Content Marketing

Die Durchsetzung des CCPA beginnt jetzt und die meisten Unternehmen sind noch nicht bereit

Der California Consumer Privacy Act (CCPA) trat am 1. Januar 2020 mit einer sechsmonatigen Nachfrist in Kraft. Dieses Enddatum ist jetzt da.

Die Grundlagen. Zur Auffrischung gilt CCPA ausdrücklich für Unternehmen, die sich unter einem oder mehreren der folgenden gesetzlichen Kriterien qualifizieren:  

  • einen Jahresbruttoumsatz von über 25 Millionen US-Dollar haben;
  • die persönlichen Daten von 50,000 oder mehr Verbrauchern, Haushalten oder Geräten besitzen; oder
  • Verdienen Sie mehr als die Hälfte ihres Jahresumsatzes mit dem Verkauf personenbezogener Daten von Verbrauchern

Eine Reihe von Unternehmenskategorien sind ausdrücklich von der Einhaltung des CCPA ausgenommen, einschließlich bestimmter Branchen, die unter Bundesvorschriften fallen. Die meisten Verlage müssen jedoch bereit sein, US-Verbrauchern zu ermöglichen, sich von der Datenübertragung durch Dritte abzumelden und im Falle einer Untersuchung oder Beschwerde die Einhaltung der Vorschriften gegenüber den Aufsichtsbehörden nachzuweisen.

Rechtsanwalt Aaron Tantleff, Partner bei der Anwaltskanzlei Foley & Lardner, gibt Hoffnung, dass CCPA möglicherweise nicht für alle gilt, und weist gleichzeitig darauf hin, dass das Gesetz nur wenige geografische Grenzen kennt. „Wir haben mit vielen Kunden gesprochen, die in Panik angerufen haben, um herauszufinden, dass CCPA nicht gilt. Die Anwendbarkeit des CCPA, wie auch der DSGVO, ist nicht nur auf Organisationen mit Sitz in Kalifornien beschränkt. Sie kann für Organisationen gelten, die keine physische Präsenz im Staat haben.“

Breite Anwendung für Unternehmen weltweit. Aus praktischen Gründen wird das Gesetz im Großen und Ganzen für die meisten Handelsunternehmen gelten, unabhängig davon, ob sie ausdrücklich auf Einwohner Kaliforniens abzielen oder nicht. Eine frühe Analyse der Gesetzgebung durch die IAPP sagt beispielsweise:

Unternehmen können die Schwelle [für die personenbezogenen Daten von 50,000 Verbrauchern] schneller überschreiten als erwartet, da der Umfang der personenbezogenen Daten weit gefasst ist. Die meisten Unternehmen betreiben Websites und erfassen zwangsläufig IP-Adressen. Insbesondere müssen Unternehmen die Vorschriften einhalten, unabhängig davon, ob die Website auf Unternehmen oder einzelne Kunden in Kalifornien abzielte, da der Begriff „Verbraucher“ als „Einwohner“ definiert ist. Selbst einzelne Blogger und relativ kleine Unternehmen außerhalb Kaliforniens haben möglicherweise Schwierigkeiten, sicherzustellen, dass sie keine personenbezogenen Daten von mehr als 50,000 in Kalifornien ansässigen Besuchern ihrer Website pro Jahr erhalten, einfach weil sie von dort passiv zugänglich sind, und innerhalb Kaliforniens die meisten Einzelhändler, Fitnessstudios, Musiklokale und andere Unternehmen werden diese Schwelle erfüllen.

Risiken bei Nichteinhaltung. Der kalifornische Generalstaatsanwalt kann Geldstrafen von bis zu 2,500 USD für nicht vorsätzliche Verstöße und 7,500 USD für vorsätzliche Verstöße verhängen. Aber diese Zahlen können sich schnell vervielfachen, wenn Tausende oder Millionen von Benutzern betroffen sind. In den meisten Fällen besteht keine Haftung, wenn der Verstoß innerhalb von 30 Tagen nach Erhalt der Mitteilung „geheilt“ wird. Es besteht auch ein privates oder individuelles Klagerecht, wenn personenbezogene Daten im Rahmen des CCPA unrechtmäßig offengelegt werden. (Die erste CCPA-Sammelklage [.pdf] wurde im Februar gegen Hanna Andersson und Salesforce eingereicht.)

Laut einer kürzlich durchgeführten Ethyca-Umfrage unter 218 General Counsels von Technologieunternehmen gaben 56% an, dass sie „unvorbereitet auf neue Datenschutzbestimmungen rund um den Globus“ seien, zu denen auch CCPA gehört. In den Monaten vor der Durchsetzungsfrist gaben 43 % der Befragten an, dass sie der Datenschutzvorsorge aufgrund von COVID-19 keine Priorität eingeräumt hätten. Die Umfrage ergab auch, dass der Mangel an Ressourcen oder Kosten die größte Herausforderung bei der Einhaltung darstellt.

Was nun. „Für Unternehmen, die immer noch auf der Suche nach Compliance sind, besteht der wichtigste – und einzige – erste Schritt darin, herauszufinden, welche personenbezogenen Daten Sie besitzen und wo sie gespeichert sind“, sagt Cillian Kieran, CEO von Ethyca. „Nachdem Sie eine Datenkarte erstellt haben, die eine gründliche und vollständige Aufzeichnung der Daten enthält, die Sie besitzen und wo sie gespeichert sind, können Sie sich um die Einrichtung der Strukturen für verschiedene Compliance-Aufgaben kümmern. Aber alles beginnt mit der Karte.“

Rechtsanwalt Tantleff fügt hinzu: „Dokumentieren Sie alles. Inzwischen sollten Unternehmen über solide Sicherheitsmaßnahmen verfügen. Gemäß dem CCPA muss eine Organisation jedoch nachweisen, dass sie angemessene Sicherheitsmaßnahmen zum Schutz personenbezogener Daten basierend auf der Art und Sensibilität dieser Informationen ergriffen hat.“

Lisa Rapp, VP of Data Ethics bei LiveRamp, sagt: „Kein Unternehmen sollte versuchen, dies allein zu tun. Am besten erhalten Sie so viele Informationen wie möglich, indem Sie die Meinungen der Branchenführer lesen, sich über die Materialien auf dem Laufenden halten, die Gruppen wie die IAPP und das IAB herausgeben, und sich an bekannte Anwaltskanzleien wenden, die Geschäfte tätigen mit Datenschutz, um ihre Rechtsberatung und Rechtsauslegung zu erhalten.“

Julie Rubash, VP of Legal bei Nativo, empfiehlt den Herausgebern, die endgültigen Bestimmungen des Generalstaatsanwalts zu lesen, „um sicherzustellen, dass die aktuellen [Datenschutz-]Pläne mit der Auslegung des Generalstaatsanwalts übereinstimmen“. Sie fügt hinzu: „Tools wie das IAB CCPA Framework sind ein Schritt in die richtige Richtung, um sich auf eine Anfrage vorzubereiten und Umsatzunterbrechungen zu begrenzen. Es ist unwahrscheinlich, dass Verlage, die das CCPA Compliance Framework-Tool von IAB nutzen und die eingeschränkte Service-Provider-Vereinbarung unterzeichnen, signifikante Auswirkungen auf ihre Geschäftsmodelle haben.“

Abby Matchett, Enterprise Analytics Lead bei Bounteous, sagt: „Da CCPA personenbezogene Daten viel umfassender betrachtet als die europäischen DSGVO-Richtlinien, müssen die meisten Unternehmen eine umfangreiche interne Bestandsaufnahme aller Daten vornehmen, die direkt oder indirekt mit einem Verbraucher in Verbindung gebracht werden können oder Haushalt. Die Durchführung einer solchen Bestandsaufnahme stellt eine große Belastung für IT-Organisationen, Rechtsabteilungen und Datenanalysten dar, die sich möglicherweise bereits anderen internen Prioritäten widmen. Die Überwindung dieses Hindernisses ist einer der ersten Schritte in Richtung Compliance, aber oft die größte Herausforderung in der Koordination und vollständigen Dokumentation.“

Matchett erklärt weiter: „Wenn Sie befürchten, dass Sie zu diesem Zweck möglicherweise keine Zeit haben, eine eigene digitale Lösung zu entwickeln, sollten Sie sich an externe Cookie Consent Manager-Softwareunternehmen wenden, die sich auf die Wartung von CCPA- und GDPR-fähigen Lösungen spezialisiert haben. Einige gängige Einwilligungsmanager sind unter anderem TrustArc, OneTrust und Quantcast.“

Hier kommt CPRA. Auch wenn viele Unternehmen Schwierigkeiten haben, den CCPA einzuhalten, könnte eine neue kalifornische Wahlinitiative im November noch strengere Datenschutzbestimmungen auferlegen, wenn sie verabschiedet wird. Katelyn Ringrose vom Future of Privacy Forum sagt: „Während Unternehmen möglicherweise starke Compliance-Programme und -Anstrengungen in Bezug auf den CCPA begonnen und in einigen Fällen abgeschlossen haben, könnte der kürzlich für die Wahl 2020 zertifizierte California Privacy Rights Act (CPRA) bereits 2023 ein Inkrafttreten, wodurch den betroffenen Unternehmen zusätzliche Verpflichtungen auferlegt werden. Die CPRA würde eine Klassifizierung sensibler Daten erstellen, den Auftragsverarbeitern zusätzliche Verpflichtungen auferlegen und die Einrichtung einer kalifornischen Datenschutzbehörde erfordern.“

Warum ist uns das wichtig? Viele Verbraucher haben Bedenken hinsichtlich des Umgangs mit ihren Daten im Internet geäußert. Es gibt jedoch Beweise dafür, dass „Privacy Forward“-Unternehmen sowohl Marken- als auch finanzielle Vorteile in Form eines größeren Vertrauens der Verbraucher und eines noch stärkeren Umsatzwachstums sehen.

Es ist töricht, die notwendigen Schritte zu verzögern, um Datenschutz und Datensicherheit zu priorisieren. Wie Tom O'Regan, CEO von Madison Logic es ausdrückte: „Letztendlich wird die Einhaltung der CCPA-Kontrollen weitaus günstiger sein als Strafen bei Nichteinhaltung.“

Live with Search Engine Land am Donnerstag wird eine spezielle CCPA- und Datenschutzdiskussion mit Lisa Rapp, VP Datenethik, LiveRamp, Abby Matchett, Leiter der Unternehmensanalyse, Freigebig, Katelyn Ringrose, Rechtsanwalt, Zukunft des Datenschutzforums.

Es beginnt um 1:00 Uhr EDT und lässt bis zu 100 Personen in das Meeting ein, um die Diskussion live mitzuerleben und Fragen zu stellen. Wenn Sie ein digitaler Vermarkter sind, können Sie dies nicht verpassen. Hier anmelden.

Verwandte Artikel

0 Kommentare
Inline-Feedbacks
Alle Kommentare anzeigen
Nach oben-Taste