Der California Consumer Privacy Act (CCPA) wurde ursprünglich im Juni 2018 verabschiedet und ist seit Januar 2020 in Kraft. Er regelt die Erhebung und den Verkauf von Verbraucherdaten durch Unternehmen und zielt darauf ab, die sensiblen personenbezogenen Daten der Einwohner Kaliforniens zu schützen und den Verbrauchern die Kontrolle über die Verwendung dieser Daten zu geben.
Der CCPA wurde 2023 durch den California Privacy Rights Act (CPRA) erweitert, der neue Compliance-Verpflichtungen hinzufügt, die strenge Vereinbarungen mit Dritten vorschreiben, um die sichere Erfassung, Verwendung und Entsorgung von Verbraucherinformationen zu gewährleisten. Der CPRA ist weitgehend identisch mit dem CCPA, sieht jedoch Folgendes vor:
- Fügt Inhalte hinzu, um sie besser an die Datenschutz-Grundverordnung (DSGVO) der EU anzupassen.
- Erhöht die Strafen für Verstöße
- Genehmigt die Gründung der California Privacy Protection Agency (Kalifornische Datenschutzbehörde)
Dieser Beitrag befasst sich mit den wichtigsten Anforderungen des CCPA, seinem Geltungsbereich und der Frage, wie Unternehmen sicherstellen können, dass ihre Drittanbieter die Daten ihrer Kunden schützen. Der Einfachheit halber werden in diesem Beitrag beide Vorschriften – CCPA und CPRA – als CCPA bezeichnet.
Wie definiert der CCPA personenbezogene Daten?
Beginnen wir mit der Definition von „personenbezogenen Daten“. Der CCPA definiert sensible personenbezogene Daten als „Informationen, die einen bestimmten Verbraucher oder Haushalt identifizieren, sich auf ihn beziehen, ihn beschreiben, vernünftigerweise mit ihm in Verbindung gebracht werden können oder vernünftigerweise direkt oder indirekt mit ihm in Verbindung gebracht werden könnten“.
Was verlangt der CCPA von Unternehmen (und ihren Drittanbietern)?
Der CCPA verpflichtet Unternehmen, Einwohner Kaliforniens vor der Erhebung von Daten über die erhobenen Daten zu informieren. Er ermöglicht Verbrauchern den Zugriff auf alle personenbezogenen Daten, die ein Unternehmen gespeichert hat, und den Erhalt von Informationen über Personen oder Organisationen, an die diese Daten weitergegeben wurden. Außerdem können Verbraucher widersprechen und verhindern, dass ihre personenbezogenen Daten verkauft oder an Dritte weitergegeben werden.
Für wen gilt der CCPA?
Obwohl es sich bei dem CCPA technisch gesehen um ein Gesetz des Bundesstaates Kalifornien handelt, reicht seine Wirkung weit über die Grenzen des Golden State hinaus. Die Aufsicht durch den CCPA beschränkt sich nicht nur auf Unternehmen mit Hauptsitz in Kalifornien oder sogar auf Unternehmen, die physisch in Kalifornien tätig sind – der CCPA gilt für Verbraucherdaten, die von allen Einwohnern Kaliforniens erfasst werden.
Angesichts der Tatsache, dass Kalifornien etwa 40 Millionen Einwohner hat und als eigenständiges Land die fünftgrößte Volkswirtschaft der Welt wäre, ist die Wahrscheinlichkeit groß, dass Ihr Unternehmen, wenn es Verbraucherdaten erfasst, auch Daten von Einwohnern Kaliforniens erfasst hat. Tatsächlich entscheiden sich viele Unternehmen dafür, jeden Verbraucher so zu behandeln, als wäre er Einwohner Kaliforniens, und bereiten sich daher in ihrem gesamten Unternehmen auf die Einhaltung des CCPA vor.
Was sind die Strafen für die Nichteinhaltung des CCPA?
Wenn ein Unternehmen gemäß dem CCPA für eine zivilrechtliche Strafe haftbar gemacht wird, kann die Strafe bis zu 7.500 US-Dollar pro vorsätzlichem Verstoß und 2.500 US-Dollar pro unbeabsichtigtem Verstoß betragen. Das Gericht kann außerdem einen gesetzlichen Schadensersatz für Verbraucher anordnen.
Checkliste: Vier wichtige CCPA-Konformitätsanforderungen für Dritte
[Abschnitt 1798.100 des CCPA](https://leginfo.legislature.ca.gov/faces/codes_displaySection.xhtml?lawCode=CIV§ionNum=1798.100.) besagt, dass ein Unternehmen, das personenbezogene Daten von Verbrauchern erfasst und an Dritte verkauft oder weitergibt, mit diesen Dritten eine Vereinbarung schließen muss, die „den Dritten, Dienstleister oder Auftragnehmer zur Einhaltung“ der Datenschutzbestimmungen des CCPA verpflichtet. Unternehmen sollten daher sicherstellen, dass ihre externen Partner und Dienstleister gut auf den Schutz von Verbraucherdaten vorbereitet sind. Der erste Schritt eines jeden Sicherheitsprogramms besteht darin, bestehende Risiken durch eine gründliche Sicherheitsbewertung zu identifizieren und zu priorisieren. CCPA Abschnitt 1798.185 (15) besagt, dass „Unternehmen, deren Verarbeitung der personenbezogenen Daten von Verbrauchern ein erhebliches Risiko für die Privatsphäre oder Sicherheit der Verbraucher darstellt“, jährliche Cybersicherheitsaudits durchführen und der California Privacy Protection Agency eine Risikobewertung vorlegen müssen. Zu den spezifischen Bestimmungen des CCPA, die Organisationen prüfen sollten, gehören:
| 1798.81.5 (b), Umsetzung und Aufrechterhaltung angemessener Sicherheitsverfahren und -praktiken | Bei jeder regulatorischen Norm müssen Unternehmen sicherstellen, dass sie die richtigen Risiken messen und die richtigen Kontrollen anwenden. Im Falle des CCPA könnte dies bedeuten, dass die Critical Security Controls des Center for Internet Security (CIS) als Rahmenwerk herangezogen werden.
Suchen Sie nach einer Lösung, die nicht nur die Datenschutzkontrollen von Drittanbietern bewertet, sondern auch umfassendere Risiken von Drittanbietern anhand einer großen Bibliothek von durch Auditoren genehmigten Bewertungen. |
| 1798.100 (d), eine Vereinbarung abschließen, die den Dritten zur Einhaltung der geltenden Verpflichtungen verpflichtet | Prevalent zentralisiert die Verteilung, Diskussion, Speicherung und Überprüfung von Lieferantenverträge, einschließlich Workflow-Funktionen zur Automatisierung des Vertragslebenszyklus vom Onboarding bis zum Offboarding.
Mit Prevalent verfügen Beschaffungs- und Rechtsteams über eine einzige Lösung zur Durchsetzung von Lieferantenvertragsbestimmungen und KPIs und vereinfachen die Verwaltung und Überprüfung. |
| 1798.140 (c), fortlaufende manuelle Überprüfungen und automatisierte Scans sowie regelmäßige Bewertungen und Audits | Um Reputations- und Betriebsrisiken sowie Betriebsstörungen zu vermeiden, sollten Unternehmen sicherstellen, dass ihre Partner und Dritte angemessene Sicherheitsmaßnahmen einhalten. Der Versuch, Bewertungen von Dritten mithilfe manueller Fragebögen und Tabellen durchzuführen, ist jedoch inkonsequent und nicht skalierbar.
Suchen Sie nach Risikomanagement-Plattformen von Drittanbietern, die regelmäßige Bewertungen automatisieren und eine kontinuierliche Überwachung bieten, um einen vollständigen Überblick über die Risiken eines Anbieters zu erhalten. |
| 1798.185 (a) jährlich ein Cybersicherheitsaudit durchführen; und (b) der CCPA regelmäßig eine Risikobewertung vorlegen. | Die meisten Risikobewertungsumfragen konzentrieren sich auf allgemeine Kontrollen und Richtlinien. Die Einhaltung des CCPA erfordert ein technisches Verständnis der Datenverarbeitung – insbesondere der CIS Critical Security Controls, die als Rahmenwerk zur Gewährleistung einer angemessenen Datensicherheit empfohlen werden.
Suchen Sie nach Lösungen, die die Antworten von Drittanbieter-Bewertungen den CIS Critical Security Controls zuordnen, um eine vollständige Abdeckung der CCPA zu gewährleisten und um richtig konzipierte Systeme von „nachgerüsteten“ Sicherheits- und Datenschutzfunktionen zu unterscheiden, damit eine vollständige Compliance sichergestellt ist. Achten Sie auf eine effektive Berichterstattung, um die Audit- und Compliance-Anforderungen der CCPA zu erfüllen und die Ergebnisse dem Vorstand und der Geschäftsleitung zu präsentieren. |
Erst wenn Ihr Unternehmen die Dritten identifiziert hat, an die Sie Verbraucherdaten verkaufen, können Sie Maßnahmen zur Einhaltung des CCPA ergreifen, z. B. die Aktualisierung Ihrer rechtlichen Vereinbarungen mit Dritten oder die Einrichtung von Kommunikationskanälen für den Fall einer Verletzung. Im Rahmen dieses Prozesses sollten Sie dann Ihre Ermittlung aufvierte und weitere Parteien ausweiten. Durch die Identifizierung der Beziehungen zwischen Ihrem Unternehmen und Dritten sowie deren Dritten werden Abhängigkeiten aufgedeckt und Informationspfade visualisiert, was den Berichtsprozess erheblich vereinfacht.
Wie Prevalent helfen kann
Prevalent bietet Unternehmen eine umfassende Lösung zur Verwaltung ihrer Beziehungen zu Drittanbietern im Hinblick auf die Einhaltung des CCPA. Unsere Plattform für das Risikomanagement von Drittanbietern erleichtert Ihnen folgende Aufgaben:
- Entdecken und kartieren Sie Daten zwischen Beziehungen von Dritten,Vierten
und Nten Parteien. - Durchführung von Selbstbewertungen, um den Reifegrad der internen Prozesse und der Dateneigentümer zu verstehen
- Bewertung der Datenschutzkontrollen bei Dritten
- Automatisieren Sie die Reaktion auf Risiken, wenn die Antworten von Dritten nicht den Erwartungen entsprechen.
- Bericht zur Einhaltung des CCPA mit integrierter Berichterstellung
- Erhalten Sie automatische Benachrichtigungen über Datenschutzverletzungen, um mögliche Risiken für die Daten Ihrer Kunden zu erkennen.
- Zentralisieren Sie die Verteilung, Besprechung, Aufbewahrung und Überprüfung von Lieferantenverträgen.
Weitere Informationen darüber, wie Prevalent Unternehmen bei der Bewertung ihrer Datensicherheitskontrollen durch Dritte zur Einhaltung der CCPA-Anforderungen unterstützen kann, finden Sie im Whitepaper „The CCPA Third-Party Compliance Checklist“ (Checkliste zur Einhaltung der CCPA-Vorschriften durch Dritte) oder fordern Sie noch heute eine Demo an. Um zu erfahren, wie das Risikomanagement durch Dritte auf andere Datenschutzbestimmungen angewendet wird, laden Sie das Handbuch „The Third-Party Compliance Handbook: Data Privacy Regulations“(Handbuch zur Einhaltung der Vorschriften durch Dritte: Datenschutzbestimmungen) herunter.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich auf Prevalent.net veröffentlicht. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
