Warum Ihr Unternehmen auf die CCPA-Compliance achten muss

Warum Unternehmen auf den California Consumer Privacy Act – CCPA achten sollten

Kaliforniens berühmt sonnige, entspannte Surferkultur täuscht darüber hinweg, dass sie durch die Verabschiedung wegweisender Gesetzgebungsakte nationale Gespräche über heiße Themen verschoben hat. Kalifornien ist das erste Land, das alles von der Luftverschmutzung über medizinisches Marihuana bis hin zu verschuldensunabhängigen Scheidungsgesetzen verabschiedet hat, und führt den Kampf für verbraucherfreundliche Datenschutzgesetze an.

Das Gesetz zum Schutz der Verbrauchergesetze in Kalifornien (CCPA) ist das umfassendste und durchsetzbarste Datenschutzgesetz der Vereinigten Staaten. Es ist schwer, seine Auswirkungen auf die Datenschutzpraktiken zu übertreiben.

Was Sie über CCPA wissen müssen

Datenschutzbestimmungen sind komplex, das stimmt. Aber sie sind für jedes Unternehmen mit dem richtigen Ansatz überschaubar. Wenn Sie am Anfang Ihrer Reise zur Einhaltung der Datenschutzbestimmungen stehen (inspirierende Musik), sollten Sie Folgendes über CCPA und Ihr Unternehmen wissen. 

Die 25-Millionen-Dollar-Frage: Gilt der CCPA für mich?

Die häufigste Frage, die wir von Kunden erhalten, lautet: Muss ich mir also Sorgen um CCPA machen oder nicht?

CCPA gilt für gewinnorientierte Unternehmen, die in Kalifornien tätig sind, personenbezogene Daten von Einwohnern Kaliforniens sammeln und kontrollieren und eine der folgenden Anforderungen erfüllen:

  • Jährliche Bruttoeinnahmen von über 25 Millionen US-Dollar
  • Sammelt jedes Jahr personenbezogene Daten von mehr als 50,000 Einwohnern, Haushalten oder Geräten in Kalifornien *
  • Erhält 50 % oder mehr des Jahresumsatzes aus dem Verkauf personenbezogener Daten von Einwohnern Kaliforniens

*Die Schwelle für die Erfassung personenbezogener Daten wird 100,000 auf 2023 angehoben, wenn der California Privacy Rights Act in Kraft tritt.

Das mag so klingen, als wäre es nur etwas für große Unternehmen. Es ist nicht. Forscher schätzen so viele wie 75 % der kalifornischen Unternehmen erwirtschaften weniger als 25 Millionen US-Dollar Jahresumsatz wird von dem Gesetz betroffen sein.

Es geht um den Einzelnen (Rechte)

Das individuelle Recht eines Verbrauchers, zu kontrollieren, wie seine persönlichen Daten verwendet werden, steht im Mittelpunkt des CCPA. Die vom CCPA kodifizierten Rechte umfassen das Recht auf:

  • Wissen Sie, welche Informationen Sie über sie sammeln und warum
  • Bitten Sie darum, ihre Informationen aus Ihren Datenbanken zu löschen
  • Wissen Sie, mit welchen Drittunternehmen Sie ihre Daten teilen oder von denen Sie ihre Daten kaufen
  • Fordern Sie eine Opt-in-Antwort an, bevor Sie Daten für Personen unter 16 Jahren verkaufen
  • Deaktivieren Sie den Verkauf personenbezogener Daten

Das letzte – das Recht, den Verkauf personenbezogener Daten zu verweigern – ist das große. Mit einer breiten Definition dessen, was „Verkaufen“ von Daten ausmacht (Verkaufen, Vermieten, Freigeben, Offenlegen, Verbreiten, Verfügbarmachen oder Übertragen … der persönlichen Daten eines Verbrauchers gegen Geld or etwas anderes Wertvolles), kann diese Anforderung für Unternehmen am schwierigsten zu erfassen sein.

Verwaltung individueller Rechteanfragen

Wenn Sie Dritten erlauben, die von Ihnen gesammelten Daten für ihre eigenen Zwecke zu verwenden und CCPA-konform sein müssen, müssen Sie haben um sichere, effiziente Datenzuordnungsprozesse zu haben, mit denen Sie personenbezogene Daten von Verbrauchern innerhalb der Fristen des CCPA identifizieren, ändern und entfernen können.

Das heißt, Sie müssen:

  • Verfügen Sie über Prozesse zum Einreichen individueller Rechte zum Kennenlernen/Löschen von Anfragen. Dies sollte mindestens zwei Möglichkeiten zum Einreichen von Anfragen beinhalten.  
    • Eine gebührenfreie Telefonnummer ist erforderlich, außer bei reinen Online-Unternehmen – eine E-Mail-Adresse kann die gebührenfreie Nummer ersetzen.  
    • Im Allgemeinen können alle Unternehmen entweder ein Webformular oder eine E-Mail-Adresse bereitstellen, um Anfragen zu stellen.
    • Bevor Sie Ihre Prozesse abschließen, lassen Sie sich von einem Datenschutzexperten beraten, um sicherzustellen, dass Sie die richtigen Entscheidungen treffen.
  • Wissen Sie, dass Sie die strenge 10-tägige Anforderungsbestätigung und den 45-tägigen Fertigstellungszeitplan einhalten können
  • Stellen Sie sicher, dass Ihr Team Verbraucherdatensätze korrekt identifizieren und überprüfen kann 

Transparenz mit Zähnen

Mit der strenge Anforderungen für die Benachrichtigung von Kunden über Datenerfassungspraktiken können Sie der CCPA für all diese danken Aktualisierung unserer Datenschutzrichtlinie E-Mails, die Sie von jedem Unternehmen erhalten haben, dem Sie jemals Ihre E-Mail-Adresse gegeben haben. 

CCPA-konforme Datenschutzhinweise müssen zugänglich sein und genau angeben, welche Art von Informationen Sie sammeln, was Sie damit machen und mit wem Sie sie teilen. Es muss auch die Rechte Ihrer Verbraucher klar beschreiben. (Siehe oben). 

Darüber hinaus müssen Sie den Verbrauchern all dies zum oder vor dem Zeitpunkt der Abholung mitteilen und eine (offensichtliche) Verkaufen Sie meine personenbezogenen Daten nicht Schaltfläche auf Ihrer Homepage.

Seitenleiste – Wenn Ihre Datenschutzrichtlinie vier Seiten mit dichtem Juristensprache umfasst, schreiben Sie sie in einem benutzerfreundlichen Stil um. Dies wird sowohl Ihren Kunden helfen, es zu verstehen, als auch ihre Erfahrung auf Ihrer Website verbessern. 

Halten Sie es geheim, halten Sie es sicher

CCPA verlangt von Ihnen die Pflege angemessene Sicherheitsverfahren zum Schutz sensibler Verbraucherinformationen. Die Gesetzgebung legt nicht fest, was ein „angemessenes Sicherheitsverfahren“ ist, aber das erste, was Sie tun müssen, ist sicherzustellen, dass Sie den gesamten Lebenszyklus eines Datensatzes verstehen. Das bedeutet, dass Sie wissen müssen, welche Informationen Sie sammeln, warum Sie sie sammeln, wann Sie sie sammeln, wo Sie sie speichern, wie lange Sie sie aufbewahren und mit wem Sie sie teilen. 

Andere Dinge, die unbedingt auf Ihrer To-do-Liste stehen sollten, sind:

  • Einschränken und Aktualisieren Ihrer Zugriffsberechtigungsstrukturen (Sie wären überrascht, wie viele Unternehmen vergessen, ehemalige Mitarbeiter aus ihren Systemen zu entfernen)
  • Stärkung der Software-/Hardware-Aktualisierungs- und Patch-Prozesse Ihres Unternehmens, damit Ihre Systeme nicht anfällig für Hacks werden
  • Erstellen von Unternehmensrichtlinien für sichere Passwörter, VPN-Nutzung (kein öffentliches WLAN!) und die Trennung von geschäftlichen und privaten Geräten
  • Verschlüsseln von Daten im Ruhezustand und bei der Übertragung an andere Unternehmen.

Nachdem Sie diese Schritte ausgeführt haben, ziehen Sie eine Datenschutz- und Sicherheitsbewertung für Ihr System in Betracht und für jeden Ihrer Dienstleister.

Warum CCPA wirklich, Wirklich Angelegenheiten

CCPA ist nur der Anfang. Es ist Amerikas erstes umfassendes Datenschutzgesetz, aber es ist noch lange nicht das letzte. Die CCPA-Konformität ermöglicht es Ihrem Unternehmen, sich schnell an die Veränderungen anzupassen, die sich bereits am Horizont abzeichnen. 

Weitere Datenschutzbestimmungen sind auf dem Weg

CCPAs Nachfolger, die California Privacy Records Act (CPRA), wurde bereits von kalifornischen Wählern verabschiedet. CPRA klärt vage Abschnitte des CCPA, fügt zusätzlichen Verbraucherschutz hinzu und fügt Ihrem Unternehmen eine zivilrechtliche Haftung hinzu, wenn eine Datenschutzverletzung die sensiblen persönlichen Daten Ihrer Kunden offenlegt. 

Unter Ausschluss des Zugriffsrechts gilt das CPRA in seiner jetzigen Fassung für die personenbezogenen Daten, die Sie von Ihren Kunden am oder nach dem 1. Januar 2022 erfassen müssen bis Ende 2023 in der Lage sein, einzelne Datensätze effektiv nachzuverfolgen. 

Die CCPA-Konformität wird dies effektiv erreichen und Ihren Weg zur CPRA-Konformität viel einfacher machen.

CPRA hat auch die Wahrscheinlichkeit drastisch erhöht, dass wir robuste Durchsetzungsmaßnahmen sehen werden, indem die California Privacy Protection Agency gegründet und finanziert wird, die über erhebliche Mittel und Personal verfügen wird, um Datenschutzbeschwerden zu bearbeiten. Mit der CCPA-Durchsetzung, die vom Büro des kalifornischen Generalstaatsanwalts verwaltet wird, konnten Unternehmen einer Überprüfung entgehen oder verhindern, dass ihnen Datenschutzverletzungen zugetragen werden. Dies wird mit dem erhöhten Prüfungsniveau der CPRA erheblich weniger wahrscheinlich sein.

Datenschutzbestimmungen in anderen Staaten

Nevada, Maine, Massachusetts, New York, Vermont und Illinois haben ebenfalls Datenschutzgesetze in Kraft, obwohl sie sich in vielerlei Hinsicht vom CCPA unterscheiden und nicht als umfassendes Datenschutzgesetz gelten. Andere Staaten haben aktive Rechnungen anhängig. Selbst wenn keines dieser anhängigen Gesetze den kalifornischen Standards entspricht, stehen die Chancen sehr gut, dass es in Ihrem Bundesstaat in den nächsten fünf Jahren eine Regulierung geben wird. Wenn Sie Ihr Unternehmen jetzt CCPA-konform machen können, wird die Erfüllung zukünftiger Anforderungen schneller, effizienter und kostengünstiger.

Bußgelder, Gebühren, einstweilige Verfügungen, oh mein Gott!

Nichts ist schlimmer für den E-Commerce als eine Datenschutzverletzung. Hacks führen oft zu peinlich schlechter Publicity, aber sie schaden auch Ihrem Ruf bei den Verbrauchern, was sich in Umsatzeinbußen und Umsatzeinbußen niederschlägt.

Es geht jedoch nicht nur um das Vertrauen der Verbraucher. Die Nichteinhaltung stellt auch ein echtes finanzielles Risiko dar, das Ihre Reserven aufzehren könnte, während Ihre Umsätze sinken.

Unter CCPA kann das Versäumnis, Nichteinhaltungsprobleme innerhalb von 30 Tagen nach der Benachrichtigung zu lösen, zu einer einstweiligen Verfügung führen, die Ihr Unternehmen schließen könnte. Sie könnten mit einer Strafe von 2,500 bis 7,000 US-Dollar pro Datensatz vom Bundesstaat Kalifornien belegt werden. Die CCPA-Schwelle für die Datenerfassung liegt bei 50,000 Datensätzen pro Jahr. Selbst für einen Bruchteil dieser vielen Platten 2,500 oder 7,500 Dollar in Rechnung zu stellen, ist eine Menge Geld.

Darüber hinaus können einzelne Kunden Sie direkt verklagen, wenn ein Verstoß gegen nicht redigierte oder nicht verschlüsselte Daten in Höhe von 100 bis 750 US-Dollar pro Datensatz vorliegt. 

Ausbildung, Ausbildung, Ausbildung

Das schätzt die Forschung 30 % aller Hacks kann auf internes menschliches Versagen zurückgeführt werden und fast 95 % der Cloud-basierten Sicherheitsverletzungen versehentlich durch Mitarbeiterfehler verursacht werden.

Selbst großartige Datenschutzprogramme werden scheitern, wenn Ihre Mitarbeiter und Lieferanten es nicht verstehen. Beginnen Sie jetzt mit der Schulung Ihrer Mitarbeiter zur CCPA-Compliance und Best Practices zum Datenschutz. Wenn Ihre Anbieter Ihre Erwartungen nicht erfüllen können oder wollen, finden Sie neue. 

Bevor Sie denken, dass der Datenschutz ausschließlich der Welt der IT-Mitarbeiter gehört, denken Sie daran, in was für einer vernetzten, hyperverlinkten Welt des Informationsaustauschs wir leben Marketingabteilung an Ihr Vertriebsteam an Ihre Kundendienstmitarbeiter, die Einhaltung der Datenschutzbestimmungen und Schulungen sollten auf jeder Ebene Ihres Unternehmens angesprochen werden. 

Es braucht Zeit, um eine starke Kultur des Datenschutzbewusstseins zu entwickeln, also verschwenden Sie nicht noch mehr davon.

Sei der Gute

Verbraucherdaten sind nicht nur ein Werkzeug – sie sind die wertvollste Währung der Welt. Sie müssen es genauso sorgfältig schützen wie Ihre Patente, Urheberrechte und Produktformeln. Selbst wenn CCPA technisch gesehen nicht auf Sie zutrifft, haben Verbraucher wenig Toleranz gegenüber Unternehmen, die schnell und locker mit ihren persönlichen Daten spielen.

Anstatt Datenschutzanforderungen als Kostenstelle zu betrachten, betrachten Sie sie als zentralen Mehrwert, der Vertrauen bei Ihren Kunden aufbaut und ihre Erfahrung individualisiert.

Aufbau Ihrer digitalen Zukunft

Digitales Vertrauen oder wie viel Vertrauen die Nutzer haben, dass ein Unternehmen sich online ethisch korrekt verhält, wird in den nächsten zehn Jahren ein zentrales Verbraucherthema sein. Wenn Sie jetzt CCPA-konform sind, schaffen Sie die starke Grundlage, die Sie benötigen, um sich in Echtzeit an die Datenschutzinfrastruktur anzupassen, die um Sie herum aufgebaut wird. Anstatt sich einzusperren, bauen Sie das Gerüst für die Datenschutzpraxis auf, das Ihnen auf lange Sicht Zeit und Geld spart.

Was denken Sie?

Diese Seite verwendet Akismet, um Spam zu reduzieren. Erfahren Sie, wie Ihre Kommentardaten verarbeitet werden.