Inhaltsverzeichnis
Overview
Textüberschrift-Link

CCPA-Datensicherheit: Was Sie wissen müssen

Aug 29, 2023
CCPA-Datensicherheit: Was Sie wissen müssen

Der California Consumer Privacy Act von 2018 (CCPA) ist ein Datenschutzgesetz, das Verbrauchern und Beschäftigten mit Wohnsitz in Kalifornien gesetzliche Rechte darüber einräumt, wie ihre Daten erhoben, gespeichert, verkauft und weitergegeben werden. Sofern Sie nicht aktiv verhindern, dass Einwohner Kaliforniens Ihre Website besuchen oder mit Ihnen Geschäfte machen, müssen Sie in der Lage sein, diese Rechte zu respektieren, um konform zu bleiben.

Der CCPA trat am 1. Januar 2020 in Kraft und wurde seitdem durch den California Privacy Rights Act (CPRA) geändert. Die CPRA-Änderung, die im Januar 2023 in Kraft trat, brachte neue Bestimmungen, eine eigene Durchsetzungsbehörde und eine neue Datenkategorie namens „sensible personenbezogene Informationen“ hinzu.

Jede gewinnorientierte Organisation in den USA oder weltweit kann unter die CCPA fallen (verpflichtet sein, diese einzuhalten), wenn sie:

  • Beschäftigen Sie Arbeitnehmer in Kalifornien
  • Waren oder Dienstleistungen für Personen mit Standort in Kalifornien oder für Einwohner Kaliforniens bereitstellen
  • Interagieren Sie mit Drittparteien, die Daten über Einwohner Kaliforniens bereitstellen

Der CCPA gilt nicht nur für Unternehmen in Kalifornien. Die Einhaltung des CCPA ist eine globale Herausforderung. Wenn Sie Geschäfte mit Einwohnern Kaliforniens machen (von denen es mindestens 39 Millionen gibt), müssen Sie den CCPA einhalten, unabhängig davon, wo sich Ihr Unternehmen befindet.

Um unter den Geltungsbereich des CCPA zu fallen, muss ein Unternehmen entweder:

(a) Im letzten Kalenderjahr einen Bruttoumsatz von mehr als 25 Millionen US-Dollar erzielt haben oder

(b) Erzielen Sie 50 % oder mehr des Jahresumsatzes durch den Verkauf von personenbezogenen Daten von Verbrauchern oder 

(c) Die Weitergabe, der Verkauf oder der Kauf personenbezogener Daten von 100.000 Haushalten, Verbrauchern oder Geräten zu kommerziellen Zwecken.

Wie bei der Europäischen Datenschutz-Grundverordnung (GDPR) setzt ein Verstoß gegen den CCPA Ihr Unternehmen finanziellen Strafen aus. Nach dem CPRA kann die California Privacy Protection Agency (zuvor der Generalstaatsanwalt von Kalifornien unter dem CCPA) jedes Unternehmen, das gegen den CCPA verstößt, mit 2.500 US-Dollar pro Vorfall, d. h. für jede betroffene Person, bestrafen. Dieser Betrag erhöht sich auf 7.500 US-Dollar für jeden Datenschutzvorfall, der Daten von Minderjährigen betrifft oder bei vorsätzlichen Verstößen.

Die Nichteinhaltung des CCPA birgt auch rechtliche Risiken. Nach dem CCPA haben Verbraucher ein privates Klagerecht, wenn nicht verschlüsselte oder nicht geschwärzte personenbezogene Daten offengelegt oder gestohlen werden. Auch wenn dieses Recht relativ eingeschränkt ist, bedeutet es dennoch, dass Einzelpersonen ein Unternehmen verklagen können, das ihre Daten bei einer Datenpanne offenlegt.

Was Unternehmen tun müssen, um den CCPA einzuhalten

Unter die CCPA zu fallen bedeutet, dass Unternehmen Folgendes tun müssen, um konform zu bleiben:

Erfüllen Sie Verbraucher-Datenanfragen

Der CCPA gibt Verbrauchern und Mitarbeitern das Recht, darüber zu bestimmen, was mit ihren Daten geschieht, und zu erwarten, dass diese geschützt werden.

Verbraucher haben das Recht auf:

  • Wissen, wann ihre persönlichen Informationen (PI) gesammelt werden und warum
  • Löschen Sie deren PI nach einer Anfrage
  • Unzutreffende PI korrigieren
  • Vom Verkauf oder der Weitergabe ihrer Daten abmelden 
  • Beschränken Sie, was mit ihren personenbezogenen Daten geschieht
  • Eine Kopie aller über sie gesammelten personenbezogenen Informationen (PI) in einem Format erhalten, das an andere Stellen weitergeleitet werden kann.
  • Beschränken Sie insbesondere die Verwendung sensibler personenbezogener Informationen (SPI)
  • Vermeiden Sie die Datenerhebung, es sei denn, sie erfolgt zu einem bestimmten Zweck, d. h. Daten, die nicht „angemessen notwendig und verhältnismäßig“ sind.

Daten schützen

Unternehmen müssen außerdem Schutzmaßnahmen ergreifen, um Daten zu sichern und sie vor Datenpannen zu schützen. Der CCPA definiert diese Verpflichtung als die Umsetzung von „angemessenen Sicherheitsverfahren und -praktiken, die der Art der personenbezogenen Daten angemessen sind, um die personenbezogenen Daten vor unbefugtem oder illegalem Zugriff, Zerstörung, Nutzung, Veränderung oder Offenlegung zu schützen.“

Für Unternehmen, die nicht wissen, wo sie anfangen sollen, kann das Center for Internet Security (CIS), das 18 wichtige Sicherheitskontrollen für eine bessere Cybersicherheitslage auflistet, eine Orientierung bieten. Das CIS beschreibt „Datenschutz“ als „Prozesse und technische Kontrollen, um Daten zu identifizieren, zu klassifizieren, sicher zu verarbeiten, aufzubewahren und zu entsorgen.“

Führen Sie regelmäßige Datenschutz-Risikoanalysen durch

Unternehmen müssen regelmäßig überprüfen, ob ihre Art der Verarbeitung von Kundendaten die Privatsphäre der Kunden gefährdet, und die Ergebnisse der Aufsichtsbehörde vorlegen. Jegliche risikoreichen Datenverarbeitungsaktivitäten müssen hervorgehoben werden. Dieses Konzept ist dem Prozess der Datenschutz-Folgenabschätzung (DPIA) gemäß DSGVO ähnlich.

CCPA-Datendefinitionen, die Sie kennen sollten

Um CCPA-konform zu sein, müssen Sie wissen, welche Daten abgedeckt sind. Die CCPA enthält über 30 Definitionen; die vollständige Liste finden Sie hier. Einige zentrale Definitionen abgedeckter Daten, die für Verantwortliche im Bereich Datensicherheit wichtig sind, umfassen Folgendes:

  • Personenbezogene Informationen (PI). Der CCPA definiert dies als eine breite Palette von Daten, darunter der vollständige Name und die Adresse einer Person, Kaufhistorie, Browserverlauf, Bildungs- und Beschäftigungsverlauf, Sprach- oder Bildaufzeichnungen, E-Mail-Adressen und andere Kontaktinformationen, Sozialversicherungsnummer, Führerscheinnummer, biometrische Daten, Internet-Browserverlauf, Geolokalisierungsdaten und mehr.
  • Sensible personenbezogene Informationen (SPI). Eine besondere Kategorie personenbezogener Daten, die durch den CPRA geschaffen wurde. Sensible personenbezogene Daten beziehen sich auf die Sozialversicherungsnummer, den Führerschein, die staatliche Ausweis- oder Passnummer einer Person sowie auf Daten, die Zugangsdaten wie Logins, Finanzkontodetails und Debit- oder Kreditkartennummern zusammen mit den zugehörigen Sicherheits- oder Zugangscodes und den genauen Standort offenlegen.
  • Aggregierte Verbraucherinformationen. Informationen, die sich auf eine Gruppe oder Kategorie von Verbrauchern beziehen und nicht leicht auf eine einzelne Person zurückgeführt werden können.
  • De-identifizierte Informationen. Daten, die nicht ohne Weiteres mit einer bestimmten Person in Verbindung gebracht oder zur Ermittlung von Informationen über einen bestimmten Verbraucher verwendet werden können. Um Daten als de-identifiziert einzustufen, muss ein Unternehmen Maßnahmen ergreifen, einschließlich der vertraglichen Verpflichtung aller Empfänger der Daten, sicherzustellen, dass die Daten keiner Einzelperson oder keinem Haushalt zugeordnet werden können.
  • Verarbeitung. Dies bezieht sich auf jede Handlung, wie zum Beispiel die Nutzung von Daten für zielgerichtete Werbung oder eine Reihe von Maßnahmen, die an personenbezogenen Informationen durchgeführt werden. Die Verarbeitung kann automatisiert oder vollständig manuell erfolgen.
  • Dritte Partei. Jedes Unternehmen oder jede Person, die sich von dem Unternehmen unterscheidet, mit dem ein Verbraucher zu interagieren gewählt hat. Dies schließt keine Auftragnehmer ein, die mit dem ursprünglichen Unternehmen verbunden sind.
  • Eindeutiger Identifikator oder eindeutiger persönlicher Identifikator. Jedes Tag oder jede Markierung, die verwendet werden kann, um eine Person, deren Familie oder ein Gerät über verschiedene Dienste hinweg im Laufe der Zeit zu erkennen. Dazu können Cookies, IP-Adressen, Telefonnummern oder Kundennummern gehören. Einfach ausgedrückt ist es eine Möglichkeit, jemanden oder dessen Gerät dauerhaft zu identifizieren.

Daten, die nicht durch den CCPA abgedeckt sind

Obwohl der CCPA für viele verschiedene Arten von personenbezogenen Daten gilt, umfasst er keine Gesundheitsdaten (PHI), die von Unternehmen erhoben oder verarbeitet werden, die bereits unter den Health Insurance Portability and Accountability Act (HIPAA) fallen. Auch Daten aus klinischen Studien sind nicht abgedeckt.

Der CCPA gilt nicht für öffentlich verfügbare Informationen, d. h. Daten, die in Unterlagen von Bundes-, Landes- oder Kommunalbehörden zu finden sind. Er umfasst außerdem keine de-identifizierten oder aggregierten Verbraucherinformationen.

Wie Cyera Unternehmen bei der Einhaltung des CCPA unterstützt

Wenn Ihr Unternehmen unter den CCPA fällt, haben Verbraucher das Recht zu erwarten, dass Sie:

  1. Wissen, wo sich ihre Daten befinden.
  2. Behandeln es sicher entsprechend seiner Beschaffenheit.
  3. Werden nicht zulassen, dass es durch eine Datenpanne im Darknet zum Verkauf angeboten wird.

Cyera ermöglicht es Ihnen, diese Fragen für all Ihre Daten automatisch und in großem Umfang zu beantworten. Cyera hilft Unternehmen, die CCPA-Anforderungen zu erfüllen, indem:

  • Erfassung aller ihrer personenbezogenen Daten gemäß den CCPA-Definitionen.
  • Effizientes Auffinden und Klassifizieren sensibler personenbezogener Daten.
  • Sofortiges Erkennen und Beheben potenzieller CCPA-Compliance-Risiken.
  • Regelmäßige Datenschutz-Risikoanalysen durchführen.

Erfahren Sie, wie Cyera bei der Einhaltung des CCPA helfen kann, indem Sie noch heute eine Demo vereinbaren.

Thema

Thought Leadership

Teilen

Analyze this article with AI:
chatgpt Summarize in ChatGPT
Copy Prompt & Open Claude
Summarize in Claude
Ask Perplexity
grok--v2 Copy Prompt & Open Grok
grok--v2 Summarize in Grok

Verwandte Ressourcen

Button-Text
BLOG

Sep 3, 2025

Sep 3, 2025

Cyera Named to the 2025 Forbes Cloud 100

Cyera Named to the 2025 Forbes Cloud 100

BLOG

Sep 2, 2025

Sep 2, 2025

Tal Eisner

Farmers Insurance Breach: A New Chapter in Salesforce-Targeted Attacks

Farmers Insurance Breach: A New Chapter in Salesforce-Targeted Attacks

BLOG

Sep 2, 2025

Sep 2, 2025

Tal Eisner

Lessons from the Salesloft Drift Exposure: What Happened, Its Impact, and How Cyera Can Help

Lessons from the Salesloft Drift Exposure: What Happened, Its Impact, and How Cyera Can Help

Erlebe Cyera

Um Ihr Datenversum zu schützen, müssen Sie zunächst herausfinden, was darin enthalten ist. Lassen Sie uns helfen.

Holen Sie sich eine Demo →
Decorative