Haben Sie diese 3 entscheidenden CCPA-Compliance-Herausforderungen erfüllt?

In Regionen, Ländern und sogar einzelnen Staaten weltweit entstehen immer mehr Datenschutzvorschriften. Die nächste Herausforderung für viele GRC-Experten? Die Einhaltung des CCPA.

2018 erließ Kalifornien sein eigenes umfassendes Datenschutzgesetz, den California Consumer Privacy Act (CCPA), das am 1. Januar 2020 in Kraft treten wird. Als fünftgrößte Volkswirtschaft der Welt ist Kalifornien für viele Vermarkter nicht zu ignorieren. Die Einhaltung des CCPA ist daher obligatorisch, wenn sie weiterhin die Reichtümer des Golden State nutzen wollen.

Das CCPA wurde entworfen, um die Rechte der Verbraucher zu schützen und für mehr Transparenz und Schutz der Privatsphäre zu sorgen, wenn es um ihre persönlichen Daten geht. Die Kalifornier haben nun das Recht zu erfahren welche persönliche Daten gesammelt werden, ob sie weitergegeben werden, an wen mit wem sie geteilt werden, und können abwählen gegen den Verkauf ihrer Daten entscheiden.

Sie werden auch das Recht haben, selbst auf die Daten zuzugreifen und deren Löschung zu verlangen. Unternehmen dürfen personenbezogene Daten von Verbrauchern im Alter von 13 bis 16 Jahren nur verkaufen, wenn diese zugestimmt haben, und die Eltern oder Erziehungsberechtigten müssen dem Verkauf von Daten von Jugendlichen unter 13 Jahren zustimmen.

Kein Zwilling der GDPR

Ein wesentlicher Unterschied zwischen der EU-Datenschutz-Grundverordnung(GDPR) und dem CCPA liegt jedoch im Bereich der Einwilligung: Das kalifornische Gesetz erfordert nicht Das kalifornische Gesetz erfordert keine Zustimmung des Nutzers, um die Daten überhaupt zu sammeln oder zu verarbeiten. Ein Unternehmen kann genauso wie vor dem CCPA Daten sammeln, muss den Verbrauchern aber die Möglichkeit geben, sich dagegen zu entscheiden.

Die Datenschutz-Grundverordnung hingegen, fordert ausdrückliche Zustimmung von den Verbrauchern oder von dem Ort, an dem die Daten gesammelt werden, und die Unternehmen müssen die gesamte Kette der Zustimmung sorgfältig dokumentieren.

Es gibt noch weitere Unterschiede zwischen den beiden Gesetzen: Das CCPA gilt für Personen mit Wohnsitz in Kalifornien, während sich die DSGVO auf "betroffene Personen in der EU" bezieht, ohne den Wohnsitz oder die Staatsangehörigkeit zu nennen. Das CCPA schützt auch Daten, die mit bestimmten Haushalten verbunden sind ; die DSGVO gilt nur für Einzelpersonen.

Außerdem gilt die DSGVO für jedes Unternehmen, das die Daten dieser "betroffenen Personen" sammelt und verarbeitet, unabhängig von seinem Standort. Der CCPA besagt, dass seine Zuständigkeit nur für Unternehmen gilt, die "in Kalifornien geschäftlich tätig sind", enthält aber keine weitere Definition.

Und während die Datenschutz-Grundverordnung für alle Unternehmen gilt, sowohl für öffentliche als auch für private, beschränkt sich der CCPA auf gewinnorientierte Firmen, die mehr als 25 Millionen Dollar pro Jahr umsetzen, mit den personenbezogenen Daten von 50.000 oder mehr Verbrauchern umgehen und die Hälfte ihrer Einnahmen aus dem Verkauf dieser Daten erzielen. Die Einzelheiten des CCPA können sich bis zum Inkrafttreten des Gesetzes noch ändern. Es gibt mehrere Änderungsanträge, die sich ihren Weg durch die kalifornische Legislative bahnen und sich auf verschiedene Aspekte der endgültigen Vorschriften auswirken könnten.

Die Einhaltung des CCPA kann ein Wettbewerbsvorteil sein

Sowohl die GDPR als auch die CCPA Sichtbarkeit für den Verbraucher freischalten in die personenbezogenen Daten, die von den Unternehmen gespeichert werden, die sie gesammelt haben. Diese Unternehmen müssen nicht nur diesen Zugang gewähren, sondern auch genau angeben, was sie mit den Daten tun.

Die Bereitstellung dieser Transparenz als Teil der CCPA-Compliance muss jedoch nicht unbedingt ein Nachteil für die Unternehmen sein. Sie könnte sich sogar als das genaue Gegenteil erweisen. Untersuchungen, die nach der Einführung der DSGVO durchgeführt wurden, ergaben, dass sich 62 % der britischen Verbraucher wohler fühlen, wenn sie ihre personenbezogenen Daten weitergeben, nachdem die Verordnung in Kraft getreten ist. Indem sie zeigen, dass sie die Vorschriften einhalten, können die Unternehmen dem seismischen Wandel in der Einstellung der Verbraucher zuvorkommen, wo Transparenz das Vertrauen stärkt.

Drei Herausforderungen auf dem Weg zur CCPA-Konformität

Für GRC-Fachleute und Datenschutzbeauftragte in Unternehmen, die weiterhin in Kalifornien "Geschäfte machen" wollen, gibt es also drei Herausforderungen, die sie angehen müssen. Und zwar ziemlich schnell.

Ermittlung des Bedarfs an Compliance

Vor allem muss ein Unternehmen feststellen, ob es tatsächlich in den Geltungsbereich der Datenschutz-Grundverordnung fällt oder nicht. Als die DSGVO zum ersten Mal angekündigt wurde, dachten viele Nicht-EU-Unternehmen, dass sie nicht in ihren Geltungsbereich fallen: "Wir sind nicht in der EU ansässig oder haben dort ein Vertriebs- oder Marketingbüro. Also sind wir ausgenommen." Das war ein Irrtum, der sich zum Glück nicht in Geldstrafen oder anderen Sanktionen für die Nichteinhaltung der Vorschriften niedergeschlagen hat - noch nicht.

Im Falle des CCPA machen es die angegebenen Richtlinien zur Unternehmensgröße und der Menge der von ihnen verarbeiteten Daten einigen Unternehmen leichter zu erkennen, ob sie die Vorschriften einhalten sollten oder nicht. Es gibt jedoch einige Feinheiten des Gesetzes, die einem Unternehmen zum Verhängnis werden können, wenn es nicht darauf achtet, wie sein Marketingteam, seine externen Agenturen und Anbieter sowie die Praktiken zur Einbindung der Verbraucher Daten sammeln.

Zum Beispiel? In seiner derzeitigen Fassung schützt der CCPA die Daten von Einwohner Kaliforniensund seine Regeln gelten auch dann, wenn sie sich außerhalb der Staatsgrenze befinden. Auch wenn Sie also eine mobile Website geschickt mit einem Geofencing versehen haben, so dass sie nur dann Daten von einem Einwohner von Los Angeles erfasst, wenn er/sie sich auf einer Reise nach Vegas oder New York befindet, verstoßen Sie immer noch gegen das Gesetz.

Das bedeutet, dass Sie alle Kampagnen, Websites, sozialen Kanäle und anderen Tools im Bestand Ihres Unternehmens überprüfen müssen, um zu verstehen, ob sie alle Anforderungen des CCPA erfüllen. Es bedeutet auch, die Einhaltung des CCPA in Ihre Geschäftsprozesse einzubetten - aber dazu mehr in einem späteren Beitrag.

Erste Schritte früh gestern

Wann sollte ein Unternehmen mit den ersten Schritten zur Einhaltung des CCPA beginnen? Die eigentliche Frage lautet: Warum hat es nicht schon längst damit begonnen?

Wie eine Führungskraft gegenüber CIO über die Vorbereitungen seines Unternehmens auf die GDPR: "Ich hätte bei den Daten das getan, was ich bei Agile und DevOps immer gepredigt habe. Ich wäre dem Problem zuvorgekommen, denn der einzige einfache Tag war gestern."

Die Komplexität, die mit der Einhaltung des CCPA verbunden ist, kann für einige Unternehmen genauso groß sein wie die, mit der sie vor der Einführung der Datenschutz-Grundverordnung konfrontiert waren. Zuvor hatten viele kein wirkliches Verständnis für die Feinheiten ihrer eigenen Systeme und Prozesse oder für die Schwierigkeiten, die damit verbunden sind, sie konform zu machen.

Die Herausforderung für die GRC-Verantwortlichen eines Unternehmens besteht also darin? Sie müssen die interne Trägheit überwinden, die die Bemühungen um die Einhaltung der Vorschriften verzögert. Ein Problem könnte darin bestehen, dass einige Stakeholder, die meinen, das Unternehmen erfülle die GDPR-Anforderungen, denken, es sei nur eine Frage des Umlegens von ein paar Schaltern, um die CCPA-Konformität zu erreichen. Aber man sollte ihnen zeigen, dass es nicht so einfach ist. Das Positive daran? Unternehmen können viele der 2017-18 gelernten Lektionen anwenden, um dieses Mal die richtigen Prozesse und Richtlinien einzuführen, damit sie für 2020 gerüstet sind.

Eine weitere Sorge? Nicht übermütig werden. Eine neue Umfrage ergab, dass 71 % der Fachleute aus den Bereichen Recht und Datenschutz der Meinung sind, dass sie in sieben Monaten auf die CCPA vorbereitet sein werden. Dieselbe Studie ergab jedoch, dass sie immer noch Schwierigkeiten haben, die Anforderungen der Datenschutz-Grundverordnung zu erfüllen, worauf wir weiter unten eingehen werden.

Agilität bei der Einhaltung von Datenschutzbestimmungen

Ein Unternehmen könnte versuchen, die Einhaltung des CCPA mit herkömmlichen Systemen und Verfahren zu erreichen. Es ist der Kampf der Titanic gegen den Eisberg, aber sie könnten möglicherweise eine Katastrophe vermeiden.

Das Problem ist, dass noch mehr Eisberge auf dem Weg sind.

Die GDPR war nur der Anfang, und der CCPA ist die Fortsetzung. Es gibt eine ganze Reihe neuer Datenschutzgesetze in den Bundesstaaten, die zum großen Teil darauf zurückzuführen sind, dass die Bundesregierung es nicht geschafft hat, ein umfassendes Regelwerk zu schaffen. Diese Gesetze sind in neun US-Bundesstaaten eingeführt worden . Sechs dieser Vorschläge orientieren sich an der CCPA, während die anderen weniger streng sind. In mindestens einem Fall zeigt WIRED jedoch auf, wie die CCPA in den Schatten gestellt wird:

Das New Yorker Datenschutzgesetz, das im vergangenen Monat von Senator Kevin Thomas eingebracht wurde, würde den Einwohnern dieses Bundesstaates mehr Kontrolle über ihre Daten geben als in jedem anderen Staat. Außerdem würde es Unternehmen dazu verpflichten, die Privatsphäre ihrer Kunden über ihre eigenen Gewinne zu stellen. 

Hinzu kommen die bereits in Kraft getretenen NYSDFS-Vorschriften, die die Einhaltung der Datensicherheit im Finanzdienstleistungssektor vorschreiben.

Für ein Unternehmen, das in mehreren Staaten (ganz zu schweigen von anderen Ländern) tätig ist, liegt die enorme Herausforderung auf der Hand: Wie kann es in diesem Flickenteppich von Vorschriften konform bleiben?

Die Bewältigung dieses Problems erfordert ein Maß an kultureller und technologischer Flexibilität und Raffinesse, das vielen dieser Unternehmen fremd sein mag. Dennoch müssen äußerst proaktive, flexible und zentral gesteuerte Compliance-Strukturen eingerichtet werden. Betriebliche Prozesse und Tools müssen auf einer DNA aus Legalität, Compliance und Richtlinienmanagement aufgebaut sein, die es einem Unternehmen ermöglicht, erfolgreich auf den Markt zu gehen, indem es sich effizient an jede einzelne Vorschrift anpasst. Das ist alles andere als unmöglich, wie jeder in der Versicherungsbranche bestätigen kann, und es gibt bereits Werkzeuge, um dies zu ermöglichen.

CCPA-Einhaltung: Vorbereitung auf das Kommende

Auf Gedeih und Verderb werden uns Datenschutzbedenken und entsprechende Gesetze bis in alle Ewigkeit begleiten . Das verdanken wir dem Wachstum der digitalen Medien, dem Internet der Dinge, der künstlichen Intelligenz und der damit verbundenen Notwendigkeit, personenbezogene Daten in einer Welt zu schützen, in der diese Daten zunehmend gefährdet sind.

GRC-Experten sollten jedoch Mut fassen: Wenn Sie heute die richtigen Systeme und eine entsprechende Kultur einrichten, um die CCPA-Vorschriften einzuhalten , schaffen Sie einen effizienten, dauerhaften und flexiblen Rahmen. Auf diesem Rahmen können Sie nicht nur für die nächste Runde von Vorschriften aufbauen, sondern auch für die Bewältigung aller neuen Datenschutzherausforderungen, die danach kommen.