Inhaltsverzeichnis
Textüberschrift-Link

Warum Datensicherheit für die CCPA-Compliance entscheidend ist

Sep 25, 2024
Warum Datensicherheit für die CCPA-Compliance entscheidend ist

Der California Consumer Privacy Act von 2018 (CCPA) ist ein Datenschutzgesetz, das Verbrauchern und Beschäftigten in Kalifornien gesetzliche Rechte darüber einräumt, wie ihre Daten erhoben, gespeichert, verkauft und weitergegeben werden. Dieses Gesetz stellt einen bedeutenden Meilenstein im Bereich Datenschutz und Verbraucherschutz in den USA dar und betrifft direkt Verbraucher mit Wohnsitz in Kalifornien.

Der CCPA verpflichtet Organisationen, die gesetzlichen Rechte der Einwohner Kaliforniens auf den Umgang mit ihren Daten zu respektieren – und gewährt ihnen damit mehr Kontrolle über ihre persönlichen Informationen.

Nach dem CCPA haben Verbraucher das Recht zu erfahren, welche personenbezogenen Daten über sie gesammelt werden, zu welchem Zweck sie verwendet werden und mit wem sie geteilt werden.

Kalifornier haben außerdem das Recht, die Löschung ihrer Daten zu verlangen, dem Verkauf ihrer personenbezogenen Daten zu widersprechen und von Unternehmen einen gleichwertigen Service und Preis zu erhalten – selbst wenn sie ihre Datenschutzrechte ausüben.

Der CCPA trat am 1. Januar 2020 in Kraft und wurde seitdem durch den California Privacy Rights Act (CPRA) aktualisiert. Die CPRA-Änderung und -Erweiterung, die im Januar 2023 in Kraft trat, brachte neue Bestimmungen, eine eigene Durchsetzungsbehörde und eine neue Datenkategorie namens „sensible personenbezogene Informationen“ hinzu.

Nichteinhaltung des CCPA

Wenn Organisationen nicht mit dem CCPA konform sind, können sie mit hohen Geldstrafen, Sanktionen und Reputationsschäden rechnen.

Nach dem CPRA kann die California Privacy Protection Agency (zuvor der Generalstaatsanwalt von Kalifornien unter dem CCPA) jedes Unternehmen, das gegen den CCPA verstößt, mit 2.500 US-Dollar pro Verstoß, d. h. für jede betroffene Person, bestrafen. Dieser Betrag erhöht sich auf 7.500 US-Dollar für jeden Vorfall, bei dem die persönlichen Daten (PI) von Minderjährigen betroffen sind oder bei vorsätzlichen Verstößen.

Die Nichteinhaltung des CCPA birgt ebenfalls rechtliche Risiken.

Nach dem CCPA haben Verbraucher ein privates Klagerecht, wenn unverschlüsselte oder nicht geschwärzte personenbezogene Daten offengelegt oder gestohlen werden. Obwohl dieses Recht relativ eingeschränkt ist, bedeutet es dennoch, dass Einzelpersonen ein Unternehmen verklagen können, das ihre Daten während einer Datenpanne preisgibt. Es ist zu beachten, dass das private Klagerecht speziell für Verstöße gegen bestimmte Arten von unverschlüsselten und nicht geschwärzten personenbezogenen Daten gilt, die auf das Versäumnis eines Unternehmens zurückzuführen sind, angemessene Sicherheitsmaßnahmen zu ergreifen.

Was gilt als personenbezogene Informationen

Personenbezogene Daten werden laut CCPA definiert als „Informationen, die eine bestimmte Person oder einen Haushalt identifizieren, sich auf sie beziehen, sie beschreiben, vernünftigerweise mit ihnen in Verbindung gebracht werden können oder vernünftigerweise direkt oder indirekt mit ihnen verknüpft werden könnten.“

Die Kategorien personenbezogener Daten umfassen:

  • Kennzeichen wie Name, eindeutige persönliche Kennung, Online-Kennung, IP-Adresse, Sozialversicherungsnummer, Führerscheinnummer, Reisepassnummer usw.
  • Kundendaten wie Adresse, Telefonnummer, Versicherungspolicennummer, Beschäftigungsverlauf und Bankkontonummer
  • Merkmale geschützter Klassifizierungen nach kalifornischem oder Bundesrecht
  • Kommerzielle Informationen
  • Biometrische Informationen wie Haarfarbe, Fingerabdrücke, Netzhautscans
  • Informationen über Internet- oder andere elektronische Netzwerkaktivitäten wie Browserverlauf und Suchverlauf
  • Geolokalisierungsdaten
  • Audio-, elektronische, visuelle, thermische, olfaktorische oder ähnliche Informationen
  • Berufliche oder beschäftigungsbezogene Informationen
  • Ausbildungsinformationen
  • Schlussfolgerungen

Angesichts der weit gefassten Definition von personenbezogenen Daten im Gesetz und der umfangreichen Rechte, die es den Verbrauchern einräumt, müssen Unternehmen einen umfassenden Ansatz für das Datenmanagement verfolgen.

Sie müssen sicherstellen, dass sie über die Prozesse und Systeme verfügen, um auf Anfragen von Verbrauchern zu reagieren, persönliche Informationen zu schützen und detaillierte Aufzeichnungen über Datenverarbeitungsaktivitäten zu führen.

Bestimmung Ihrer CCPA-Compliance-Verpflichtungen

Die Einhaltung des CCPA ist für Organisationen weltweit entscheidend, sofern sie die folgenden Kriterien erfüllen – nicht nur für solche mit Sitz in Kalifornien oder den Vereinigten Staaten:

  • Haben Sie Arbeitnehmer in Kalifornien
  • Waren oder Dienstleistungen für Personen mit Standort in Kalifornien oder für Einwohner Kaliforniens bereitstellen
  • Interagieren Sie mit Drittparteien, die Daten über Einwohner Kaliforniens bereitstellen
  • Jede gewinnorientierte Organisation, die Folgendes hat:
  • Hat in den letzten Kalenderjahren einen jährlichen Bruttoumsatz von mehr als 25 Millionen US-Dollar erzielt some text
    • Mindestens 50 % des Jahresumsatzes durch den Verkauf von personenbezogenen Daten von Verbrauchern erzielt
    • Personenbezogene Daten von 100.000 Haushalten, Verbrauchern oder Geräten für kommerzielle Zwecke geteilt, verkauft oder gekauft

Laut dem Bundesstaat Kalifornien gilt: „Die CCPA gilt im Allgemeinen nicht für gemeinnützige Organisationen oder Regierungsbehörden.“

Die Einhaltung des CCPA ist eine globale Herausforderung, da das Gesetz für gewinnorientierte Unternehmen unabhängig vom Standort gilt, solange sie ihre Angebote an Kalifornier verkaufen.

CCPA-Anforderungen verstehen: Was Sie wissen müssen

Lassen Sie uns die wichtigsten Anforderungen des CCPA im Hinblick auf Verbraucherschutzrechte, Datenschutzmaßnahmen und Benachrichtigungspflichten aufschlüsseln.

Bestimmungen zum Verbraucherschutz

Nach dem CCPA haben Einwohner Kaliforniens mehrere wichtige Rechte in Bezug auf ihre personenbezogenen Daten (PI), die von Unternehmen beachtet werden müssen:

  1. Recht auf Auskunft: Unternehmen müssen auf Anfrage eines Verbrauchers offenlegen, welche personenbezogenen Daten sie erheben, zu welchen Zwecken diese personenbezogenen Daten verwendet werden und ob sie zum Verkauf personenbezogener Daten oder zur Weitergabe genutzt werden. Verbraucher haben außerdem das Recht, eine Kopie aller über sie gesammelten personenbezogenen Daten in einem Format zu erhalten, das an andere Stellen weitergeleitet werden kann.
  2. Recht auf Löschung: Verbraucher können bei Unternehmen Anträge stellen, damit ihre personenbezogenen Daten gelöscht werden.
  3. Recht auf Widerspruch: Verbraucher haben das Recht, dem Verkauf oder der Weitergabe ihrer personenbezogenen Daten durch Unternehmen zu widersprechen. Für Minderjährige unter 16 Jahren ist eine ausdrückliche Zustimmung erforderlich, um ihre personenbezogenen Daten zu verkaufen. Sie haben außerdem das Recht, die Datenerhebung zu vermeiden, es sei denn, sie erfolgt zu einem bestimmten Zweck, d. h. für Daten, die nicht „angemessen notwendig und verhältnismäßig“ sind.
  4. Recht auf Nichtdiskriminierung: Unternehmen dürfen Verbraucher, die ihre CCPA-Rechte ausüben, nicht diskriminieren, indem sie Waren oder Dienstleistungen verweigern oder unterschiedliche Preise verlangen.

Ab dem 1. Januar 2023 haben Verbraucher zusätzlich zu den oben genannten neue Rechte, wie zum Beispiel:

  1. Das Recht auf Berichtigung unrichtiger personenbezogener Daten, die ein Unternehmen über sie hat; und
  2. Das Recht, die Nutzung und Offenlegung sensibler personenbezogener Daten, die über sie gesammelt wurden, einzuschränken.

Datenschutzmaßnahmen

Unternehmen müssen Schutzmaßnahmen ergreifen, um Daten vor Datenschutzverletzungen zu sichern und zu schützen. Der CCPA definiert diese Verpflichtung als die Umsetzung von „angemessenen Sicherheitsverfahren und -praktiken, die der Art der personenbezogenen Daten angemessen sind, um die personenbezogenen Daten vor unbefugtem oder illegalem Zugriff, Zerstörung, Nutzung, Änderung oder Offenlegung zu schützen.“

Für Unternehmen, die nicht wissen, wo sie anfangen sollen, bietet das NIST Cybersecurity Framework „eine Taxonomie von übergeordneten Cybersicherheitszielen, die von jeder Organisation – unabhängig von Größe, Branche oder Reifegrad – genutzt werden kann, um ihre Cybersicherheitsmaßnahmen besser zu verstehen, zu bewerten, zu priorisieren und zu kommunizieren.“

Meldepflichten

Unternehmen, die dem CCPA unterliegen, haben mehrere Benachrichtigungspflichten bzw. Datenschutzhinweise, darunter:

  • Hinweis bei der Erhebung: Zum Zeitpunkt oder vor der Erhebung personenbezogener Daten müssen Unternehmen den Verbrauchern einen Hinweis bereitstellen, der die Kategorien der zu erhebenden personenbezogenen Daten sowie die Zwecke, für die sie verwendet werden, erläutert.
Illustration, die Cyeras Ansatz für CCPA-konforme Datensicherheit darstellt
  • Aktualisierungen der Datenschutzrichtlinie: Unternehmen müssen ihre Datenschutzrichtlinien mindestens einmal alle 12 Monate aktualisieren und dabei die nach dem CCPA erforderlichen Informationen angeben, wie z. B. eine Beschreibung der Rechte der Verbraucher und die Kategorien der erfassten personenbezogenen Daten.
  • Opt-out-Hinweise: Unternehmen, die personenbezogene Daten verkaufen, müssen einen klaren und gut sichtbaren Hinweis bereitstellen, der Verbraucher über ihr Recht informiert, dem Verkauf ihrer personenbezogenen Daten zu widersprechen.

Überwindung häufiger Herausforderungen bei der CCPA-Compliance

Lassen Sie uns einige typische Herausforderungen betrachten, mit denen Organisationen bei der Erreichung der CCPA-Compliance konfrontiert sind, insbesondere im Bereich des Dateninventarmanagements, der Weitergabe von Daten an Dritte und der Aufrechterhaltung von Datensicherheitsstandards.

Datenbestandsverwaltung

Viele Organisationen verfügen über ein komplexes und groß angelegtes Datenökosystem. Daher fällt es ihnen schwer, eine umfassende Bestandsaufnahme aller Daten in ihrem System zu erstellen – ganz zu schweigen davon, dass diese über verschiedene Abteilungen, Systeme und Speicherlösungen verteilt sein können.

Organisationen können Daten-Mapping-Tools und -Praktiken einsetzen, die personenbezogene Informationen identifizieren und klassifizieren, um diese Herausforderung zu bewältigen. Ergänzt werden sollte dies durch Compliance-Checklisten, regelmäßige Audits und Aktualisierungen des Datenbestands.

Weitergabe von Daten an Dritte

Der CCPA verlangt von Organisationen, dass sie die personenbezogenen Daten, die sie mit Dritten teilen, sorgfältig verwalten und sicherstellen, dass diese Dritten die Bestimmungen des CCPA einhalten. Wenn eine Organisation jedoch mit zahlreichen Dritten zu tun hat, von denen jeder eigene Praktiken im Umgang mit Daten und in der Datensicherheit hat, wird dies besonders herausfordernd.

Organisationen sollten eine sorgfältige Prüfung ihrer Drittparteien durchführen, um sicherzustellen, dass diese über angemessene Datenschutz- und Sicherheitsmaßnahmen verfügen. Verträge und Vereinbarungen mit Drittparteien sollten die Anforderungen an die CCPA-Compliance ausdrücklich festlegen.

Regelmäßige Audits oder Bewertungen müssen auch die Einhaltung durch Dritte überwachen und die Kategorien von Dritten identifizieren, um aus Offenlegungssicht die geteilten Daten zu bestimmen.

Einhaltung von Datensicherheitsstandards

Der CCPA schreibt vor, dass Unternehmen angemessene Sicherheitsmaßnahmen ergreifen müssen, um die von ihnen erfassten personenbezogenen Daten zu schützen. Allerdings stellen Cyberbedrohungen und deren ständige Weiterentwicklung eine fortlaufende Herausforderung für die Einhaltung des CCPA dar.

Organisationen können dieser Herausforderung begegnen, indem sie ein umfassendes Cybersicherheitsprogramm implementieren, das regelmäßige Risikobewertungen, Mitarbeiterschulungen, Notfallpläne und den Einsatz fortschrittlicher Sicherheitstechnologien umfasst.

Strategische Ansätze zur CCPA-Compliance

Um die Anforderungen des CCPA (California Consumer Privacy Act) effektiv zu erfüllen, müssen Organisationen strategische Ansätze verfolgen, die sich auf Datenerkennung, Klassifizierung und Governance-Praktiken konzentrieren.

Umfassende Datenerkennung

Verstehen Sie die personenbezogenen Daten, die Sie durch einen gründlichen Data-Discovery-Prozess erfassen, speichern und verarbeiten.

Die Nutzung von Datensicherheitsplattformen wie Cyera kann den Prozess der Datenerkennung erheblich vereinfachen und beschleunigen, indem sie Ihnen zeigt, wo Ihre Daten (sowohl strukturierte als auch unstrukturierte) gespeichert sind und wer Zugriff darauf hat. Diese Tools decken versteckte Daten auf, von denen Sie möglicherweise noch nichts wissen, und identifizieren Risiken in Echtzeit.

Datenklassifizierung

Klassifizieren Sie die Daten basierend auf ihrem Sensitivitätsgrad und ihrer Relevanz für die CCPA-Vorschriften. Die Datenklassifizierung revolutioniert das Datenmanagement, indem sie Unternehmen hilft, den Wert und das Risiko ihrer Daten zu verstehen. Spezielle Plattformen wie Cyera verfügen über KI-gestützte Klassifizierung, die Ihre Daten präzise und ohne manuelle Anpassung klassifiziert.

Implementierung robuster Data-Governance-Rahmenwerke

Daten-Governance-Rahmenwerke spielen eine entscheidende Rolle bei der Einhaltung des CCPA, da sie helfen, Daten innerhalb der Organisation zu organisieren, zu sichern und zu standardisieren. Sie legen klare Richtlinien und Verfahren für das Datenmanagement fest, einschließlich der Erhebung, Speicherung, Nutzung und Weitergabe von Daten.

Effektive Datenverwaltung stellt sicher, dass alle Datenverarbeitungspraktiken mit den CCPA-Vorschriften und anderen relevanten Gesetzen übereinstimmen und so das Risiko von Nichteinhaltung verringert wird.

Nutzung von Data Security Platforms zur CCPA-Konformität

Um CCPA-konform zu werden, können Organisationen Datensicherheitsplattformen nutzen, die umfassende Lösungen für automatisierte Datenerkennung, Risikobewertung und Datenschutz bieten.

Inventarisierung personenbezogener Daten

Das Verständnis des Umfangs und der Art der personenbezogenen Informationen (PI), die eine Organisation sammelt, verarbeitet und speichert, ist eine der zentralen Grundlagen des CCPA.

Datensicherheitsplattformen erleichtern dies, indem sie den Prozess der Datenerkennung automatisieren. Sie durchsuchen die Datenbestände der Organisation in verschiedenen Umgebungen – IaaS/PaaS/SaaS und vor Ort – um personenbezogene und sensible personenbezogene Daten zu identifizieren und zu kategorisieren, die für den CCPA relevant sind. Diese Automatisierung spart erheblich Zeit und Ressourcen, erhöht die Datentransparenz und minimiert das Risiko menschlicher Fehler oder Nachlässigkeit.

Risikobewertung

Datensicherheitsplattformen bieten automatisierte Risikobewertungsfunktionen, die potenzielle Schwachstellen und Bedrohungen für die Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Informationen bewerten. Diese Bewertungen sind entscheidend, um Hochrisikobereiche zu identifizieren und zu priorisieren, die sofortige Aufmerksamkeit erfordern, und um Sicherheitsmaßnahmen zur Minderung der erkannten Risiken zu empfehlen.

Datenschutz 

Datensicherheitsplattformen bieten eine Vielzahl von Datenschutzfunktionen, die darauf ausgelegt sind, persönliche Informationen vor unbefugtem Zugriff und Cyberbedrohungen zu schützen. Sie geben Einblick in wichtige Sicherheitsmaßnahmen wie Verschlüsselung, Zugriffskontrollen, Datenmaskierung, Daten-Hashing und viele weitere zentrale Funktionen, die dazu beitragen, sensible Daten zu sichern.

Cyera: Vereinfachung der CCPA-Compliance für Unternehmen

Wenn Ihr Unternehmen unter den CCPA fällt, haben Verbraucher das Recht zu erwarten, dass Sie:

  • Wissen, wo sich ihre persönlichen Informationen befinden
  • Wenden Sie geeignete Sicherheitsmaßnahmen auf personenbezogene Daten an
  • Auf Verbraucherrechte in Bezug auf Datenschutz reagieren (z. B. Auskunfts- oder Löschanfragen) 

Cyera hilft Ihnen, diese Fragen für all Ihre Daten automatisch und in großem Umfang zu beantworten. Cyera unterstützt Unternehmen dabei, die CCPA-Anforderungen zu erfüllen durch:

  • Erfassung aller personenbezogenen Daten gemäß den CCPA-Definitionen
  • Effiziente Klassifizierung von personenbezogenen und sensiblen personenbezogenen Informationen
  • Sofortiges Kennzeichnen und Benachrichtigen über potenzielle Datenschutz-Compliance-Risiken

Cyera's Datensicherheitsplattform bietet umfassenden Kontext zu Ihren Daten, sodass Sie die richtigen Kontrollen anwenden können, um die Einhaltung von Datenschutzbestimmungen nachzuweisen.

Sicherstellung der langfristigen Einhaltung des CCPA

Kontinuierliche Datenpraktiken und die Überwachung des regulatorischen Umfelds sollten für jede Organisation oberste Priorität haben, um langfristige Compliance zu gewährleisten und sich schnell an Änderungen oder Aktualisierungen anzupassen.

Die Nutzung von Datensicherheitsplattformen wie Cyera, um ein effektives Datenmanagement zu ermöglichen, regelmäßige Audits und Bewertungen durchzuführen und strenge Governance-Richtlinien durchzusetzen, ist entscheidend für die Wahrung von Transparenz und Verantwortlichkeit.

Wenn dies durch fortlaufende Mitarbeiterschulungen zu CCPA-Anforderungen und Best Practices im Bereich Datenschutz unterstützt wird, sind Organisationen in der Lage, eine Kultur des Datenschutzbewusstseins und der Compliance zu fördern.

Sichern Sie Ihre CCPA-Compliance-Reise mit Cyera ab

Die Einhaltung des CCPA ist nicht nur eine gesetzliche Vorgabe, sondern auch ein entscheidender Bestandteil des Engagements eines Unternehmens, die Daten der Verbraucher zu respektieren und zu schützen.

Cyera's Datensicherheitsplattform bietet einen Weg, die strengen Anforderungen des CCPA zu erfüllen, sodass Ihre Organisation persönliche Informationen effektiv und mit Vertrauen verwalten und schützen kann.

Für alle, die ihre CCPA-Compliance optimieren und ihre Datensicherheit stärken möchten: Entdecken Sie, wie Cyera Ihre Datenschutzmaßnahmen unterstützen und Ihnen helfen kann, die CCPA-Compliance zu erreichen.

Vereinbaren Sie noch heute eine Demo.

Thema

Product

Teilen

Analyze this article with AI:
chatgpt Summarize in ChatGPT
Copy Prompt & Open Claude
Summarize in Claude
Ask Perplexity
grok--v2 Copy Prompt & Open Grok
grok--v2 Summarize in Grok

Verwandte Ressourcen

Button-Text
BLOG

Jul 18, 2025

Jul 18, 2025

DSPM vs DLP: Rethinking Data Security in the Age of AI

DSPM vs DLP: Rethinking Data Security in the Age of AI

Cover image for Cyera blog on operationalizing compliance with automated data security solutions
BLOG

Jul 9, 2025

Jul 9, 2025

Operationalizing Compliance with the DOJ’s Rule For Bulk Transfers of Sensitive Personal Data

Operationalizing Compliance with the DOJ’s Rule For Bulk Transfers of Sensitive Personal Data

Cover image for Cyera blog on building trustworthy AI through secure data practices
BLOG

Jul 2, 2025

Jul 2, 2025

Pete Chronis

Building Trustworthy AI: Comparing the MITRE AI Assurance Guide, NIST AI RMF, and CSA AICM

Building Trustworthy AI: Comparing the MITRE AI Assurance Guide, NIST AI RMF, and CSA AICM

Erlebe Cyera

Um Ihr Datenversum zu schützen, müssen Sie zunächst herausfinden, was darin enthalten ist. Lassen Sie uns helfen.

Holen Sie sich eine Demo →
Decorative