Der California Consumer Privacy Act (CCPA) und die General Data Protection Regulations (GDPR) sind beide kürzlich verabschiedete Datenschutzgesetze, um veraltete Gesetze zur Handhabung, Speicherung und Verarbeitung personenbezogener Daten im digitalen Zeitalter zu aktualisieren. Seit der Verbreitung von Internetdiensten, mobiler Telekommunikation und sozialen Medien fordern Aktivisten Änderungen im Umgang von Unternehmen mit personenbezogenen Daten.
Der CCPA wurde 2018 verabschiedet und trat am 1. Januar 2020 in Kraft. Die DSGVO wurde im Mai 2018 in Kraft gesetzt. Beide Gesetzgebungen haben ähnliche Empfehlungen und Anforderungen. Die DSGVO konzentriert sich auf die personenbezogenen Daten europäischer Bürger, und der CCPA bezieht sich auf die personenbezogenen Daten von Einwohnern Kaliforniens.
Wichtig ist, dass beide Gesetzgebungen eine gemeinsame Synergie aufweisen, die sich auf Unternehmen auf beiden Seiten des Atlantiks auswirkt. Jedes Unternehmen in den Vereinigten Staaten, das personenbezogene Daten aus Europa verarbeitet, und jedes Unternehmen in Europa, das personenbezogene Daten aus den USA verarbeitet, muss sich an die Richtlinien der jeweiligen Gesetzgebung halten, um die Datenschutzbestimmungen einzuhalten.
Was ist CCPA?
CCPA schützt die privaten Informationen von Einwohnern Kaliforniens in den Vereinigten Staaten. Dazu gehören Daten über die Identität der Person, alle sensiblen Gesundheitsinformationen, biometrische Daten, mobile Geolokalisierungsdaten und alle Finanz- oder Vermögensinformationen. Ziel des Datenschutzgesetzes ist es, die Offenlegung sensibler Informationen oder unerwartete Lecks aufgrund von Datenschutzverletzungen zu begrenzen.
CCPA wurde entwickelt, um Verbrauchern die Kontrolle über ihre persönlichen Daten zu geben und die Strafen für jegliche Verletzung von Informationen zu verschärfen, sei es durch Fahrlässigkeit oder als Folge eines Daten-Hacks.
Der Zweck der Gesetzgebung besteht darin, Verbraucherrechte durchzusetzen und den Verbrauchern neue Rechte in Bezug auf ihre Daten zu geben. Dazu gehört das Recht, genau zu wissen, welche Informationen über eine Person von einem Unternehmen gespeichert werden. Aus diesem Grund können Sie jetzt Websites wie Google und Facebook aufrufen und detaillierte Archive mit den Informationen herunterladen, die dort über Sie gespeichert sind.
Einwohner Kaliforniens haben auch das Recht, auf die über sie gespeicherten Daten zuzugreifen und sie einzusehen, und, was wichtig ist, das Recht, die Daten löschen zu lassen. Es wurden Rechte zum Opt-in oder Opt-out der Datenerhebung geschaffen. Weitere Schlüsselelemente sind das Recht auf gleichen Service und Preis sowie das Recht, Schadensersatz zu verlangen, wenn personenbezogene Daten verletzt werden.
Die neuen Vorschriften stellen eine Reihe neuer Anforderungen an Unternehmen, die personenbezogene Daten verarbeiten. Sie müssen in der Lage sein, Zugang zu personenbezogenen Daten zu gewähren, personenbezogene Daten auf Anfrage zu löschen und deren Vernichtung nachzuweisen. Sie müssen auch Verfahren zum Consent Management einführen. Dies ist häufig auf Websites zu sehen, auf denen Unternehmen Informationen mit Dritten teilen. Die Organisation ist verpflichtet, offenzulegen, welche Daten weitergegeben werden.
CCPA gibt dem Einzelnen die Kontrolle darüber, welche Informationen über ihn verkauft werden dürfen und welche nicht. Unternehmen müssen Dateninventarisierungen durchführen, um personenbezogene Daten und Fälle des „Verkaufs“ von Daten zu erfahren. Daher ist eine Aktualisierung der Service-Level-Agreements mit Datenverarbeitern von Drittanbietern erforderlich, um konform zu sein.
Die Behebung von Informationssicherheitslücken und Systemschwachstellen muss umgehend durch die Implementierung von Data-Governance-Verstärkungs- und Datenidentifizierungsprogrammen behoben werden. Wenn Daten außerhalb des Geltungsbereichs gespeichert sind, müssen sie gelöscht werden.
Was ist die DSGVO?
Die DSGVO wurde für europäische Bürger entwickelt, betrifft jedoch alle Unternehmen, die EU-Daten verarbeiten. Sein Hauptzweck war die Vereinheitlichung der Datenschutzgesetze aller EU-Mitgliedsstaaten.
Es gibt sieben Grundprinzipien der DSGVO-Gesetzgebung. Diese konzentrieren sich auf die Rechtmäßigkeit der Aufbewahrung personenbezogener Daten und die Sicherstellung, dass sie auf faire und transparente Weise gespeichert werden. Die Daten müssen aus einem bestimmten Grund aufbewahrt werden und einem bestimmten Zweck dienen. Personenbezogene Daten können nicht unbegrenzt aufbewahrt werden und müssen vernichtet werden, sobald sie ihren Zweck erfüllt haben.
Unternehmen müssen sich auch zur Datenminimierung verpflichten und nur aktuelle und relevante Informationen speichern, die korrekt sind. Sie müssen die Datenintegrität wahren und sicherstellen, dass die Vertraulichkeit privater Informationen gewahrt bleibt.
EU-Bürger haben seit der Einführung der DSGVO viele neue Rechte. Diese Rechte bilden die Grundlage dafür, was Dritte mit personenbezogenen Daten tun können und was nicht. Personen haben das Recht, darüber informiert zu werden, welche personenbezogenen Daten von dem Unternehmen gespeichert werden, und die Person hat das Recht, diese Informationen einzusehen und darauf zuzugreifen. Falls erforderlich, haben sie das Recht, die Daten zu korrigieren.
EU-Bürger können verlangen, dass personenbezogene Daten gelöscht werden, und die Verarbeitung personenbezogener Daten einschränken. Sie haben das Recht auf Widerspruch sowie Rechte in Bezug auf automatisierte Entscheidungsfindung und Profilerstellung, wie z. B. Akzeptanzkriterien für Kreditkarten.
CCPA vs. DSGVO
Es ist offensichtlich, die auffallenden Ähnlichkeiten zwischen CCPA und GDPR zu sehen. CCPA könnte als US-Pendant zur DSGVO angesehen werden. Es gibt jedoch einige signifikante Unterschiede. Die DSGVO betrifft Datenverantwortliche und Datenverarbeiter innerhalb und außerhalb der Europäischen Union, CCPA reguliert jedoch nur Unternehmen, die in Kalifornien „Geschäfte tätigen“.
Es gibt andere Regeln, wie z. B. dass CCPA nur für Unternehmen mit einem Bruttoumsatz von über 25 Millionen US-Dollar gilt und für Unternehmen, die die personenbezogenen Daten von mehr als 50.000 Einwohnern Kaliforniens verarbeiten. Die Strafen, die für Verstöße gegen beide Gesetze verhängt werden, sind ebenfalls sehr unterschiedlich. Die DSGVO beträgt bis zu 4 % des Umsatzes oder 20 Millionen Euro (je nachdem, welcher Betrag höher ist). CCPA beträgt speziell 2.500 $ pro Datensatz für unbeabsichtigte Verstöße und 7.500 $ für vorsätzliche Verstöße.
Es gibt weitere subtile Unterschiede, aber wichtig ist, dass beide Gesetze dasselbe Ziel verfolgen, nämlich die Verbesserung und den Schutz personenbezogener und privater Informationen. Beide Gesetze setzen die Vorstellung durch, dass Unternehmen nicht beliebige Daten sammeln können. Daten haben einen erheblichen Wert und viele Technologiegiganten im Silicon Valley haben mit dem Verkauf personenbezogener Daten enorme Gewinne erzielt. CCPA und GDPR haben dies erkannt und gehandelt, um uns alle zu schützen.