Das CPRA verstehen: Sensible persönliche Daten schützen und die Vorschriften einhalten

Das CCPA/CPRA ist eine Reihe von Vorschriften, die den Einwohnern Kaliforniens mehr Kontrolle über ihre persönlichen Daten und die Art und Weise, wie Unternehmen diese sammeln und verwenden dürfen, geben sollen. Das kalifornische Gesetz zum Schutz der Privatsphäre von Verbrauchern aus dem Jahr 2018 legte erste Leitlinien fest, und der California Privacy Rights Act, der 2020 von den Wählern verabschiedet wurde, änderte und erweiterte das CCPA. In diesem Artikel erörtern wir diese wichtigen Vorschriften und die Verantwortung, die Unternehmen gegenüber Verbrauchern für CCPA/CPRA-Rechte und Datenschutzpraktiken haben.

Was ist der California Privacy Rights Act (CPRA)?

Das bahnbrechende Gesetz begann mit dem CCPA im Jahr 2018 und sicherte den Verbrauchern in Kalifornien robustere Datenschutzrechte. Zu den Grundpfeilern des Gesetzes, die sich auf die Zustimmung des Verbrauchers konzentrieren, gehören:

• Das Recht zu wissen: Verbraucher haben ein Recht darauf, genau zu erfahren, welche persönlichen Daten ein Unternehmen über sie sammelt und wie das Unternehmen diese Daten verwendet und weitergibt.
• Das Recht auf Löschung: Verbraucher haben das Recht, ihre Daten nach eigenem Ermessen aus den Datenbanken eines Unternehmens löschen zu lassen (mit einigen Ausnahmen).
• Das Recht auf Ablehnung: Verbraucher können dem Verkauf oder der Weitergabe ihrer persönlichen Daten durch das Unternehmen widersprechen.
• Das Recht auf Nicht-Diskriminierung: Wenn ein Verbraucher eines dieser Rechte nach dem CCPA wahrnimmt, hat er das Recht, von den Dienstleistern nicht diskriminiert zu werden.

Im Jahr 2020 wurden im Rahmen des California Privacy Rights Act (CPRA), der das CCPA abändert, zusätzliche Datenschutzbestimmungen in Kraft gesetzt. Sie umfassen:

• Das Recht auf Berichtigung: Verbraucher haben das Recht, unrichtige personenbezogene Daten korrigieren zu lassen.
• Das Recht auf Einschränkung: Verbraucher können die Verwendung und Weitergabe ihrer sensiblen persönlichen Daten einschränken.

Organisationen, die dem CCPA/CPRA unterliegen, müssen auf Anfragen zur Ausübung dieser Verbraucherrechte reagieren und u.a. Hinweise zur Erläuterung ihrer Datenschutzpraktiken geben. Das CPRA ist kein völlig neues Gesetz, sondern lediglich eine Änderung des bestehenden CCPA. Daher werden sie oft als ein Gesetz oder als CCPA/CPRA bezeichnet.

Mit dem CPRA wurde auch die California Privacy Protection Agency eingerichtet, eine Behörde, die das CCPA bei Bedarf umsetzen und durchsetzen kann.

Für wen gilt das CPRA?

Das CPRA gilt für gewinnorientierte Unternehmen und Dienstleistungsanbieter, die in Kalifornien tätig sind und mindestens einen der folgenden Schwellenwerte erfüllen:

• Sie haben einen jährlichen Bruttoumsatz von über 25 Millionen Dollar.
• Persönliche Daten von 100.000 oder mehr Verbrauchern oder Haushalten kaufen, verkaufen oder weitergeben.
• 50% oder mehr der jährlichen Einnahmen aus dem Verkauf oder der Weitergabe persönlicher Daten erzielen.

Wichtig ist, dass das CPRA auch Auftragnehmer und Dienstleister abdeckt, die Daten im Auftrag der betroffenen Unternehmen verarbeiten, so dass das Lieferantenmanagement und die Risikobewertung ein wesentlicher Bestandteil der Compliance-Programme sind.

Was ist der Unterschied zwischen dem CCPA und dem CPRA?

Während der CCPA einen bahnbrechenden Schutz der Privatsphäre der Verbraucher einführte, stärkte und erweiterte das CPRA diese Rechte. Die wichtigsten Unterschiede sind:

• Umfang der persönlichen Daten: CPRA fügt eine neue Kategorie für "sensible persönliche Daten hinzu," die den Verbrauchern das Recht gibt, die Verwendung dieser Daten einzuschränken.
• Stärkere Durchsetzung: Mit dem CPRA wurde die CPPA geschaffen, eine unabhängige Behörde, die sich mit der Durchsetzung und dem Erlass neuer Datenschutzbestimmungen befasst.
• Regeln zur Datenspeicherung: Unternehmen müssen die Verbraucher darüber informieren, wie lange ihre Daten aufbewahrt werden, und formelle Richtlinien zur Datenspeicherung einführen.
• Erweiterte Verbraucherrechte: Es wurden Rechte zur Datenkorrektur und zur Einschränkung sensibler Daten eingeführt, die die Verantwortung für die Verwaltung des Datenschutzes erhöhen.
• Vertragliche Verpflichtungen: CPRA stellt strengere Anforderungen an Vereinbarungen mit Dienstleistern, Auftragnehmern und Dritten und verpflichtet diese, die CPRA-Standards für die Datenverarbeitung einzuhalten.

Neue Anforderungen der CPRA-Verordnung

Die Einhaltung der Vorschriften umfasst nun mehrere zusätzliche Verpflichtungen, die über die Anforderungen des CCPA hinausgehen. Dazu gehören:

• Risikobewertungen: Unternehmen, die Daten mit hohem Risiko verarbeiten, müssen regelmäßige Bewertungen ihrer Verarbeitungstätigkeiten durchführen und dokumentieren.
• Cybersecurity Audits: Bestimmte Organisationen müssen sich regelmäßigen Audits unterziehen, um effektive Sicherheitskontrollen nachzuweisen.
• Datenminimierung & Aufbewahrung: Es dürfen nur die für den angegebenen Zweck erforderlichen persönlichen Daten gesammelt werden, und die Aufbewahrungsfristen müssen klar kommuniziert werden.
• KI-Governance: In dem Maße, in dem Unternehmen maschinelles Lernen und KI-Tools einsetzen, erwartet CPRA die Notwendigkeit von KI-Governance-Rahmenwerken, um den Missbrauch von persönlichen Daten zu verhindern.

Rahmen für die Einhaltung des CPRA

Unternehmen können von einer strukturierten Compliance-Checkliste profitieren, um die CPRA-Verpflichtungen effizient zu erfüllen. Ein starker Rahmen umfasst in der Regel:

• Dateninventarisierung & Mapping: Identifizieren Sie alle persönlichen und sensiblen Daten, ihren Speicherort und wie sie durch die Systeme fließen.
• Aktualisierungen der Datenschutzrichtlinien: Stellen Sie sicher, dass Datenschutzhinweise den Datenzugang, die Datenspeicherung und die Verbraucherrechte in einfacher Sprache offenlegen.
• Überprüfung der Verträge: Aktualisieren Sie die Verträge mit Dienstleistern, um die von der CPRA vorgeschriebenen Bedingungen für die Datenverarbeitung aufzunehmen.
• Datenschutz-Management-Technologie: Implementieren Sie Tools zur Verwaltung des Datenschutzes für die Aufnahme und Verfolgung von Verbraucheranfragen.
• Schulung & Bewusstsein: Informieren Sie Ihre Mitarbeiter über die Pflichten des Datenschutzes und die Prävention von Insider-Bedrohungen.
• Überwachung & Berichterstattung: Verwenden Sie Dashboards, um den Fortschritt bei der Einhaltung der Vorschriften zu messen und sich auf mögliche CPPA-Audits vorzubereiten.

Was gilt unter dem CPRA als "sensible persönliche Daten"?

Die folgenden Kategorien werden im Rahmen des CPRA als "sensible persönliche Daten" eingestuft:

• Staatliche Identifikatoren: Von der Regierung ausgegebene Identifikationsnummern wie Sozialversicherungsnummern, Führerscheinnummern, staatliche Ausweisnummern oder Reisepassnummern.
• Kontoinformationen: Kontoanmeldedaten, Finanzkontonummern, Debit- oder Kreditkartennummern, Sicherheitscodes, Zugangsdaten, Passwörter, usw.
• Geolokalisierungsdaten: Informationen wie IP-Adresse, GPS-Standortdaten und RF-Daten Exchangeable Image File Format (EXIF)-Daten, die geografische Koordinaten zur Bestimmung eines physischen Standorts liefern können.
• Rasse, ethnische Herkunft oder Einwanderungsstatus.
• Philosophische oder religiöse Überzeugungen.
• Mitgliedschaft in der Gewerkschaft.
• Korrespondenz mit Verbrauchern: Post, E-Mail und SMS (es sei denn, das Unternehmen ist der beabsichtigte Empfänger der Kommunikation).
• Biometrische Informationen: Oder genetische Daten, die einen Verbraucher eindeutig identifizieren können.
• Persönliche Informationen: Informationen über die Gesundheit, die sexuelle Orientierung oder das Sexualleben eines Verbrauchers.

Informationen, die den Haushalt, die Vorlieben, die Eigenschaften oder das Verhalten eines Verbrauchers identifizieren, mit ihm in Verbindung stehen oder sich vernünftigerweise auf ihn beziehen könnten, können als Kategorien persönlicher Daten betrachtet werden.

Das CPRA soll den Verbrauchern das Recht geben, die Verwendung und Weitergabe ihrer persönlichen Daten auf das zu beschränken, was für die Bereitstellung ihrer Waren und Dienstleistungen durch die Unternehmen erforderlich ist. Diese Unternehmen müssen auf ihrer Homepage einen eindeutigen Link angeben, über den Verbraucher die Verwendung meiner sensiblen persönlichen Daten einschränken und ihre Rechte nach dem CPRA ausüben können.

Warum müssen Unternehmen persönliche Daten schützen?

Es gibt mehrere wichtige Gründe, warum sensible persönliche Daten geschützt werden müssen.

1. Vertrauen und Kundentreue: Der Schutz sensibler persönlicher Daten trägt nicht nur dazu bei, das Vertrauen der Kunden aufzubauen und aufrechtzuerhalten, sondern schützt ihre Daten auch im Falle eines Verstoßes und bewahrt die Verbraucher vor Identitätsdiebstahl. Verbraucher sind auch eher bereit, mit Unternehmen zusammenzuarbeiten, die ihre Daten schützen, was zu positiven Beziehungen führt.
2. Einhaltung von Gesetzen: Der Schutz von Daten ist gesetzlich vorgeschrieben. Neben dem CCPA/CPRA gibt es weitere Vorschriften wie die Allgemeine Datenschutzverordnung (GDPR) in der Europäischen Union, HIPAA, HITRUST, PCI DSS und mehr. Unternehmen können gesetzliche Strafen für Verstöße vermeiden, wenn sie innerhalb des gesetzlichen Rahmens der Datenschutzgesetze arbeiten.
3. Minimierung von Risiken und Kosten: Ein effektiver Datenschutz minimiert das Risiko von Datenschutzverletzungen, die zu Geldstrafen, Anwaltskosten und den Kosten für die Behebung der Verletzung führen können. Unternehmen können auch erhebliche finanzielle Verluste durch Unterbrechungen der Geschäftskontinuität erleiden.
4. Reputationsmanagement: Wenn es zu Datenschutzverletzungen kommt, leidet der Ruf eines Unternehmens und es verliert Kunden. Robuste Datenschutzmaßnahmen tragen dazu bei, Verstöße zu verhindern und die negative Publicity zu minimieren, die durch den falschen Umgang mit sensiblen Verbraucherdaten entsteht.

Wenn es zu einem Verstoß kommt, kann dies schwerwiegende Folgen haben.

• Strafen und Geldbußen: Die Nichteinhaltung von Datenschutzgesetzen kann für die verantwortlichen Organisationen saftige Geldstrafen bedeuten. CCPA/CPRA-Strafen haben eine Obergrenze von $7.500 pro vorsätzlichem Verstoß und $2.500 pro unbeabsichtigtem Verstoß. Das mag wenig erscheinen, aber ein single Stück Verbraucherdaten kann einen single Verstoß darstellen. Im Falle einer Datenschutzverletzung, bei der Tausende von Datenpunkten kompromittiert werden, können die Strafen schnell sehr hoch werden.
• Rechtsstreitigkeiten: Einzelpersonen oder Gruppen, die von Sicherheitsverletzungen betroffen sind, können Klage gegen Unternehmen erheben, die ihre Daten nicht schützen. Diese Klagen können teuer und zeitaufwändig werden und den Ruf eines Unternehmens schädigen.
• Betriebliche Unterbrechungen: In einigen Fällen können Datenschutzverletzungen zu Problemen bei der Aufrechterhaltung des Geschäftsbetriebs führen, während die Ursache der Verletzung behoben wird. Der Produktivitätsverlust während dieser Zeit ist ebenso kostspielig wie die zusätzlichen Kosten für die Datenwiederherstellung und mögliche Systemreparaturen.
• Verlust des Vertrauens der Verbraucher: Datenschutzverletzungen können dazu führen, dass Kunden ihre Verträge kündigen oder sich entscheiden, woanders einzukaufen, wo ihre Daten vielleicht sicherer sind. Wenn ein großer Teil des Geschäfts eines Unternehmens in sicherere Gefilde abwandert, kann dies dem Unternehmen als Ganzes schaden.

Die Konsequenzen und Strafen, die sich aus der Nichtbeachtung des Schutzes sensibler personenbezogener Daten ergeben, können erheblich sein und gehen weit über einen einfachen Verstoß gegen CCPA/CPRA hinaus. Diese Vorschriften sollen die persönlichen Daten der Verbraucher schützen, aber sie sind auch eine Möglichkeit für Unternehmen, ihren Kunden zu versichern, dass sie sichere und ethische Geschäfte betreiben.

Herausforderungen beim Schutz sensibler persönlicher Daten

Der Schutz der sensiblen persönlichen Daten von Verbrauchern ist ein komplexes Unterfangen, insbesondere in der heutigen schnelllebigen digitalen Landschaft. Dies sind einige der häufigsten Herausforderungen, auf die Unternehmen bei der Einhaltung von Vorschriften stoßen können.

Mangelndes Bewusstsein für persönlich identifizierbare Informationen (PII)

Viele Unternehmen tun sich schwer damit, einen vollständigen Überblick über die in ihrem Besitz befindlichen PII zu erhalten, einschließlich der Frage, wo sie gespeichert sind und wie sie verwendet werden. Mangelnde Transparenz kann Lücken im Schutz von personenbezogenen Daten hinterlassen.

Komplikationen bei der Cloud-Migration

Unternehmen können den Überblick oder den Zugriff auf die zu migrierenden Daten verlieren, was zu Problemen führen kann:

• Unvollständige Datenübertragungen.
• Verwaiste Daten in Altsystemen.
• Inkonsistente Sicherheitsmaßnahmen zwischen lokalen und Cloud-Systemen.

Große Datenmengen

Die gesammelte Datenmenge kann exponentiell wachsen. Zu den damit verbundenen Herausforderungen gehören:

• Implementierung von Sicherheitsmaßnahmen für alle Datensätze.
• Effiziente Verwaltung und Überwachung der Daten.
• Ordnungsgemäße Klassifizierung und Handhabung der Daten.

Schlechte Praktiken der Datenverwaltung

Große Datensätze und hohe Speichervolumina bringen Schwierigkeiten bei der Überwachung der Datenverwaltung mit sich, was zu Problemen führen kann:

• Inkonsistente Datenzuordnung zwischen Abteilungen.
• Unzureichende Qualitätskontrollen der Daten.
• Mangel an klaren Rollen und Verantwortlichkeiten für die Datenverwaltung.

Unsicherer Datenaustausch in Kommunikationsplattformen

Viele Unternehmen verwenden Tools für die Zusammenarbeit, um unterschiedliche Belegschaften zu vereinen. Die Kommunikation in diesen Tools kann die gemeinsame Nutzung von Daten beinhalten, die nicht mit den Richtlinien zur Datensicherheit übereinstimmen. Das Ergebnis ist:

• Versehentliche Preisgabe von sensiblen Informationen.
• Schwierigkeiten bei der Verfolgung und Kontrolle des Datenflusses.
• Größeres Risiko von Datenlecks durch ungesicherte Kanäle.

Sich entwickelnde Vorschriften

So wie sich die digitale Welt weiterentwickelt, so entwickeln sich auch die Datenschutzbestimmungen, die sie regeln. Es kann eine Herausforderung sein, mit den regulatorischen Änderungen in vielen Ländern Schritt zu halten, insbesondere für Unternehmen, die weltweit tätig sind. Die ständige Weiterbildung der Mitarbeiter kann dazu beitragen, das Risiko zu verringern, aber es ist ein fortlaufender Prozess.

Insider-Bedrohungen

Jeder Mitarbeiter und Auftragnehmer mit Zugang zu personenbezogenen Daten und anderen sensiblen Daten ist ein Endpunkt für eine potenzielle Verletzung oder Aufdeckung, entweder durch Böswilligkeit oder Fahrlässigkeit.

Risikomanagement für Dritte

Die Sicherheit von Daten bei der Zusammenarbeit mit Anbietern und externen Partnern, die Zugang zu sensiblen Daten haben, kann eine Herausforderung sein, insbesondere wenn der Zugriff über mehrere Geräte erfolgt.

Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit

Die Implementierung starker Sicherheitsmaßnahmen bei gleichzeitiger Aufrechterhaltung benutzerfreundlicher Systeme und Arbeitsabläufe ist für viele Unternehmen eine ständige Herausforderung. Informationssicherheitsbeauftragte müssen ihre Datenschutzmaßnahmen mit der Notwendigkeit, Schatten-IT zu begrenzen, in Einklang bringen.

Die Bewältigung dieser Herausforderungen erfordert einen vielschichtigen Ansatz zum Datenschutz, einschließlich regelmäßiger Mitarbeiterschulungen, technologischer Lösungen und einer Kultur des Sicherheitsbewusstseins am Arbeitsplatz.

Auswirkungen des CPRA

Das CPRA hat weitreichende Auswirkungen sowohl auf Unternehmen als auch auf Verbraucher. Für Unternehmen erhöht sie die Erwartungen an die Datenverwaltung, formalisiert die Einhaltung der GDPR-ähnlichen Prinzipien (z.B. Datenminimierung) und erhebt den Datenschutz zum Thema in der Vorstandsetage. Für die Verbraucher bedeutet dies mehr Transparenz, eine stärkere Kontrolle über persönliche Daten und die Möglichkeit, die Verwendung sensibler persönlicher Daten durch Unternehmen einzuschränken.

In der Praxis trägt die Einhaltung der CPRA zur Verringerung des Risikos von Datenschutzverletzungen bei, unterstützt Risikobewertungen und bringt Unternehmen in Einklang mit den globalen Datenschutzbestimmungen, was es einfacher macht, länderübergreifend zu arbeiten. Die Erfüllung dieser Verpflichtungen erfordert zwar Zeit und Investitionen, aber sie schafft auch Vertrauen und verbessert die langfristigen Kundenbeziehungen.

Sicherstellung der CPRA-Konformität mit Mimecast

Mimecast Aware bietet Echtzeit-Compliance für komplexe Collaboration-Ökosysteme und schließt damit die Lücken, die viele ältere Plattformen offen lassen. Unternehmen können mit Aware die Einhaltung von CCPA/CPRA durch robuste Information Governance, Überwachung von einer zentralen Plattform aus und branchenführendes NLP und föderierte Suche zur Unterstützung interner Untersuchungen sicherstellen.

Mit den Lösungen von Mimecast für Data Governance und Compliance-Überwachung können Unternehmen die kontinuierliche Einhaltung von Praktiken zur gemeinsamen Nutzung von Daten sicherstellen, die:

• Integrieren Sie Ihre bestehenden Collaboration-Tools, ohne die Benutzerfreundlichkeit zu beeinträchtigen.
• Sparen Sie Zeit und Ressourcen mit proprietären KI/ML-Modellen, die dafür sorgen, dass es weniger Fehlalarme gibt und die Alarmmüdigkeit verringert wird.
• Erlauben Sie IT- und Sicherheitsteams die Anpassung von Regeln und Richtlinien, um Verstöße zu verfolgen.
• Gehen Sie Verstöße automatisch mit Echtzeit-Coaching für Mitarbeiter an.
• Bewahren Sie den Inhalt rund um einen Richtlinienauslöser auf, damit Sie den gesamten Kontext verstehen können.
• Verwenden Sie rollenbasierte Zugriffskontrollen (RBAC) und Prüfpfade, um Verstöße zu verhindern.
• Helfen Sie, die Abhängigkeit von Schatten-IT-Lösungen zu begrenzen und zu verringern.

Wenn Sie mit Mimecast zusammenarbeiten, können Sie sicherstellen, dass Ihre Datensicherheit alle CCPA/CPRA- und andere notwendige Vorschriften erfüllt. Fordern Sie eine Demo an, um noch heute loszulegen!