Datenschutz-Update: Kalifornischer AG schlägt CCPA-Änderungen vor
Das Büro des kalifornischen Generalstaatsanwalts hat am 7. Februar 2020 überarbeitete Verordnungsvorschläge zur Umsetzung des California Consumer Privacy Act (CCPA) veröffentlicht. Was sind die Auswirkungen für Unternehmen, die versuchen, diese bahnbrechende Datenschutzverordnung einzuhalten?
Da das kalifornische Verbraucherschutzgesetz von 2018 in erstaunlich kurzer Zeit vorgeschlagen und unterzeichnet wurde, ist es kein Wunder, dass dieses "umfassende" Verbraucherschutzgesetz unter einigen Redundanzen und verworrenen Definitionen leidet.
Die Experten von Keesal, Young & Logan haben sich mit den Einzelheiten der Ankündigung der Generalstaatsanwaltschaft befasst. Wir werden uns daher nur auf einige wenige konzentrieren, die sich direkt darauf auswirken können, wie ein Unternehmen Technologielösungen wie die Workflow-Automatisierung einsetzen kann, um Prozesse zu entwerfen und zu veröffentlichen, die ihm helfen , die Einhaltung der Gesetze rechtzeitig zu gewährleisten.
Anleitung dazu, was "persönliche Informationen" sind (und was nicht)
Es ist gut, Klarheit darüber zu haben, was genau personenbezogene Daten sind, und die überarbeiteten Verordnungen sehen es als PI an, wenn das Unternehmen diese Daten in einer Weise speichert, die einen bestimmten Verbraucher oder Haushalt identifiziert, sich auf ihn bezieht, ihn beschreibt oder vernünftigerweise mit ihm in Verbindung gebracht werden kann.
Bei einer Website beispielsweise macht die bloße Erfassung der IP-Adressen von Website-Besuchern diese IPs noch nicht zu "personenbezogenen Daten". Nicht, solange sie nicht ausdrücklich mit einem bestimmten kalifornischen Einwohner oder Haushalt verknüpft sind.
Dies ist ein wichtiger Parameter für Rechts- und Compliance-Abteilungen, die Prozesse zur Erfassung der Zustimmung von Besuchern, zur Ermittlung von Daten oder zur Erfüllung von Verbraucheranfragen im Rahmen der neuen Gesetzgebung entwickeln möchten.
Normen für die Zugänglichkeit
Anstatt nur eine allgemeine Erklärung abzugeben, dass die von der CCPA geforderten Hinweise und Datenschutzbestimmungen auf der Website eines Unternehmens für Menschen mit Behinderungen zugänglich sein müssen? Die CCPA-Vorschriften enthalten nun die spezifischen Leitlinien und Standards der Web Content Accessibility Guidelines (WCAG) 2.1.
Angeben der Opt-Out-Schaltfläche
Der CCPA schreibt nun vor, dass Websites eine einheitliche "Opt-out"-Schaltfläche als Link "Meine persönlichen Daten nicht verkaufen" enthalten müssen. Diese Grafik wird aus einer roten Schaltfläche oder einem Kippschalter bestehen, der zwar keine Designpreise gewinnt, aber die Botschaft vermittelt.
Empfangsbestätigung und Antworten auf Auskunftsersuchen und Löschungsanträge
Unternehmen müssen den Erhalt einer Anfrage zur Kenntnisnahme oder Löschung der personenbezogenen Daten eines Verbrauchers innerhalb von 10 Werktagen bestätigen. Deshalb ist eine automatisierte Lösung, bei der die Einhaltung der Vorschriften sicherer ist und menschliche Fehler erheblich reduziert werden, eine Verbesserung gegenüber manuellen Prozessen, bei denen es viele Möglichkeiten für Risiken gibt.
Die Bestätigung kann auf demselben Weg erfolgen, auf dem der Antrag gestellt wurde; so kann beispielsweise ein telefonisch gestellter Antrag telefonisch bestätigt werden. Die tatsächlichen "substanziellen" Antworten auf Anträge auf Kenntnisnahme und Löschung personenbezogener Daten müssen innerhalb von 45 Kalendertagen erfolgen.
Empfangsbestätigung und Antworten auf Auskunftsersuchen und Löschungsanträge
Dies wird viele Unternehmen von einer Hürde befreien, die nach dem bisherigen Wortlaut des CCPA eine große Hürde darstellte: Bei der Beantwortung eines Auskunftsersuchens müssen die Unternehmen sind Unternehmen nicht bei der Beantwortung eines Auskunftsersuchens nicht nach personenbezogenen Daten suchen, wenn sie alle folgenden Bedingungen erfüllen: A) Das Unternehmen bewahrt die personenbezogenen Daten nicht in einem durchsuchbaren oder angemessen zugänglichen Format auf; B) das Unternehmen bewahrt die personenbezogenen Daten ausschließlich zu rechtlichen oder Compliance-Zwecken auf; C) es verkauft die personenbezogenen Daten nicht und nutzt sie nicht zu kommerziellen Zwecken; D) das Unternehmen beschreibt dem Verbraucher die Kategorien von Aufzeichnungen, die personenbezogene Daten enthalten können, die es nicht durchsucht hat, weil es die eben genannten Bedingungen erfüllt.
[bctt tweet="Neue vorgeschlagene Leitlinien zum #CCPA bringen dringend benötigte Klarheit in eine #Datenschutzverordnung, die in erschreckend kurzer Zeit in Kraft gesetzt wurde." via="yes"]
