Im November haben die kalifornischen Wähler Proposition 24, den California Privacy Rights Act (CPRA) von 2020, verabschiedet. Diese Wahlinitiative baut auf dem California Consumer Privacy Act (CCPA) von 2018 auf und wird manchmal als „CCPA 2.0“ bezeichnet. Das CPRA ist jedoch eher ein Neustart als eine Fortsetzung, und es erweitert die Rechte von Einzelpersonen und die Pflichten von Unternehmen, die mit personenbezogenen Daten umgehen, erheblich.
Das CPRA fand in der Bevölkerung großen Zuspruch; es erhielt 56 % der Stimmen und war damit die zweitbeliebteste kalifornische Wahlinitiative des Jahres 2020. Die Popularität des Gesetzes bedeutet, dass Unternehmen es ernst nehmen müssen, da sie sonst einen Reputationsschaden riskieren.
Hier gehen wir auf einige der wichtigsten Neuerungen des CPRA ein und geben Anregungen, wie Sie sich vorbereiten können.
Die folgenden Informationen sind nicht als Rechtsberatung gedacht, und die Leser sollten sich in Fragen der Einhaltung der Vorschriften mit ihren Anwälten beraten.
CPRA verschärft Strafen und Durchsetzung
Das CCPA legte die Durchsetzung in die Hände des kalifornischen Generalstaatsanwalts, aber das CPRA gibt Einzelpersonen und einer neuen staatlichen Behörde mehr Macht. Tatsächlich hieß das vorgeschlagene Gesetz ursprünglich California Privacy Rights and Enforcement Act (CPREA), was darauf hindeutet, dass der neue Schwerpunkt auf der Rechenschaftspflicht liegt.
Einrichtung einer neuen Regulierungsbehörde
Das CPRA schafft die California Privacy Protection Agency (CPPA), die Lexology als „die erste Regierungsbehörde in den USA bezeichnet, die sich ausschließlich mit dem Datenschutz befasst“. Die CCPA hat die Aufgabe, das Gesetz durchzusetzen, indem sie Bußgelder verhängt und von Unternehmen Risikobewertungen und Audits für ihre Datenverarbeitungspolitik verlangt.
Darüber hinaus wird die CCPA weitere Vorschriften, Regeln und Hinweise zur Auslegung des CPRA geben. Laut der Website von Prop 24 wird diese neue Behörde über ein Budget von 10 Millionen Dollar verfügen, was „in etwa der Anzahl von Mitarbeitern zur Durchsetzung des Datenschutzes entspricht, die der FTC für die Überwachung des gesamten Landes zur Verfügung steht“
Dies könnte für die Unternehmen eine gute Nachricht sein, da das CPPA in der Lage sein wird, Leitlinien und Klarheit über die Anforderungen des CPRA zu bieten. Die Sprache des CCPA war eine Quelle der Verwirrung, und die National Law Review weist darauf hin, dass das CCPA wegen seiner „zu weit gefassten Definitionen, zweideutigen Sprache und insgesamt mangelnden Klarheit“ unpopulär gewesen sei. Diese Behörde könnte nach dem Vorbild des britischen Information Commissioner’s Office (ICO) arbeiten, das dazu beigetragen hat, Klarheit zu schaffen und die Durchsetzung der Allgemeinen Datenschutzverordnung (GDPR) zu lenken.
Erweiterung des privaten Klagerechts
Unter dem CCPA hatten Privatpersonen weniger Möglichkeiten, Unternehmen für die Nichteinhaltung von Vorschriften zur Verantwortung zu ziehen. Nach dem CCPA können Privatpersonen nur bei bestimmten Arten von Verstößen privatrechtliche Schritte gegen ein Unternehmen einleiten, und dies oft nur, nachdem sie das Unternehmen benachrichtigt und ihm die Möglichkeit gegeben haben, das Problem zu „beheben“. Das neue Gesetz besagt jedoch, dass „die Einführung und Aufrechterhaltung angemessener Sicherheitsverfahren und -praktiken … nach einem Verstoß keine Abhilfe darstellt“
Mit anderen Worten: Wenn die Kühe aus dem Stall entwischen, müssen die Unternehmen sie wieder einsperren, wenn sie rechtlichen Ärger vermeiden wollen. Es reicht nicht aus, nur ein Schloss an der Tür anzubringen, damit beim nächsten Mal nichts mehr herauskommt.
CPRA folgt der GDPR
Das CPRA enthält viele Konzepte, die jedem bekannt sind, der die GDPR studiert hat. Diese neuen Ergänzungen zielen darauf ab, dem Einzelnen mehr Kontrolle über seine personenbezogenen Daten zu geben und die Möglichkeiten der Unternehmen, diese zu nutzen, einzuschränken.
Eine neue Kategorie „sensibler personenbezogener Daten“
Das CPRA führt das Konzept der „sensiblen personenbezogenen Daten“ als eine besondere Klasse von Daten ein, für die höhere Standards gelten als für andere personenbezogene Daten. Dieses Konzept findet sich bereits in der Datenschutz-Grundverordnung, obwohl die Definition des CPRA weiter gefasst ist.
Sensible personenbezogene Daten können im CPRA in zwei Kategorien unterteilt werden: direkte Identifikatoren und sehr private Daten. Zur ersten Kategorie gehören von der Regierung ausgestellte Ausweise, Finanzinformationen und jede Kombination von Zugangsdaten, die den Zugang zu einem Konto ermöglichen. Die zweite Kategorie umfasst den genauen Standort, die ethnische Zugehörigkeit, die Religion, genetische und biometrische Daten, die sexuelle Ausrichtung und den Inhalt von E-Mails und Textnachrichten, es sei denn, diese Nachrichten wurden an das betreffende Unternehmen gesendet.
Das CPRA gibt Einzelpersonen ausdrücklich mehr Befugnisse, die Verwendung dieser Daten durch Unternehmen einzuschränken. Die Nutzer können nun verlangen, dass ein Unternehmen diese Informationen nur in dem Maße verwendet, wie es für die Erbringung der Dienstleistung oder die Lieferung von Waren erforderlich ist, die „ein durchschnittlicher Verbraucher vernünftigerweise erwarten kann“, und nur für eine begrenzte Anzahl von Zwecken, die im Gesetz ausdrücklich genannt werden.
Dies wiederum schafft eine neue Opt-out-Anforderung für Unternehmen, die laut JD Supra darin bestehen könnte, „einen Link auf ihrer Website-Homepage mit dem Titel Limit the Use of My Sensitive Personal Information“ einzubinden. Dies wäre eine von einem Link mit der Aufschrift „Meine persönlichen Daten nicht verkaufen oder weitergeben“ getrennte Benachrichtigung.
Einführung des „Rechts auf Berichtigung“
Das CPRA gibt Verbrauchern das Recht, von Unternehmen die Berichtigung ungenauer persönlicher Daten über den Verbraucher zu verlangen. (In der Datenschutz-Grundverordnung wird dies als „Recht auf Berichtigung“ bezeichnet.) Die Unternehmen sind verpflichtet, die Verbraucher über dieses Recht zu informieren, und wenn jemand eine Änderung verlangt, müssen sie „wirtschaftlich angemessene Anstrengungen“ unternehmen, um die Daten zu berichtigen.
Erhöhte Einschränkungen für die Datenspeicherung/Löschung
Das CCPA gewährt den Verbrauchern ein begrenztes Recht, die Löschung ihrer personenbezogenen Daten zu verlangen, allerdings mit mehreren Ausnahmen, die dieses Recht deutlich schwächer machen als das „Recht auf Vergessenwerden“ der Datenschutz-Grundverordnung. Das CPRA legt den Unternehmen (und den Parteien, die mit ihren Daten umgehen) die Pflicht auf, Daten selbst zu löschen. Das Gesetz verlangt von den Unternehmen, personenbezogene Daten nur so lange aufzubewahren, wie es für die Erreichung der dem Verbraucher mitgeteilten Zwecke erforderlich ist.
Wenn ein Verbraucher die Löschung seiner Daten verlangt, müssen die Unternehmen diesen Antrag an Dienstleister und Auftragnehmer weiterleiten, die wiederum ihre eigenen Dienstleister und Auftragnehmer benachrichtigen müssen, um eine gemeinsame Verpflichtung zur Löschung zu schaffen.
Erweiterung des Geltungsbereichs auf die „Weitergabe“ von Daten
In fast allen Fällen, in denen im CCPA von „Verkauf“ die Rede ist, hat das CPRA die Formulierung in „Verkauf oder Weitergabe“ geändert. Die Definition des Begriffs „Verkaufen“ in der CCPA ist bereits recht weit gefasst. Dennoch versucht das CPRA, Schlupflöcher zu beseitigen, die Unternehmen für „kontextübergreifende verhaltensbezogene Werbung“ ausnutzen.
Diese Änderung könnte es Unternehmen wie Facebook und Google unmöglich machen, die Opt-Out-Vorschrift zu umgehen, indem sie darauf bestehen, dass sie Nutzerdaten nicht „verkaufen“, sondern Werbetreibenden lediglich erlauben, diese Daten für gezieltes Marketing zu verwenden. Wie Datawallet berichtet, könnte diese kleine Änderung den Status quo des bestehenden Ökosystems der digitalen Werbung völlig verändern.“
Wie Unternehmen sich auf das CPRA vorbereiten sollten
Die gute Nachricht für Unternehmen ist, dass die Durchsetzung des CPRA erst im Juli 2023 beginnt. Das CPRA verlängert auch die Ausnahmeregelungen des CCPA für Mitarbeiterdaten bis zu diesem Zeitpunkt.
IAPP spekuliert, dass diese Schonfrist der Bundesregierung Zeit geben soll, eine nationale Datenschutzgesetzgebung einzuführen. Unabhängig vom Grund haben die Unternehmen etwas Zeit, um sich vorzubereiten und neue Datenrichtlinien einzuführen.
Verbesserung der Datenlöschungsrichtlinien
Wie bereits erörtert, verlangt das CPRA, dass Unternehmen (und die externen Parteien, die mit ihnen zusammenarbeiten) personenbezogene Daten löschen, nachdem sie ihren Zweck erfüllt haben. Abgesehen von der Einhaltung dieses Teils des Gesetzes ist die Löschung von Daten einfach eine gute Praxis, denn je mehr personenbezogene Daten Sie aufbewahren, desto mehr können Sie bei einem Verstoß verlieren. Und da das neue Gesetz den Schwerpunkt auf die Durchsetzung legt und das Recht auf Privatklagen erweitert, könnte jeder kompromittierte Datensatz bei einem Verstoß zu ernsthaften Strafen führen.
Die Verschärfung der Löschungsrichtlinien erfordert zunächst, dass alle personenbezogenen Daten erfasst werden und nicht im Äther herumschwirren. Wie die IAPP es ausdrückt: „Während viele Datenschutzbeauftragte jährliche Datenlöschungstage als Best Practice eingeführt haben, bleibt es eine ständige Herausforderung, alle Mitarbeiter dazu zu bringen, sich daran zu halten und Unmengen veralteter Daten zu löschen, die keinen Zweck mehr erfüllen.
Eine Lösung für diese Herausforderung besteht darin, alle personenbezogenen Daten unter zentralisierten Benutzerprofilen zusammenzufassen, die über Ihr Identitäts- und Zugriffsmanagementsystem (IAM) zugänglich sind. Ein einziger Datenspeicher für Kundendaten vereinfacht die Einhaltung vieler Aspekte der kalifornischen Datenschutzgesetze, z. B. das Löschen persönlicher Daten, das Vornehmen von Korrekturen und das Aushändigen von Berichten an Verbraucher auf Anfrage.
Einführen von MFA für Anmeldungen
Das CPRA legt besonderes Augenmerk auf die Anmeldedaten. In erster Linie werden Anmeldedaten unter „sensible persönliche Daten“ aufgeführt. Und während der CCPA Einzelpersonen nur dann das Recht auf rechtliche Schritte einräumte, wenn ein Verstoß ihre unverschlüsselten persönlichen Daten offenlegte, erweitert das CPRA dieses Recht auf Verstöße, die die „E-Mail-Adresse eines Benutzers in Kombination mit einem Passwort oder einer Sicherheitsfrage und -antwort, die den Zugriff auf das Konto ermöglichen würden“, offenlegen, vorausgesetzt, dass der Verstoß auf das Versäumnis des Unternehmens zurückzuführen ist, angemessene Sicherheitspraktiken anzuwenden.
Diese neue Formulierung ist ein klarer Versuch, die epidemischen Angriffe auf die Authentifizierung zu bekämpfen, wie z. B. das „Credential Stuffing“, bei dem offengelegte Anmeldedaten zum Einfallstor für Identitätsdiebe werden.
Eine Möglichkeit, die Einhaltung der Vorschriften zu verbessern, ist die Verschlüsselung gespeicherter Passwörter. Verschlüsselung allein kann jedoch unzureichend sein, da sich die Verschlüsselungsstandards ändern und es immer möglich ist, dass sich in Ihren Systemen eine alte Datenbank mit Klartextpasswörtern versteckt.
Deshalb ist es ratsam, eine mehrstufige Authentifizierung (MFA) zu implementieren und sicherzustellen, dass Anmeldedaten allein nicht automatisch den Zugriff auf ein Konto ermöglichen. MFA fordert bei einer ungewöhnlichen Anmeldung (z. B. wenn jemand versucht, sich mit einem neuen Gerät anzumelden) eine zusätzliche Form von Anmeldeinformationen an (z. B. einen Fingerabdruck oder einen einmaligen Code).
Prüfen Sie Ihre Beziehungen zu Dritten
Das CPRA legt großen Wert auf die Ausweitung der Datenschutzpflichten auf Auftragnehmer, Dienstleister und Dritte. Es definiert einen Auftragnehmer ausdrücklich als jemanden, dem ein Unternehmen durch einen schriftlichen Vertrag Zugang zu personenbezogenen Daten gewährt. Dieser Vertrag verbietet es dem Auftragnehmer, Daten an andere Parteien zu verkaufen oder weiterzugeben oder sie für Zwecke zu verwenden, die nicht im Vertrag aufgeführt sind.
Das CPRA verlangt auch, dass jeder Dienstleister, Auftragnehmer oder Dritte, der Daten erhält, sich vertraglich verpflichtet, die CPRA-Standards einzuhalten. Die IAPP stellt fest, dass diese Anforderungen „an die DSGVO und verschiedene internationale Datentransfermechanismen erinnern, die den Schutz der DSGVO erweitern und eine grenzüberschreitende Einhaltung ermöglichen sollen“
Durch diese Änderungen wird es für Unternehmen unerlässlich, sich über die Datenschutz- und Cybersicherheitsstandards aller externen Parteien, mit denen sie personenbezogene Daten austauschen, zu informieren. Die Ausarbeitung von Verträgen obliegt den Anwälten, aber es ist Aufgabe der Sicherheitsexperten, dafür zu sorgen, dass Dritte ihren vertraglichen Verpflichtungen nachkommen, indem sie eine gute Datensicherheit praktizieren.
CPRA ist eine große (aber nicht unbedingt schlechte) Neuigkeit
Als die Nachricht von „CCPA 2.0“ kurz nach der Verabschiedung des ursprünglichen Gesetzes bekannt wurde, waren einige Wirtschaftsführer bestürzt. Einige schienen zu glauben, dass Alastair Mactaggart, der Anführer der Bewegung, es persönlich auf sie abgesehen hat. Aber jetzt, wo das Gesetz verabschiedet ist, ist es an der Zeit, dass alle Beteiligten seine allgemeinen Ziele annehmen.
Die neuen Ergänzungen in diesem Datenschutzgesetz sind Teil einer umfassenden Entwicklung der Verbraucherrechte. Auch wenn dieses Gesetz nur für Kalifornier gilt, gibt es überall in den Vereinigten Staaten Gesetze mit ähnlichen Zielsetzungen. Auch wenn es schwierig sein mag, diesen nationalen und globalen Flickenteppich von Gesetzen einzuhalten, erfordern sie alle dieselbe Grundeinstellung. Respektieren Sie die Privatsphäre, praktizieren Sie Transparenz und kontrollieren Sie den Zugriff auf personenbezogene Daten.
Wollen Sie mehr über die Grundlagen des Datenschutzes, der Datensicherheit und der Einhaltung von Gesetzen erfahren? Beginnen Sie hier.
Über Auth0
Auth0 bietet eine Plattform zur Authentifizierung, Autorisierung und Sicherung des Zugriffs für Anwendungen, Geräte und Benutzer. Sicherheits- und Anwendungsteams verlassen sich auf die Einfachheit, Erweiterbarkeit und Expertise von Auth0, damit Identität für alle funktioniert. Auth0 schützt jeden Monat Milliarden von Anmeldetransaktionen, sichert Identitäten, damit Innovatoren innovativ sein können, und befähigt globale Unternehmen, ihren Kunden auf der ganzen Welt vertrauenswürdige, überlegene digitale Erfahrungen zu bieten.
Für weitere Informationen besuchen Sie https://auth0.com oder folgen Sie @auth0 auf Twitter.