Kalifornien hat am 28. Juni 2018 das California Consumer Privacy Act (CCPA) verabschiedet. Es ist ein Gesetz, das die Datenschutzrechte der Verbraucher innerhalb des Bundesstaates schützt. Ähnlich wie die europäische Datenschutz-Grundverordnung (DSGVO) wird die CCPA viele Unternehmen betreffen, die personenbezogene Daten von Personen in Kalifornien erheben. Das Gesetz erlaubt den Kaliforniern, die für ihre Rechtsstreitigkeiten bekannt sind, Unternehmen zu verklagen, wenn ihre persönlichen Daten bei einem Datenverstoß kompromittiert werden.
Es wird am 1. Januar 2020 in Kraft treten, aber die meisten Unternehmen wissen nicht, wie sich dies auf sie auswirken wird. In einer kürzlich von ESET durchgeführten Umfrage wurden 625 Unternehmer und Führungskräfte befragt, um die Geschäftsbereitschaft für diese Regelung zu beurteilen. Fast die Hälfte (44, 2%) hatte noch nie von CCPA gehört. Nur 11, 8% wissen, ob das Gesetz für sie gilt, und 34% sind sich nicht sicher, ob sie ändern müssen, wie sie Daten erfassen, speichern und verarbeiten.
Es ist erwähnenswert, dass 2018 laut Risk Based Security das zweithäufigste Jahr für Datenschutzverletzungen war. Es gab 6.500 gemeldete Verstöße, darunter rund 5 Milliarden Datensätze, von Mega-Verstößen gegen Unternehmen wie Facebook bis hin zu weitaus kleineren.
Hier finden Sie alles, was Sie über die Handlung wissen müssen und was Sie tun können, um sich als Kleinunternehmer vorzubereiten.
Matt Dumiak, Director of Privacy Services bei CompliancePoint, und Greg Sparrow, Senior Vice President und General Manager von CompliancePoint, gaben an, dass die CCPA eine Gesetzesvorlage ist, die Unternehmen dazu verpflichtet, neue Richtlinien und Verfahren zum Schutz personenbezogener Daten einzuführen. Dies umfasst Datenschutzrichtlinien, Sicherheitsmaßnahmen und die Erleichterung von Verbraucherrechten.
Unternehmen müssen jedoch nicht alle Verbraucherwünsche erfüllen. Jedes sollte analysiert werden, um sicherzustellen, dass das Unternehmen nur die zutreffenden einhält.
Laut der CCPA-Website schützt das Gesetz die folgenden Verbraucherrechte:
- Recht auf Kenntnis aller über sie erhobenen Daten, einschließlich der Kategorien von Daten und des Grunds ihrer Erfassung, bevor sie erhoben werden, sowie etwaiger Änderungen ihrer Erfassung
- Recht, den Verkauf ihrer Informationen zu verweigern
- Recht auf Löschung ihrer Daten
- Bevollmächtigtes Einwilligungsrecht vor dem Verkauf von Informationen für Kinder unter 16 Jahren
- Auskunftsrecht über die Kategorien von Dritten, mit denen ihre Daten geteilt werden, sowie über diejenigen, von denen ihre Daten erhoben wurden
- Vollstreckung durch den Generalstaatsanwalt des Staates Kalifornien
- Sollte es zu einer Verletzung des privaten Rechts kommen, wird sichergestellt, dass die Unternehmen ihre Informationen sicher aufbewahren
Dumiak und Sparrow gaben an, dass Unternehmen 45 Tage Zeit haben, auf Kundenanfragen zu reagieren. Schäden, die aufgrund eines Verstoßes entstehen, sind auf 750 USD pro Verbraucher und Vorfall begrenzt.
Die CCPA hatte ursprünglich strengere Vorschriften, bevor sie mit dem Gesetzesentwurf 375 überarbeitet wurde, die die im kalifornischen Silicon Valley gediehene Tech-Industrie beinahe lahmgelegt hätten. Dumiak und Sparrow stellten jedoch fest, dass die offizielle CCPA Unternehmen ein 30-tägiges Zeitfenster zur Änderung von Verstößen einräumt, sofern sie nachweisen können, dass sie geändert wurden und dass keine weiteren Verstöße mehr auftreten werden. Andernfalls drohen Verstößen Strafen von bis zu 7.500 US-Dollar pro vorsätzlichem Verstoß.
Dumiak und Sparrow wiesen darauf hin, dass die Rechnung "für jedes Unternehmen gilt, das 25 Millionen US-Dollar Umsatz pro Jahr erwirtschaftet, 50.000 Verbraucherdaten pro Jahr verkauft oder 50% seines Jahresumsatzes aus dem Verkauf persönlicher Informationen erzielt". Dies schließt Unternehmen ein, die personenbezogene Daten von Verbrauchern in Kalifornien sammeln oder verkaufen, unabhängig davon, wo sich das Unternehmen selbst befindet.
Der durchschnittliche Jahresumsatz eines kleinen Unternehmens beträgt weniger als 25 Millionen US-Dollar. Tatsächlich liegt der durchschnittliche Umsatz für Unternehmen mit 20 bis 99 Mitarbeitern laut Quickbooks bei 7.124.000 Millionen US-Dollar. Obwohl die Qualifikationen, die von dieser Rechnung betroffen sein könnten, viele kleine Unternehmen ausschließen, heißt das nicht, dass Sie sich nicht vorbereiten sollten.
"Die CCPA bietet kleinen Unternehmen Anreize und Motivation, über die in ihrem Geschäftsumfeld verarbeiteten und geschützten personenbezogenen Daten nachzudenken", sagte Dumiak. "Die meisten Unternehmen sind der Meinung, dass die Ressourcen knapp sind, und kleine Unternehmen sind nicht anders, wenn nicht sogar mehr."
"Das kalifornische Gesetz wird die Messlatte erheblich höher legen, und dies wird nicht das letzte Mal sein, dass Staaten versuchen, die neue DSGVO der EU zu emulieren", fügte Robert Cattanach hinzu, ein Partner von Dorsey & Whitney, der Kunden bei der Orientierung im Regulierungsrecht hilft. "Diese Maßnahme wird wahrscheinlich zu einer Zunahme von Rechtsstreitigkeiten führen, da mehr Verbraucherrechte geschaffen und erweitert werden."
Das mangelnde Bewusstsein könnte jedoch zu mangelnder Compliance führen, was die Unternehmen mit erheblichen finanziellen Sanktionen konfrontieren könnte.
"Es ist klar, dass Unternehmen über diese bevorstehende Verordnung verwirrt sind und nicht wissen, ob sie den Gesetzen unterliegen und was sie tun müssen, um die Anforderungen zu erfüllen", sagte Tony Anscombe, globaler Sicherheitsexperte bei ESET. "Die Strafen werden schwerwiegend sein und der finanzielle Schaden könnte für diese Unternehmen schwerwiegend sein. Unternehmen sollten sich insbesondere auf den Aspekt der angemessenen Sicherheit des Gesetzes konzentrieren, indem sie sicherstellen, dass strenge Prozesse und Praktiken vorhanden sind, einschließlich eines starken Schutzes und einer starken Verschlüsselung der Endpunkte." in ihrer gesamten Organisation. " [Sind Sie auf dem Markt für Internetsicherheits- und Antivirensoftware für Ihr kleines Unternehmen? Schauen Sie sich unsere Bewertungen und besten Tipps an.]
Während Kalifornien nur ein Bundesstaat ist, verbreiten seine Vorschriften das Bewusstsein und ermutigen Gleichgesinnte, sich zu äußern und Maßnahmen zu ergreifen. Unternehmen sollten damit rechnen, dass in den nächsten Jahren landesweit ähnliche Gesetze verabschiedet werden. Tatsächlich hat Nevada eine Änderung seines Online-Datenschutzgesetzes verabschiedet, wonach Unternehmen den Verbrauchern das Recht einräumen müssen, den Verkauf ihrer persönlichen Daten zu widerrufen. Sie wird am 1. Oktober 2019 in Kraft treten. New York, Washington und Texas haben jeweils ähnliche Gesetze für die CCPA eingeführt. Ein Bundesdatenschutzgesetz wird in Washington, DC, noch geprüft.
"Der Kongress wird sowohl von Befürwortern der Privatsphäre als auch von Unternehmen unter Druck gesetzt, die von Kalifornien geschaffenen Rechte zu billigen und zu versuchen, einen sich zunehmend dynamisch entwickelnden Politikbereich zu vereinheitlichen", sagte Cattanach. "Das Fazit ist, dass sich dies auf die in der DSGVO enthaltenen Konzepte stützt und von anderen Staaten als Standard anerkannt wird."
Das CCPA wird im Januar 2020 in Kraft treten, so dass kleine Unternehmen etwas Zeit haben, sich vorzubereiten. Aber nicht viele. Um dies zu tun, sagte Dumiak, sollten sie die Geschäftsbereiche überprüfen, einschließlich:
- Haltung zur Informationssicherheit
- Verarbeitung personenbezogener Daten
- Bearbeitung von Zugriffsanfragen
- Sonstige geltende Rechte oder Anforderungen
"Darüber hinaus werden die Geldbußen und das Recht auf Schutz der Privatsphäre einen größeren Prozentsatz ihrer Einnahmen ausmachen und den Geschäftsbetrieb und die Einnahmen beeinflussen", sagte Dumiak. "Viele sehen Regulierung als Kopfzerbrechen, aber diese Regulierung ist eine großartige Gelegenheit für kleine und große Unternehmen, die dringend benötigte Ressourcenhilfe im Bereich Sicherheit und Geschäftsabläufe zu erhalten."
Wenn Ihr kleines Unternehmen noch keinen Datenverarbeitungsberater beauftragt hat, um sicherzustellen, dass Ihr Unternehmen die GDPR-Bestimmungen einhält, ist jetzt möglicherweise der richtige Zeitpunkt, um einen solchen Fachmann zu ermitteln. Möglicherweise möchten Sie jemanden suchen, der von der International Association of Privacy Professionals (IAPP) zertifiziert ist. Es ist die größte und umfassendste globale Community zum Schutz des Datenschutzes, der rund 40.000 Mitglieder angehören.
Auch wenn Sie bereits konform sind, lohnt es sich, ein Auge auf die kalifornischen Vorschriften zu werfen, da derzeit zwei Gesetzesvorlagen geprüft werden, mit denen die CCPA erweitert werden könnte. Und es werden neun Gesetzesentwürfe geprüft, die den Anwendungsbereich von CCPA einschränken würden.
