In den zurückliegenden zehn Jahren waren Cyberbedrohungen wohl das größte Problem für Unternehmen und Verbraucher. Aus diesem Grund ist der Datenschutz im Internet für 92 % der Amerikaner ein wichtiges Anliegen. Als Reaktion darauf verabschiedete Kalifornien am 28. Juni 2018 den California Consumer Privacy Act (CCPA), der den Verbrauchern mehr Kontrolle über ihre Daten gibt.
Das Gesetz trat am 01. Januar 2020 in Kraft und wird von der kalifornischen Generalstaatsanwaltschaft durchgesetzt. Alle Unternehmen, die personenbezogene Daten von in Kalifornien ansässigen Personen erheben, sind daran gebunden.
In diesem Artikel erfahren Sie alles Wichtige über den CCPA und seine Auswirkungen auf Ihr Unternehmen.
Der California Consumer Privacy Act (CCPA) ist ein Gesetz, das Einwohnern Kaliforniens das Recht einräumt, zu erfahren, welche personenbezogenen Daten über sie gesammelt werden, das Recht auf Löschung dieser Daten und das Recht, ihren Verkauf abzulehnen.
Das Gesetz gilt für alle gewinnorientierten Unternehmen, die in Kalifornien tätig sind und eines oder mehrere der folgenden Kriterien erfüllen:
Es gibt vier Hauptanforderungen für Unternehmen:
Darüber hinaus müssen Unternehmen auf ihrer Homepage einen klaren und gut sichtbaren Link mit dem Titel "Do Not Sell My Personal Information" (Meine personenbezogenen Daten nicht verkaufen) bereitstellen, der Verbraucher zu einer Seite führt, auf der sie den Verkauf ablehnen können.
Im Vergleich zur DSGVO fasst der CCPA die Definition von vertraulichen Daten breiter. Während sich die DSGVO auf den Schutz bestimmter Daten konzentriert, befasst sich das kalifornische Gesetz eher damit, was vertrauliche Informationen sind.
Dazu gehören zum Beispiel Geruchsdaten, der Surf-Verlauf und Aufzeichnungen über Benutzeraktivitäten. Gemäß AB 375 bezieht sich der Begriff "personenbezogene Daten" auf:
Die kalifornische Generalstaatsanwaltschaft verfolgt jeden Verstoß gegen den CCPA strafrechtlich und kann zivilrechtliche Strafen von bis zu 2.500 USD pro Verstoß oder 7.500 USD pro vorsätzlichem Verstoß verhängen.
Der CCPA gewährt Verbrauchern außerdem das Recht, eine Privatklage einzureichen, wenn ihre persönlichen Daten aufgrund fehlender angemessener Sicherheitsmaßnahmen bei einem Unternehmen verletzt werden. In solchen Fällen können Verbraucher Schadensersatz in Höhe von bis zu 750 Dollar pro Person und Vorfall oder den tatsächlichen Schaden geltend machen, je nachdem, welcher Betrag höher ist.
Ein" Dritter" ist definiert als eine Person oder Organisation, die nicht dem CCPA unterliegt. Dazu gehören Unternehmen, die davon befreit sind, und Dienstleister, die personenbezogene Daten im Namen eines Unternehmens verarbeiten.
Zu den Dritten können auch Datenmakler gehören, bei denen es sich um Unternehmen handelt, die personenbezogene Daten kaufen und verkaufen. Sie unterliegen derzeit noch nicht dem CCPA, was sich 2023 jedoch ändern wird.
Die wichtigste Ausnahme gilt für Unternehmen, die anderen Datenschutzgesetzen wie dem Gramm-Leach-Bliley Act (GLBA) oder dem Health Insurance Portability and Accountability Act (HIPAA) unterliegen.
Zu den weiteren CCPA-Ausnahmen gehören:
Weitere Ausnahmen gibt es für Unternehmen mit einem Jahresumsatz von weniger als 25 Millionen USD, Unternehmen, die keine personenbezogenen Daten verkaufen, und Unternehmen, die nur eine begrenzte Menge an personenbezogenen Daten erfassen.
Der CCPA bietet einen gewissen Spielraum bei der Compliance. Es ist jedoch wichtig zu beachten, dass das Gesetz für alle Unternehmen gilt, die personenbezogene Daten von in Kalifornien ansässigen Personen erfassen.
Der CCPA wird mitunter als kalifornische DSGVO bezeichnet. Das stimmt jedoch nicht. Zwar dient die Datenschutz-Grundverordnung ebenfalls dem Schutz der Datenrechte (von EU-Bürgern), unterscheidet sich aber in mehreren Punkten vom CCPA.
Erstens gilt der CCPA nur für personenbezogene Daten, während die DSGVO für alle Arten von Daten gilt, sowohl personenbezogene als auch nicht personenbezogene.
Zweitens gibt er Verbrauchern das Recht zu erfahren, welche personenbezogenen Daten über sie gesammelt werden, das Recht auf Löschung dieser Daten und das Recht, ihren Verkauf abzulehnen. Unter der DSGVO haben Verbraucher all diese Rechte und außerdem das Recht auf Zugriff auf ihre personenbezogenen Daten, das Recht auf Meinungsänderung (Einwilligung) und das Recht, eine Kopie ihrer Daten in einem übertragbaren Format zu erhalten.
Drittens gilt der CCPA nur für Unternehmen, die personenbezogene Daten von in Kalifornien ansässigen Personen erfassen oder verkaufen. Die DSGVO gilt für jedes Unternehmen, das die Daten von EU-Bürgern verarbeitet oder zu verarbeiten beabsichtigt, unabhängig davon, wo sich das Unternehmen befindet.
Viertens gilt der CCPA für Unternehmen erst ab einem Jahresumsatz von über 25 Millionen US-Dollar. Die DSGVO gilt für Unternehmen jeder Größe, die die Daten von EU-Bürgern verarbeiten oder zu verarbeiten beabsichtigen.
Die Aufsichtsbehörden werden Unternehmen, die gegen das Gesetz verstoßen, auffordern, dies innerhalb von 30 Tagen zu beheben. Anderenfalls wird für jeden Datensatz eine Geldstrafe von bis zu 7.500 USD verhängt.
7.500 USD mögen für große Unternehmen wenig erscheinen, doch kann diese Zahl exponentiell steigen, wenn man die Anzahl der betroffenen Datensätze pro Verstoß berücksichtigt.
Darüber hinaus erlaubt der CCPA Verbrauchern, eine Privatklage einzureichen, wenn ihre nicht verschlüsselten oder nicht zensierten persönlichen Daten aufgrund eines Verstoßes gegen den CCPA unbefugt eingesehen, ausgeschleust, gestohlen oder offengelegt wurden.
Das bedeutet, dass einzelne Verbraucher Unternehmen auf Schadensersatz verklagen könnten, und das kann teuer werden. Auch der Generalstaatsanwalt hat das Recht, eine Zivilklage gegen Unternehmen wegen Gesetzesverstößen einzureichen.
Doch es drohen nicht nur Geldstrafen für Unternehmen, die gegen CCPA verstoßen, sondern auch Reputationsschäden. Verbraucher werden sich ihrer Datenschutzrechte zunehmend bewusst und wenden sich mit größerer Wahrscheinlichkeit von Unternehmen ab, die sie nicht einhalten.
Darüber hinaus schreibt das kalifornische Datenschutzgesetz vor, dass auf Websites die klar erkennbare Option in der Fußzeile vorhanden sein muss, mit der Verbraucher der Weitergabe ihrer Daten widersprechen können. Andernfalls können Strafen zwischen 100 und 750 US-Dollar pro Verstoß verhängt werden. Auch in diesem Fall haben Verbraucher die Möglichkeit, Klage zu erheben.
Neben Strafen und Klagen stehen Unternehmen auch vor weiteren Kosten im Zusammenhang mit Verstößen. Dazu gehört etwa die Benachrichtigung von Verbrauchern über den Verstoß, die Bereitstellung von Überwachungsdiensten für die Kreditauskunft und der Umgang mit dem Vorfall aus PR-Perspektive.
All diese Kosten können sich summieren, und sie unterstreichen die Bedeutung der CCPA-Compliance. Wenn Sie die Gesetze kennen und Maßnahmen zur Einhaltung ergreifen, können Sie Ihr Unternehmen vor kostspieligen Strafen und Rufschädigung schützen.
Da so viel auf dem Spiel steht, müssen Unternehmen den CCPA verstehen und die notwendigen Schritte unternehmen, um die Compliance zu gewährleisten.
Die CCPA-Compliance ist keine leichte Aufgabe, aber Unternehmen können einige Maßnahmen dafür ergreifen.
Der erste Schritt besteht darin, festzustellen, ob die Vorschriften des CCPA für Ihr Unternehmen relevant sind. Sie gelten für jedes gewinnorientierte Unternehmen, das in Kalifornien tätig ist und eines oder mehrere der folgenden Kriterien erfüllt:
Wenn der CCPA Ihr Unternehmen betrifft, müssen Sie handeln, um die Einhaltung der Vorschriften sicherzustellen.
Der nächste Schritt besteht darin, die personenbezogenen Daten zu identifizieren, die Ihr Unternehmen erfasst und speichert. CCPA definiert personenbezogene Daten als "Informationen, die einen bestimmten Verbraucher oder Haushalt identifizieren, sich auf ihn beziehen, ihn beschreiben, mit ihm in Verbindung gebracht werden können oder vernünftigerweise direkt oder indirekt mit ihm in Verbindung gebracht werden könnten".
Dazu gehören Namen, Anschriften, E-Mail-Adressen, Telefonnummern, Sozialversicherungsnummern, Führerscheinnummern und mehr. Sobald Sie solche Daten identifiziert haben, müssen Sie Maßnahmen zu ihrem Schutz ergreifen.
CCPA verlangt von Unternehmen angemessene Sicherheitsvorkehrungen, um die personenbezogenen Daten von Verbrauchern vor unbefugtem Zugriff, Zerstörung, Nutzung, Änderung oder Offenlegung zu schützen. Dies kann etwa durch Verschlüsselung und Beschränkung des Zugriffs nur auf autorisierte Mitarbeiter geschehen.
Für die Gewährleistung der CCPA-Compliance müssen Sie auch die bestehenden Rahmenbedingungen für Datenschutz und Informationssicherheit prüfen. Beispielsweise müssen Sie über eine Richtlinie zur Datenspeicherung verfügen, verstehen, auf welche Art Ihr Unternehmen personenbezogene Daten erfasst und verwendet werden, und sicherstellen, dass Verbraucher ihre gesetzlichen Rechte ausüben können.
Der CCPA gibt Verbrauchern das Recht zu erfahren, welche personenbezogenen Daten über sie gesammelt werden und wie diese verwenden werden, das Recht auf Löschung dieser Daten und das Recht, ihre Weitergabe abzulehnen.
Sie müssen über entsprechende Richtlinien und Verfahren für alle diese Punkte verfügen.
CCPA-Compliance ist Teamarbeit. Es ist wichtig, alle Teams und Abteilungen darin einzubeziehen, von der IT bis zur Marketingabteilung.
Der CCPA wird für jede davon unterschiedliche Pflichten nach sich ziehen. Zum Beispiel muss das Marketingteam darauf achten, dass es keine personenbezogenen Daten auf eine Weise erfasst oder verwendet, die der CCPA verbietet. Das IT-Team muss sicherstellen, dass personenbezogene Daten ordnungsgemäß geschützt sind.
Sobald Sie alle Teams und Abteilungen eingebunden haben, müssen Sie einen Plan für CCPA-Compliance erstellen. Darin sollten die Schritte enthalten sein, mit denen Ihr Unternehmen CCPA-konform wird, wer dafür verantwortlich ist, und wie Sie die Compliance überwachen werden.
Es ist wichtig zu wissen, dass der CCPA kein statisches Gesetz ist. Es unterliegt ständigen Veränderungen und neue Vorschriften können jederzeit hinzugefügt werden. Daher ist es wichtig, dass Sie Ihren CCPA-Compliance-Plan regelmäßig überprüfen, damit er auf dem neuesten Stand bleibt.
Wenn Sie sich darauf vorbereiten, CCPA-konform zu werden, ist mit betrieblichen Unterbrechungen auf allen Ebenen des Unternehmens zu rechnen. Um eine erfolgreiche CCPA-Einführung zu gewährleisten, ist es wichtig, eine dedizierte Task Force einzurichten.
Diese ist nicht nur für die Entwicklung und Umsetzung des CCPA-Compliance-Plans verantwortlich, sondern schult auch die Mitarbeiter bezüglich des CCPA, damit alle ihre gesetzlichen Verpflichtungen kennen.
Sobald Sie einen CCPA-Compliance-Plan entwickelt haben, müssen Sie die darin festgelegten Richtlinien und Verfahren implementieren, mit deren Hilfe Ihr Unternehmen die Gesetze einhalten kann.
Einige Dinge, die Sie möglicherweise in Ihren CCPA-Compliance-Plan aufnehmen möchten, umfassen Richtlinien zur Datenaufbewahrung, Opt-out-Verfahren und Schulungsprogramme.
Der CCPA gilt für Einwohner Kaliforniens. Es ist jedoch nicht sinnvoll, separate Sicherheits-Frameworks für Kunden in anderen Bundesstaaten zu haben. Vielmehr sollten Sie für jeden Kunden die CCPA-Vorschriften anwenden, um konform zu bleiben.
Dies beinhaltet z. B., dass alle persönlichen Daten ordnungsgemäß gesichert sind und nur autorisierte Mitarbeiter Zugriff darauf haben. Außerdem ist sicherzustellen, dass Verbraucher ihre Rechte gemäß CCPA unabhängig von ihrem Wohnsitz ausüben können.
Auf diese Weise schützen Sie das Unternehmen vor dem Aufwand, sich an die Sicherheitsstandards anderer Bundesstaaten anzupassen, wenn diese nach und nach in Kraft treten.
Die Einhaltung des CCPA sollte nicht als einmaliges Ereignis betrachtet werden. Stattdessen sollte sie in Ihre Unternehmenskultur integriert werden, als ein fortlaufender Prozess, der regelmäßig überprüft und bei Bedarf aktualisiert wird.
Eine Möglichkeit, dies zu umzusetzen, besteht darin, die CCPA-Compliance zu einem Bestandteil des Onboarding-Prozesses für neue Mitarbeiter zu machen. Das gewährleistet, dass auch sie ihre gesetzlichen Verpflichtungen kennen und verstehen.
Durch Integration der CCPA-Compliance in Ihre Unternehmenskultur können Sie dazu beitragen, dass die Einhaltung als Priorität angesehen wird und dass sich die Mitarbeiter stets ihrer gesetzlichen Verpflichtungen bewusst sind.
Wie auch bei anderen Aspekten spielen die Mitarbeiter eine zentrale Rolle, wenn es für Ihr Unternehmen darum geht, CCPA-konform zu werden und zu bleiben. Dafür sind angemessene Maßnahmen nötig, damit die Mitarbeiter den CCPA verstehen und wissen, was er für ihre Tätigkeit bedeutet.
Es empfiehlt sich z. B., regelmäßige CCPA-Schulungen für alle Mitarbeiter durchzuführen, damit sie über den Inhalt des CCPA und seine Auswirkungen auf ihre tägliche Arbeit informiert sind.
Durch regelmäßige Mitarbeiterschulungen können Sie sicherstellen, dass Mitarbeiter hinsichtlich des CCPA stets auf dem Laufenden sind und ihre Pflichten im Rahmen des Gesetzes kennen.
Last but not least müssen Sie die Einhaltung des CCPA überwachen. Dies umfasst die regelmäßige Prüfung Ihres Rahmens für Datenschutz und Informationssicherheit, die Sicherstellung, dass Verbraucher ihre Rechte gemäß CCPA ausüben können, und die Überwachung auf Änderungen.
Nur so können Sie sicherstellen, dass Ihr Unternehmen auch weiterhin konform ist.
Im November 2020 stimmten die Kalifornier für die Genehmigung von Proposition 24, auch als California Privacy Rights Act (CPRA) bezeichnet. Der CPRA ändert den CCPA in mehreren wichtigen Punkten und tritt im Januar 2023 in Kraft.
Eine der wichtigsten Änderungen ist die Einrichtung einer neuen Durchsetzungsbehörde, der California Privacy Protection Agency (CPPA). Diese wird die Befugnis haben, Beschwerden zu untersuchen, Geldstrafen zu verhängen und Vorschriften zu erlassen.
Eine weitere wichtige Änderung ist die Ausweitung des privaten Klagerechts. Gemäß CCPA können nur Verbraucher, deren unverschlüsselte oder nicht zensierte personenbezogene Daten aufgrund eines Verstoßes durch ein Unternehmen unbefugt eingesehen, ausgeschleust, gestohlen oder offengelegt wurden, ein privates Klagerecht geltend machen.
Der CPRA weitet dieses Recht auf alle Verstöße gegen den CCPA aus, unabhängig davon, ob sie Schäden nach sich ziehen. Ein solcher Schritt bedeutet, dass mehr Verbraucher Unternehmen wegen CCPA-Verstößen verklagen können, und die drohenden Geldzahlungen werden höher sein.
Außerdem stärkt der CPRA die Opt-out-Anforderungen. Gemäß dem CCPA müssen Unternehmen auf ihrer Startseite den Link "Do Not Sell My Personal Information" zur Verfügung stellen.
Der CPRA geht noch einen Schritt weiter und erfordert, dass Unternehmen in ihren Datenschutzrichtlinien ausdrücklich angeben, ob sie personenbezogene Daten von Verbrauchern verkaufen, und wenn ja, welche Arten von Daten. Wenn ein Unternehmen Daten verkauft, muss es auf jeder seiner Seiten, auf der personenbezogene Daten erfasst werden, eine Schaltfläche geben, über die Verbraucher Erfassung und Verkauf widersprechen können.
Unter dem CPRA haben Verbraucher zudem das Recht, den Verkauf ihrer sensiblen persönlichen Daten wie Rasse, ethnische Zugehörigkeit, Religion und sexuelle Orientierung abzulehnen.
Angesichts zunehmender Bedenken hinsichtlich des Datenschutzes können Sie davon ausgehen, dass immer mehr Vorschriften in Kraft treten und bestehende aktualisiert werden. Daher müssen Sie vorsichtiger und überlegter bei der Verarbeitung von Verbraucherdaten umgehen.
Es ist verständlich, dass Daten-Compliance und -Governance einschüchternd sein können, insbesondere angesichts neuer und sich entwickelnder Vorschriften. Zunächst einmal benötigen Sie eine Archivierungsfunktion, mit der Sie relevante Informationen schnell finden können. Dabei kann Veritas Ihnen helfen.
Mit dem Digital Compliance-Portfolio von Veritas erhalten Sie mehr Transparenz und Kontrolle über Daten und Vorschriften. Es gibt Ihnen die Möglichkeit, relevante Daten aus über 120 Inhaltsquellen zu erfassen, zu archivieren und zu durchsuchen. Dadurch optimieren Sie die Daten-Compliance und schließen mögliche Lücken in der Daten-Governance.
Der California Consumer Privacy Act ist ein wegweisendes Gesetz, das Verbrauchern mehr Kontrolle über ihre Daten gibt. Es verpflichtet Unternehmen, Maßnahmen zum Schutz personenbezogener Daten zu ergreifen, und gibt Verbrauchern verschiedene Rechte, darunter das Recht, den Verkauf ihrer Daten abzulehnen.
Mittlerweile steht der CPRA vor der Tür, sodass Sie auch dafür angemessene Vorkehrungen treffen müssen. Der CPRA ändert den CCPA in mehreren wichtigen Punkten und tritt im Januar 2023 in Kraft.
Kontaktieren Sie uns noch heute , um mehr darüber zu erfahren, wie wir Ihr Unternehmen in Compliance-Fragen unterstützen können.
Zu den Veritas-Kunden zählen 95 % der Fortune 100-Unternehmen, und NetBackup™ ist die erste Wahl für Unternehmen, die große Datenmengen schützen müssen.
Erfahren Sie, wie Veritas mit Tools und Services für die Datensicherung in Unternehmen Ihre Daten in virtuellen, physischen, Cloud- und Legacy-Workloads umfassend schützt.