CCPA: Alles, was Sie wissen müssen

Nach umfangreicher Medienberichterstattung über den Facebook-Cambridge Analytica-Skandal, den Equifax-Datenverstoß und zahllose andere bekannte Datenverstöße sind sich die Verbraucher zunehmend bewusst geworden, wie ihre persönlichen Daten von Unternehmen genutzt und missbraucht werden. Im Jahr 2016 verabschiedete die Europäische Union die Allgemeine Datenschutzverordnung (GDPR), die den Schutz von Verbraucherdaten und die Privatsphäre zum Ziel hat. In den Vereinigten Staaten gibt es kein solches nationales Gesetz. In Ermangelung einer umfassenden Verbraucherdatenschutzgesetzgebung auf Bundesebene reichte das kalifornische Parlamentsmitglied Ed Chau den Gesetzentwurf 375 ein, der später zum strengsten und umfassendsten Datenschutzgesetz der Nation wurde – dem California Consumer Privacy Act (CCPA). „Kalifornien hat einen historischen Schritt unternommen, indem es ein Gesetz verabschiedet hat, das Kinder und Verbraucher schützt, indem es ihnen die Kontrolle über ihre eigenen persönlichen Daten gibt. Verbraucher sollten das Recht haben, zu entscheiden, wie ihre persönlichen Informationen von Unternehmen gesammelt und verwendet werden. Es sind Ihre Daten, Ihre Privatsphäre, Ihre Wahl“, sagte das Parlamentsmitglied Ed Chau, als das CCPA-Gesetz verabschiedet wurde. Dies ist eine willkommene Veränderung für Verbraucher, aber was bedeutet das alles für Unternehmen? Gute Frage. Unternehmen und Branchenverbände haben oft darüber geklagt, dass das CCPA in seiner jetzigen Form vage ist und in einigen Bereichen mit den aktuellen Gesetzen unvereinbar ist. Jüngste Leitlinien und Änderungen im Oktober 2019 haben dazu beigetragen, diese Unklarheiten zu klären und Inkonsistenzen im Gesetz zu beseitigen. Aber mit sich ständig ändernden Definitionen und Pflichten stehen Unternehmen nun im Wettlauf gegen die Zeit, um ein konformes Datenschutzprogramm zu implementieren, bevor das CCPA und seine Änderungen am 1. Januar 2020 in Kraft treten. Da sie erkennen, dass das Zusammenstellen eines Datenschutzprogramms im eigenen Haus Unternehmen gefährden könnte, wenden sich viele an Berater, Dienstleister und Softwareanbieter, um die Einhaltung des Gesetzes sicherzustellen. Was genau ist das CCPA und auf wen trifft es zu? Der California Consumer Privacy Act (CCPA) ist ein Datenschutz- und Verbraucherschutzgesetz, das kalifornischen Verbrauchern mehr Kontrolle über die persönlichen Daten gibt, die Unternehmen sammeln, verkaufen und teilen. Verbraucher haben Zugang zu Daten darüber, welche persönlichen Informationen gesammelt und welche Informationen geteilt oder verkauft wurden und an wen sie verkauft wurden. Einzelpersonen haben auch die Möglichkeit, der Sammlung und dem Verkauf ihrer persönlichen Daten zu widersprechen und werden gesetzlich nicht diskriminiert, wenn sie diese Informationen anfordern oder der Datensammlung widersprechen. Das CCPA gilt für gewinnorientierte Unternehmen, die im Bundesstaat Kalifornien tätig sind und eine oder mehrere der folgenden Anforderungen erfüllen: - Haben einen jährlichen Bruttoumsatz von über 25 Millionen Dollar - Kaufen oder erhalten jährlich persönliche Informationen von 50.000 oder mehr Verbrauchern, Haushalten oder Geräten - Erzielen 50 % oder mehr ihres Jahresumsatzes aus dem Verkauf von Kundendaten Das CCPA gilt nicht für Verbraucherdaten, die vollständig außerhalb Kaliforniens gesammelt oder verkauft werden, noch gilt es für gemeinnützige Organisationen. Wissen Sie, wo Ihr Unternehmen Verbraucherdaten speichert Um das CCPA einzuhalten, ist es notwendig zu wissen, wo Ihr Unternehmen seine Verbraucherdaten speichert. Viele Unternehmen erreichen dies, indem sie eine Dateninventur durchführen, gefolgt von einer Datenflussuntersuchung, um zu verstehen, wie die Daten innerhalb und außerhalb der Organisation verwendet werden. Fragen, die Unternehmen beantworten können sollten, sind: Wo werden Verbraucherdaten bezogen und gespeichert, und sollten sie gesichert werden; ob die Verbraucherdaten bei der Erfassung den CCPA-Anforderungen entsprechen; welche Art von Verbraucherdaten es ist und für welche Geschäftszwecke es verwendet wird; welche Dritten Zugang zu den Daten haben und wie sie diese kategorisieren; und ob die Daten verschlüsselt, redigiert, anonymisiert oder entsorgt werden müssen. Definition von persönlichen Informationen gemäß CCPA „Persönliche Informationen“ sind Informationen, die eine bestimmte Person oder einen Haushalt identifizieren, sich auf sie beziehen, sie beschreiben, mit ihnen in Verbindung gebracht werden können oder direkt oder indirekt mit ihnen verknüpft werden könnten. (Referenz 1798.140). Dies schließt keine öffentlich zugänglichen Informationen ein, die aus Bundes-, Landes- und Kommunalregistern verfügbar gemacht werden. Arten von persönlichen Informationen, die unter CCPA geschützt sind: Verbraucherdaten, die unter dem CCPA geschützt sind, umfassen: - Identifikatoren wie ein echter Name, Alias, Postanschrift, eindeutiger persönlicher Identifikator, Online-Identifikator, Internetprotokolladresse, E-Mail-Adresse, Kontoname, Sozialversicherungsnummer, Führerscheinnummer, Reisepassnummer oder andere ähnliche Identifikatoren. - Kommerzielle Informationen, einschließlich Aufzeichnungen über persönliches Eigentum, gekaufte, erhaltene oder in Betracht gezogene Produkte oder Dienstleistungen oder andere Kauf- oder Konsumgewohnheiten oder -tendenzen. - Biometrische Informationen, einschließlich physiologischer, biologischer oder Verhaltensmerkmale einer Person, einschließlich der DNA einer Person, Bilder der Iris, Netzhaut, Fingerabdruck, Gesicht, Hand, Handfläche, Venenmuster, Sprachaufzeichnungen, Gesichtsdrucke, einer Minutienvorlage, Sprachdrucke, Tastenanschlagmuster oder -rhythmen, Gangmuster oder -rhythmen und Schlaf-, Gesundheits- oder Bewegungsdaten, die identifizierende Informationen enthalten. - Internet- oder andere elektronische Netzwerkaktivitätsinformationen, einschließlich Browserverlauf, Suchverlauf und Informationen über die Interaktion eines Verbrauchers mit einer Website, Anwendung oder Werbung. - Geolokalisierungsdaten - Audio-, elektronische, visuelle, thermische, olfaktorische oder ähnliche Informationen. - Berufliche oder beschäftigungsbezogene Informationen, die nicht öffentlich zugänglich sind. - Bildungsinformationen, die nicht öffentlich zugänglich sind. - Inferenzschlüsse, die erstellt werden, um ein Profil über einen Verbraucher zu erstellen, das die Vorlieben, Merkmale, psychologischen Trends, Vorlieben, Neigungen, Verhalten, Einstellungen, Intelligenz, Fähigkeiten und Begabungen des Verbrauchers widerspiegelt. - „Probabilistischer Identifikator“ bedeutet die Identifizierung eines Verbrauchers oder eines Geräts mit einer Wahrscheinlichkeit von mehr als 50 % basierend auf einer der Kategorien persönlicher Informationen, die in der Definition persönlicher Informationen enthalten sind oder ihr ähneln. - „Eindeutiger Identifikator“ oder „Eindeutiger persönlicher Identifikator“ bedeutet einen dauerhaften Identifikator, der verwendet werden kann, um einen Verbraucher, eine Familie oder ein Gerät zu erkennen, das mit einem Verbraucher oder einer Familie verknüpft ist, über die Zeit und über verschiedene Dienste hinweg, einschließlich, aber nicht beschränkt auf, einen Geräteidentifikator; eine Internetprotokolladresse; Cookies, Beacons, Pixel-Tags, mobile Anzeigen-Identifikatoren oder ähnliche Technologien; Kundennummer, eindeutiges Pseudonym oder Benutzeralias; Telefonnummern oder andere Formen von dauerhaften oder probabilistischen Identifikatoren, die verwendet werden können, um einen bestimmten Verbraucher oder ein Gerät zu identifizieren. Für die Zwecke dieser Unterteilung bedeutet „Familie“ einen sorgeberechtigten Elternteil oder Vormund und alle minderjährigen Kinder, über die der Elternteil oder Vormund das Sorgerecht hat. - Historische Daten; Verbraucher haben das Recht, auf Daten zuzugreifen, die bis zu den letzten 12 Monaten zurückreichen. - Kategorietypen von Daten, die über Verbraucher gesammelt und an Dritte verkauft oder weitergegeben werden. Anonymisieren Sie alle Verbraucherdaten, die Sie können Einige gute Nachrichten – de-identifizierte, anonymisierte oder aggregierte Daten unterliegen nicht dem CCPA. Wo es für Ihr Unternehmen machbar ist, reduzieren Sie die Menge an persönlich identifizierbaren Informationen (PII), die auf Ihren Systemen gespeichert sind. CCPA de-identifizierte Daten „De-identifizierte“ Daten sind Informationen, die nicht vernünftigerweise identifizieren, sich auf sie beziehen, beschreiben, in der Lage sind, mit ihnen in Verbindung gebracht zu werden oder direkt oder indirekt mit einem bestimmten Verbraucher verknüpft werden können, vorausgesetzt, dass ein Unternehmen, das de-identifizierte Informationen verwendet (1798.140). Daten-De-Identifizierung oder Daten-Anonymisierung umfasst das Löschen persönlicher Identifikatoren wie Namen und quasi Identifikatoren wie Geburtsdaten. Das CCPA verbietet es, de-identifizierte Daten wieder zu identifizieren und erfordert Kontrollen, um sicherzustellen, dass Versuche, dies zu tun, verboten sind. Verschlüsseln, maskieren, pseudonymisieren und redigieren Sie die Verbraucherdaten, die Sie aufbewahren müssen. Was ist Verschlüsselung? Neben der Tatsache, dass sie Ihre Rettung in Bezug auf die CCPA-Gesetzgebung ist, ist Verschlüsselung eine Möglichkeit, wie Unternehmen ihre sensiblen Daten in Code umwandeln können, sodass sie für niemanden außer denen, die die Entschlüsselungsschlüssel haben, lesbar sind. Das CCPA fordert ausdrücklich, dass Unternehmen persönlich identifizierbare Informationen (PII) verschlüsseln, die über Verbraucher gehalten werden. Dies soll verhindern, dass die Daten im Falle eines unrechtmäßigen Hacks, Lecks, Diebstahls oder Offenlegung verwendet werden. Um diese Anforderungen zu erfüllen, verwendet Verschlüsselungssoftware Kryptographie, um Dateien, Texte und Daten zu maskieren und Informationen vor unerwünschten Parteien zu schützen. Verschlüsselte Daten werden in Chiffretext transkribiert, wo sie für diejenigen unbrauchbar werden, die keinen Verschlüsselungsschlüssel haben, um die Informationen zu entschlüsseln. Unternehmen nutzen diese Tools, um sicherzustellen, dass ihre sensiblen Daten auch im Falle eines Verstoßes gesichert sind. CCPA-Datenpseudonymisierung Dies macht die persönlichen Informationen nicht mehr einer bestimmten Person zuordenbar, ohne die Verwendung zusätzlicher Informationen, vorausgesetzt, dass die zusätzlichen Informationen separat aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, um sicherzustellen, dass die persönlichen Informationen nicht einer identifizierten oder identifizierbaren Person zugeordnet werden. (1798.140). Datenmaskierung oder Datenverschleierung ist eine Strategie, um den Missbrauch von Daten durch Mitarbeiter oder Insider-Bedrohungen zu verhindern. Die Verbraucherdaten behalten ihre identifizierenden Merkmale wie Altersbereich und Postleitzahl bei, entfernen jedoch identifizierende Informationen wie Namen, Adressen, Telefonnummern und andere sensible Daten. Dies ermöglicht es dem Unternehmen, realistische Daten für Tests und Entwicklungen zu verwenden, ohne persönlich identifizierbare Informationen an alltägliche Benutzer preiszugeben. Datenmaskierungssoftware schützt die wichtigen Daten einer Organisation, indem sie sie mit zufälligen Zeichen oder anderen Daten verschleiert, sodass sie von der Organisation, aber nicht von externen Kräften verwendet werden können. Datenredaktion ist eine Methode, bei der Informationen beibehalten werden, aber nur für Benutzer mit den richtigen Berechtigungen sichtbar sind. Zum Beispiel würde ein nicht privilegierter Benutzer anstelle der Anzeige der Sozialversicherungsnummer eines Verbrauchers xxx-xx-xxxx sehen. CCPA-Compliance-Software Welche Art von Software verwenden Unternehmen, um das CCPA einzuhalten? Kurz gesagt, eine ganze Reihe von Datenschutzsoftware und -diensten, einschließlich: Software: - Datenschutzsoftware - Datenschutzsoftware wird verwendet, um sensible Daten zu finden, zu organisieren und bereitzustellen, um die Einhaltung von Standards zu gewährleisten. - Dateninventar- oder Mapping-Software - Dateninventar-Software hilft Unternehmen, herauszufinden, wo sich ihre sensiblen Daten befinden. - Datenzentrierte Sicherheitssoftware - Datenzentrierte Sicherheitssoftware hilft Unternehmen, ihre Datenerkennung zu entdecken, Richtlinien zu verwalten, den Zugriff zu kontrollieren und die Datennutzung zu überwachen. - Data Loss Prevention (DLP) Software - DLP-Software erleichtert die Datenidentifikation und -erkennung und erkennt Datenlecks oder Missbrauch. - Daten-Governance-Software - Daten-Governance-Software erzwingt datenbezogene Richtlinien und gewährleistet die Datenqualität. - Verschlüsselungssoftware - Verschlüsselungssoftware ermöglicht es Unternehmen, Verbraucherdaten sicher zu speichern, sodass Hacker sie im Falle eines Datenverstoßes nicht verwenden können. - Verschlüsselungsschlüssel-Management-Software - Verschlüsselungsschlüssel-Management-Software verwaltet die Verwaltung, Verteilung und Speicherung von Verschlüsselungsschlüsseln. - Datenmaskierungssoftware - Datenmaskierungssoftware verschleiert die gesammelten Verbraucherdaten eines Unternehmens mit zufälligen Zeichen oder anderen Daten, sodass sie von externen Akteuren nicht verwendet werden können, aber innerhalb der Organisation weiterhin nutzbar sind. - Incident-Response-Software - Incident-Response-Software hilft, Datenverstöße zu stoppen. - Contact-Center-Software - Gemäß dem CCPA müssen Unternehmen eine gebührenfreie Nummer für kalifornische Verbraucher bereitstellen, um ihre Daten anzufordern oder die Löschung zu beantragen. Contact-Center-Software kann bei der Verwaltung dieser Anrufe helfen. - Vendor-Risk-Management-Software - Vendor-Risk-Management-Software hilft sicherzustellen, dass Ihre Anbieter Ihre Daten ordnungsgemäß verwenden. - Data Subject Access Request (DSAR) Management Software - DSAR Management Software bietet eine Möglichkeit, die Anfragen von Verbrauchern nach persönlichen Informationen oder Datenlöschungsanfragen zu verwalten. - Einwilligungs- oder Opt-in/Opt-out-Management-Software - Einwilligungsmanagement-Software verfolgt Opt-out-Anfragen, um den unbefugten Verkauf oder die Verteilung von Verbraucherdaten zu vermeiden. - Policy & Notice Management Software - Policy and Notice Management Software verwaltet Bedingungen, Konditionen und Offenlegungen. - Offenlegungsmanagement-Software - Offenlegungsmanagement-Software konsolidiert Compliance-Informationen. - Drittanbieter- und Lieferantenrisikomanagement-Software - Drittanbieter- und Lieferantenrisikomanagement-Software sammelt und verwaltet Anbieterrisikodaten, um Unternehmen vor Problemen wie Datenverstößen oder Nichteinhaltung zu schützen. Dienste: - Datenschutzdienste - Datenschutzdienstberater unterstützen Unternehmen bei der Erreichung der CCPA- und anderer Datenschutzvorschriften. - Anbieter von Datensicherheitsdiensten - Anbieter von Datensicherheitsdiensten unterstützen Unternehmen beim Datenschutz. - Anbieter von Incident-Response-Diensten - Anbieter von Incident-Response-Diensten unterstützen bei den Sanierungsmaßnahmen nach einem Cyberangriff. Ist das CCPA also ein Cybersicherheitsgesetz? Kurz gesagt, ja. Das CCPA ist sowohl ein Verbraucherdatenschutzgesetz als auch ein Cybersicherheitsgesetz, da es vorschreibt, wie Unternehmen die persönlich identifizierbaren Informationen (PII) und verwandten Daten von Verbrauchern im Falle eines Datenverstoßes sichern müssen. Insbesondere fordert das CCPA die Verschlüsselung und Anonymisierung identifizierbarer Verbraucherdaten, um Geldstrafen zu vermeiden. CCPA-Nichtverschlüsselungsstrafen Jede nicht verschlüsselte oder nicht redigierte persönliche Verbraucherinformation, die gehackt, gestohlen, von einem unbefugten Benutzer abgerufen oder anderweitig offengelegt wird, unterliegt einer zivilrechtlichen Klage zur Wiedererlangung von Schäden in Höhe von nicht weniger als 100 USD und nicht mehr als 750 USD pro Verbraucher pro Vorfall oder tatsächlichen Schäden, je nachdem, welcher Betrag höher ist. (Paraphrasierung Abschnitt 1798.150) CCPA-Nichteinhaltungsstrafen Wenn der kalifornische Generalstaatsanwalt ein Unternehmen über die Nichteinhaltung des CCPA informiert, muss das Unternehmen diese Verstöße innerhalb von 30 Tagen beheben oder kann zivilrechtlichen Strafen unterliegen. Vorsätzliche Nichteinhaltung führt zu Geldstrafen von bis zu 7.500 USD für jeden Verstoß. (Paraphrasierung Abschnitt 1798.155) Datenverstöße & rechtliche Schritte der Verbraucher Haben Sie es versäumt, Ihre sensiblen Verbraucherdaten zu verschlüsseln? Machen Sie sich bereit, etwas Geld zu zahlen. Verbraucher haben rechtliche Schritte, wenn sie feststellen, dass Klartext-, nicht verschlüsselte oder nicht redigierte Verbraucherdaten gehackt, gestohlen oder anderweitig offengelegt wurden, weil das Unternehmen nicht in der Lage war, angemessene Sicherheitsprotokolle aufrechtzuerhalten. Verbraucher müssen das Unternehmen über die Offenlegung ihrer persönlichen Daten informieren, und Unternehmen haben 30 Tage Zeit, um das Problem zu beheben. Wenn das Problem zu diesem Zeitpunkt nicht zufriedenstellend behoben wird, können Verbraucher den Generalstaatsanwalt (AG) benachrichtigen, und der AG wird entscheiden, ob er das Unternehmen strafrechtlich verfolgt. Wenn der AG feststellt, dass das Unternehmen die CCPA-Bestimmungen absichtlich verletzt hat, kann das Unternehmen zivilrechtlich mit bis zu 7.500 USD pro Verstoß haftbar gemacht werden. Wenn der AG innerhalb von 6 Monaten keine Strafverfolgung einleitet, können Verbraucher zivilrechtliche Schritte einleiten, um Schäden in Höhe von nicht weniger als 100 USD und nicht mehr als 750 USD pro Vorfall wiederzuerlangen, können die Gerichte um Unterlassungs- oder Feststellungsurteile bitten oder jede andere von den Gerichten als angemessen erachtete Entlastung beantragen. CCPA-Änderungen Unternehmen haben lange argumentiert, dass das CCPA vage Compliance-Leitlinien enthält, dass die Zeitpläne nicht erreichbar sind und dass es widersprüchliche Verpflichtungen gegenüber Verbrauchern auf der Grundlage bestehender Gesetze enthält. Am 11. Oktober 2019 wurden mehrere Änderungen des CPPA verabschiedet, um Klarheit zu schaffen, Inkongruenzen zu beseitigen und bestimmten Gruppen Fristverlängerungen für die Einhaltung zu gewähren. Ein Blick in die Zukunft der Datenschutzvorschriften Das CCPA ist erst der Anfang. In die Zukunft blickend sollten Unternehmen in den kommenden Jahren mit einem Flickenteppich von Datenschutzvorschriften rechnen. Über die Hälfte der US-Bundesstaaten brachte 2019 eine Art Verbraucherdatenschutzgesetzgebung vor, aber viele dieser Gesetzentwürfe wurden noch nicht verabschiedet (noch nicht). Staaten wie Connecticut, Louisiana und Texas verabschiedeten Gesetze zur Einrichtung von Verbraucherdatenschutz-Arbeitsgruppen, um das Thema zu untersuchen. Ein Flickenteppich von staatlich basierten Datenschutzvorschriften wird die Einhaltung noch schwieriger machen. Auf Bundesebene der USA wurde über Datenschutzgesetzgebung diskutiert, um die Gesetzgebung der Staaten zu übertreffen, aber Gesetzentwürfe sind im Kongress ins Stocken geraten. Unabhängig davon können Unternehmen in naher Zukunft mit weiteren Datenschutzvorschriften rechnen. Beginnen Sie, Ihre Geschäftsstrategien vorzubereiten, um sich in einem sich ändernden rechtlichen Umfeld anzupassen. *Haftungsausschluss: Ich bin kein Anwalt und gebe keine Rechtsberatung. Wenn Sie rechtliche Fragen haben, konsultieren Sie einen zugelassenen Anwalt.*