CCPA setzt den Trend aus der DSGVO fort
13/01/2020 |

CCPA setzt den Trend aus der DSGVO fort

Am 1. Januar 2020 ist die CCPA in den USA
in Kraft getreten. Was deutet das für Unternehmen?

golden gate bridge

Im vergangenen Jahr ist deutlich sichtbar geworden, wie große Unternehmen von der Europäischen Datenschutzgrundverordnung (DSGVO) betroffen waren. British Airways erhielt eine Geldstrafe von 230 Millionen US-Dollar, nachdem Hacker persönliche Informationen und Details zum Bezahlverkehr von über 500.000 Kunden gestohlen hatten. Der Hotelgigant Marriott wurde mit einer Geldstrafe von 124 Millionen US-Dollar belegt, nachdem er eine andere Hotelkette gekauft hatte, deren Netzwerk nicht gesichert war. Das wiederum führte zu Datenverlusten im Zusammenhang mit 500 Millionen Kunden. Ein letztes Beispiel: US Equifax erhielt eine Geldstrafe von 575 Millionen US-Dollar, weil es in seiner Software keine Patches installiert hatte, was zu einem Verlust von Kundendaten führte.
Und das waren nur ein paar Beispiele, die zeigen, was passieren kann, wenn Unternehmen die DSGVO nicht einhalten.

Was ist CCPA?

Jetzt müssen Unternehmen noch vorsichtiger werden. Der California Consumer Privacy Act (CCPA) ist am 1. Januar 2020 in Kraft getreten. Dieses staatliche Gesetz orientiert sich an der DGSVO und betrifft die Verbraucherrechte aller Bürger Kaliforniens. Es berücksichtigt, dass Menschen Rechte in Bezug auf die Art und Weise und den Zeitpunkt der Verwendung ihrer Daten haben. Sie haben ein Recht zu wissen,

  • wann ihre Daten gesammelt werden
  • und wie ihre Daten verwendet werden.

Außerdem können sie

  • „nein“ zum Verkauf ihrer Daten sagen,
  • auf ihre Daten zugreifen und
  • einen Antrag auf Löschung der Daten stellen.
Das bedeutet, dass die Regeln für jedes Unternehmen gelten, das die Daten von Bürgern Kaliforniens verarbeitet oder speichert – unabhängig davon, wo sich dieses Unternehmen befindet.

Ähnlich wie bei der DSGVO, ist die CCPA auch nicht von örtlichen Grenzen betroffen. Das bedeutet, dass die Regeln für jedes Unternehmen gelten, das die Daten von Bürgern Kaliforniens verarbeitet oder speichert – unabhängig davon, wo sich dieses Unternehmen befindet.

Was bedeutet CCPA für Unternehmen?

Ab dem 1. Juli 2020 kann der Generalstaatsanwalt von Kalifornien mit der Durchsetzung der CCPA beginnen. Das bedeutet, dass Unternehmen, die die Daten von kalifornischen Bürgern verarbeiten oder speichern, die Vorschriften einhalten müssen. Ansonsten drohen ihnen Konsequenzen und Geldbußen.

71% der Unternehmen erwarten, dass sie mehr als 100.000 US-Dollar für Compliance-Vorbereitungen ausgeben werden müssen. Dies beinhaltet die Kosten für:

  • Anwälte, um das Gesetz und seine Anforderungen zu interpretieren,
  • betriebliche Veränderungen,
  • Technologie, wie beispielsweise neue Systeme zur Datenüberwachung oder zum Verwalten von Anfragen, und
  • die Neuverhandlung von Verträgen oder der Suche nach neuen Anbietern.

Natürlich ist es trotz der Kosten für die Einhaltung der Vorschriften wichtig, Maßnahmen zu ergreifen. Unternehmen, die sich nicht an die CCPA halten, können mit Bußgeldern von bis zu 7.500 US-Dollar pro Verstoß rechnen. Darüber hinaus ist negative PR auch ein Risiko für Unternehmen, die keine Maßnahmen zur Kundensicherheit ergreifen.

Da der Schwerpunkt im nächsten Jahr verstärkt auf dem Thema Datenschutz liegen wird, werden sich in der gesamten Branche verschiedene Trends entwickeln.

Datenschutz-Trends 2020

Da der Schwerpunkt im nächsten Jahr verstärkt auf dem Thema Datenschutz liegen wird, werden sich in der gesamten Branche verschiedene Trends entwickeln. Im Jahr 2020 erwarte ich einen Anstieg der folgenden Bereiche:

Bewusstsein für Cyberkriminalität. Das Bewusstsein ist zweigeteilt. Da die Schlagzeilen über verlorene Daten und unvorsichtige Geschäftspraktiken zunehmen, beginnen die Verbraucher zu erkennen, welchen Wert ihre Daten haben. Sie werden sachkundiger über ihre Rechte und wissen, was von den Unternehmen erwartet werden sollte. Weiterhin werden die Mitarbeiter in Hinblick auf Sicherheit immer besser geschult. Das heißt, sie sind besser über die bestehenden Gefahren und die Vorgehensweise bei einem Vorfall aufgeklärt.

Privatsphäre muss in allen Prozessen berücksichtigt sein. Die Integration von Sicherheitsdenken und -verständnis im gesamten Lebenszyklus wird für Unternehmen, die Geldstrafen vermeiden wollen, von entscheidender Bedeutung sein. Im gesamten Prozess vom Design bis zur Implementierung müssen der Benutzer und seine Privatsphäre berücksichtigt sein. Das bedeutet natürlich, dass Entwickler und Architekten mit Sicherheitsexperten zusammenarbeiten müssen – oder sich selbst das Fachwissen aneignen müssen, um sicherzustellen, dass die besten Praktiken eingehalten werden.

Ausgaben für Compliance und Prävention. Die konforme Speicherung und Verarbeitung von Daten bedeutet, dass Unternehmen investieren müssen. Systeme zur Verfolgung und Aufzeichnung von Anfragen im Zusammenhang mit Verbraucherdaten, Sicherheitsvorfällen und deren Lösung sowie Richtliniendokumente werden benötigt. Wie bereits erwähnt werden auch die Ausgaben für Schulungen und die Einstellung von zusätzlichem Sicherheitspersonal erforderlich sein.

Am Ende wird es interessant sein zu beobachten, wie sich die Datenschutzgesetze in den Vereinigten Staaten entwickeln. Während CCPA derzeit das weitreichendste Gesetz in den USA ist, haben auch andere Staaten Gesetze zur Datenregulierung verabschiedet.

Es wird für Unternehmen zeitaufwendig, die verschiedenen Aspekte der einzelnen Regelungen zu verstehen und umzusetzen. Deshalb gehe ich davon aus, dass mit der Zeit ein einheitliches Bundesgesetz kommen wird, das die anderen außer Kraft setzt. In der Zwischenzeit haben Sie mit Sicherheit aus den Erfahrungen der DSGVO gelernt.
Meine Empfehlung fürs neue Jahr: Vermeiden Sie Bußgelder, indem Sie den Datenschutz in Ihrem Unternehmen rechtzeitig vorbereiten und verwalten.

Text:
Photos: Maarten van den Heuvel auf Unsplash

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Share the Story