Ab Juli wird das kalifornische Gesetz zum Schutz der Privatsphäre der Verbraucher in Kraft treten. Wird darauf bald eine Flut von Rechtsstreitigkeiten folgen? Und wie können Unternehmen vermeiden, darin verwickelt zu werden?
Das CCPA hat im Laufe der Zeit mehr als nur eine Reihe von Änderungen und Ergänzungen erfahren. Eine Sache, die sich als felsenfest erwiesen hat, ist die Tatsache, dass die kalifornische Staatsanwaltschaft bei der Durchsetzung des Gesetzes nicht nachlassen wird, selbst wenn es durch COVID-19 zu Störungen kommt:
"Im Moment sind wir entschlossen, das Gesetz nach Fertigstellung der Vorschriften oder am 1. Juli durchzusetzen, je nachdem, was zuerst eintritt. Wir sind uns alle der neuen Realität bewusst, die durch COVID-19 geschaffen wurde, und dem damit verbundenen erhöhten Wert des Schutzes der Privatsphäre der Verbraucher im Internet."
Die Änderungen, die am CCPA vorgenommen wurden, und die anderen Vorschriften, die in verschiedenen Regionen, Nationen und Bundesstaaten auftauchen oder vorgeschlagen werden, unterstreichen nur die sich verändernde Natur der Datenschutzlandschaft. Bemühungen wie die der Uniform Law Commission zielen auf eine kohärente Vereinheitlichung der US-amerikanischen Datenschutzgesetze ab, aber es ist nur eine Frage der Zeit, wann dies der Fall sein wird.
Fünf wichtige Fakten über die neue Realität des Datenschutzes
Und in der Zwischenzeit? Mit dem Inkrafttreten des CCPA wird die Einhaltung der Datenschutzbestimmungen für Hunderttausende von Unternehmen, die mit Kaliforniern Handel treiben, zur dringenden Realität.
Es wird oft darauf hingewiesen, dass "Regulierung zu Rechtsstreitigkeiten führt", vor allem, wenn ein neues Gesetz den Klägern das Recht gibt, gegen Unternehmen, die gegen das Gesetz verstoßen haben, Schadenersatz zu fordern. Mit dem CCPA wird das nicht anders sein, denn es könnte einen regelrechten neuen kalifornischen Goldrausch geben, wenn aggressive Kläger Klagen einreichen. Einige haben sich nicht die Mühe gemacht, auf den Beginn der Durchsetzung zu warten.
Es gibt fünf Schlüsselfaktoren, die Rechtsabteilungen und Risiko- und Compliance-Teams in Unternehmen jetzt akzeptieren müssen - und die sie als Leitfaden für ihr Handeln nutzen können, wenn wir dieses unerforschte Neuland betreten:
Seien Sie auf die bevorstehenden Veränderungen vorbereitet
Die Durchsetzung des CCPA ist eine Gewissheit, aber die künftige Einführung anderer Datenschutzvorschriften in anderen Regionen und Sektoren ist ebenso sicher. Selbst dort, wo bereits strenge Vorschriften gelten? Es besteht die Möglichkeit, dass neue Beschränkungen eingeführt werden.
So schlagen die Befürworter des CCPA jetzt einen California Privacy Rights Act (CPRA) vor, der die Rechte der Verbraucher stärken und die Risiken für Unternehmen noch weiter erhöhen würde . Daher ist es wichtig, dass Sie sich über Ihre Verpflichtungen nach geltendem Recht im Klaren sind und mögliche Änderungen oder neue Rechtsvorschriften im Blick haben.
Um sich den bevorstehenden Veränderungen stellen zu können, müssen die Unternehmen zunächst anerkennen, dass dies die neue Realität der Wirtschaft ist. Dann müssen sie bereit sein, die Data-Governance-Rahmenwerke und -Tools zu übernehmen, die ihnen die Flexibilität und Agilität geben, die sie zur Einhaltung der Vorschriften benötigen. Nur dann werden sie in der Lage sein, nicht nur mit mehr Vorschriften auf mehr Märkten zurechtzukommen, sondern auch mit der Tatsache, dass diese Vorschriften fließend sind und einer ständigen Überprüfung und Änderung unterliegen.
Die Pandemie hat den Datenschutz verschärft
Wie wir bereits erwähnt haben, sind die Aufsichtsbehörden im Großen und Ganzen nicht bereit, bei der Durchsetzung des Datenschutzes vom Gas zu gehen, nur weil eine öffentliche Gesundheitskrise ungeahnten Ausmaßes herrscht. Vielmehr werden fast täglich neue Forderungen nach mehr Datenschutzvorschriften laut, die sich aus der Pandemie ergeben haben.
Wie viele Amerikaner haben vor ein paar Monaten noch Zoom benutzt? Aber jetzt gibt es immer mehr Klagen und andere rechtliche Drohungen die aus der angeblichen Unfähigkeit der Plattform resultieren, ein Rückgrat der Telearbeit zu werden. Dazu gehört natürlich auch die Forderung nach neuen Vorschriften für Dienste wie Zoom.
Der Einsatz von Technologien wie KI zur Eindämmung des Virus hat Bedenken hinsichtlich des Datenschutzes und des Umgangs mit Daten in anderen Bereichen des Gesundheitswesens geweckt. Es gibt bereits Gesetzesentwürfe auf Bundesebene, die unter anderem die Weitergabe von Daten an die Regierung einschränken sollen.
Operative Prozesse sind jetzt ein Risiko
Die Geschäftsprozesse, die für viele Unternehmen von grundlegender Bedeutung sind? Aus mehreren Gründen sind sie jetzt eine Risikoquelle für diese Unternehmen. Ein Risiko, das die Aufsichtsbehörden und private Prozessanwälte nur zu gerne ins Visier nehmen.
Zunächst einmal ist da die einfache Tatsache, dass diese Prozesse haben möglicherweise keine umgestaltet worden mit dem CCPA oder anderen Datenschutzbestimmungen in Einklang zu stehen. Warum würde ein Unternehmen dies nicht tun? Möglicherweise kennen sie die Vorschriften oder die Auswirkungen auf ihr Unternehmen nur unzureichend, oder sie haben einfach keine angemessenen Ressourcen für die Einhaltung der Vorschriften bereitgestellt - entweder, weil sie die Notwendigkeit nicht sahen, ihnen die Mittel fehlten oder sie dachten, ihre bestehenden Systeme und Prozesse seien "gut genug", um damit durchzukommen.
Aber die Komplexität der Einhaltung von Datenschutzbestimmungen kann für Unvorbereitete eine sehr tiefe, sehr gefährliche Falle darstellen. Zumal Gesetze wie das CCPA ein Unternehmen auch für die Fehler seiner Partner und Dritter im Umgang mit Daten haftbar machen. Unzureichende Aufsicht, manuelle und papiergestützte Prozesse und veraltete Datenspeicherungspraktiken sind ein Rezept für eine behördliche Abmahnung.
In einer Situation wie der COVID-19-Pandemie werden die Gefahren mangelhafter Datenschutzverfahren noch größer, wenn die Mitarbeiter aus der Ferne arbeiten. Auf welche personenbezogenen Daten über Kunden und Interessenten greifen sie bei ihrer Arbeit zu? Mit wem teilen sie sie? Auf welchen Geräten?
Um diese Prozesse konform zu machen, müssen einfach die richtigen Werkzeuge eingesetzt werden. Dies gilt insbesondere für die Automatisierung von Arbeitsabläufen, um veraltete und nicht konforme Prozesse durch automatisierte Versionen zu ersetzen, bei denen die CCPA-Konformität von Anfang an gegeben ist, selbst für Mitarbeiter an entfernten Standorten.
Eine frühzeitige Vorbereitung mindert diese Risiken
Ein proaktiver Ansatz bei der Einhaltung des CCPA oder anderer Datenschutzbestimmungen kann betriebliche Probleme, Rufschädigung und Gewinneinbußen durch spätere Strafen und Rechtsstreitigkeiten verhindern.
Einige der zu treffenden Maßnahmen? Implementierung eines Data-Governance-Rahmen ist ein wichtiger erster Schritt, wobei die Festlegung Ihrer Ziele für die Datennutzung eine wichtige Rolle spielt. Die Einrichtung eines solchen Rahmens erfordert das Engagement und die harte Arbeit einer breiten Palette von Interessengruppen in jeder Organisation, aber sie ist obligatorisch - und die langfristigen Ergebnisse sind es wert.
Dann müssen Sie herausfinden, welche Praktiken und Prozesse in Bezug auf das Datenschutzrisiko problematisch sein könnten. Von da an geht es um die Erkundung und Bewertung der verfügbaren Lösungen um diese Prozesse zu überarbeiten und sich die notwendige Flexibilität, Reaktionsfähigkeit, Transparenz und Kontrolle zu verschaffen, die für eine wirksame Einhaltung der Vorschriften erforderlich sind.
Die Kläger und Prozessparteien drohen
Werfen wir für einen Moment einen Blick über den Tellerrand des Datenschutzes hinaus und betrachten einen etwas etablierteren Bereich der Rechtsstreitigkeiten im Zusammenhang mit der Digitalisierung. Die Zahl der Klagen, die unter Titel III des Americans with Disabilities Act (ADA) eingereicht wurden, ist 2019 weiter gestiegen und hat mit mehr als 3.000 neuen Fällen zur Barrierefreiheit von Websites den Rekord des Vorjahres gebrochen. Dies ist eine Lehre, die Unternehmen, die mit der CCPA konfrontiert sind, nicht entgehen sollte: Auch hier bietet fast jede neue Vorschrift eine neue Möglichkeit für Kläger, die auf eine Hauptader stoßen wollen.
In der Tat wurden bereits Klagen gegen Unternehmen wie Salesforce, Ring und Clearview AI wegen angeblicher CCPA-Verstöße eingereicht. Und wie wir bereits erwähnt haben, wurden seit dem 30. März drei Sammelklagen gegen Zoom im Rahmen des CCPA eingereicht.
Im Antrag von Clearview AI wird behauptet, das Unternehmen verstoße auch gegen das Gesetz zum Schutz der Privatsphäre biometrischer Daten (Biometric Information Privacy Act, BIPA) des US-Bundesstaates Illinois, das seit seinem Inkrafttreten im Jahr 2008 eine "ständige Quelle von Rechtsstreitigkeiten" war und Hunderte von Fällen ausgelöst hat. Dies könnte ein Vorbote für eine Zukunft unter dem CCPA sein, in der sich die Fälle frenetisch vermehren. Bedenken Sie auch, dass das BIPA ein engeres Spektrum des Datenschutzes abdeckt als das kalifornische Gesetz.
Neue Komplikationen durch Fernarbeitskräfte
Eine weitere Schwierigkeit? Die plötzliche Umstellung auf Fernarbeitskräfte hat zu neuen Risiken geführt. Wenn Mitarbeiter zunehmend verstreut arbeiten, aber dennoch auf die persönlichen Daten von Kunden zugreifen können, steigt die Gefahr, dass diese Informationen falsch gehandhabt werden. Und wie wir gesehen haben, sind die Aufsichtsbehörden und Prozessanwälte nicht bereit, einem Unternehmen einen Freifahrtschein zu erteilen, COVID-19 hin oder her.
Einige Unternehmen haben bereits Schritte unternommen, um die Einhaltung von CCPA, GDPR und anderen Datenschutzbestimmungen in ihren Betrieb zu integrieren. Sie haben dies getan, indem sie Kernprozesse mit neuen Lösungen wie Workflow-Automatisierung oder Tools für die Aufdeckung und Speicherung der tatsächlichen Daten, die ihre Unternehmen besitzen, überarbeitet haben.
Jedes Unternehmen, das von der CCPA betroffen ist, sollte sich daher über die verschiedenen Lösungen informieren, die es zur Bewältigung der Risiken, die das CCPA mit sich bringt. Dies ist ein wichtiger erster Schritt, um sich davor zu schützen, Opfer dieses modernen "Goldrausches" zu werden.
Wenn Sie mehr darüber erfahren möchten, wie Sie die komplexen rechtlichen und behördlichen Vorschriften für die Arbeit von zu Hause aus meistern können, lesen Sie bitte Sie sich dieses Webinar an.
