Es gibt weltweit immer mehr Analoga der DSGVO. Kürzlich wurde
in Indien eine ähnliche Gesetzesvorlage
entwickelt , jetzt stehen die Vereinigten Staaten im Einklang. Kalifornien nahm ein Beispiel aus Europa und
genehmigte sein eigenes Gesetz, das die Regeln für die Arbeit mit personenbezogenen Daten der Benutzer regelt.
Das California Consumer Privacy Act (CCPA) tritt am 1. Januar 2020 in Kraft. Als nächstes betrachten wir die wichtigsten Bestimmungen des Gesetzes, das in nur einer Woche entwickelt und verabschiedet wurde.
/ Foto Ryan Brisco PDWer fällt unter das Gesetz
Das neue Gesetz ist nicht so streng wie die europäische Richtlinie, aber es impliziert immer noch große Veränderungen im Geschäftsleben. Jeder Internetnutzer in Kalifornien hat
das Recht, vom Unternehmen die Informationen zu verlangen, die er über ihn gesammelt hat, sowie eine Liste von Dritten, die ihm bekannt wurden.
Basierend auf demselben Gesetz kann der Benutzer nun eine Organisation verklagen, die seine PD rechtswidrig ausgenutzt oder eine seiner Anfragen nicht rechtzeitig erfüllt hat.
CCPA umfasst Unternehmen, die personenbezogene Daten von in Kalifornien ansässigen Personen verarbeiten (Einwohner können sowohl im Bundesstaat als auch im Ausland ansässig sein) und einen Jahresumsatz von mindestens 25 Millionen US-Dollar erzielen. Aber es gibt eine Nuance: Wenn das Einkommen des Unternehmens geringer ist, es jedoch personenbezogene Daten von mehr als 50.000 Personen speichert, fällt seine Tätigkeit unter die SSRA.
Das neue Gesetz regelt auch die Aktivitäten von Unternehmen, die mehr als die Hälfte des Gewinns (unabhängig von ihrer Größe) aus dem Verkauf von PD erzielen. Der Standort der Organisation spielt keine Rolle: Es spielt keine Rolle, ob sie sich in Kalifornien oder außerhalb des Bundesstaates befindet.
Was gilt als personenbezogene Daten
Persönliche Identifikatoren sind alle Identifikatoren, Biometrie, Geolokalisierung, Aktivitätsverlauf im Internet und Informationen über Beschäftigung oder Bildung. Im Allgemeinen gelangen alle Daten, die eine Person identifizieren können, dorthin.
Gleichzeitig finden sich im Gesetz recht vage Formulierungen. Beispielsweise kann eine persönliche Kennung Informationen über die Familie des Benutzers enthalten. Klassifizieren Sie als PD auch alle Informationen, mit denen Sie Benutzerprofile erstellen können: sei es nur psychologisch, verhaltensbezogen usw.
Benutzerrechte
Laut Gesetz erhält der Benutzer eine „traditionelle“ Reihe von Rechten:
- Zugriffsrecht. Der Benutzer kann eine Anfrage senden und alle Informationen abrufen, die das Unternehmen über ihn gesammelt hat.
- Das Recht auf Vergessen. Der Benutzer kann die Entfernung von Informationen über sich selbst von den Servern des Unternehmens und von Servern Dritter verlangen.
- Das Recht zu wissen. Auf Anfrage muss das Unternehmen die Zwecke der Erhebung personenbezogener Daten und deren Quellen offenlegen.
- Recht zu verweigern. Benutzer können die Weitergabe ihrer Daten an Dritte verweigern.
Hier liegt ein wichtiger Unterschied zur DSGVO: Gemäß der europäischen Richtlinie muss ein Unternehmen die
Zustimmung des Benutzers für die Verarbeitung von PD einholen. Nach kalifornischem Recht muss eine Organisation nur Anfragen von Benutzern verarbeiten.
Wenn die Benutzerdaten verloren gingen oder gestohlen wurden, muss das Unternehmen jedem Opfer 100 bis 750 Dollar zahlen.
Wenn der Benutzer eine Beschwerde wegen eines Verstoßes gegen seine persönlichen Daten an das Unternehmen gesendet hat, muss das Problem innerhalb eines Monats behoben werden. Andernfalls wird sie mit einer Geldstrafe belegt. Jetzt sind es 7,5 Tausend Dollar.
Nach der CCRA sind Unternehmen jedoch nicht verpflichtet, Tatsachen von Verstößen offenzulegen, wenn sie keine entsprechende Anfrage von Benutzern erhalten haben.
Die Höhe der Geldbußen und Zahlungen kann sich noch ändern, aber in jedem Fall (unter Berücksichtigung aller technischen und rechtlichen Kosten) kann die SSRA eine finanzielle Bedrohung für die Existenz vieler Unternehmen darstellen.
/ Foto Justin Lim PDRabatte
Eine weitere interessante Nuance: Das Gesetz verbietet Unternehmen, Benutzer zu diskriminieren, die sich weigern, ihre persönlichen Daten anzugeben. Gleichzeitig wird die Möglichkeit vorgeschlagen, ein Belohnungssystem für diejenigen einzuführen, die zugestimmt haben.
Formal bedeutet dies (wenn sich der Artikel nicht ändert), dass Unternehmen denjenigen, die ihre Daten an Dritte weitergeben, Rabatte gewähren und abhängig von ihren Datenschutzeinstellungen unterschiedliche Preise für Benutzer festlegen können.
Dies schafft nicht nur einen interessanten technologischen, sondern auch einen kulturellen Präzedenzfall: De facto bildet CCPA neue Spielregeln, nach denen Unternehmen Informationen von Benutzern kaufen können, die sie zuvor kostenlos erhalten haben.
Im trockenen Rückstand
Formal tritt das Gesetz am 1. Januar 2020 in Kraft. Sobald das Unternehmen seinen Betrieb aufnimmt, muss es den Benutzern jedoch sofort die Daten zur Verfügung stellen können, die in den letzten 12 Monaten über sie gesammelt wurden. Dementsprechend kommt die Frist für die Implementierung aller dafür erforderlichen technologischen Lösungen ein Jahr früher - also nur vier Monate später.
Mit diesem Ansatz können die ersten Klagen am ersten Tag der Richtlinie erwartet werden. Wie bei GDPR
und passt zu Facebook und Google .
/ Fotobuchkatalog CCGroße IT-Giganten
lehnen dieses Gesetz allmählich, aber nicht sehr offen
ab . Insbesondere finanzieren sie eine
öffentliche Organisation , die dagegen kämpft.
Experten glauben, dass das in so kurzer Zeit verabschiedete Gesetz in zwei Jahren geändert und ausgearbeitet wird. Sie sind sich jedoch nicht sicher, ob die Änderungen von Bedeutung sein werden. Wichtige Punkte dürften intakt bleiben.
Somit ist die SSRA der
erste Schritt zu einem völlig neuen Verständnis der Informationssicherheit in Amerika und zur Änderung der meisten Praktiken, die viele Jahre lang als grundlegend und unverändert angesehen wurden.
PS Verwandte Beiträge aus unserem IaaS-Blog:
PPS Neue Beiträge in unserem Blog auf Habré: