Das kalifornische Verbraucherschutzgesetz (CCPA)

Das kalifornische Verbraucherschutzgesetz (CCPA): Was Risiko- und Compliance-Manager wissen müssen.

Der California Consumer Privacy Act (CCPA) tritt am 1. Januar 2020 in Kraft - und es wird erwartet, dass es das schärfste Datenschutzgesetz in den Vereinigten Staaten sein wird. Sind Sie darauf vorbereitet?

Bedenken hinsichtlich der Kosten und der mangelnden Bereitschaft sind weit verbreitet. Bei Initiativen zur Einhaltung von Vorschriften gibt es immer finanzielle Kompromisse. Wie hoch sind die Vorlaufkosten für die erforderlichen Änderungen im Vergleich zu den Geldstrafen bei Nichteinhaltung? Im Falle der CCPA sind die Kosten für die Nichteinhaltung der Vorschriften unbestritten, denn die Geldstrafen können bis zu $7.500 pro Verstoß betragen.

Unabhängig davon, ob Ihr Unternehmen heute in Kalifornien tätig ist oder nicht, lohnt es sich, den Geltungsbereich des CCPA, seine Auswirkungen auf das Geschäft und die Rolle zu verstehen, die Sie als Risiko- und Compliance-Manager bei seiner Durchsetzung spielen. Ähnliche Gesetze werden sich wahrscheinlich bald auf Ihr Unternehmen auswirken, wenn sie es nicht bereits tun - Gesetze, die dem CCPA ähneln, sind in acht weiteren Staaten anhängigDazu gehören Illinois, Maryland, Massachusetts, Nevada und New York.

Was ist die CCPA?

Das CCPA ist ein neues Datenschutzgesetz, das den kalifornischen Verbrauchern mehr Kontrolle über ihre persönlichen Daten gibt und Unternehmen für die Preisgabe dieser Daten bestraft. Das Gesetz gilt für Unternehmen, die einen Jahresumsatz von $25M oder mehr erzielen, die Informationen über 50.000 oder mehr Verbraucher kaufen, verkaufen oder weitergeben oder mehr als die Hälfte ihrer Einnahmen aus dem Verkauf personenbezogener Daten erzielen. Das CCPA verpflichtet diese Unternehmen, ihren Kunden (auf deren Wunsch) Folgendes mitzuteilen die von ihnen gesammelten persönlichen Datenwarum sie erhoben wurden und welche Dritten sie erhalten haben.

Die Durchsetzung des CCPA beginnt mit zivilrechtlichen Strafen von bis zu $7.500 pro Verstoß. Die Bußgelder hängen davon ab, ob ein vorsätzlicher Verstoß gegen die Compliance-Standards vorlag, wie z. B. die absichtlich falsche Angabe der Zeit, die für die Beantwortung von Informationsanfragen benötigt wird, gegenüber den Verbrauchern. Es gibt eine Frist von 30 Tagen, innerhalb derer das Unternehmen den Verstoß ohne Strafe abstellen kann.

Eine weitere Art von Strafe ist eine Geldstrafe im Zusammenhang mit Verstößen. Der gesetzliche Schadenersatz bei Verstößen liegt zwischen $100 und $750 pro Verbraucher und Vorfall oder dem tatsächlichen Schaden, je nachdem, welcher Betrag höher ist. Organisationen, die nicht in den Geltungsbereich des CCPA fallen, können dennoch für Verstöße, die Verbraucher betreffen, zur Verantwortung gezogen werden. Das bedeutet, dass sie von Geldstrafen für Verstöße betroffen sein können, auch wenn sie keine Verbraucherdaten verkaufen.

Was ist der Unterschied zwischen CCPA und GDPR?

Die CCPA ist der europäischen Datenschutzgrundverordnung (GDPR) sehr ähnlich. Der größte Unterschied besteht darin, wer betroffen ist. Die GDPR gilt für den für die Verarbeitung Verantwortlichen, den Auftragsverarbeiter und die betroffenen Personen, während die CCPA Unternehmen, Dienstleister, Dritte und Verbraucher erfasst. Ein weiterer wichtiger Unterschied ist die Art der Daten, die in den Anwendungsbereich der jeweiligen Verordnung fallen. Die DSGVO deckt jede Art von personenbezogenen Daten ab, während die CCPA greift, wenn Daten gegen Geld oder eine andere wertvolle Gegenleistung verkauft werden (Freigabe, Offenlegung, Übermittlung oder sogar Vermietung der Daten).

Was bedeutet der CCPA für mich als Risiko- und Compliance-Manager?

Unternehmen, die in den Geltungsbereich des CCPA fallen, müssen über Verfahren verfügen, die die Anforderungen der Verordnung an den Datenschutz erfüllen. Diese reichen von einem Website-Banner, das darauf hinweist, dass Sie Informationen für kalifornische Verbraucher verarbeiten, bis hin zu klaren Verfahren für die Beantwortung von Anfragen zu personenbezogenen Daten, Datenübertragbarkeit, Datenlöschung und Widerspruch gegen die Datenverarbeitung. Außerdem müssen Sie schnell reagieren und in der Lage sein, ordnungsgemäße Datenschutzhinweise über die Erhebung und Verwendung personenbezogener Daten zu erstellen.

Technologie ist die beste Verteidigung eines Risiko- und Compliance-Managers gegen unbeabsichtigte CCPA-Verstöße. Die Automatisierung macht den gesamten Compliance-Prozess nahtlos, von der Sammlung von Informationen bis zur Beantwortung von Anfragen. Der Einsatz einer integrierten Risikomanagement-Plattform unterstützt die Anforderungen direkt, denn sie ermöglicht es Ihnen,:

1. Bewertung der Ausgereiftheit Ihrer Datenschutzverfahren in Bezug auf den CCPA und andere Datenschutzbestimmungen. Ermitteln Sie auf einfache Weise Ihren aktuellen Stand der Einhaltung und vergleichen Sie ihn mit dem, was Sie erreichen müssen. Anhand eines Reifegradansatzes können Sie besser erkennen, ob Sie für die Durchführung der Verfahren optimiert sind, die für eine langfristige Einhaltung des CCPA erforderlich sind.
2. Erstellung eines zentralen Verzeichnisses der Verarbeitungstätigkeiten, Kategorien und Themen in Bezug auf die CCPA, so dass es eine einzige Quelle der Wahrheit gibt, um leicht zu bestimmen, was in den Anwendungsbereich einer Anfrage fällt. Die Vorschrift 1798.110(a)(4) beschreibt die spezifischen Daten, die inventarisiert werden müssen, zusammen mit Belegen, die die verwendeten Verfahren, Kontrollen und Dokumentationen bestätigen.
3. Entwicklung von Fragebögen für die Datenschutz-Folgenabschätzung (DPIA) damit Sie leicht verstehen können, wie wichtig bestimmte Prozesse für die Einhaltung des CCPA sind. Unternehmen müssen verstehen, welche Auswirkungen verschiedene Prozesse, Systeme und andere Vermögenswerte im Hinblick auf die Einhaltung der CCPA-Vorschriften haben. Die Durchführung einer DPIA ermöglicht es Ihnen, diese Auswirkungen und die Klassifizierung der verschiedenen Vermögenswerte zu verstehen. Risikomanager sollten planen, die Auswirkungen der verschiedenen Vermögenswerte in einer von der Organisation festgelegten Häufigkeit und bei Eintritt eines wesentlichen Ereignisses (Übernahme eines Unternehmens, neues Angebot, Prozessänderung) zu bewerten.
4. Nutzen Sie automatisierte Arbeitsabläufe, um die Reaktionszeit auf Anfragen zu verkürzen. Sobald eine Anfrage eintrifft, sei es für den Zugriff auf Daten, die Löschung von Daten oder sogar die Benachrichtigung über eine Datenschutzverletzung, haben Unternehmen nur 45 Tage Zeit, um zu antworten. Automatisierte Workflows sind der Schlüssel für eine schnelle und einfache Orchestrierung zwischen allen beteiligten Parteien, damit die Anfragen rechtzeitig beantwortet werden können.

Die ohnehin schon komplexe Risikolandschaft wird noch komplizierter, da die Vorschriften immer strenger werden, um den Bedenken der Verbraucher hinsichtlich des Datenschutzes Rechnung zu tragen. Der Einsatz von Technologie erleichtert die Verwaltung von Compliance-Prozessen und gibt Risiko- und Compliance-Managern die Möglichkeit, nachzuweisen, dass alle Verfahren mit den neuen Standards übereinstimmen.

Wenn Sie mehr über CCPA erfahren möchten und wissen möchten, wie Sie sich vorbereiten können, nehmen Sie an unserem Webinar teil, CCPA 101: Was ist das und wie wirkt es sich auf Ihr Unternehmen aus?am Donnerstag, den 3. Oktober um 13:00 Uhr ET.
Hier anmelden