Als Führungskraft sollte Ihr Hauptaugenmerk darauf liegen, die Bedürfnisse Ihrer Kunden so gut wie möglich zu erfüllen, um sie langfristig zu binden. Früher bedeutete das, einwandfreie Produkte zum richtigen Preis anzubieten.
Heute bedarf es jedoch viel mehr, um moderne Verbraucher zu überzeugen. Zum Beispiel muss Ihre Marke klaren Werten zuzuordnen sein, und die Kundenerfahrung muss reibungslos und attraktiv sein. Und angesichts der jüngsten Probleme mit Cybersicherheit und Datenschutzverletzungen müssen Verbraucher wissen, dass sie Ihnen unbesorgt ihre Daten anvertrauen können.
Laut einer Studie des Pew Research Center ist die Besorgnis über die Datennutzung durch Unternehmen unter Amerikanern weit verbreitet, zumindest äußerten sich 79 % entsprechend. Infolgedessen sind die meisten Verbraucher nur bereit, ihre Daten an bestimmte Marken weiterzugeben.
Um seine Einwohner zu schützen, hat der Bundesstaat Kalifornien einen besonders fortschrittlichen und strengen Ansatz zur Datenschutzregulierung gewählt. An der Spitze dieser Bemühungen steht der California Consumer Privacy Act (CCPA), der 2018 verabschiedet wurde und im Januar 2020 in Kraft trat.
Doch in Zukunft müssen Unternehmen, die sich an Einwohner Kaliforniens richten, noch strengere Vorschriften einhalten. Der Grund dafür ist der California Privacy Rights Act von 2020, eine Erweiterung des CCPA.
In Anbetracht der Folgen und möglichen Auswirkungen ist es wichtig, den genauen Inhalt des CPRA zu kennen und sich darauf vorzubereiten. In diesem Artikel erfahren Sie alles Wissenswerte über den CPRA.
Bevor wir darauf eingehen, was der CPRA für Ihr Unternehmen bedeutet, sollten wir uns den aktuellen Stand der kalifornischen Datenschutzbestimmungen ansehen. Da der CPRA auf dem CCPA aufbaut, ist es wichtig, zuerst das letztere Gesetz zu verstehen.
CCPA war eine Reaktion auf den öffentlichen Aufruhr nach großen Datenleckskandalen. Das Gesetz gibt kalifornischen Einwohnern mehr Kontrolle über ihre persönlichen Daten durch folgende Maßnahmen:
Das Gesetz gilt für alle gewinnorientierten Unternehmen, die in Kalifornien geschäftlich tätig sind, unabhängig davon, ob sie dort einen physischen Standort haben. Bei einem Verstoß gegen die Vorschriften droht eine Geldstrafe von bis zu 7.500 US-Dollar pro Vorfall.
Der CPRA ist eine Erweiterung des CCPA und wurde 2020 von den kalifornischen Wählern verabschiedet. Das Gesetz tritt im Januar 2023 in Kraft und gibt den Einwohnern Kaliforniens noch mehr Kontrolle über ihre Daten.
Er baut auf den bereits bestehenden Vorschriften des CCPA auf, enthält aber auch neue Bestimmungen, die darauf abzielen, die Privatsphäre der Verbraucher weiter zu schützen. Zum Beispiel wird im Rahmen des CPRA:
Darüber hinaus wird der CPRA auch die Definition von personenbezogenen Daten beispielsweise auf IP-Adressen, biometrische Daten und Geolokalisierungsdaten erweitern.
Nein, der CPRA ersetzt den CCPA nicht. Stattdessen baut er auf bestehenden Vorschriften auf, um einen noch stärkeren Rahmen für den Schutz der Privatsphäre der Verbraucher zu schaffen. Unternehmen, die mit dem CCPA konform sind, müssen auch den CPRA einhalten, wenn er 2023 in Kraft tritt.
Nachdem Sie nun die Grundzüge des CPRA kennen, schauen wir uns genauer an, was das Gesetz beinhaltet.
Wie schon erwähnt, baut er auf den bereits bestehenden Vorschriften des CCPA auf, enthält aber auch neue Bestimmungen, die den Datenschutz der Verbraucher noch erhöhen.
Der CPRA gilt für alle gewinnorientierten Unternehmen, die in Kalifornien geschäftlich tätig sind und personenbezogene Daten von kalifornischen Einwohnern erfassen, unabhängig davon, ob sie dort auch einen physischen Standort haben.
Darüber hinaus sind im Rahmen des CPRA weniger Unternehmen zur Einhaltung der Vorschriften verpflichtet. Diejenigen, für die er gilt, müssen jedoch viel mehr tun, um damit konform zu sein.
Nach der Inkrafttretung:
Eine weitere wichtige Änderung, die der CPRA mit sich bringt, ist die Erweiterung der Definition sensibler personenbezogener Daten. Demnach gehört in diese Kategorie Folgendes:
Dies ist eine bedeutende Erweiterung gegenüber dem CCPA, wo nur Sozialversicherungs- und Führerscheinnummern in diese Kategorie zählten.
Die erweiterte Definition sensibler personenbezogener Daten bedeutet, dass Unternehmen besondere Sorgfalt walten lassen müssen, um diese Art von Daten zu schützen. Sie benötigen außerdem die ausdrückliche Zustimmung des Verbrauchers, bevor sie Daten sammeln, verwenden oder weitergeben.
Neben einer breiteren Definition sensibler Informationen werden durch den CPRA auch die Verbraucherrechte erweitert. Er räumt den Einwohnern Kaliforniens folgende Rechte ein:
Dies ähnelt den Rechten, die der CCPA etabliert hat. Doch der CPRA geht noch einen Schritt weiter, indem er den Verbrauchern das Recht gibt, zu bestimmen, wie Unternehmen ihre Daten verwenden dürfen.
Wenn beispielsweise ein Verbraucher gemäß des CPRA den Verkauf seiner Daten ablehnt, müssen Sie dem Folge leisten. Anders als bei dem CCPA reicht es also nicht, Kunden darüber zu informieren, wie Sie ihre Daten verwenden, sondern müssen zuerst ihre Zustimmung einholen.
Gemäß den geltenden kalifornischen Datenschutzgesetzen müssen Unternehmen einen Link „Do Not Sell My Personal Information“ (Meine persönlichen Daten nicht verkaufen) auf der Homepage anzeigen. Dieser sollte zu einer speziellen Seite führen, auf der Verbraucher ihr Recht auf Ablehnung des Datenverkaufs ausüben können.
Gemäß CPRA müssen Sie auch einen zweiten Link mit dem Titel „Limit The Use of My Sensitive Personal Information“ (Die Verwendung meiner sensiblen personenbezogenen Daten einschränken) hinzufügen. Er sollte auf eine spezielle Seite führen, auf der Verbraucher bestimmen können, wie Sie ihre Daten nutzen dürfen. Sie können auch andere Optionen bereitstellen, mit denen sie ihre Entscheidung ausdrücken können, solange die Absicht klar ist.
Unter dem CPRA wird die California Privacy Protection Agency (CPPA) als eine neue staatliche Behörde eingerichtet, um die Vorschriften durchzusetzen. Die CPPA ist befugt, für jeden Verstoß Bußgelder von bis zu 75.000 US-Dollar zu verhängen. Und sie kann auch zivilrechtlich gegen Unternehmen vorgehen, die gegen das Gesetz verstoßen.
Dies ist ein großer Schritt, wenn man bedenkt, dass der CCPA die Durchsetzung noch dem Generalstaatsanwalt überlassen hat. Die CPPA wird über mehr Mitarbeiter verfügen und für die Durchsetzung besser gerüstet sein als die Generalstaatsanwaltschaft.
Der CCPA ermöglicht es Verbrauchern, den Verkauf ihrer Daten abzulehnen. Der CPRA geht noch einen Schritt weiter, da er Einzelpersonen das Recht einräumt, die Offenlegung oder Weitergabe ihrer Daten an Dritte abzulehnen, unabhängig davon, ob dafür Geld fließt.
Im Zeitalter von Big Data ist Data Profiling für Unternehmen von unschätzbarem Wert. Es hilft ihnen, Anzeigen gezielt zu schalten, Inhalte zu personalisieren und das Kundenerlebnis zu verbessern.
CPRA bedeutet jedoch einige Einschränkungen für die automatisierte Entscheidungsfindung. Sie ist zwar weiterhin möglich, doch die Unternehmen müssen zuerst die ausdrückliche Zustimmung der Verbraucher einholen. Zudem müssen sie erklären, wie der Prozess funktioniert, und zwar auf eine leicht verständlich Weise.
Der CPRA wird den Verbrauchern auch das Recht einräumen, ungenaue oder unvollständige Daten, die Unternehmen über sie gespeichert haben, korrigieren zu lassen. Dies steht in krassem Gegensatz zum CCPA, bei dem es Verbrauchern nur möglich war, die Löschung ihrer Daten zu beantragen.
Wenn ein Verbraucher jetzt der Meinung ist, dass einige Ihrer Informationen über ihn falsch sind, kann er Sie kontaktieren und verlangen, den Fehler zu beheben. Wenn Sie der Aufforderung nicht nachkommen, kann er eine Beschwerde bei der CPPA einreichen.
Wie vom CCPA vorgeschrieben, müssen Unternehmen detaillierte Erläuterungen zu den von ihnen gesammelten Daten, ihrer Verwendung und ihrer Weitergabe an andere Parteien geben. Aber das ist noch nicht alles. Für jede Datenkategorie müssen Sie die betroffene Person darüber informieren, wie lange die Daten aufbewahrt werden bzw. müssen Sie die Methoden zur Bestimmung der Dauer erläutern.
Darüber hinaus wird der CPRA einige Beschränkungen auferlegen, wie lange Unternehmen Verbraucherdaten speichern dürfen. Dies ist nur so lange zulässig, wie es zur Erreichung des Zwecks, für den sie erhoben wurden, erforderlich ist.
Dies ist eine der wichtigsten Änderungen gegenüber dem CCPA, der es Unternehmen erlaubte, Daten bis zu sieben Jahre lang aufzubewahren. Der CPRA wird Unternehmen dazu zwingen, ihre Datenaufbewahrungspraktiken neu zu bewerten und sicherzustellen, dass sie den zulässigen Zeitrahmen nicht überschreiten.
Zusätzlich zu den Hauptmerkmalen der Verordnung bedeutet der CPRA auch noch einige weitere wichtige Neuerungen, darunter:
Der CPRA wurde als „Kalifornische DSGVO“ bezeichnet. Doch obwohl einige Ähnlichkeiten zwischen den beiden Vorschriften bestehen, gibt es auch einige wesentliche Unterschiede.
Erstens hat der CPRA einen viel engeren Geltungsbereich als die DSGVO. Ihm unterliegen nur Unternehmen, die in Kalifornien geschäftlich tätig sind oder die Daten von Einwohnern Kaliforniens verarbeiten. Die DSGVO hingegen gilt für jedes Unternehmen, das die Daten von EU-Bürgern verarbeitet, unabhängig davon, wo sie ihren Sitz haben.
Zweitens räumt der CPRA den Verbrauchern mehr Rechte ein als die DSGVO. Beispielsweise gibt er ihnen das Recht, die Offenlegung oder Weitergabe ihrer Daten an Dritte abzulehnen, unabhängig davon, ob dafür Geld fließt. Die DSGVO erlaubt es Einzelpersonen nur, die Verwendung personenbezogener Daten für Marketingzwecke abzulehnen.
Und schließlich ist der CPRA viel nachsichtiger, wenn es um die Durchsetzung geht. Die Höchststrafe für einen CPRA-Verstoß beträgt 75.000 US-Dollar, während das Maximum für einen DSGVO-Verstoß bei 20 Millionen Euro (ca. 24 Millionen US-Dollar) liegt.
Der CPRA ist das umfassendste Datenschutzgesetz in den Vereinigten Staaten. Und andere Bundesstaaten werden wahrscheinlich dem Beispiel Kaliforniens folgen und eigene Gesetze verabschieden, die ihm ähneln. Das heißt, dass die CPRA-Compliance nicht nur empfehlenswert ist, sondern unerlässlich für Unternehmen, die ihrer Zeit voraus sein wollen.
Wenn Ihr Unternehmen personenbezogene Daten von Einwohnern Kaliforniens erfasst, müssen Sie sich jetzt auf den CPRA vorbereiten. Auf diese Weise haben Sie keine Probleme mit der Einhaltung, wenn das Gesetz 2023 in Kraft tritt.
Wenn Ihr Unternehmen dem CCPA unterliegt, sind Sie in Bezug auf die Einhaltung des CPRA bereits gut aufgestellt. Doch es gibt noch einige wichtige Schritte, die Sie unternehmen müssen.
Bevor Sie CPRA-konform sein können, müssen Sie zunächst feststellen, wo noch Nachbesserungen nötig sind. Führen Sie eine Lückenanalyse durch, um Bereiche zu finden, in denen Ihre Datenschutzpraktiken nicht den CPRA-Standards entsprechen.
Sobald Sie wissen, was geändert werden muss, können Sie Ihre Datenschutzrichtlinie aktualisieren. Stellen Sie sicher, dass Ihre Richtlinie klar und prägnant ist und alle erforderlichen Punkte enthalten. Geben Sie an, welche personenbezogenen Daten Sie erfassen und warum, wie Sie sie verwenden und wie lang die Aufbewahrungsdauer ist.
Nachdem Sie Ihre Datenschutzrichtlinie aktualisiert haben, ist es an der Zeit, auch Ihre Datenverarbeitungspraktiken anzupassen. Wenn der CPRA Änderungen bei der Art der Datenerfassung oder -verarbeitung vorschreibt, stellen Sie sicher, dass Sie diese in Ihren Systemen und Prozessen berücksichtigen.
Ihre Mitarbeiter sind bei der CPRA-Compliance von entscheidender Bedeutung. Sie müssen hinsichtlich des Gesetzes und der Datenschutzpraktiken Ihres Unternehmens auf dem neuesten Stand sein. Jeder von ihnen sollte wissen, was bei personenbezogenen Daten erlaubt ist und was nicht, und auch die Bestimmungen des CPRA zur Ablehnung durch den Verbraucher verstehen.
Der CPRA sieht im Vergleich zum CCPA mehr personenbezogene Daten als sensibel an. Dazu gehören nun Rasse, ethnische Zugehörigkeit, sexuelle Orientierung und Gesundheitsdaten. Sie müssen alle Arten identifizieren, auf die Sie diesen Datentyp erfassen und nutzen. Dann können Sie feststellen, ob die Verwendungen jeweils CPRA-konform sind.
Eine Datenkarte hilft Ihnen dabei, den Überblick über alle erfassten personenbezogenen Daten zu behalten, woher sie kommen und wohin sie gehen. Dies ist ein wertvolles Tool für die CPRA-Compliance, weil Sie auf einen Blick sehen können, ob die CPRA-Anforderungen erfüllt werden oder nicht.
Laut CPRA sind Unternehmen verpflichtet, bestimmte Angaben zu machen, bevor sie die personenbezogenen Daten ihrer Kunden zu erheben. Dazu gehören die Kontaktinformationen Ihres Unternehmens und eine Beschreibung der CPRA-Rechte des Kunden.
Sie müssen auch seine ausdrückliche Zustimmung einholen, bevor Sie sensible personenbezogene Daten des Kunden erfassen. Fügen Sie also die vorgeschriebenen Links zur Ablehnung und zu Ihrer Nutzung personenbezogener Daten hinzu.
Wenn Sie personenbezogene Daten an Dritte weitergeben, müssen Sie Verträge mit ihnen haben, die die CPRA-Konformität gewährleisten. Darin sollte festgelegt sein, dass der Dritte die Daten nur zu den im Vertrag festgelegten Zwecken verwendet und dass er die Daten gemäß den Anforderungen des CPRA schützt.
In Anbetracht der Folgen mangelnder Compliance ist es von entscheidender Bedeutung, regelmäßig Datenschutzrisikoanalysen durchzuführen. Die beste Lösung dafür ist eine Tag-Management-Software. Diese hilft Ihnen, Risiken zu erkennen und zu bewerten, damit Sie Abhilfe schaffen können.
Darüber hinaus hilft Ihnen die Tag-Management-Software, Einwilligungen zu verwalten, Ablehnungen zu tracken und Berichte zu erstellen. Diese Funktionen sind von unschätzbarem Wert, wenn Sie CPRA-konform werden möchten.
Es gibt mehrere potenzielle Fallstricke, wenn es um die Durchsetzung des CPRA und um Rechtsstreitigkeiten geht. Um diese zu vermeiden, müssen Sie mit dem Gesetz sowie Ihren Rechten und Pflichten vertraut sein.
Einige Punkte, über die Sie informiert sein sollten:
Bei der Datenminimierung geht es darum, nur die Daten zu sammeln und zu speichern, die Sie für einen bestimmten Zweck benötigen. Dies ist eine gute CPRA-Compliance-Strategie, da es das Risiko von Datenlecks und der unbefugten Nutzung personenbezogener Daten verringert.
Sicherheit sollte für jedes Unternehmen oberste Priorität haben, ist jedoch besonders wichtig, wenn es um den Umgang mit personenbezogenen Daten geht. Der CPRA verlangt von Unternehmen angemessene Sicherheitsvorkehrungen, um die personenbezogenen Daten vor unbefugtem Zugriff, Zerstörung oder Nutzung zu schützen.
Hier sind einige Möglichkeiten, um die Sicherheit zu verbessern:
Das Erreichen der CPRA-Compliance mag mühselig klingen, aber es lohnt sich. Für Unternehmen sind viele Vorteile damit verbunden, darunter:
Angesichts der bevorstehenden CPRA-Einführung ist es von entscheidender Bedeutung, dass Sie Ihre Richtlinien und Verfahren zur Daten-Compliance und -Governance verbessern. Bedenken Sie dabei, dass mit der Zeit weitere Datenschutzvorschriften hinzukommen können. Es geht somit nicht nur um die CPRA-Konformität, sondern auch um die Implementierung optimaler Datenverarbeitungspraktiken.
Vor diesem Hintergrund ist es wichtig, über gute Datenarchivierungsfunktionen zu verfügen, um relevante Informationen aufzubewahren und schneller abrufen zu können. An dieser Stelle kommt eine Lösung wie das Veritas Digital Compliance-Portfolio ins Spiel.
Die Datenarchivierung unterstützt Sie bei der Indizierung, Suche und Prüfung von Daten und gewährleistet gleichzeitig die Sicherheit und den Datenschutz der Informationen.
Das Portfolio umfasst auch Data Insight, das mithilfe von maschinellem Lernen sensible Daten im gesamten Netzwerk eines Unternehmens identifiziert. Mit dieser Lösung erhalten Sie einen Überblick darüber, wie Daten verwendet, weitergegeben und abgerufen werden und können somit Maßnahmen ergreifen, um Risiken abzuschwächen und die Compliance zu verbessern.
Der CPRA ist ein komplexes Gesetz mit vielen Anforderungen. Andere Bundesstaaten werden wahrscheinlich dem Beispiel Kaliforniens folgen und eigene Gesetze verabschieden, die ihm ähneln. Das heißt, dass die CPRA-Compliance nicht nur empfehlenswert ist, sondern unerlässlich für Unternehmen, die ihrer Zeit voraus sein wollen.
Wenn Ihr Unternehmen personenbezogene Daten von Einwohnern Kaliforniens erfasst, müssen Sie sich jetzt auf den CPRA vorbereiten. Auf diese Weise haben Sie keine Probleme mit der Einhaltung, wenn das Gesetz 2023 in Kraft tritt.
Führen Sie eine Lückenanalyse durch, um Bereiche zu finden, in denen Ihre Datenschutzpraktiken nicht den CPRA-Standards entsprechen, und aktualisieren Sie Ihre Datenschutzrichtlinie entsprechend. Das Erreichen der CPRA-Compliance mag mühselig klingen, aber es lohnt sich.
Kontaktieren Sie uns noch heute , um mehr darüber zu erfahren, wie wir Ihr Unternehmen in Compliance-Fragen unterstützen können.
Zu den Veritas-Kunden zählen 95% der Fortune 100-Unternehmen, und NetBackup™ ist die erste Wahl für Unternehmen, die große Datenmengen schützen müssen.
Erfahren Sie, wie Veritas mit Tools und Services für die Datensicherung in Unternehmen Ihre Daten in virtuellen, physischen, Cloud- und Legacy-Workloads umfassend schützt.