Einhaltung von CCPA und CPRA

Kontakt zu einem Experten

Zurück zu allen Use Cases

CCPA, CPRA und Risikomanagement für Dritte

DerCalifornia Consumer Privacy Actregelt die Erfassung und den Verkauf von Verbraucherdaten durch Unternehmen, um die sensiblen personenbezogenen Daten der Einwohner Kaliforniens zu schützen und den Verbrauchern die Kontrolle über die Verwendung dieser Daten zu geben. Der CCPA wurde 2023 durch denCalifornia Privacy Rights Act (CPRA) erweitert, der neue Compliance-Verpflichtungen hinzufügt, die strenge Vereinbarungen mit Dritten vorschreiben, um die sichere Erfassung, Verwendung und Entsorgung von Verbraucherinformationen zu gewährleisten.

Der CCPA und der CPRA gelten für Verbraucherdaten, die von Einwohnern Kaliforniens erhoben werden – unabhängig davon, ob das Unternehmen seinen Sitz in Kalifornien hat oder dort nur geschäftlich tätig ist. Wird ein Unternehmen gemäß dem CCPA für eine zivilrechtliche Strafe haftbar gemacht, kann die Strafe bis zu 7.500 US-Dollar pro vorsätzlichem Verstoß und 2.500 US-Dollar pro unbeabsichtigtem Verstoß betragen. Das Gericht kann außerdem einen gesetzlichen Schadensersatz für Verbraucher anordnen.

Unternehmen sollten daher sicherstellen, dass ihre externen Partner und Dienstleister gut auf den Schutz von Verbraucherdaten vorbereitet sind. Der erste Schritt eines jeden Sicherheitsprogramms ist die Identifizierung und Priorisierung bestehender Risiken durch eine gründliche Sicherheitsbewertung.

Einschlägige Verordnungen

  • 1798.81.5 (b)„Ein Unternehmen, das personenbezogene Daten von Einwohnern Kaliforniens besitzt, lizenziert oder verwaltet, muss angemessene Sicherheitsverfahren und -praktiken implementieren und aufrechterhalten, die der Art der Daten angemessen sind, um die personenbezogenen Daten vor unbefugtem Zugriff, Zerstörung, Verwendung, Änderung oder Offenlegung zu schützen.“
  • 1798.140(c) „Erlaubt dem Unternehmen vorbehaltlich einer Vereinbarung mit dem Auftragnehmer [oder Dienstleister], die Einhaltung des Vertrags durch den Auftragnehmer [oder Dienstleister] durch Maßnahmen zu überwachen, darunter unter anderem fortlaufende manuelle Überprüfungen und automatisierte Scans sowie regelmäßige Bewertungen, Audits oder andere technische und betriebliche Tests mindestens einmal alle 12 Monate.“
  • 1798.185 (b) "der kalifornischen Datenschutzbehörde regelmäßig eine Risikobewertung in Bezug auf die Verarbeitung personenbezogener Daten vorlegen."
  • 1798.100 (d) „Ein Unternehmen … muss mit einem solchen Dritten, Dienstleister oder Auftragnehmer eine Vereinbarung treffen, die: … den Dritten, Dienstleister oder Auftragnehmer verpflichtet, die geltenden Verpflichtungen gemäß diesem Titel einzuhalten und denselben Datenschutz zu gewährleisten, wie er in diesem Titel vorgeschrieben ist; den Dritten, Dienstleister oder Auftragnehmer verpflichtet, das Unternehmen zu benachrichtigen, wenn er zu dem Schluss kommt, dass er seinen Verpflichtungen gemäß diesem Titel nicht mehr nachkommen kann.“
  • 1798.185 (a) "Führen Sie jährlich ein Cybersicherheitsaudit durch, einschließlich der Festlegung des Umfangs des Audits und der Einführung eines Verfahrens, das gewährleistet, dass die Audits gründlich und unabhängig sind. Zu den Faktoren, die bei der Bestimmung, wann die Verarbeitung ein erhebliches Risiko für die Sicherheit personenbezogener Daten darstellen kann, zu berücksichtigen sind, gehören die Größe und Komplexität des Unternehmens sowie die Art und der Umfang der Verarbeitungstätigkeiten."

Erfüllung der CCPA TPRM-Anforderungen

Hier erfahren Sie, wie Prevalent Ihnen helfen kann, die Best Practices des CCPA-Risikomanagements für Dritte einzuhalten:

CCPA Bewährte Praktiken

Wie wir helfen

Entdeckung & Daten-Mapping

Prevalent unterstützt planmäßige Bewertungen, um Datenflüsse zwischen Beziehungen zu identifizieren und festzustellen, wo Daten vorhanden sind, wohin sie fließen und mit wem sie außerhalb des Unternehmens geteilt werden, indem eine einzigartige Beziehungszuordnungsfunktion verwendet wird. Automatische Erstellung eines Risikoregisters, das die wichtigsten Risikobereiche hervorhebt, um die Transparenz der Daten zu erhöhen.

Risikobewertungen von Anbietern

Prevalent bewertet die Datenschutzkontrollen von Anbietern anhand des Prevalent Compliance Framework (PCF) im Hinblick auf den CCPA. Spezifische Fragebögen helfen bei der Identifizierung und Zuordnung von Risiken, die während der Bewertung identifiziert wurden, zu den Kontrollen, um einen klaren Überblick über potenzielle Schwachstellen zu erhalten.

Risiko-Reaktion

Prevalent automatisiert die Risikoerkennung auf der Grundlage von in der Plattform festgelegten Schwellenwerten. Beschleunigt die Reaktion mit vordefinierten Workflow-Regeln, die identifizierte Risiken zur sofortigen Überprüfung und Beseitigung an den richtigen Stakeholder weiterleiten.

Verfolgung der Einhaltung von Vorschriften und Berichterstattung

Prevalent erstellt Berichte über die CCPA unter Verwendung des Prevalent Compliance Frameworks, das automatisch Risiken und Reaktionen auf Kontrollen abbildet, eine prozentuale Bewertung der Konformität liefert und stakeholder-spezifische Berichte bereitstellt, um die Datensicherheit transparent zu machen.

Überwachung der Benachrichtigung bei Sicherheitsverletzungen

Prevalent bietet Zugang zu einer Datenbank, die mehr als 10 Jahre Datenverletzungen für Tausende von Unternehmen auf der ganzen Welt enthält. Sie enthält Arten und Mengen gestohlener Daten, Probleme mit der Einhaltung von Vorschriften und Bestimmungen sowie Echtzeit-Benachrichtigungen über Datenschutzverletzungen durch Anbieter.

Anträge auf Zugang zum Thema

Prevalent ermöglicht Anbietern und Geschäftsanwendern die Auslösung von SAR-Workflows (Subject Access Request) auf der Grundlage von Anfragen, die sie erhalten, und nutzt eine proaktive Bewertung zur Erfassung der relevanten Daten. Mithilfe der Relationship Map können Risiko- und Datenschutzteams visualisieren, mit wem Daten geteilt werden und wer Zugang zu den Daten dieses Anbieters hat.

Lieferantenvertragsmanagement

Prevalent zentralisiert die Verteilung, Diskussion, Aufbewahrung und Überprüfung von Lieferantenverträgen, einschließlich Workflow-Funktionen zur Automatisierung des Vertragslebenszyklus vom Onboarding bis zum Offboarding.

Mit Prevalent verfügen Beschaffungs- und Rechtsteams über eine einzige Lösung zur Durchsetzung von Lieferantenvertragsbestimmungen und KPIs und vereinfachen die Verwaltung und Überprüfung.

Zusätzliche Ressourcen

Blog

Eine CCPA- und CPRA-Compliance-Checkliste für das Risikomanagement von Drittanbietern

Weißbuch

Das Handbuch zur Einhaltung der Vorschriften für Dritte: Datenschutzbestimmungen

Blog

Entwicklung einer Risikomanagementpolitik für Drittparteien: Leitfaden für bewährte Verfahren

Checkliste

Die CCPA-Checkliste zur Einhaltung durch Dritte

Weitere Ressourcen anzeigen

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.