimale Auswirkungen durch die neuen CPRA-Datenschutzregeln und -richtlinien verspüren.
Unternehmen, die bereits die vorherigen Anforderungen erfüllen, insbesondere die der GDPR, müssen keine signifikanten Änderungen vornehmen. Auf der anderen Seite werden Unternehmen, die bisher keine Änderungen implementiert haben, einen harten Weg vor sich haben.
Die bedeutendste Änderung, die Unternehmen vornehmen müssen, betrifft die Minimierung personenbezogener Informationen. Gemäß dem CRPA müssen Unternehmen auch strengere Anforderungen an die Datenfreigabe erfüllen. Sie müssen ihren kalifornischen Kunden die Möglichkeit bieten, der Weitergabe ihrer personenbezogenen Daten an Dritte zu widersprechen. Natürlich führt diese strenge Datenpolitik auch zu zusätzlichen Kosten für die Datensammlung für Unternehmen.
Tipps zur Einhaltung des CPRA
Als die Nachrichten über die Änderungen am CCPA zum ersten Mal bekannt wurden, waren viele Unternehmen über die vermeintlich bedeutenden Änderungen der ursprünglichen CCPA-Konformitätsanforderungen besorgt. Und obwohl neue Gesetzgebungen große und bedeutende Änderungen mit sich bringen, sind diese Änderungen nicht unbedingt schlecht.
Unternehmen, die zuvor die erforderlichen Schritte zur CCPA-Konformität unternommen haben, befinden sich in einer ausgezeichneten Position, um auch den Anforderungen des CPRA gerecht zu werden. Hier sind einige Tipps, die Ihnen helfen werden, die CPRA-Anforderungen zu erfüllen:
- Identifizieren Sie alle sensiblen personenbezogenen Daten - Die neuen CPRA-Regeln führen den Begriff "sensible persönliche Informationen" ein. Dies ist ein sehr breiter Begriff, der fast alle Ihre identifizierbaren persönlichen Daten umfasst, einschließlich genetischer und biometrischer Daten.
- Erzwingen Sie eine strengere Löschrichtlinie - Die Änderung erfordert von allen Unternehmen, die persönlichen Informationen ihrer Benutzer nach ihrem Zweck zu löschen. Neben der Einhaltung des CPRA durch regelmäßiges Löschen von Daten schützen Sie auch Ihr Unternehmen, denn je weniger Daten Sie haben, desto weniger können Sie bei einem Sicherheitsverstoß verlieren.
- Überprüfen Sie Vereinbarungen mit Dritten - Die neue Gesetzgebung legt auch großen Wert auf Datenschutzpflichten gegenüber Auftragnehmern, Dienstleistern und anderen Dritten. Am bedeutendsten ist, dass alle Verkäufe, Weitergaben und Offenlegungen personenbezogener Daten gemäß einem Vertrag erfolgen müssen.
- Ermitteln Sie, ob es neue Ausnahmen gibt - Abgesehen von den oben genannten CPRA-Konformitätstipps gibt es noch eine weitere Sache zu beachten. Das neue Gesetz fügt teilweise Ausnahmen hinzu, die in der vorherigen Version nicht enthalten waren. Dazu gehören bestimmte Ausnahmen für Haushaltsdaten, Bildungs- und Testdatensätze sowie andere spezifische personenbezogene Daten.
- Führen Sie MFA für Anmeldungen ein - Die CPRA-Regeln heben insbesondere Anmeldeinformationen hervor. Um diese neue Änderung zu erfüllen, ist der beste Weg, Multi-Faktor-Authentifizierung zu implementieren, um sicherzustellen, dass Anmeldeinformationen nicht automatisch Zugang zum Benutzerkonto und den persönlichen Daten bieten.
Bereiten Sie sich mit Hideez auf den CPRA vor
Trotz Bedenken, dass der CPRA möglicherweise zu robust und kompliziert ist, um ihm zu entsprechen, bietet er einen zuverlässigen Mechanismus, der Unternehmen Kontrolle über sensible Benutzerinformationen ermöglichen kann. Es handelt sich um eine willkommene Vorschrift, die zweifellos dazu beitragen wird, die globale Cyberresilienz in Zukunft zu verbessern, und Hideez kann Ihnen bei der Einhaltung des CPRA helfen.
Unsere Cybersicherheitsexperten haben eine umfassende Authentifizierungslösung für Unternehmen entwickelt, die für eine wesentlich stärkere Informationssicherheit sowie die Einhaltung interner und externer Richtlinien in allen Branchen sorgt.
Die Sicherheitstoken Hideez Key 3 und Hideez Key 4 können den MFA-Prozess vereinfachen und ein passwortloses Anmeldeerlebnis für Mitarbeiter bieten. Mit einem Knopfdruck können sie automatisch Einmalpasswörter eingeben, ohne ihr Telefon herausnehmen, Anwendungen ausführen, ihre Konten suchen und endlos Passwörter eingeben zu müssen. Ein einzelner Hideez Key kann bis zu 1.000 Passwörter speichern, PCs mit einem Näherungssensor sperren/entsperren und RFID-fähige Büros oder andere Türen öffnen, die weit über den Besitz des zweiten Faktors hinausgehen und einen digitalen All-in-One-Schlüssel für Mitarbeiter bieten.
Um mehr über unsere Unternehmenslösungen zu erfahren, kontaktieren Sie uns bitte unter Kontakt oder vereinbaren Sie eine kostenlose Demo.