Der California Consumer Privacy Act: eine praktische CCPA-Compliance-Checkliste
Vor Kurzem verkündete der kalifornische Generalstaatsanwalt Rob Bonta einen Vergleich in Höhe von 1,2 Millionen US-Dollar mit Sephora, um Vorwürfe beizulegen, dass der Kosmetikriese gegen den California Consumer Privacy Act (CCPA) verstoßen und versäumt hatte, diese Verstöße innerhalb des vom Gesetz vorgeschriebenen 30-tägigen Zeitfensters zu beheben. Die Meldung löste eine Schockwelle in der Datenschutz-Community aus, da es sich um die erste Vollstreckungsmaßnahme im Zuge des CCPA handelte. Zudem demonstrierte der Fall einen zunehmend unnachgiebigen gesetzlichen Fokus darauf, das Recht des Kunden auf Datenschutz und Privatsphäre zu schützen.
„Ich hoffe, dass der heutige Vergleich ein starkes Signal für Unternehmen ist, die es weiterhin versäumen, den Vorschriften des kalifornischen Datenschutzgesetzes nachzukommen. Meine Staatsanwaltschaft beobachtet dies und wir werden Sie zur Verantwortung ziehen“, warnte Bonta. „Der CCPA ist nun seit über zwei Jahren in Kraft und das Recht von Unternehmen, sich der Verantwortung zu entziehen, indem sie ihre CCPA-Verstöße nach deren Aufdeckung berichtigen, ist am Erlöschen. Es gibt keine Ausreden mehr. Befolgen Sie das Gesetz, behandeln Sie die Verbraucher angemessen und bearbeiten Sie Opt-out-Anfragen, die von Nutzern über globale Datenschutzsteuerungen eingereicht werden.“
Bonta hat sein Versprechen eingehalten. Ein Autohändler, eine Supermarktkette, eine Online-Dating-Plattform und eine Agentur für Haustieradoptionen wurden alle für schuldig befunden, gegen den CCPA seit dessen Inkrafttreten im Januar 2020 verstoßen zu haben, berichtet TechTarget. Von den im ersten Jahr der Geltendmachung benachrichtigten Organisationen unternahmen 75% umgehend Schritte, um ihre Compliance-Probleme zu beheben, erklärte Bonta in einer Stellungnahme im Juli 2021. Die restlichen 25% beinhalteten Unternehmen, die sich entweder noch in ihrem gesetzlich festgelegten 30-tägigen Zeitfenster für die „Mängelbeseitigung“ befanden oder gegen die zu dem Zeitpunkt ein Ermittlungsverfahren im Gange war.
Was also macht den California Consumer Privacy Act zu einem Meilenstein unter den Datenschutzgesetzen und was soll mit ihm erreicht werden? Und ebenso entscheidend: Was genau ist CCPA-Compliance und was können Firmen tun, um eine konforme Unternehmenskultur zu fördern? Erfahren Sie all dies untenstehend in unserem Leitfaden für CCPA-Compliance.
Was ist der CCPA und ist er für Sie geltend?
Der CCPA, kurz für „California Consumer Privacy Act“ des Jahres 2018, bietet Verbrauchern in Kalifornien mehr Kontrolle über ihre personenbezogenen Informationen, die Unternehmen über sie sammeln. Genauer gesagt gibt er Verbrauchern neue Rechte in Bezug auf Datenschutz, einschließlich:
● Das Recht zu wissen, welche personenbezogenen Informationen Unternehmen über sie sammeln und wie diese verwendet und geteilt werden
● Das Recht, die über sie gesammelten personenbezogenen Informationen zu löschen (mit einigen Ausnahmen, z. B. wenn die betreffenden Daten für die Aufdeckung eines Sicherheitsvorfalls benötigt werden)
● Das Recht, Widerspruch gegen den Verkauf ihrer personenbezogenen Daten einzulegen (Opt-out-Option)
● Das Recht, nicht diskriminiert zu werden, wenn sie ihre CCPA-Rechte in Anspruch nehmen
Und für wen ist der CCPA geltend? Für alle gewinnorientierten Unternehmen, die Geschäfte in Kalifornien betreiben und auf die mindestens eines der folgenden Kriterien zutrifft:
● Ein Brutto-Jahresumsatz von über 25 Millionen US-Dollar
● Der Erwerb, Erhalt oder Verkauf personenbezogener Informationen von 50.000 oder mehr kalifornischen Einwohnern, Haushalten oder Geräten
● Mindestens 50% des Jahresumsatzes werden aus dem Verkauf personenbezogener Informationen von Einwohnern Kaliforniens gewonnen
Wen und welche Art von Daten schützt der CCPA?
Da Sie nun wissen, für wen der CCPA geltend ist, lassen Sie uns einen Blick darauf werfen, wer durch das Gesetz geschützt werden soll. Auf den Punkt gebracht: die Einwohner Kaliforniens – also alle natürlichen Personen, im Gegensatz zu Großunternehmen oder anderen Wirtschaftseinheiten, die in Kalifornien ansässig sind, selbst wenn sich die Person vorübergehend nicht in Kalifornien befindet.
Gemäß dem CCPA müssen Unternehmen Verbrauchern einen besseren Einblick sowie mehr Transparenz und Kontrolle in Bezug auf ihre personenbezogenen Daten bieten. Die Definition des CCPA für diese Art von Daten ist jedoch etwas breiter gefasst als die anderer Datenschutzgesetze in den USA, erklärt Deloitte. Laut dem CCPA handelt es sich bei personenbezogenen Daten um „Informationen, die einen bestimmten Verbraucher oder Haushalt identifizieren, betreffen oder beschreiben, oder hinreichend Annahme dazu geben, dass sie mit ihm direkt oder indirekt in Verbindung gebracht werden könnten.“
Die Definition listet verschiedene Standardbeispiele auf, wie Sozialversicherungsnummern, Führerscheinnummern, Einkaufshistorien und „einzigartige personenbezogene Identifikatorenׅ“ – auch als dauerhafte Identifikatoren bekannt, die dazu verwendet werden können, einen Verbraucher, eine Familie oder ein mit ihm/ihr verbundenes Gerät zu identifizieren. Aggregierte und medizinische Daten und Informationen, die rechtmäßig von der Bundes-, staatlichen oder lokalen Regierung verfügbar gemacht wurden, fallen nicht in diese Kategorie.
CCPA vs. DSGVO: Worin liegt der Unterschied?
Wenn man sich die Ziele und Klauseln des CCPA vor Augen hält, lässt es sich kaum vermeiden, Parallelen zu anderen wegweisenden Datenschutzgesetzen zu ziehen, insbesondere der Datenschutz-Grundverordnung der EU (DSGVO). Tatsächlich bestehen viele Ähnlichkeiten, aber es gibt auch einen wichtigen Unterschied.
Die DSGVO gilt für alle Unternehmen, die personenbezogene Daten von in der Europäischen Union ansässigen Einzelpersonen sammeln und handhaben. Hierbei spielen der Umfang der verarbeiteten Daten oder der Umsatz des Unternehmens und woher dieser stammt keine Rolle.
Der CCPA schützt jedoch ausschließlich die Rechte von Einwohnern Kaliforniens. Darüber hinaus bezieht er sich auf gewinnorientierte Instanzen, die in demselben Staat ansässig sind und die, wie oben bereits erwähnt, bestimmte Kriterien in Bezug auf den Umfang der Datensammlung und deren Beitrag zum Brutto-Einkommen erfüllen müssen.
CCPA-Compliance-Anforderungen: eine Erklärung der zwei wichtigsten Gruppen
Die Verpflichtungen, denen Unternehmen im Rahmen des bahnbrechenden California Consumer Privacy Act nachkommen müssen, lassen sich in zwei grobe Kategorien einteilen:
Das Recht zu wissen: CCPA-Anforderungen in Bezug auf Zugriffsrechte
Wenn Unternehmen eine „nachprüfbare Verbraucheranfrage“ erhalten, was die CCPA-Umschreibung für eine Datenzugriffsanfrage ist, müssen sie kalifornischen Verbrauchern folgende Informationen zukommen lassen:
● Die Kategorien von personenbezogenen Daten, die über den Verbraucher gesammelt wurden
● Die Kategorien von Quellen, aus denen diese Daten stammen
● Den kommerziellen Zweck, für den die personenbezogenen Daten gesammelt oder verkauft wurden
● Die Kategorien von Dritten, mit denen das Unternehmen personenbezogene Informationen teilt
● Die genauen personenbezogenen Informationen, die über den Verbraucher gesammelt wurden
Die Informationen müssen die 12 Monate vorm Einreichen der Anfrage abdecken und kostenlos ausgehändigt werden.
Das Recht, mehr zu wissen: CCPA-Anforderungen in Bezug auf Auskunft
Unternehmen, für die der CCPA geltend ist, müssen außerdem sicherstellen, dass ihre Datenschutzrichtlinie oder Datenschutzrichtlinien im Detail darlegt/darlegen, welche Kategorien von personenbezogenen Informationen über den Verbraucher gesammelt werden, woher diese Daten stammen und für welchen kommerziellen oder geschäftlichen Zweck dies geschieht. Zusätzlich muss angegeben werden, mit welchen Kategorien von Dritten die Informationen geteilt werden und genau welche personenbezogenen Informationen über den Verbraucher gesammelt werden.
Darüber hinaus sind Unternehmen dazu verpflichtet, den Verbrauchern ihre Rechte darzulegen – entweder in ihren eigenen Richtlinien oder auf ihrer Webseite sowie in sämtlichen auf Kalifornien bezogenen Beschreibungen von Verbraucherdatenschutzrechten. Sie dürfen keinesfalls die sensiblen personenbezogenen Informationen von Verbrauchern für Zwecke verwenden, über die nicht ausdrücklich Auskunft erteilt wurde, und ohne den Verbraucher darüber in Kenntnis zu setzen, dass seine Daten für neue Zwecke genutzt werden und er das Recht hat, Widerspruch gegen den Umfang der Nutzung einzulegen.
Die CCPA-Anforderungen in Bezug auf Auskunft erstrecken sich auch über den Verkauf von personenbezogenen Informationen. Insbesondere, wenn ein Unternehmen Verbraucherinformationen an Dritte verkauft oder preisgibt, muss der Datenschutzhinweis auch die Kategorien der verkauften oder offengelegten personenbezogenen Informationen beinhalten sowie die Kategorien der Drittkäufer. Zusätzlich muss eine Klausel enthalten sein, die Verbraucher über ihr Widerspruchsrecht (Opt-out-Recht) aufklärt, mit dem dem Unternehmen ausdrücklich untersagt werden kann, die personenbezogenen Informationen zu verkaufen.
CCPA-Sicherheitsanforderungen: Gibt es einen Goldstandard?
Kurz gesagt: nein. „Die Vorschriften, die den CCPA implementieren, besagen lediglich, dass Unternehmen angemessene Sicherheitsvorkehrungen im Zusammenhang mit den von ihnen für bestimmte Zwecke gesammelten oder verarbeiteten personenbezogenen Daten treffen müssen – d. h. Verbraucheranfragen und als Antwort auf Zugriffsanfragen bereitgestellte Informationen“, erklärt David Zetoony im The National Law Review.
Die Nichteinhaltung von CCPA-Compliance hat einen hohen Preis: Dieser kann bis zu 7500 US-Dollar pro CCPA-Verstoß betragen. Aber das ist noch längst nicht alles. Laut einer Umfrage der Enterprise Strategy Group aus dem Jahr 2021 gibt es genug andere Motivationen, um CCPA-Compliance zu erzielen und aufrechtzuerhalten, wie die Vermeidung von Produktivitätsminderungen, Gerichtsverfahren, durch die Erholung entstehenden Kosten und Rufschädigungen.
CCPA-Compliance-Checkliste: So erzielen und sichern Sie Compliance
- Finden Sie heraus, ob der CCPA für Sie geltend ist
Wie wir bereits oben betont haben, ist der CCPA nicht geltend für Unternehmen, die weniger als 25 Millionen US-Dollar Brutto-Jahresumsatz machen, Daten von weniger als 50.000 Kaliforniern handhaben oder weniger als die Hälfte ihres Umsatzes aus dem Verkauf personenbezogener Informationen erzielen. - Durchkämmen Sie Ihre Daten
Der CCPA bezieht sich auf eine Bandbreite von personenbezogenen Informationen. Außerdem sind Sie sich evtl. gar nicht darüber im Klaren, in welchem Ausmaß Ihr Unternehmen Daten sammelt. Daher ist es wichtig zu verstehen, welche Arten von Verbraucherinformationen an welchen Stellen in Ihre Datenbanken hinein- und herausfließen – und warum. - Sorgen Sie dafür, dass Ihre Datenschutzrichtline wasserdicht ist
Denken Sie daran: Gemäß dem CCPA muss Ihr Datenschutzhinweis oder Ihre Webseite Verbraucher ausdrücklich auf ihre Rechte in Bezug auf das Datenschutzgesetz hinweisen, ihnen eine Opt-in- oder Opt-out-Option bieten und ihnen erklären, wie sie von ihren Rechten Gebrauch machen können. Stellen Sie außerdem sicher, dass Sie darlegen, welche Art von personenbezogenen Informationen Sie sammeln und an Dritte weitergeben. - Schaffen Sie einen Workflow zum Bearbeiten von Anfragen
Gemäß dem CCPA haben Verbraucher die volle Berechtigung zu erfahren, welche Art von personenbezogenen Informationen Sie über sie gesammelt haben. Sie können sogar von Ihnen verlangen, diese Daten zu löschen. Richten Sie daher Arbeitsabläufe ein, mit denen Sie gewährleisten können, dass jede Anfrage verifiziert, bearbeitet und innerhalb von 45 Tagen abgeschlossen wird. - Bringen Sie alle auf den aktuellen Stand
Unternehmen, die unter den CCPA fallen, müssen Compliance-Weiterbildungen für Mitarbeiter anbieten, die Verbraucheranfragen in Bezug auf Datenschutzpraktiken handhaben, sowie für sämtliche Mitarbeiter, die die Verantwortung für die CCPA-Compliance des Unternehmens tragen. Der Fokus sollte hierbei darauf liegen, wie Verbraucher von ihren Rechten Gebrauch machen können.
Wie Tresorit Ihre CCPA-Compliance-Bemühungen unterstützen kann
Als Dateiverwaltungs- und Zusammenarbeitsplattform mit Ende-zu-Ende-Verschlüsselung und Zero-Knowledge-Prinzip kann Tresorit Ihnen bei Folgendem helfen:
● Ihre Cloud mit Ende-zu-Ende-Verschlüsselung zu einem sichereren Ort machen
Jede Datei und relevante Metadaten auf den Geräten unserer Nutzer werden mit zufällig generierten Verschlüsselungscodes verschlüsselt. Der Zugriff auf die Dateien ist nur mittels eines einzigartigen Entschlüsselungscodes möglich, den niemand sonst – nicht einmal Tresorit – kennt. Das bedeutet, dass selbst im Falle einer Kompromittierung unserer Server niemand dazu in der Lage ist, die Inhalte Ihrer Dateien zu lesen.
● Die Kontrolle darüber behalten, was mit Ihren Daten geschieht
Implementieren Sie Datenschutzmaßnahmen für die Zusammenarbeit an Dateien. Diese umfassen die Kontrolle darüber, wer Zugriff auf welche Daten nehmen kann, das Protokollieren von Dateiaktivitäten und das Festlegen interner Sicherheitsrichtlinien für die Dateiverwaltung. Dank kryptografischer Authentifizierung, die auf alle verschlüsselten Daten im HMAC- oder AEAD-Format angewendet wird, können keine Dateiinhalte ohne Ihr Wissen modifiziert werden.
● Firmenweite Sicherheitsrichtlinien an einem Ort einrichten und durchsetzen
Stellen Sie sicher, dass all Ihre Teammitglieder an einem Strang ziehen, wenn es um die Verwendung wichtiger Datenschutztools und -verfahren geht. Wenden Sie Richtlinienprofile auf Nutzergruppen an, einschließlich 2-Stufen-Verifizierung, IP-Filter, Zeitbeschränkungen und Richtlinien zum Teilen. Legen Sie unterschiedliche Richtlinien für jedes Profil fest und modifizieren Sie diese jederzeit über eine einzige Benutzeroberfläche.
● Zugriffe sicher machen und einschränken
Kontrollieren und entscheiden Sie, welche Geräte firmenintern Zugriff auf welche Dateien nehmen dürfen und von wo aus Nutzer sich in ihrem Firmenkonto anmelden können. So können Sie geschäftskritische Dokumente schützen. Verwalten Sie Dateien und Ordner auf differenzierte Weise, um sicherzustellen, dass nur die Personen auf sie Zugriff haben, die diesen wirklich benötigen. Außerdem können Sie jederzeit Datei-Downloads beschränken oder den Zugriff sperren.