Der California Consumer Privacy Act (CCPA): Was Risiko- und Compliance-Manager wissen müssen.
Der California Consumer Privacy Act (CCPA) wird am 1. Januar 2020 in Kraft treten – und es wird erwartet, dass es das härteste Datenschutzgesetz in den Vereinigten Staaten sein wird. Sind Sie darauf vorbereitet? Bedenken über Kosten und Unvorbereitetheit sind weit verbreitet. Bei Initiativen zur Einhaltung von Vorschriften gibt es immer finanzielle Kompromisse. Wie hoch sind die Kosten für die erforderlichen Änderungen im Vergleich zu den Geldstrafen bei Nichteinhaltung? Im Fall der CCPA sind die Kosten für die Nichteinhaltung der Vorschriften unbestritten, denn die Bußgelder können bis zu 7.500 Dollar pro Verstoß betragen. Unabhängig davon, ob Ihr Unternehmen heute in Kalifornien tätig ist oder nicht, lohnt es sich, den Geltungsbereich des CCPA, seine Auswirkungen auf das Geschäft und die Rolle zu verstehen, die Sie als Risiko- und Compliance-Manager bei seiner Durchsetzung spielen. Ähnliche Gesetze werden wahrscheinlich auch Ihr Unternehmen bald betreffen, wenn sie es nicht bereits tun – in acht weiteren Staaten, darunter Illinois, Maryland, Massachusetts, Nevada und New York, sind ähnliche Gesetze wie der CCPA anhängig.
Was ist die CCPA?
Das CCPA ist ein neues Datenschutzgesetz, das kalifornischen Verbrauchern mehr Kontrolle über ihre persönlichen Daten gibt und Unternehmen für die Preisgabe dieser Daten bestraft. Das Gesetz gilt für Unternehmen, die einen Jahresumsatz von 25 Millionen Dollar oder mehr erzielen, die Informationen über 50.000 oder mehr Verbraucher kaufen, verkaufen oder weitergeben oder die mehr als die Hälfte ihres Umsatzes mit dem Verkauf persönlicher Daten erzielen. Das CCPA verlangt von diesen Unternehmen, dass sie ihren Kunden (auf deren Anfrage) offenlegen , welche persönlichen Daten sie gesammelt haben, warum sie gesammelt wurden und welche Dritten sie erhalten haben. Die Durchsetzung des CCPA beginnt mit zivilrechtlichen Strafen von bis zu $7.500 pro Verstoß. Die Bußgelder variieren, je nachdem, ob die Absicht bestand, gegen die Compliance-Standards zu verstoßen, z. B. wenn Verbrauchern absichtlich falsche Angaben über die Zeit gemacht werden, die für die Bearbeitung von Informationsanfragen benötigt wird. Es gibt eine Frist von 30 Tagen, innerhalb derer das Unternehmen den Verstoß ohne Strafe abstellen kann. Eine andere Art von Strafe ist eine Geldstrafe im Zusammenhang mit Verstößen. Der gesetzliche Schadensersatz bei Verstößen liegt zwischen 100 und 750 Dollar pro Verbraucher und Vorfall oder dem tatsächlichen Schaden, je nachdem, welcher Betrag höher ist. Unternehmen, die nicht in den Geltungsbereich des CCPA fallen, können dennoch von Verstößen betroffen sein, die Verbraucher betreffen – das heißt, sie können von Geldstrafen betroffen sein, auch wenn sie keine Verbraucherdaten verkaufen.
Was ist der Unterschied zwischen CCPA und GDPR?
Der CCPA ist der europäischen Datenschutzgrundverordnung (GDPR) sehr ähnlich. Der größte Unterschied besteht darin, wer betroffen ist. Die GDPR betrifft den für die Verarbeitung Verantwortlichen, den Auftragsverarbeiter und die betroffenen Personen, während die CCPA Unternehmen, Dienstleister, Dritte und Verbraucher betrifft. Ein weiterer wichtiger Unterschied ist die Art der Daten, die in den Anwendungsbereich der jeweiligen Verordnung fallen. GDPR deckt jede Art von personenbezogenen Daten ab, während CCPA zum Tragen kommt, wenn Daten gegen Geld oder eine andere wertvolle Gegenleistung verkauft werden (Freigabe, Offenlegung, Übertragung oder sogar Vermietung der Daten).
Was bedeutet der CCPA für mich als Risiko- und Compliance-Manager?
Unternehmen, die in den Geltungsbereich des CCPA fallen, müssen über Prozesse verfügen, die die Anforderungen der Verordnung an den Datenschutz erfüllen. Diese reichen von einem Website-Banner, das darauf hinweist, dass Sie Informationen für kalifornische Verbraucher verarbeiten, bis hin zu klaren Verfahren für die Beantwortung von Anfragen nach persönlichen Daten, Datenübertragbarkeit, Datenlöschung und Widerspruch gegen die Datenverarbeitung. Außerdem müssen Sie schnell reagieren und in der Lage sein, ordnungsgemäße Datenschutzhinweise über die Erhebung und Verwendung personenbezogener Daten zu erstellen.
Technologie ist die beste Verteidigung eines Risiko- und Compliance-Managers gegen ungewollte CCPA-Verstöße. Die Automatisierung macht den gesamten Compliance-Prozess nahtlos, vom Sammeln von Informationen bis zur Beantwortung von Anfragen. Die Verwendung einer integrierten Risikomanagement-Plattform unterstützt die Anforderungen direkt, denn sie ermöglicht es Ihnen:
- Führen Sie eine Bewertung des Reifegrads Ihrer Datenschutzverfahren in Bezug auf CCPA und andere Datenschutzvorschriften durch. Ermitteln Sie auf einfache Weise Ihren aktuellen Stand der Compliance und vergleichen Sie ihn mit dem, den Sie erreichen müssen. Anhand eines Reifegradansatzes können Sie besser verstehen, ob Sie die für eine langfristige CCPA-Konformität erforderlichen Verfahren optimal durchführen können.
- Erstellen Sie ein zentrales Inventar der Verarbeitungstätigkeiten, Kategorien und Subjekte im Zusammenhang mit dem CCPA, so dass es eine einzige Quelle der Wahrheit gibt, mit der Sie leicht feststellen können, was in den Anwendungsbereich einer Anfrage fällt. Die Bestimmung 1798.110(a)(4) beschreibt die spezifischen Daten, die inventarisiert werden müssen, zusammen mit Belegen, die die verwendeten Verfahren, Kontrollen und Dokumentationen bestätigen.
- Entwickeln Sie Fragebögen für die Datenschutz-Folgenabschätzung (Data Privacy Impact Analysis, DPIA) , damit Sie leicht verstehen können, wie wichtig bestimmte Prozesse für die Einhaltung des CCPA sind. Unternehmen müssen verstehen, welche Auswirkungen verschiedene Prozesse, Systeme und andere Vermögenswerte im Hinblick auf die Einhaltung der CCPA-Vorschriften haben. Die Durchführung einer DPIA ermöglicht es Ihnen, dieses Ausmaß der Auswirkungen und die Klassifizierung der verschiedenen Vermögenswerte zu verstehen. Risikomanager sollten planen, die Auswirkungen verschiedener Vermögenswerte in einer von der Organisation festgelegten Häufigkeit zu bewerten und wenn ein wesentliches Ereignis eintritt (Übernahme eines Unternehmens, neues Angebot, Änderung eines Prozesses).
- Nutzen Sie automatisierte Workflows, um die Reaktionszeit auf Anfragen zu verkürzen. Sobald eine Anfrage eintrifft, sei es für den Zugriff auf Daten, die Löschung von Daten oder sogar die Benachrichtigung über eine Datenschutzverletzung, haben Unternehmen nur 45 Tage Zeit, um zu antworten. Automatisierte Workflows sind der Schlüssel für eine schnelle und einfache Orchestrierung zwischen allen beteiligten Parteien, damit die Anfragen rechtzeitig beantwortet werden können.
Die ohnehin schon komplexe Risikolandschaft wird noch komplizierter, da die Vorschriften immer strenger werden, um den Bedenken der Verbraucher hinsichtlich des Datenschutzes Rechnung zu tragen. Der Einsatz von Technologie erleichtert die Verwaltung von Compliance-Prozessen und gibt Risiko- und Compliance-Managern die Möglichkeit, nachzuweisen, dass alle Verfahren mit den neuen Standards übereinstimmen. Wenn Sie mehr über CCPA erfahren möchten und wissen möchten, wie Sie sich darauf vorbereiten können, nehmen Sie an unserem Webinar CCPA 101: Was ist CCPA und wie wirkt es sich auf Ihr Unternehmen aus, das am Donnerstag, den 3. Oktober um 1:00 Uhr ET stattfindet.