CCPA-Datensicherheit: Was Sie wissen müssen

Aug 29, 2023
Share

Der California Consumer Privacy Act von 2018 (CCPADas kalifornische Datenschutzgesetz (California Privacy Act) gewährt Verbrauchern und Mitarbeitern in Kalifornien Rechte hinsichtlich der Erhebung, Speicherung, des Verkaufs und der Weitergabe ihrer Daten. Sofern Sie Einwohner Kaliforniens nicht aktiv vom Besuch Ihrer Website oder von Geschäftsbeziehungen ausschließen, müssen Sie diese Rechte respektieren, um die gesetzlichen Bestimmungen einzuhalten.

Der CCPA trat am 1. Januar 2020 in Kraft und wurde seither durch den California Privacy Rights Act (CPRA) geändert. Die im Januar 2023 verabschiedete CPRA-Änderung fügte neue Bestimmungen, eine eigene Durchsetzungsbehörde und eine neue Datenkategorie „sensible personenbezogene Daten“ hinzu.

Jede gewinnorientierte Organisation in den USA oder weltweit kann unter den CCPA fallen (und ist daher zur Einhaltung verpflichtet), wenn sie:

  • Haben Sie Mitarbeiter in Kalifornien?
  • Waren oder Dienstleistungen an Personen mit Wohnsitz in Kalifornien oder an Einwohner Kaliforniens liefern
  • Interaktion mit Drittanbietern, die Daten über Einwohner Kaliforniens bereitstellen

Der CCPA gilt nicht nur für Unternehmen in Kalifornien. Die Einhaltung des CCPA stellt eine globale Herausforderung dar. Wenn Sie mit Einwohnern Kaliforniens (von denen es mindestens 39 Millionen gibt) Geschäfte tätigen, müssen Sie den CCPA einhalten, unabhängig davon, wo Ihre Geschäftstätigkeit ihren Sitz hat.

Um unter den CCPA zu fallen, muss ein Unternehmen entweder:

(a) im letzten Kalenderjahr Bruttoeinnahmen von mehr als 25 Millionen US-Dollar erzielt haben oder

b) 50 % oder mehr des Jahresumsatzes aus dem Verkauf personenbezogener Daten von Verbrauchern erzielen oder

(c) Die Weitergabe, der Verkauf oder der Kauf von personenbezogenen Daten von 100.000 Haushalten, Verbrauchern oder Geräten zu kommerziellen Zwecken.

Ähnlich wie bei der europäischen Datenschutzgrundverordnung (DSGVOEin Verstoß gegen den CCPA kann für Ihr Unternehmen finanzielle Strafen nach sich ziehen. Gemäß dem CPRA kann die kalifornische Datenschutzbehörde (früher: Generalstaatsanwaltschaft von Kalifornien im Rahmen des CCPA) jedes Unternehmen, das gegen den CCPA verstößt, mit 2.500 US-Dollar pro Vorfall, d. h. pro betroffener Personendaten, bestrafen. Diese Strafe erhöht sich auf 7.500 US-Dollar pro Datensicherheitsvorfall, der Daten von Minderjährigen oder vorsätzliche Verstöße betrifft.

Die Nichteinhaltung des CCPA birgt auch rechtliche Risiken. Gemäß dem CCPA haben Verbraucher ein Klagerecht, wenn unverschlüsselte oder nicht anonymisierte personenbezogene Daten offengelegt oder gestohlen werden. Obwohl dieses Klagerecht relativ begrenzt ist, bedeutet es dennoch, dass Einzelpersonen ein Unternehmen verklagen können, das die Offenlegung ihrer Daten während eines bestimmten Zeitraums zulässt. DatenpannenDie

Was Unternehmen tun müssen, um die Bestimmungen des CCPA einzuhalten

Die Zugehörigkeit zum CCPA bedeutet, dass Unternehmen, um die Bestimmungen einzuhalten, Folgendes leisten müssen:

Den Anfragen von Verbrauchern nach Datennutzung nachkommen

Der CCPA gibt Verbrauchern und Arbeitnehmern das Recht, zu kontrollieren, was mit ihren Daten geschieht, und zu erwarten, dass diese geschützt werden.

Verbraucher haben folgende Rechte:

  • Wissen, wann ihre personenbezogenen Daten erhoben werden und warum
  • Löschen Sie deren PI nach der Anfrage.
  • Korrigieren Sie ungenaue PI
  • Sie können der Weitergabe ihrer Daten widersprechen.
  • Beschränken Sie, was mit ihren PI geschieht.
  • Sie erhalten eine Kopie aller über sie gesammelten personenbezogenen Daten in einem Format, das an andere Stellen weitergeleitet werden kann.
  • Insbesondere sollte die Verwendung sensibler personenbezogener Daten (SPI) eingeschränkt werden.
  • Vermeiden Sie die Datenerhebung, es sei denn, sie dient einem bestimmten Zweck, d. h. es handelt sich um Daten, die nicht „vernünftigerweise notwendig und verhältnismäßig“ sind.

Daten schützen

Unternehmen müssen zudem Sicherheitsvorkehrungen treffen, um Daten zu sichern und vor Datenschutzverletzungen zu schützen. Der CCPA definiert diese Verpflichtung als die Implementierung „angemessener Sicherheitsverfahren und -praktiken, die der Art der personenbezogenen Daten entsprechen, um die personenbezogenen Daten vor unbefugtem oder rechtswidrigem Zugriff, Zerstörung, Verwendung, Änderung oder Offenlegung zu schützen“.

Für Unternehmen, die nicht sicher sind, wo sie anfangen sollen, Zentrum für Internetsicherheit (CIS)Die Liste mit 18 wichtigen Sicherheitsmaßnahmen zur Verbesserung der Cybersicherheit kann hierbei hilfreich sein. Das CIS definiert „Datenschutz“ als „Prozesse und technische Kontrollen zur Identifizierung, Klassifizierung, sicheren Verarbeitung, Aufbewahrung und Löschung von Daten“.

Führen Sie regelmäßig Datenschutzrisikobewertungen durch.

Unternehmen müssen regelmäßig prüfen, ob ihre Kundendatenverarbeitung die Privatsphäre der Kunden gefährdet, und die Ergebnisse der Aufsichtsbehörde übermitteln. Alle risikobehafteten Datenverarbeitungsaktivitäten müssen hervorgehoben werden. Dieses Vorgehen ähnelt der Datenschutz-Folgenabschätzung (DSFA) der DSGVO.

CCPA-Datendefinitionen, die Sie kennen sollten

Um die Bestimmungen des CCPA einzuhalten, müssen Sie wissen, welche Daten betroffen sind. Der CCPA enthält über 30 Definitionen; Sie können diese nachlesen. Die vollständige Liste finden Sie hier.Zu den wichtigsten Definitionen abgedeckter Daten, die Verantwortliche für Datensicherheit kennen sollten, gehören unter anderem die folgenden:

  • Personenbezogene Daten (PI). Der CCPA definiert dies als eine breite Palette von Daten, darunter der vollständige Name und die Adresse einer Person, Kaufhistorie, Browserverlauf, Bildungs- und Beschäftigungsverlauf, Sprach- oder Videoaufzeichnungen, E-Mail-Adressen und andere Kontaktinformationen, Sozialversicherungsnummer, Führerscheinnummer, biometrische Daten, Internet-Browserverlauf, Geolokalisierungsdaten und mehr.
  • Sensible personenbezogene Daten (SPI). Eine besondere Kategorie personenbezogener Daten, die durch den CPRA geschaffen wurde, sind sensible personenbezogene Daten. Dazu gehören die Sozialversicherungsnummer, der Führerschein, der Personalausweis oder die Reisepassnummer einer Person sowie Daten, die die Zugangsdaten einer Person offenlegen, wie Anmeldeinformationen, Finanzkontodaten und Debit- oder Kreditkartennummern zusammen mit den zugehörigen Sicherheits- oder Zugangscodes und dem genauen Standort.
  • Aggregierte Verbraucherinformationen. Informationen, die sich auf eine Gruppe oder Kategorie von Verbrauchern beziehen und nicht ohne Weiteres auf eine Einzelperson zurückgeführt werden können.
  • Anonymisierte Informationen. Daten, die nicht ohne Weiteres verknüpft oder zur Informationsgewinnung über einen bestimmten Verbraucher verwendet werden können. Um Daten als anonymisiert zu qualifizieren, muss ein Unternehmen Maßnahmen ergreifen, einschließlich der vertraglichen Verpflichtung aller Empfänger der Daten, sicherzustellen, dass die Daten keiner Einzelperson oder keinem Haushalt zugeordnet werden können.
  • Verarbeitung. Dies umfasst jegliche Handlungen, wie beispielsweise die Verwendung von Daten für zielgerichtete Werbung oder eine Reihe von Aktionen im Zusammenhang mit personenbezogenen Daten. Die Verarbeitung kann automatisiert oder vollständig manuell erfolgen.
  • Dritte Seite. Jedes Unternehmen oder jede Person, die sich von dem Unternehmen unterscheidet, mit dem ein Verbraucher in Kontakt treten möchte. Dies gilt nicht für Auftragnehmer, die mit dem ursprünglichen Unternehmen verbunden sind.
  • Eindeutiger Bezeichner oder Eindeutige persönliche Kennung. Jede Kennzeichnung oder jedes Merkmal, das verwendet werden kann, um eine Person, ihre Familie oder ein Gerät über verschiedene Dienste hinweg im Laufe der Zeit wiederzuerkennen. Dazu gehören beispielsweise Cookies, IP-Adressen, Telefonnummern oder Kundennummern. Vereinfacht gesagt, ist es eine Möglichkeit, jemanden oder sein Gerät eindeutig zu identifizieren.

Daten, die nicht unter den CCPA fallen

Obwohl der CCPA für viele verschiedene Arten von personenbezogenen Daten gilt, umfasst er keine personenbezogenen Gesundheitsdaten (PHI) von einem Unternehmen erhoben oder verarbeitet, das bereits unter den Health Insurance Portability and Accountability Act (HIPAA) fällt (HIPAAKlinische Studiendaten sind ebenfalls nicht abgedeckt.

Der CCPA gilt nicht für öffentlich zugängliche Informationen, d. h. Daten, die in Aufzeichnungen von Bundes-, Landes- oder Kommunalbehörden zu finden sind. Er umfasst auch keine anonymisierten oder aggregierten Verbraucherinformationen.

Wie Cyera Unternehmen bei der Einhaltung des CCPA unterstützt

Wenn Ihr Unternehmen unter den CCPA fällt, haben Verbraucher das Recht zu erwarten, dass Sie:

  1. Wissen, wo ihre Daten gespeichert sind.
  2. Behandeln Sie es sicher, basierend auf dem, was es ist?
  3. Wir werden nicht zulassen, dass es durch einen Datenverstoß im Darknet zum Verkauf angeboten wird.

Mit Cyera können Sie diese Fragen für all Ihre Daten automatisch und in großem Umfang beantworten. Cyera unterstützt Unternehmen bei der Erfüllung der CCPA-Anforderungen von:

  • Erfassung aller ihrer persönlichen Daten gemäß den CCPA-Definitionen.
  • Effizientes Auffinden und Klassifizieren sensibler personenbezogener Daten.
  • Potenzielle Risiken im Zusammenhang mit der Einhaltung des CCPA werden sofort erkannt und behoben.
  • Regelmäßige Risikobewertungen zum Datenschutz durchführen.

Erfahren Sie, wie Cyera Ihnen bei der Einhaltung des CCPA helfen kann. Demo vereinbaren Heute.

Share