10 Prognosen zum Datenschutz für 2020
In den letzten zwei Jahren wurden die Unternehmen in eine schwindelerregende neue Welt katapultiert, mit Erwartungen und Anforderungen an den Datenschutz, die noch vor zwei Jahren undenkbar waren.
Sobald das Gesetz in der Europäischen Union mit der Allgemeinen Datenschutzverordnung (GDPR), die am 25. Mai 2018 in Kraft getreten ist, in Kraft getreten ist, ist Kalifornien mit seinem California Consumer Privacy Act (CCPA), der am 1. Januar 2020 in Kraft getreten ist, ins Rampenlicht gerückt.
Der CCPA ist das erste Datenschutzgesetz des Landes, das den Verbrauchern weitreichende Rechte einräumt, um die von Unternehmen über sie erhobenen personenbezogenen Daten zu kontrollieren (und in einigen Fällen zu löschen). Seitdem haben eine Reihe von Staaten nachgezogen, indem sie CCPA-ähnliche Datenschutzgesetze verabschiedet oder vorgeschlagen haben, die den Verbrauchern zumindest einige Rechte über ihre Daten einräumen.
Wenn alle derzeit erwogenen Datenschutzgesetze der Bundesstaaten in Kraft treten, werden 34 % der in den Vereinigten Staaten lebenden Menschen zumindest gewisse Rechte zur Kontrolle ihrer Daten haben.
10 Prognosen zum Datenschutz für das kommende Jahr...
Und es ist noch nicht vorbei: 2020 wird es weitere Veränderungen in rasantem Tempo geben. Einige dieser Veränderungen werden durch die Nachfrage der Verbraucher vorangetrieben, andere durch den Wettbewerb der Unternehmen und wieder andere durch gesetzliche Vorgaben. Hier sind 10 Vorhersagen, wohin sich der Datenschutz im Jahr 2020 entwickeln wird:
Weitere länderspezifische Datenschutzgesetze
Weitere Staaten werden dem Beispiel Kaliforniens folgen und Datenschutzgesetze erlassen, die dem CCPA ähneln, aber einige lokale Unterschiede aufweisen. Für Unternehmen, die in mehreren Bundesstaaten tätig sind, wird es schwierig werden, all die bundesstaatlichen Anforderungen zu erfüllen. Die Nachfrage nach Datenschutzexperten und umfassenden Compliance-Programmen wird steigen.
Freiwillige Einhaltung des CCPA als Wettbewerbsvorteil
Auch Unternehmen, die dem CCPA nicht strikt unterliegen, werden beginnen, einige seiner Grundsätze freiwillig einzuhalten, wie z. B. Transparenz bei der Datenerfassung und -nutzung und die Möglichkeit für Kunden, bestimmte Informationen, die das Unternehmen über sie erfasst hat, zu erfahren und zu löschen. Die Unternehmen werden Transparenz und Datenschutz nicht mehr als Belastung für die Einhaltung der Vorschriften betrachten, sondern als Wettbewerbsvorteil.
Eine verfassungsrechtliche Anfechtung steht an
Das CCPA wird verfassungsrechtlich angefochten werden. Die Gegner werden argumentieren, dass das Gesetz gegen die ruhende Handelsklausel der Verfassung der Vereinigten Staaten verstößt, weil der CCPA den zwischenstaatlichen Handel ohne Zustimmung des Kongresses übermäßig belastet.
Diese Anfechtung wird höchstwahrscheinlich scheitern. Das CCPA behandelt wirtschaftliche Interessen innerhalb und außerhalb des Bundesstaates nicht unterschiedlich und in einer Weise, die kalifornische Unternehmen begünstigt und Unternehmen außerhalb des Bundesstaates belastet. Vielmehr erlegt das CCPA allen Unternehmen, die die Schwellenanforderungen des CCPA erfüllen, Verpflichtungen auf.
Endlich ein Bundesgesetz zum Schutz der Privatsphäre?
Als Reaktion auf die zunehmenden Forderungen nach nationaler Einheitlichkeit wird der Kongress weiter an einem Bundesgesetz zum Datenschutz arbeiten, das die Grundsätze des CCPA einbeziehen wird. Präemption und ein privates Klagerecht werden weiterhin heftig umstritten sein und die ansonsten einfache Verabschiedung eines Bundesgesetzes zum Datenschutz verzögern.
Ein Bundesgesetz zum Schutz der Privatsphäre wird es 2020 nicht geben (vor allem, weil die führenden Politiker im Kongress zunächst mit dem Amtsenthebungsverfahren und dann mit den Wahlen 2020 beschäftigt sein werden), aber vielleicht 2021 oder 2022.
Der CCPA 2.0 wird geboren
Das kalifornische Datenschutzrecht wird sich weiterentwickeln. Die neue kalifornische Datenschutzinitiative von Alastair Mactaggart, der California Privacy Enforcement Act (CPEA), wird im November 2020 zur Abstimmung stehen, und sie wird angenommen werden. Diese Entwicklung wird die Notwendigkeit einer nationalen Vereinheitlichung und eines bundesweiten Vorrangs verstärken.
Der Generalstaatsanwalt im Visier
Unternehmen im ganzen Land werden das Büro des kalifornischen Generalstaatsanwalts beobachten, um zu sehen, wie schnell es das CCPA durchsetzt, wer ins Fadenkreuz des Generalstaatsanwalts gerät und wie streng die Sanktionen ausfallen werden. Im Dezember 2019 kündigte Generalstaatsanwalt Xavier Becerra an, dass sein Büro bei Unternehmen, die nicht ordnungsgemäß arbeiten, "ein Exempel statuieren wird, um zu zeigen, dass dies mit Ihnen passieren wird, wenn Sie es nicht richtig machen."
Obwohl der Generalstaatsanwalt nicht vor dem 1. Juli 2020 mit Durchsetzungsmaßnahmen beginnen wird, können Ordnungsmaßnahmen und Bußgelder in Höhe von 2.500 bis 7.500 US-Dollar für Verhaltensweisen verhängt werden, die bereits im Januar 2020 stattgefunden haben.
Sammelklagen und erhöhte Sicherheit
Da das kalifornische Gesetz zum Schutz der Privatsphäre der Verbraucher das erste Gesetz des Landes ist, das einen gesetzlichen Schadensersatz bei Datenschutzverletzungen vorsieht, werden zwei Dinge geschehen. Erstens wird Kalifornien zu einem Hotspot für Sammelklagen wegen Datenschutzverletzungen. Zweitens werden Unternehmen erheblich mehr Ressourcen in die Sicherheitsinfrastruktur, Verschlüsselung, Technologie und Schulung investieren, um sicherzustellen, dass sie über solide (nicht nur "angemessene") Sicherheitsverfahren und -praktiken verfügen.
"Lösch mich"-Apps
Da der CCPA es den Verbrauchern erlaubt, "Bevollmächtigte" zu benennen, die in ihrem Namen auf Daten zugreifen und diese löschen können, werden App-Hersteller Apps entwickeln, mit denen die Verbraucher die App ermächtigen können, in ihrem Namen Löschanträge an Hunderte von Einzelhandelsgeschäften, Websites, Online-Betreibern, Social-Media-Plattformen und anderen Einrichtungen mit einer einzigen Schaltfläche "Senden" zu übermitteln.
Dies wird eine Heimindustrie für App-Entwickler schaffen und für Unternehmen wird es mühsam sein, darauf zu reagieren, da viele Verbraucher möglicherweise nicht einmal ein Konto bei dem Einzelhändler oder der Website haben. Und dennoch wird das CCPA von den Unternehmen verlangen, den Erhalt der Anfrage zu bestätigen, nach entsprechenden Daten zu suchen und schließlich die Anfrage abzulehnen, weil es keine Daten zu löschen gibt.
Manuelle Antworten werden durch automatisierte Prozesse ersetzt
Unternehmen werden weiterhin versuchen, manuell auf Anfragen von Verbrauchern zum Zugriff und zur Löschung von Daten zu reagieren, aber für einige Unternehmen und Branchen wird dieser Aufwand zu zeitaufwändig und fehleranfällig sein. Die Unternehmen werden die Vorteile automatisierter, skalierbarer Antwortprogramme erkennen und einen Anreiz haben, für die Zukunft vorzusorgen.
ADA-Konformität der Website
Im Rahmen ihrer Bemühungen um die Einhaltung der Datenschutzbestimmungen werden sich die Unternehmen auch darauf konzentrieren, ihre Websites für Menschen mit Behinderungen zugänglich zu machen. Das CCPA schreibt vor, dass Unternehmen die vorgeschriebenen Hinweise und ihre Datenschutzrichtlinien auf ihren Websites so veröffentlichen, dass sie für Verbraucher mit Behinderungen zugänglich sind. Es nützt jedoch nicht viel, wenn die Datenschutzrichtlinie zugänglich ist, der Rest der Website jedoch nicht.
Mehrere Berufungsgerichte in den Vereinigten Staaten haben inzwischen entschieden, dass Websites, die eine Verbindung zu einem physischen Ort der Unterbringung haben, mit Titel II des Americans with Disabilities Act übereinstimmen müssen. In Kalifornien sind Verstöße gegen das ADA auch Verstöße gegen das kalifornische Unruh-Bürgerrechtsgesetz, das es Klägern ermöglicht, Schadensersatz in Höhe des dreifachen tatsächlichen Schadens, mindestens jedoch 4.000 Dollar pro Verstoß, sowie Anwaltsgebühren zu verlangen. (Derzeit gibt es keine gesetzliche Vorschrift für die Zugänglichkeit von Webseiten, aber die Web Content Accessibility Guidelines ("WCAG") 2.1 Stufe AA werden von den Gerichten häufig als angemessener Standard herangezogen).
