Das neue Jahr ist da – und mit ihm kommt das bisher strengste Datenschutzgesetz der USA: der California Consumer Privacy Act (CCPA). Jedes Unternehmen muss aufpassen – auch wenn Sie derzeit nicht in Kalifornien tätig sind. Ähnliche Datenschutzgesetze sind derzeit in acht weiteren Staaten anhängig, darunter Illinois, Maryland, Massachusetts, Nevada und New York. Hier erfahren Sie, was Sie wissen müssen, um sich auf CCPA vorzubereiten und die Risiken und geschäftlichen Auswirkungen einer Nichteinhaltung zu minimieren.

Was ist der CCPA und wird er mich betreffen?

Ziel des CCPA ist es, den Einwohnern Kaliforniens mehr Kontrolle über ihre persönlichen Daten zu geben und Unternehmen für die Preisgabe solcher Informationen zu bestrafen. Das Gesetz gilt für gewinnorientierte Unternehmen mit einem Jahresbruttoumsatz von mehr als 25 Millionen Dollar, die Informationen über 50.000 oder mehr Verbraucher verkaufen oder weitergeben oder mehr als die Hälfte ihres Umsatzes mit dem Verkauf persönlicher Daten erzielen. Das CCPA definiert persönliche Daten als alles, was einen Verbraucher identifiziert, sich auf ihn bezieht, ihn beschreibt oder vernünftigerweise mit ihm in Verbindung gebracht werden kann. Das neue Gesetz gibt kalifornischen Verbrauchern das Recht auf:

  1. Sie wissen, welche persönlichen Informationen gesammelt werden.
  2. wissen, ob und an wen ihre persönlichen Daten verkauft oder weitergegeben werden.
  3. Sagen Sie Nein zum Verkauf von persönlichen Daten und fordern Sie die Löschung.
  4. Zugriff auf ihre persönlichen Daten.
  5. Gleicher Service und gleicher Preis, auch wenn sie von ihrem Recht auf Privatsphäre Gebrauch machen.

Die finanziellen Auswirkungen der Nichteinhaltung von Vorschriften summieren sich schnell. Die Bußgelder beginnen mit zivilrechtlichen Strafen von bis zu $7.500 pro Verstoß, wobei es keine Begrenzung für die Anzahl der Verstöße gibt. Der gesetzliche Schadensersatz bei Verstößen liegt zwischen $100 und $750 pro Verbraucher und Vorfall oder dem tatsächlichen Schaden, je nachdem, welcher Betrag höher ist. Zum Glück gibt es eine Gnadenfrist. Die Durchsetzung des CCPA beginnt nicht vor dem 1. Juli 2020.

Drei Schritte, die Sie jetzt unternehmen müssen, um den CCPA einzuhalten:

1. Erstellen Sie ein zentrales Inventar aller Daten, die in den Geltungsbereich des CCPA fallen.
Das Wichtigste zuerst: Erstellen Sie ein Inventar aller Informationen, die das Unternehmen besitzt und die in den Geltungsbereich des CCPA fallen könnten. Notieren Sie, warum die Daten gesammelt werden und welche Verbraucherprofile, Anbieter, Drittparteien und Dienstleister betroffen sind. Und warten Sie nicht bis zur letzten Minute. Diese Daten sind oft dezentral auf verschiedenen Festplatten, Dateien und Tabellenkalkulationen verteilt. Der Einsatz von Technologie kann den Aufwand verringern und den Prozess der Datenklassifizierung erleichtern.

2. Integrieren Sie CCPA in Ihr bestehendes Risiko- und Compliance-Programm.
Dies ist ein sehr wichtiger Schritt – ein isolierter Compliance-Ansatz mag zwar Initiativen in Gang bringen, aber der langfristige Nutzen ist begrenzt, und Sie werden keinen klaren Überblick über die gesamte Risiko- und Compliance-Landschaft haben. Um CCPA in Ihr größeres Risiko- und Compliance-Programm zu integrieren, müssen Sie zunächst sicherstellen, dass Sie über eine starke Governance- und Managementstruktur verfügen. Erstellen Sie dann einen Rahmen, um die vor- und nachgelagerten Auswirkungen bestimmter Compliance-Anforderungen und Verantwortlichkeiten zu verstehen, und validieren Sie die CCPA-Anforderungen anhand dieses Rahmens.

3. Nutzen Sie Technologie, um die Einhaltung der Vorschriften zu optimieren.
Die richtige Technologie ist die beste Verteidigung gegen unbeabsichtigte CCPA-Verstöße – sie vereinfacht den gesamten Prozess, einschließlich der Erfassung und Kontrolle großer Datenmengen, der Messung der Einhaltung von wichtigen Leistungsindikatoren und der Beantwortung von Anfragen. Die Technologie kann den Reifegrad der Datenschutzverfahren Ihres Unternehmens in Bezug auf den CCPA bewerten. Technologie kann auch bei der Entwicklung von Fragebögen für die Datenschutz-Folgenabschätzung (Data Privacy Impact Analysis, DPIA) helfen, damit Sie besser verstehen können, wie wichtig bestimmte Prozesse für die Einhaltung der Vorschriften sind.

Technologie macht es viel einfacher, angemessene Verwaltungs- und Governance-Strukturen in allen Bereichen voranzutreiben und durchzusetzen. Sie können sehen, welche CCPA-Anforderungen sich mit HIPPA, GDPR und mehr überschneiden, um alle Compliance-Verpflichtungen gleichzeitig zu verwalten.

CCPA ist wahrscheinlich nur der Anfang eines langen und stetigen Anstiegs der Datenschutzgesetze. Mit den richtigen Werkzeugen, der richtigen Einstellung, bewährten Verfahren und Prozessen können sich Risiko- und Compliance-Verantwortliche auf CCPA vorbereiten und eine solide Grundlage schaffen, um sich auf diese neue Regulierungswelle vorzubereiten.