Wie sich zwei neue CCPA-Änderungen auf die Compliance-Verpflichtungen von Unternehmen auswirken
Im Juni 2018 betrat Kalifornien Neuland, als es als erster Staat der Nation ein umfassendes Datenschutzgesetz verabschiedete.
Das neue Gesetz mit der Bezeichnung Kalifornisches Verbraucherschutzgesetzgibt den Kaliforniern wichtige neue Rechte zur Kontrolle ihrer persönlichen Daten und verlangt von den unter das CCPA fallenden Unternehmen Transparenz darüber, wie sie diese Daten sammeln, verwenden und weitergeben. Das Gesetz tritt am 1. Januar 2020, also in nur zwei Monaten, in Kraft.
Obwohl die kalifornischen Verbraucher den Gedanken der Transparenz und Kontrolle begrüßten, war das CCPA in der ursprünglich verabschiedeten Form für die Unternehmen unhandlich. Das Gesetz umfasste mehr als 10.000 Wörter, wurde in weniger als einer Woche ausgearbeitet und war in einigen Fällen hoffnungslos vage.
Er enthielt Ungereimtheiten und Querverweise auf Abschnitte, die nicht existierten. Zu sagen, dass das CCPA einer gründlichen Überarbeitung und Politur bedurfte, ist, gelinde gesagt, eine Untertreibung. Die kalifornische Legislative hat in diesem Jahr einige dieser redaktionellen Fehler durch kleinere Änderungen bereinigt.
Vor kurzem hat der Bundesstaat Kalifornien mit zwei wichtigen Änderungen des CCPA und dem Entwurf der Durchführungsverordnung des Generalstaatsanwalts einige gute Nachrichten und Hinweise für Unternehmen veröffentlicht. In diesem Beitrag gehen wir auf diese beiden Änderungen ein und erläutern, wie sie den Befolgungsaufwand für Unternehmen, die dem CCPA unterliegen, verringern, aber nicht beseitigen. In den nächsten Beiträgen werden wir die am 10. Oktober 2019 veröffentlichten Entwürfe der Durchführungsverordnungen und ihre Bedeutung für Unternehmen untersuchen.
Zwei aktuelle CCPA-Änderungen
Am 11. Oktober 2019 unterzeichnete Gouverneur Gavin Newsom zwei Änderungen, die die Anwendung des CCPA für ein Jahr erheblich einschränken. Diese Änderungen werden häufig als "Ausnahme für Arbeitnehmer" und "Ausnahme für Unternehmen" (oder B2B) bezeichnet, aber das Wort "Ausnahme" übertreibt ihre Wirkung. Stattdessen beschränken diese Änderungen einige CCPA-Rechte (und geschäftliche Verpflichtungen) für diese Gruppen für ein Jahr. Beide Gruppen haben ab dem 1. Januar 2021 Anspruch auf die vollen CCPA-Rechte (sofern das CCPA bis dahin nicht erneut geändert wird).
> Die begrenzte Ausnahme für einige Arbeitnehmerrechte für ein Jahr
Assembly Bill 25 änderte das CCPA dahingehend, dass personenbezogene Daten, die Unternehmen über Bewerber, Angestellte, Eigentümer, Direktoren, leitende Angestellte und Auftragnehmer sammeln, für ein Jahr von einigen CCPA-Rechten ausgenommen sind. Diese Änderung wurde im Civil Code §1798.145(h) in das CCPA aufgenommen. Infolge dieser Änderung haben Stellenbewerber und Arbeitnehmer bis zum 1. Januar 2021 nicht das Recht, einen Antrag auf Auskunft oder Löschung von Daten zu stellen, die ihr Arbeitgeber oder ehemaliger Arbeitgeber über sie gesammelt hat.
Aber täuschen Sie sich nicht: Ab dem 1. Januar 2020 - also in nur zwei Monaten - haben Stellenbewerber und Beschäftigte einige Rechte im Rahmen des CCPA. Erstens werden Unternehmen, die dem CCPA unterliegen, verpflichtet sein, Stellenbewerbern und Mitarbeitern eine "Mitteilung bei der Erhebung" zukommen zu lassen, die sie über (1) die Kategorien personenbezogener Daten, die das Unternehmen über sie erhebt, und (2) den Zweck, für den die Daten verwendet werden, informiert. Die "Notice at Collection" muss dem Bewerber oder Mitarbeiter zum oder vor dem Zeitpunkt der Datenerhebung zugestellt werden.
Das bedeutet, dass ein Unternehmen, das Online-Bewerbungen oder -Lebensläufe annimmt, dem Bewerber einen Hinweis bei der Erfassung (über ein Pop-up-Fenster oder einen Link) geben muss , und zwar zu oder vor dem Zeitpunkt, an dem der Bewerber eine Bewerbung ausfüllt oder einen Lebenslauf hochlädt. Ebenso haben derzeitige Mitarbeiter das Recht auf einen Hinweis bei der Erfassung, um sie über die Kategorien personenbezogener Daten, die das Unternehmen während ihrer Tätigkeit über sie sammelt, und die Zwecke, für die sie verwendet werden, zu informieren.
Das Recht auf eine Benachrichtigung bei der Datenerhebung ist nicht das einzige Recht, das Stellenbewerbern und Arbeitnehmern nach dem CCPA ab Januar 2020 zustehen wird. Stellenbewerber und Arbeitnehmer haben auch das Recht, Unternehmen zu verklagen, wenn ihre unverschlüsselten und nicht geschwärzten sensiblen personenbezogenen Daten (wie Sozialversicherungsnummer, Führerscheinnummer, medizinische Daten oder Krankenversicherungsdaten) infolge der Pflicht des Unternehmens, angemessene Sicherheitsverfahren und -praktiken einzuführen und aufrechtzuerhalten, verletzt werden. Im Falle einer solchen Verletzung der Datensicherheit können Verbraucher - einschließlich Stellenbewerbern und Angestellten - nach dem CCPA tatsächlichen Schadenersatz oder gesetzlichen Schadenersatz in Höhe von 100 bis 750 US-Dollar pro Verbraucher und Vorfall verlangen, je nachdem, welcher Betrag höher ist. Dies ist von entscheidender Bedeutung, denn Kalifornien ist der einzige Staat des Landes, der im Falle einer Datenschutzverletzung einen gesetzlichen Schadensersatz vorsieht.
[bctt tweet="Kalifornien ist der einzige Staat des Landes, der im Falle eines Datenschutzverstoßes einen gesetzlichen Schadensersatz vorsieht." username="MitratechLegal"]
> Die "Business-to-business"-Ausnahme ist ebenfalls begrenzt und läuft in einem Jahr aus.
Die zweitwichtigste Änderung des CCPA ist Assembly Bill 1335, die personenbezogene Daten ausschließt, die von einem Unternehmen erhoben werden, wenn es mit einem Verbraucher kommuniziert, der im Namen einer anderen Organisation handelt, und die Kommunikation ausschließlich im Rahmen einer geschäftlichen Transaktion erfolgt. Mit anderen Worten: Personen, deren personenbezogene Daten in einem geschäftlichen Kontext oder in einem B2B-Kanal erfasst werden, haben nicht das vom CCPA gewährte Recht auf eine Mitteilung bei der Erfassung oder das Recht auf Zugang oder Löschung ihrer personenbezogenen Daten.
Diese Änderung wurde in §1798.145(n)(1) des Civil Code in das CCPA aufgenommen. Wie bei der oben erörterten begrenzten Ausnahme für Mitarbeiterdaten wäre es jedoch ein Fehler, die im B2B-Kontext erhobenen personenbezogenen Daten als vom CCPA völlig "ausgenommen" zu betrachten. Wie Bewerber und Angestellte hat auch eine Person, deren sensible personenbezogene Daten in einem B2B-Kontext erfasst werden , das Recht, auf tatsächlichen und gesetzlichen Schadenersatz zu klagen, wenn ihre sensiblen Daten in unverschlüsselter oder unredigierter Form verletzt werden, weil das Unternehmen es versäumt hat, angemessene Sicherheitsverfahren und -praktiken einzuführen und aufrechtzuerhalten.
Und wie die Änderung für Arbeitnehmer wird auch der Ausschluss von B2B-Daten von den Rechten auf Kenntnisnahme und Löschung am 1. Januar 2021 auslaufen, was bedeutet, dass Verbraucher, deren personenbezogene Daten in einem B2B-Kontext erhoben werden, ab diesem Datum volle CCPA-Rechte haben werden (sofern das Gesetz nicht erneut geändert wird).
Nächster Punkt: Verordnungsvorschläge
Am 10. Oktober 2019 hat das Büro des Generalstaatsanwalts von Kalifornien Verordnungsvorschläge herausgegeben, die den Unternehmen spezifische Anleitungen zu folgenden Punkten geben: (1) den Hinweisen, die die Unternehmen den Verbrauchern im Rahmen des CCPA zur Verfügung stellen müssen; (2) den Praktiken der Unternehmen zur Bearbeitung von Verbraucheranfragen, die gemäß dem CCPA gestellt werden; (3) den Praktiken der Unternehmen zur Überprüfung der Identität des Verbrauchers, der diese Anfragen stellt; (4) den Praktiken der Unternehmen in Bezug auf personenbezogene Daten von Minderjährigen und (5) dem Angebot von finanziellen Anreizen durch die Unternehmen. Die Frist für öffentliche Stellungnahmen zu den vorgeschlagenen Vorschriften endet am 6. Dezember 2019.
Wir werden jeden dieser Punkte in den nächsten Blogbeiträgen behandeln.