Ende Juni 2018 verabschiedete Kalifornien AB 375, ein Gesetz zum Schutz der Privatsphäre von Verbrauchern, das mehr Auswirkungen auf US-Unternehmen haben könnte als die Allgemeine Datenschutzverordnung (GDPR) der Europäischen Union, die im Mai 2018 in Kraft trat. Das kalifornische Gesetz enthält nicht einige der schwerwiegendsten Anforderungen der GDPR, wie z. B. das enge 72-Stunden-Fenster, innerhalb dessen ein Unternehmen eine Datenschutzverletzung melden muss. In anderer Hinsicht geht es jedoch noch weiter.
Das CCPA legt den Begriff „private Daten“ weiter gefasst aus als die GDPR. Die Herausforderung für die Sicherheit besteht also darin, diese privaten Daten ausfindig zu machen und zu sichern.
- Was ist der CCPA?
- Welche Unternehmen sind vom CCPA betroffen?
- Wann muss mein Unternehmen das CCPA einhalten?
- Was passiert, wenn mein Unternehmen das CCPA nicht einhält?
- Welche Daten deckt der CCPA ab?
- Was sind die wichtigsten Datenschutzbestimmungen des CCPA?
- Was bedeutet der CCPA für die Sicherheit?
- Ein Gesetzentwurf in Arbeit
Was ist der CCPA?
Der California Consumer Privacy Act (CCPA) ist ein Gesetz, das es jedem kalifornischen Verbraucher ermöglicht, Einsicht in alle Informationen zu verlangen, die ein Unternehmen über ihn gespeichert hat, sowie in eine vollständige Liste aller Dritten, an die diese Daten weitergegeben wurden. Darüber hinaus ermöglicht das kalifornische Gesetz den Verbrauchern, Unternehmen zu verklagen, wenn gegen die Datenschutzrichtlinien verstoßen wird, auch wenn kein Verstoß vorliegt.
Welche Unternehmen sind vom CCPA betroffen?
Alle Unternehmen, die Einwohner Kaliforniens bedienen und einen Jahresumsatz von mindestens 25 Millionen Dollar haben, müssen das Gesetz einhalten. Darüber hinaus fallen Unternehmen jeder Größe, die über personenbezogene Daten von mindestens 50.000 Personen verfügen oder mehr als die Hälfte ihrer Einnahmen aus dem Verkauf personenbezogener Daten erzielen, ebenfalls unter das Gesetz. Unternehmen müssen nicht in Kalifornien ansässig sein oder dort eine physische Präsenz haben, um unter das Gesetz zu fallen. Sie müssen nicht einmal in den Vereinigten Staaten ansässig sein.
Eine im April vorgenommene Änderung nimmt „Versicherungsinstitute, -agenten und -unterstützungsorganisationen“ aus, da sie bereits ähnlichen Bestimmungen des kalifornischen Gesetzes zum Schutz von Versicherungsdaten und Privatsphäre (Insurance Information and Privacy Protection Act, IIPPA) unterliegen.
Wann muss mein Unternehmen das CCPA einhalten?
Das Gesetz trat am 1. Januar 2020 in Kraft, aber die Durchsetzung begann am 1. Juli.
Was passiert, wenn mein Unternehmen das CCPA nicht einhält?
Unternehmen haben 30 Tage Zeit, um das Gesetz einzuhalten, sobald die Aufsichtsbehörden sie über einen Verstoß informieren. Wird das Problem nicht gelöst, droht eine Geldstrafe von bis zu 7.500 Dollar pro Datensatz. „Wenn man bedenkt, wie viele Datensätze bei einem Verstoß betroffen sind, steigt die Summe sehr schnell“, sagt Debra Farber, Senior Director für Datenschutzstrategie bei BigID. Da das Gesetz in nur einer Woche ausgearbeitet und verabschiedet wurde, wird es wahrscheinlich noch einige Änderungen geben, fügt sie hinzu. „Dinge wie die Höhe der Bußgelder werden sich wahrscheinlich ändern.“
Es gibt noch ein weiteres potenzielles finanzielles Risiko, so Farber. „Der Gesetzentwurf sieht zum ersten Mal das Recht einer Einzelperson vor, zu klagen“, sagt sie. „
Auch hier gibt es eine 30-Tage-Frist, die beginnt, wenn die Verbraucher ein Unternehmen schriftlich darüber informieren, dass sie glauben, dass ihre Datenschutzrechte verletzt wurden. „Wenn das Problem nicht behoben ist und der Generalstaatsanwalt die Strafverfolgung ablehnt, können sie eine Sammelklage einreichen“, sagt Farber. „Und es geht nicht nur um Datenschutzverletzungen.“
Das Gesetz schreibt beispielsweise vor, dass Unternehmen auf ihren Websites eine deutlich sichtbare Fußzeile haben müssen, die den Verbrauchern die Möglichkeit gibt, der Weitergabe von Daten zu widersprechen. Wenn diese Fußzeile fehlt, können die Verbraucher klagen. Sie können auch klagen, wenn sie nicht herausfinden können, wie ihre Daten erfasst wurden, oder keine Kopien dieser Daten erhalten. „
Das Gesetz sieht spezifische Strafen für den Fall vor, dass es zu einem unbefugten Zugriff kommt, sei es durch eine Sicherheitsverletzung, Exfiltration, Diebstahl oder „Offenlegung als Ergebnis der Verletzung der Pflicht des Unternehmens, angemessene Sicherheitsverfahren und -praktiken einzuführen und aufrechtzuerhalten“. In der derzeitigen Fassung sieht AB 375 Strafen in Höhe von 100 bis 750 Dollar pro Verbraucher und Vorfall oder den tatsächlichen Schaden vor, je nachdem, welcher Betrag höher ist.
„Wenn man all die anderen Kosten im Zusammenhang mit Datenschutzverletzungen hinzurechnet – IT-Reaktion, Forensik und Wiederherstellung, Rechtsberatung, Benachrichtigung usw. – dann könnte eine Datenschutzverletzung für viele Unternehmen zu einer existenziellen Bedrohung werden“, sagt Chris Prevost, Leiter der Abteilung für Laufzeit-Sicherheitslösungen bei Imperva.
Im Allgemeinen gilt: Wenn ein Unternehmen die erforderlichen Schritte unternommen hat, um die GDPR einzuhalten, dann ist es dem California Consumer Privacy Act schon fast gewachsen. Zumindest ist es näher dran, als wenn es nicht auf die GDPR vorbereitet ist, sagt Eric Dieterich, Leiter der Datenschutzpraxis bei Focal Point Data Risk, LLC. „Einige multinationale Unternehmen haben Änderungen für ihre europäischen Märkte vorgenommen, diese aber möglicherweise nicht auf ihre Aktivitäten in den USA übertragen, so dass es zu einer Änderung des Geltungsbereichs kommen könnte“, sagt er.
Welche Daten deckt der CCPA ab?
Das kalifornische Gesetz verfolgt einen breiteren Ansatz als die GDPR, was sensible Daten angeht. So fallen beispielsweise Geruchsdaten unter das Gesetz, ebenso wie der Browserverlauf und Aufzeichnungen über die Interaktionen eines Besuchers mit einer Website oder Anwendung. Hier ist, was AB 375 als „personenbezogene Daten“ betrachtet:
- Identifikatoren wie ein echter Name, ein Alias, eine Postadresse, eine eindeutige persönliche Kennung, eine Online-Kennung, eine IP-Adresse, eine E-Mail-Adresse, ein Kontoname, eine Sozialversicherungsnummer, eine Führerscheinnummer, eine Reisepassnummer, oder andere ähnliche Identifikatoren
- Merkmale geschützter Klassifizierungen nach kalifornischem oder bundesstaatlichem Recht
- Gewerbliche Informationen, einschließlich Aufzeichnungen über persönliches Eigentum, gekaufte, erworbene oder in Erwägung gezogene Produkte oder Dienstleistungen oder andere Kauf- oder Verbrauchshistorien oder -tendenzen
- Biometrische Informationen
- Internet- oder andere Informationen über elektronische Netzwerkaktivitäten, einschließlich, unter anderem Browserverlauf, Suchverlauf und Informationen über die Interaktion eines Verbrauchers mit einer Website, Anwendung oder Werbung
- Geolokalisierungsdaten
- Audio-, elektronische, visuelle, thermische, olfaktorische oder ähnliche Informationen
- Berufs- oder beschäftigungsbezogene Informationen
- Bildungsinformationen, definiert als Informationen, die keine öffentlich zugänglichen, persönlich identifizierbaren Informationen (PII) im Sinne des Family Educational Rights and Privacy Act (20 U.S.C. section 1232g, 34 C.F.R. Teil 99)
- Rückschlüsse, die aus den in diesem Unterabschnitt genannten Informationen gezogen werden, um ein Profil über einen Verbraucher zu erstellen, das dessen Vorlieben, Eigenschaften, psychologische Tendenzen, Vorlieben, Veranlagungen, Verhalten, Einstellungen, Intelligenz, Fähigkeiten und Neigungen widerspiegelt
Ein Änderungsantrag, AB 874, der derzeit auf die Unterschrift des Gouverneurs wartet, würde öffentlich verfügbare, de-identifizierte und zusammengefasste Verbraucherinformationen von der Einstufung als PII befreien. Öffentlich zugängliche Informationen werden als Daten definiert, die aus staatlichen Aufzeichnungen verfügbar sind und aufbewahrt werden.
Das CCPA galt ursprünglich sowohl für Arbeitnehmer- als auch für Verbraucherdaten. Eine im April verabschiedete Änderung nimmt jedoch Arbeitnehmerdaten von der Verordnung aus. Ein weiterer Änderungsantrag, AB 25, nimmt personenbezogene Daten von Bewerbern, Inhabern, Direktoren, leitenden Angestellten, medizinischem Personal und Auftragnehmern teilweise aus. Diese Ausnahme würde am 1. Januar 2021 auslaufen. AB 25 wartete bei Redaktionsschluss noch auf die Unterschrift des Gouverneurs.
Was sind die wichtigsten Datenschutzbestimmungen des CCPA?
Unternehmen müssen den Verbrauchern die Möglichkeit geben, die Weitergabe ihrer Daten an Dritte abzulehnen. Das bedeutet, dass Unternehmen jetzt in der Lage sein müssen, die von ihnen gesammelten Daten entsprechend den Entscheidungen der Nutzer zum Schutz der Privatsphäre zu trennen.
Darüber hinaus kann ein Unternehmen den Nutzern zwar nicht den gleichen Service verweigern, aber es kann ihnen Anreize bieten, wenn sie persönliche Informationen zur Verfügung stellen. „Diese Bestimmung kann noch geändert werden, aber so wie sie heute formuliert ist, gibt sie Ihnen die Möglichkeit, Personen, die bereit sind, ihre Daten an Dritte weiterzugeben oder zu verkaufen, Rabatte anzubieten“, sagt Dieterich. „Traditionell sind die Systeme nicht so konzipiert, dass sich die Preisstruktur in Abhängigkeit von der Wahl des Datenschutzes ändert. Das ist ein neues Konzept, das sehr technische Auswirkungen hat.“
Ein weiterer wichtiger Unterschied zur GDPR besteht darin, dass das kalifornische Gesetz den Kunden einen viel besseren Zugang zu ihren Daten ermöglicht, sagt Subra Ramesh, SVP of Products bei Dataguise. Ein kalifornischer Verbraucher hat das Recht, herauszufinden, welche Informationen ein Unternehmen über ihn sammelt. Die meisten Unternehmen werden Schwierigkeiten haben, diese Informationen zusammenzutragen. „Erstens ist die Menge der von ihnen gesammelten Daten bereits riesig und wächst weiter, oft in der Größenordnung von Hunderten bis Tausenden von Terabytes, und in Unternehmen werden Petabytes von Daten verarbeitet“, sagt er.
Diese Daten sind auf verschiedenen Speicherplattformen und in unterschiedlichen Dateizeiten enthalten. „Den meisten Tools für die Dateisuche fehlt die Fähigkeit, in den modernen Dateispeicher-Ökosystemen zu suchen, die heute so weit verbreitet sind“, sagt Aaron Ganek, CEO von Cloudtenna. „Siloübergreifendes Dateimanagement ist eine große Herausforderung. Es ist schwierig, den Kontext jeder Datei zu verstehen, wenn sie in verschiedenen Repositories verstreut sind.“ Außerdem seien mit der Zusammenführung von Daten Compliance-Probleme verbunden, sagt er. „Veraltete Unternehmenstools haben Schwierigkeiten, die unterschiedlichen Berechtigungs- und Sicherheitsmodelle einzuhalten, und verletzen damit genau die Gesetze und Vorschriften, die sie eigentlich erfüllen sollen.“
Dann ist da noch das Zeitlimit. „Nach der Zugriffsanfrage hat ein Unternehmen 45 Tage Zeit, um einen umfassenden Bericht darüber vorzulegen, welche Art von Daten sie haben, ob und an wen sie verkauft wurden, und wenn sie in den letzten 12 Monaten an Dritte verkauft wurden, muss es die Namen und Adressen der Dritten angeben, an die die Daten verkauft wurden“, sagt John Tsopanis, Produktmanager für Datenschutz bei 1touch.io. „Das ist in Europa nicht möglich.“
Da sich die Vorschrift auf die letzten 12 Monate bezieht, müssen die Unternehmen in sechs Monaten mit der Umsetzung beginnen, sagt er. Dann, am 1. Januar 2020, muss jedes Unternehmen jedes andere Unternehmen, an das es Daten verkauft, offenlegen. „Das wird die Datenschutzlandschaft in Amerika für immer verändern“, sagt Tsopanis.
Was bedeutet der CCPA für die Sicherheit?
AB 375 enthält im Vergleich zur GDPR nur geringe Anforderungen an die Sicherheit und die Reaktion auf Datenschutzverletzungen. Wie bereits erwähnt, legt das Gesetz Sanktionen für Unternehmen fest, die aufgrund einer Sicherheitsverletzung oder eines Sicherheitsmangels Verbraucherdaten preisgeben. Es erlaubt den Gerichten auch, „Unterlassungs- oder Feststellungsklagen“ zu erlassen oder „jede andere Maßnahme, die das Gericht für angemessen hält“
Unternehmen sind nach AB 375 nicht verpflichtet, Verstöße zu melden, und Verbraucher müssen Beschwerden einreichen, bevor Geldstrafen möglich sind. Die beste Sicherheitsmaßnahme besteht also darin, zu wissen, welche Daten AB 375 als private Daten definiert, und Maßnahmen zu ergreifen, um sie zu schützen. Auch hier gilt, dass Unternehmen, die die GDPR einhalten, wahrscheinlich keine weiteren Maßnahmen ergreifen müssen, um AB 375 in Bezug auf die Datensicherheit zu erfüllen.
Die Anforderungen von AB 375 in Bezug auf die Verfolgung, den Zugriff und die Speicherung von Daten bedeuten, dass Sicherheitsteams eng mit Datenbankadministratoren zusammenarbeiten müssen, sagt Terry Ray, Senior Vice President und Fellow bei Imperva, einem Anbieter von Cybersicherheitslösungen. Alle Tools, die zur Bewältigung von AB 375 ausgewählt werden, müssen nicht nur vollen Einblick in die in der gesamten heterogenen Unternehmensumgebung gespeicherten Daten haben, sondern auch sicherstellen, dass der Zugriff auf diese Daten ordnungsgemäß gesichert ist. „Und schließlich müssen diese Tools mit dem neuen Verbraucherportal zusammenarbeiten, indem sie spezifische Verbraucherdaten an denjenigen weitergeben, der sie nachweislich anfordert“, sagt er.
Wenn die Daten bei Cloud-Anbietern gespeichert sind, wird das Problem noch größer. So könnten Mitarbeiter beispielsweise ein File-Sharing-Konto einrichten, um Marketing- oder Vertriebskontakte zu speichern. „Es ist nicht verwunderlich, dass die großen Technologieunternehmen wie Google und Facebook gegen den Gesetzentwurf sind“, sagt Kevin Bocek, Vizepräsident für Sicherheitsstrategie und Bedrohungsanalyse bei Venafi. „Die Kontrolle des Datenschutzes und der persönlichen Daten, die zwischen Maschinen fließen, ist unglaublich schwierig und eine große Herausforderung für alle Unternehmen.“
Ein Gesetzentwurf in Arbeit
Der Gesetzentwurf wurde in nur sieben Tagen ausgearbeitet, weil die Gesetzgeber eine Wahlinitiative zur Verabschiedung eines noch strengeren Gesetzes vermeiden wollten, das von vielen Technologieunternehmen abgelehnt wurde. „Im Moment widersprechen sich viele der Bestimmungen und Definitionen“, sagt Andy Dale, Chefsyndikus und Vizepräsident für globalen Datenschutz bei SessionM.
Ein problematischer Bereich ist die Frage, ob ein Unternehmen den Verbrauchern je nach ihren Datenschutzeinstellungen unterschiedliche Preise berechnen darf. Viele Unternehmen bieten beispielsweise eine Option an, bei der ein Verbraucher auf eine kostenpflichtige Stufe aufsteigen kann, bei der er keine Werbung sieht. Hier ist das Gesetz in seiner derzeitigen Fassung etwas widersprüchlich.
„Wenn der Verbraucher seine Rechte gemäß der Verordnung ausübt, können Unternehmen dem Verbraucher kein anderes Niveau oder eine andere Qualität von Produkten, Waren oder Dienstleistungen anbieten“, sagt Pravin Kothari, CEO von CipherCloud. „Auf der anderen Seite ist es Unternehmen laut der Verordnung nicht untersagt, von einem Verbraucher einen anderen Preis oder Tarif zu verlangen oder ihm ein anderes Niveau oder eine andere Qualität von Waren oder Dienstleistungen zu bieten, wenn dieser Unterschied in einem angemessenen Verhältnis zu dem Wert steht, den die Daten des Verbrauchers für ihn haben.“
Es sieht so aus, als ob Kalifornien versucht, einen Rahmen zu definieren, in dem Verbraucher für die Weitergabe ihrer Daten bezahlt werden können, sagt Kothari. „In diesem Bereich ist die Gesetzgebung ein wenig visionär“, sagt er. „
Mehr zum CCPA:
- 9 CCPA-Fragen, auf die jeder CISO vorbereitet sein sollte
- Das CCPA ist eine Gelegenheit, Ihr Haus der Datensicherheit in Ordnung zu bringen
- Was ist „angemessene Sicherheit“? Und wie man diese Anforderung erfüllt
- Datenschutz für Verbraucher ernst nehmen
- Wie sich das Eigentum der Bürger an Daten auf die Zukunft der Unternehmen auswirkt