Datenschutzgesetze sollen die USA von Küste zu Küste abdecken

Am 1. Januar 2020 wird die neue Vorschrift des Staates Kalifornien für Datenschutz - der California Consumer Privacy Act (CCPA) , der 2018 erlassen wurde - in Kraft treten. Der CCPA folgt auf die GDPR und ist ein neuer Versuch des öffentlichen Sektors, die zunehmenden Datenschutzbedenken bei der Verwaltung von Bürgerdaten in einer digitalen Welt, die von Datenschutzverletzungen heimgesucht wird, anzugehen.

Durch das Gesetz erhalten die Bürger Kaliforniens mehr Rechte und mehr Kontrolle über ihre Daten, auch wenn diese Daten fast überall gespeichert sein können. Laut dem Merkblatt der Generalstaatsanwaltschaft von Kalifornien haben die Verbraucher "das Recht zu erfahren, welche personenbezogenen Daten gesammelt, verwendet, weitergegeben oder verkauft werden, und zwar sowohl hinsichtlich der Kategorien als auch der einzelnen personenbezogenen Daten".

Aus Unternehmenssicht wird der CCPA jedoch Auswirkungen auf die Datensicherheit und den Datenschutz für Unternehmen haben, die eines der folgenden Kriterien erfüllen:

• Ein gewinnorientiertes Unternehmen, das in Kalifornien tätig ist und einen Jahresumsatz von mindestens 25 Millionen Dollar erzielt
• Verkauf von 50.000 Kundenunterlagen pro Jahr
• Mindestens 50 % der Jahreseinnahmen aus dem Verkauf personenbezogener Daten erzielt werden

Datenschutz ist nicht auf die Westküste beschränkt

Datenschutzgesetze haben weitreichende Auswirkungen sowohl für Verbraucher als auch für Unternehmen, weshalb die landesweite Diskussion über die Sicherheit von Verbraucherdaten und den Schutz der Privatsphäre eine Welle von Aktionen an beiden Küsten der USA ausgelöst hat.

Im März 2020 wird der New York Stop Hacks and Improve Electronic Data Security Act (NY SHIELD) in Kraft treten. Der NY SHIELD Act ist breiter angelegt und betrifft jedes Unternehmen, das Kunden in New York hat, unabhängig davon, ob das Unternehmen in einem anderen Bundesstaat oder einem anderen Land ansässig ist. Im Wesentlichen müssen alle mittleren und großen Unternehmen, die auch nur einen Kunden in New York haben, diese neue Richtlinie umsetzen.

"Das New Yorker Gesetz schreibt die Implementierung eines Datensicherheitsprogramms vor, das Maßnahmen wie Risikobewertungen, Mitarbeiterschulungen und die Planung und Prüfung von Reaktionen auf Vorfälle umfasst", sagte Brian Cesaratto, der in der National Law Review berät. "Unternehmen sollten sofort mit dem Prozess beginnen, um die Anforderungen des Gesetzes ab dem 21. März 2020 zu erfüllen."

Beide Gesetze ähneln sich insofern, als sie Geldstrafen verhängen können, wenn Unternehmen ihre Daten nicht schützen und wenn es zu Ereignissen wie Datenschutzverletzungen kommt. Im Falle des CCPA kann ein Unternehmen, das eine angebliche Nichteinhaltung nicht innerhalb von 30 Tagen nach der Benachrichtigung durch den Staat behebt, als Verstoß betrachtet und mit einer zivilrechtlichen Strafe von bis zu 7.500 US-Dollar pro Verstoß belegt werden. Jedes in Kalifornien tätige Unternehmen, das die Bestimmungen des CCPA nicht einhält, kann mit einem zivilrechtlichen Schadenersatz von bis zu 750 US-Dollar pro Verstoß und Nutzer rechnen.

Darüber hinaus sind die Unternehmen dadurch potenziellen Klagen von Verbrauchern ausgesetzt. Im Rahmen des NY SHIELD Act kann der Generalstaatsanwalt des Bundesstaates New York bei Verstößen eines Unternehmens bis zu 250.000 $ verlangen. Es ist klar, dass diese Vorschriften erhebliche materielle Auswirkungen auf Unternehmen haben können! Es ist wahrscheinlich, dass sich ähnliche Gesetze auf bundesstaatlicher Ebene weiter ausbreiten werden, und es besteht immer die Möglichkeit, dass die USA ein landesweites, bundesweites Gesetz ähnlich der GDPR verabschieden werden.

Da die Staaten immer mehr Einfluss darauf nehmen, wie Unternehmen Verbraucherdaten schützen, ist ein intelligentes Datenmanagement im Hinblick auf Wettbewerbsvorteile und potenzielle Risiken kein "Nice-to-have", sondern ein absolutes Muss.

Wie können Unternehmen das Datenschutzrecht einhalten?

Führen Sie eine Inhaltsinventur durch: Bei jeder Inhaltsinitiative ist es wichtig, den Umfang der relevanten Unternehmensdaten zu verstehen. Welche Repositories verwaltet das Unternehmen, was ist der Geschäftszweck der Daten, wie lange werden sie aufbewahrt, welche Kontrollen regeln den Zugriff und die Sicherheit und wer verbraucht und nutzt diese Daten?

Diese Empfehlung wird von Shahryar Shaghaghi, einem CCPA-Experten bei CohnReznick Advisory, unterstützt, der notes , "Um CCPA-konform zu sein, müssen Sie eine Datenzuordnung vornehmen, damit Sie sehen können, woher Sie Ihre Daten bekommen und wohin sie gehen. Und wenn ein Kunde die Löschung seiner Daten verlangt, müssen Sie innerhalb einer bestimmten Zeitspanne darauf reagieren, also müssen Sie in der Lage sein, zu verstehen, welche Daten Sie haben und wie Sie sie löschen."

Oberflächlich betrachtet scheint dies eine sehr einfache Aufgabe zu sein, aber wenn man mit Organisationen jeder Größe zusammenarbeitet, gibt es immer wieder Überraschungen!

Nutzen Sie bereits vorhandene E-Discovery-Praktiken und -Technologien: Die Anwendungsfälle der Datensicherheit und des Datenschutzes, einschließlich GDPR, haben einige Ähnlichkeiten mit der E-Discovery, bei der relevante Inhalte identifiziert werden müssen, die sich oft auf eine Person oder eine Transaktion beziehen und deren Umfang schwer zu erahnen ist. Die Verfeinerung der Suchergebnisse, die Beschränkung auf das Wesentliche und die Überprüfung sind Teil der Gleichung.

Hinzu kommt, dass dies oft vor dem Hintergrund großer Mengen digitaler Daten und zeitlicher Beschränkungen geschieht. Die Nutzung eines Unternehmensarchivs, das geschäftskritische Daten enthalten, deduplizieren, schützen und aufbewahren kann, ist die Grundlage für die Bemühungen um den Schutz der Privatsphäre; der Einsatz einer Fallprüfungsanwendung zur Durchführung intensiver Suchvorgänge, zur Anwendung rechtlicher Sperrfristen und zur Durchführung von Extrakten/Exporten ist die nächste Stufe. Dies sind nur die technischen Grundlagen und sollten der einfache Teil sein. Eine gute Information Governance erfordert auch die notwendigen Menschen, die Zusammenarbeit und die entsprechenden Prozesse (z. B. die Durchsetzung von Aufbewahrungsrichtlinien), um langfristig erfolgreich zu sein, nicht nur von Fall zu Fall.

Geplante Datenminimierung: Es gibt so viele Gründe, sich für ein strenges Aufbewahrungsmanagement zu entscheiden. Alles für immer aufzubewahren ist eine Strategie, aber zunehmend keine gute. Die Datenschutzgesetze werden Unternehmen dazu bringen, sich zu fragen, warum sie Informationen aufbewahren und zu welchem Zweck. Je größer die Oberfläche ist, desto größer ist das Risiko eines Verstoßes und damit verbunden auch die Möglichkeit, dass Daten bei Rechtsstreitigkeiten und anderen Ereignissen aufgedeckt werden. Das soll nicht heißen, dass es keinen Grund für eine längere Aufbewahrung von Geschäftsdaten gibt, aber Unternehmen sollten sich darüber im Klaren sein, dass die Frage "Warum?" - "für den Fall, dass ich sie brauche" - angesichts des potenziellen finanziellen, reputationsbezogenen und rechtlichen Risikos keine ausreichende Antwort ist. Gehen Sie bei den Aufbewahrungsrichtlinien systematisch vor - arbeiten Sie bei Bedarf zusammen, um sie zu erstellen, stellen Sie sicher, dass sie konsequent angewendet werden, und wählen Sie die richtige Archivierungstechnologie, um sie durchzusetzen.

In der nächsten Folge zum Thema Datenschutz werden wir untersuchen, wie ein ganzheitliches Cybersicherheitsprogramm dazu beitragen kann, die neue Welle der Datensicherheit und des Datenschutzes zu bewältigen.