Sind Sie bereit für das kalifornische Gesetz zum Schutz der Privatsphäre?

Einige der bekanntesten Technologieunternehmen haben ihren Hauptsitz in Kalifornien, einem Bundesstaat, der am 28. Juni 2018 den California Consumer Privacy Act von 2018 (CCPA) verabschiedet hat. Das CCPA wird nicht vor dem 1. Januar 2020 in Kraft treten, aber es wird erwartet, dass es Unternehmen in ganz Kalifornien, den Vereinigten Staaten und in der Tat auf der ganzen Welt betrifft. Das CCPA wird sich auf die Art und Weise auswirken, in der Unternehmen mit Kundendaten umgehen können, und es wird von vielen als das strengste Datenschutzgesetz in der Geschichte der USA angesehen.

Wenn Sie ein Déjà-vu-Gefühl verspüren, sind Sie nicht allein. Bereits im Mai trat die Datenschutzgrundverordnung (DSGVO) der Europäischen Union (EU) in Kraft. Die DSGVO war hier bei PCMag ein heißes Thema. Obwohl das Gesetz über den Atlantik hinweg erlassen wurde, hat es in Wahrheit die Unternehmen weltweit geprägt, da es für alle EU-Bürger gilt, unabhängig davon, wo sie leben. Ähnlich wie die DSGVO werden die Auswirkungen der neuen CCPA weitreichende Auswirkungen haben, die über den Geltungsbereich ihres Ursprungsstaats hinausgehen. Wir haben mit einigen Experten gesprochen, um mehr über die CCPA und einige ihrer erwarteten Auswirkungen zu erfahren.

Die CCPA und Sie: Eine Einführung

Die CCPA begründet das Recht eines Verbrauchers, von Unternehmen zu verlangen, dass sie offenlegen, welche Art von Daten über sie gesammelt werden. Sofern Sie kein Tool wie ein virtuelles privates Netzwerk (VPN) verwenden, ist es ziemlich sicher, dass unzählige Unternehmen Informationen über Sie erfassen, wann immer Sie online sind. Zu sagen, dass diese Art von Transparenz, die die CCPA bringen wird, eine große Sache ist, wäre eine Untertreibung.

John Tsopanis ist Datenschutz-Produktmanager bei 1touch.io, einem Unternehmen, das Unternehmen hilft, die von ihnen verarbeiteten persönlichen Daten zu verstehen. Tsopanis hat in den letzten Jahren GDPR-Beratung für Unternehmen durchgeführt und bereitet sich darauf vor, dasselbe mit der CCPA zu tun. Tsopanis erklärt die CCPA in grundlegenden Begriffen.

"Am 1. Januar 2020 hat ein Einwohner Kaliforniens das gesetzliche Recht, jedes große Unternehmen in Amerika zu fragen:" Verarbeiten Sie irgendwelche meiner Informationen? ", Sagte Tsopanis. "Innerhalb von 45 Tagen muss das Unternehmen mit einem Bericht antworten, in dem die letzten 12 Monate aufgeführt sind. Es muss angeben, über welche bestimmten Kategorien von persönlichen Informationen es zu dieser Person verfügt, mit wem es sie teilt und aus welchen Gründen Sie müssen diese Informationen innerhalb des Zeitrahmens an die Einwohner Kaliforniens weitergeben - alle 40 Millionen."

Unterschiede zwischen GDPR und CCPA

Es gibt einige wesentliche Unterschiede zwischen dem, was die DSGVO tut, und dem, was die CCPA abdeckt. Für den Anfang wird die CCPA eine Opt-out-Basis für die Zustimmung verwenden, während die GDPR eine Opt-in-Basis verwendet. Dies bedeutet im Wesentlichen, dass Benutzer sich aktiv an Unternehmen wenden müssen, um herauszufinden, welche Art von Informationen verwendet werden. Darüber hinaus gilt die DSGVO für alle Organisationen, die personenbezogene Daten von EU-Bürgern speichern.

Die CCPA hingegen gilt nur für gewinnorientierte Unternehmen, die Daten über Einwohner Kaliforniens verarbeiten. Die Organisation muss entweder einen Jahresumsatz von mindestens 24 Mio. USD erwirtschaften, die Daten von 50.000 Personen vorhalten oder mindestens die Hälfte ihres Umsatzes für den Verkauf personenbezogener Daten erwirtschaften. Wenn Sie also ein kleines Boutique-Geschäft besitzen und der Umfang Ihrer Online-Aktivitäten eine Webseite ist, auf der Ihre Geschäftszeiten und -adressen aufgeführt sind, müssen Sie sich keine Sorgen um die CCPA machen. Wenn Sie jedoch eine E-Commerce-Website über einen schlüsselfertigen Anbieter betreiben oder Ihre eigene E-Commerce-Website über einen allgemeinen Webhosting-Service verwalten, sollten Sie aufpassen.

Courtney Bowman ist Associate in der Prozessabteilung der internationalen Anwaltskanzlei Proskauer Rose LLP. Bowman erklärt, warum die CCPA verlangt, dass Unternehmen weit über 2020 hinaus sorgfältig über ihre Datennutzung nachdenken. "Diese 12-monatige Vorgabe bedeutet, dass Unternehmen mindestens einmal im Jahr ihre Datenschutzrichtlinien überprüfen müssen, um herauszufinden, ob sich etwas geändert hat, " Sie sagte.

"Sie müssen kontinuierlich überwachen, welche Daten sie verkaufen oder an Dritte weitergeben, damit sie ihre Datenschutzrichtlinien entsprechend anpassen können", fuhr Bowman fort. "Das Gesetz gibt Verbrauchern auch das Recht, in bestimmten Situationen auf ihre persönlichen Daten zuzugreifen oder diese zu löschen, und die Unternehmen müssen sicherstellen, dass sie dieses Recht rasch ausüben können. Dazu müssen Unternehmen Daten zuordnen, um herauszufinden, wo ihre Daten sind." befindet, und auch mit ihren IT-Abteilungen in Verbindung zu treten, um herauszufinden, was sie tun müssen, um sicherzustellen, dass sie ihren Pflichten gemäß dem Gesetz nachkommen können."

Die weitreichende Wirkung der CCPA

In den Monaten vor der GDPR war ein wichtiges Thema in unserer Berichterstattung, dass die GDPR in unserer globalisierten Welt Unternehmen außerhalb Europas betreffen würde. Schließlich sind die meisten großen Unternehmen im Ausland tätig und müssen ihre Online-Aktivitäten global ändern, um den gesetzlichen Bestimmungen zu entsprechen. Als wir mit Tsopanis sprachen, sagte er jedoch, dass amerikanische Unternehmen die CCPA immer noch besonders beachten müssen.

"In Bezug auf amerikanische Unternehmen konzentrierte sich die GDPR hauptsächlich auf große Organisationen, die über die Kanäle hinweg tätig waren. Mit dem ist das Kriterium für die qualifizierten Unternehmen um eine massive Größenordnung höher", sagte Tsopanis. "In Kalifornien leben 40 Millionen Menschen. 50.000 machen nicht einmal 0, 1 Prozent der Bevölkerung aus. Ich denke, das Ausmaß der Gefährdung amerikanischer Unternehmen ist erheblich höher als zuvor unter der DSGVO."

Tsopanis bietet das Beispiel des Fast-Food-Riesen Wendy's. "Wendy's ist das 999. größte Unternehmen der Fortune 1000 und hat einen Jahresumsatz von 1, 2 Milliarden US-Dollar - 48-mal höher als der Schwellenwert für die Anwendbarkeit nach diesem Gesetz. Zumindest gibt es in Amerika Unternehmen, die 1.000 Milliarden US-Dollar einhalten müssen." dieses Gesetz und bedeutende Größenordnungen größer als das in der 25-Millionen-Dollar-Kategorie."

Wir sind vielleicht nicht der Meinung, dass Wendy ein Technologieunternehmen ist, aber sie sammeln ihren angemessenen Anteil an Benutzerinformationen. Sie sind auch ein perfektes Beispiel dafür, wie Unternehmen aller Art von der CCPA betroffen sein werden. Wenn Sie die Website des Unternehmens besuchen, Lebensmittel über das POS-System (Point-of-Sale) bestellen oder einfach nur das WLAN in Wendys Restaurant in Ihrer Nähe nutzen, sammelt das Unternehmen Ihre Daten, und zumindest in Kalifornien gilt Folgendes: Alle unterliegen der CCPA-Verordnung. Wenn ein Unternehmen wie Wendy's so viele Daten über Benutzer sammelt, ist es geradezu beängstigend, darüber nachzudenken, was größere Unternehmen sammeln. Einfach ausgedrückt, wird die CCPA enorme Auswirkungen haben.

Wichtige Datenermittlungen

Eine der wichtigsten Auswirkungen der CCPA ist, dass die Amerikaner endlich in der Lage sein werden, die enormen Mengen an Daten, die Unternehmen gekauft und verkauft haben, aufzudecken. "Diese Gesetzesvorlage wird es dem amerikanischen Volk ermöglichen, das Massenweb von Dateneinkaufs- und -verkaufsorganisationen endlich aufzudecken, das bisher völlig anonym war. Dies wird zu einem dramatischen kulturellen Wandel in der Art und Weise führen, wie Datenschutz wahrgenommen wird, und letztendlich bei Irgendwann kommt es zu einem harmonisierten Bundesdatenschutzgesetz ", sagte Tsopanis.

Wenn die Cambridge Analytica Der Skandal brach aus und zog die Aufmerksamkeit von Millionen von Menschen auf sich, unabhängig davon, ob sie Technologen waren oder nicht. Die Leute waren sehr besorgt darüber, wer ihre Informationen sammelt und was damit gemacht wird, und die CCPA ist zum Teil eine Antwort darauf. Tsopanis argumentiert, dass die daraus resultierenden Enthüllungen massiv sein werden.

"Für jeden Journalisten im Land ist dies ein Glücksfall. Kalifornien ist mit 2, 7 Billionen US-Dollar die fünftgrößte Volkswirtschaft der Welt und basiert auf Big Data. Jede Zugriffsanfrage von jedem Fortune 1000-Unternehmen wird ein ganzes Netzwerk offenbaren der Kauf und Verkauf von Daten von Unternehmen, die einer intensiven Prüfung unterzogen werden ", erklärte Tsopanis. "Wir wissen nicht genau, was wir finden werden, wenn Leute anfangen, ihre Datenberichte zu erhalten, aber es werden sicher einige interessante Enthüllungen sein."

Nur noch 18 Monate bis zur Vorbereitung

Wenn wir etwas von der DSGVO gelernt haben, müssen die Unternehmen so früh wie möglich planen, um für den Abgabetermin bereit zu sein. Vor diesem Hintergrund haben amerikanische Unternehmen nicht viel Zeit. Die DSGVO wurde im April 2016 verabschiedet, und die Unternehmen hatten etwas mehr als zwei volle Jahre Zeit, um sich anzupassen und die Verordnung einzuhalten. Da das CCPA bereits Anfang 2020 in Kraft tritt, haben größere Unternehmen nur noch 18 Monate Zeit, sich darauf vorzubereiten.

Diese Frist dürfte selbst den erfahrensten Technikprofi unter Druck setzen. "Der Arbeitsaufwand, der in 18 Monaten geleistet werden muss, ist größer als für die DSGVO erforderlich, und die Zeit dafür ist kürzer. Amerikanische Unternehmen haben einen niedrigeren Reifegrad für den Datenschutz als in Europa", warnt Tsopanis.

Um dies zu gewährleisten, empfiehlt der Sicherheitsexperte den Unternehmen, ihre Prozesse sorgfältig zu entwickeln. "In den nächsten sechs Monaten müssen Unternehmen eine Methode entwickeln, mit der sie personenbezogene Daten unternehmensweit nachverfolgen können", sagte Tsopanis. "Sie benötigen eine Möglichkeit, auf einfache Weise darauf zuzugreifen, welche persönlichen Informationen zu welchem ​​Zeitpunkt an welche dritte Partei gesendet wurden. Anschließend müssen sie in der Lage sein, diese Informationen über einen Zeitraum von 12 Monaten bis zur Implementierung nachzuverfolgen und diese Informationen auf Anfrage bereitzustellen Die Regelung kommt ins Spiel.

"Es wird im Wesentlichen erforderlich sein, dass fast alle großen US-amerikanischen Unternehmen wichtige Datenidentifizierungsaktivitäten durchführen und in der Lage sind, Zugriffsanfragen von Betroffenen von Einwohnern Kaliforniens zum Zeitpunkt der Durchsetzung zu automatisieren und zu beantworten", fuhr Tsopanis fort. "Es ist auch wichtig anzumerken, dass, wenn das Gesetz im Jahr 2020 verabschiedet wird, ein Bericht über Benutzerinformationen in den letzten 12 Monaten erstellt werden muss. Dies bedeutet effektiv, dass Unternehmen diese Daten am 1. Januar 2019 nachverfolgen müssen."

Aus rechtlicher Sicht, so Bowman, könnten vor Ablauf der Frist einige Änderungen vorgenommen werden. "Wir gehen davon aus, dass wir einige Änderungen des Gesetzes vornehmen werden, bevor es in Kraft tritt", sagte sie. "Da die Ausarbeitung relativ schnell erfolgte, kann es auch nach ihrem Inkrafttreten noch einige Grauzonen geben, die für unser Verständnis noch offen sind. Schließlich hat die Ausarbeitung der DSGVO Jahre gedauert, und es gibt immer noch mehrere Teile der DSGVO das sind mehrdeutig."