Ende Juni 2018 verabschiedete Kalifornien AB 375, ein Verbraucherschutzgesetz, das mehr Auswirkungen auf US-Unternehmen haben könnte als die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union, die im Mai 2018 in Kraft trat. Das kalifornische Gesetz enthält nicht einige der belastendsten Anforderungen der DSGVO, z. B. das enge 72-Stunden-Fenster, in dem ein Unternehmen einen Verstoß melden muss. In anderer Hinsicht geht es jedoch noch weiter.
CCPA vertritt eine breitere Sicht als die DSGVO auf private Daten., Die Herausforderung für die Sicherheit besteht also darin, diese privaten Daten zu lokalisieren und zu sichern.
Was ist der CCPA?
Das California Consumer Privacy Act (CCPA) ist ein Gesetz, das es jedem kalifornischen Verbraucher ermöglicht, alle Informationen anzuzeigen, die ein Unternehmen auf ihnen gespeichert hat, sowie eine vollständige Liste aller Dritten, mit denen Daten geteilt werden. Darüber hinaus erlaubt das kalifornische Gesetz Verbrauchern, Unternehmen zu verklagen, wenn die Datenschutzrichtlinien verletzt werden, auch wenn kein Verstoß vorliegt.,
Auf welche Unternehmen wirkt sich der CCPA aus?
Alle Unternehmen, die dazu dienen, den Einwohnern Kaliforniens und haben mindestens $25 Millionen in jährlichen Einnahmen, die das Gesetz einzuhalten. Darüber hinaus fallen Unternehmen jeder Größe, die über personenbezogene Daten von mindestens 50.000 Personen verfügen oder mehr als die Hälfte ihrer Einnahmen aus dem Verkauf personenbezogener Daten erzielen, ebenfalls unter das Gesetz. Unternehmen müssen nicht in Kalifornien ansässig sein oder dort physisch präsent sein, um unter das Gesetz zu fallen. Sie müssen nicht einmal in den USA ansässig sein.,
Eine im April vorgenommene Änderung befreit „Versicherungsinstitute, Agenten und Unterstützungsorganisationen“, da sie bereits ähnlichen Vorschriften gemäß Kaliforniens Insurance Information and Privacy Protection Act (IIPPA) unterliegen.
Wann muss mein Unternehmen die CCPA einhalten?
Das Gesetz trat am 1.Januar 2020 in Kraft, die Durchsetzung begann jedoch am 1. Juli.
Was passiert, wenn mein Unternehmen die CCPA nicht einhält?
Unternehmen haben 30 Tage Zeit, sich an das Gesetz zu halten, sobald die Aufsichtsbehörden sie über einen Verstoß informieren., Wenn das Problem nicht behoben wird, wird eine Geldstrafe von bis zu 7,500 USD pro Datensatz verhängt. „Wenn Sie darüber nachdenken, wie viele Datensätze von einem Verstoß betroffen sind, steigt dieser sehr schnell an“, sagt Debra Farber, Senior Director für Datenschutzstrategie bei BigID. Da das Gesetz in nur einer Woche zusammengestellt und verabschiedet wurde, wird es wahrscheinlich einige Änderungen geben, fügt sie hinzu. „Dinge wie die feinen Beträge werden sich wahrscheinlich ändern.“
Es gibt auch ein weiteres potenzielles finanzielles Risiko, Farber sagt. „Der Gesetzentwurf sieht zum ersten Mal das Recht einer Person vor, zu klagen“, sagt sie. „Und es erlaubt Sammelklagen auf Schadensersatz.,“
Auch hier gibt es ein 30-Tage-Fenster, das beginnt, wenn die Verbraucher einem Unternehmen schriftlich mitteilen, dass sie glauben, dass ihre Datenschutzrechte verletzt wurden. „Wenn es nicht geheilt ist und der Generalstaatsanwalt die Verfolgung ablehnt, können sie eine Sammelklage einreichen“, sagt Farber. „Und es geht nicht nur um Verletzungen.“
Das Gesetz legt beispielsweise fest, dass Unternehmen auf Websites über eine deutlich sichtbare Fußzeile verfügen müssen, die Verbrauchern die Möglichkeit bietet, die Datenfreigabe abzulehnen. Wenn diese Fußzeile fehlt, können Verbraucher klagen., Sie können auch klagen, wenn sie nicht herausfinden können, wie ihre Informationen gesammelt wurden, oder Kopien dieser Informationen erhalten. „Es kann um alles gehen“, sagt Farber.
Das Gesetz weist bestimmte Strafen zu, falls unbefugter Zugriff auftritt, sei es durch eine Verletzung, Exfiltration, Diebstahl oder „Offenlegung als Folge der Verletzung der Pflicht des Unternehmens, angemessene Sicherheitsverfahren und-praktiken einzuführen und aufrechtzuerhalten“, Wie derzeit geschrieben, AB 375 ermöglicht Strafen von 100 bis 750 USD pro Verbraucher und Vorfall oder tatsächlichen Schäden, je nachdem, welcher Wert höher ist.,
„Fügen Sie alle anderen Kosten für Verstöße hinzu-IT-Reaktion, Forensik und Wiederherstellung, Recht, Benachrichtigung usw.-und dies könnte einen Verstoß in den Bereich einer existenziellen Bedrohung für viele Unternehmen bringen“, sagt Chris Prevost, Leiter Runtime Security Solutions Architecture bei Imperva.
Wenn ein Unternehmen die erforderlichen Schritte zur Einhaltung der DSGVO unternommen hat, ist dies im Allgemeinen der beste Weg für das California Consumer Privacy Act. Zumindest ist es näher, als wenn es nicht bereit für die DSGVO ist, sagt Eric Dieterich, Leiter der Datenschutzpraxis bei Focal Point Data Risk, LLC., „Einige multinationale Unternehmen haben Änderungen für ihre europäischen Märkte vorgenommen, diese jedoch möglicherweise nicht auf Aktivitäten in den USA ausgeweitet, sodass es möglicherweise zu einer Umfangsänderung kommt“, sagt er.
Welche Daten deckt der CCPA ab?
Das kalifornische Gesetz verfolgt einen umfassenderen Ansatz für sensible Daten als die DSGVO. Beispielsweise werden olfaktorische Informationen sowie der Browserverlauf und Aufzeichnungen der Interaktionen eines Besuchers mit einer Website oder Anwendung behandelt.,ometrische Informationen
Eine Änderung, AB 874, die derzeit auf die Unterschrift des Gouverneurs wartet, würde öffentlich zugängliche, identifizierte und aggregierte Verbraucherinformationen von der Einstufung als PII befreien., Öffentlich verfügbare Informationen sind als verfügbare Daten definiert und werden aus Regierungsakten verwaltet.
Der CCPA deckte ursprünglich sowohl Mitarbeiter-als auch Verbraucherdaten ab. Eine im April verabschiedete Änderung befreit jedoch Mitarbeiterdaten von der Verordnung. Eine weitere Änderung, AB 25, befreit personenbezogene Daten, die von Bewerbern, Eigentümern, Direktoren, leitenden Angestellten, medizinischem Personal und Auftragnehmern gesammelt wurden, teilweise. Diese Befreiung läuft zum 1. Januar 2021 aus. AB 25 wartete auf die Unterschrift des Gouverneurs bei diesem Schreiben.
Was sind die wichtigsten Datenschutzbestimmungen im CCPA?,
Unternehmen müssen den Verbrauchern erlauben, ihre Daten nicht an Dritte weitergeben zu lassen. Das bedeutet, dass Unternehmen nun in der Lage sein müssen, die von ihnen erfassten Daten entsprechend den Datenschutzentscheidungen der Benutzer zu trennen.
Darüber hinaus kann ein Unternehmen Nutzern, die persönliche Informationen bereitstellen, zwar nicht den gleichen Service verweigern, aber Anreize für Benutzer bieten, die persönliche Informationen bereitstellen. „Diese Bestimmung kann sich ändern, aber wie heute angegeben, können Sie Personen, die bereit sind, ihre Daten gemeinsam zu nutzen oder an Dritte zu verkaufen, Rabatte gewähren“, sagt Dieterich., „Traditionell sind Systeme nicht so konzipiert, dass sich Ihre Preisstruktur abhängig von Ihren Datenschutzentscheidungen ändern kann. Das ist ein neues Konzept, das sehr technische Implikationen hat.“
Ein weiterer großer Unterschied zur DSGVO besteht darin, dass das kalifornische Gesetz den Kunden einen viel besseren Zugang zu ihren Aufzeichnungen ermöglicht, sagt Subra Ramesh, SVP of Products bei Dataguise. Ein kalifornischer Verbraucher hat das Recht herauszufinden, welche Informationen ein Unternehmen über ihn sammelt. Die meisten Unternehmen werden Probleme haben, diese Informationen zusammen zu ziehen., „Erstens ist die Menge an Daten, die sie sammeln, bereits massiv und wächst weiter, oft in Hunderten bis Tausenden von Terabyte, und mit Organisationen auf Unternehmensebene, die Petabyte an Daten verarbeiten“, sagt er.
Diese Daten sind in mehreren Speicherplattformen in verschiedenen Dateizeiten enthalten. „Den meisten Dateisuchwerkzeugen fehlt es an der Fähigkeit, in den modernen Dateirepository-Ökosystemen zu suchen, die heute weit verbreitet sind“, sagt Aaron Ganek, CEO von Cloudtenna. „Die siloübergreifende Dateiverwaltung ist eine große Herausforderung., Es ist schwierig, den Kontext für jede Datei zu verstehen, wenn sie in verschiedenen Repositorys verstreut sind.“Außerdem sind Compliance-Probleme mit dem Zusammenziehen von Daten verbunden, sagt er. „Legacy-Enterprise-Tools haben Schwierigkeiten, die unterschiedlichen Berechtigungs-und Sicherheitsmodelle zu beachten, was gegen die Gesetze und Vorschriften verstößt, die sie erfüllen.“
Dann gibt es das Zeitlimit., „Nach der Zugriffsanforderung hat ein Unternehmen 45 Tage Zeit, um ihnen einen umfassenden Bericht darüber vorzulegen, über welche Art von Informationen es verfügt, an wen und an wen es verkauft wurde und ob es in den letzten 12 Monaten an Dritte verkauft wurde, Es muss die Namen und Adressen der Dritten angeben, an die die Daten verkauft werden“, sagt John Tsopanis, Datenschutzproduktmanager bei 1touch.io. „Das kannst du in Europa nicht tun.“
Da die Regel die letzten 12 Monate der Aufzeichnungen abdeckt, müssen Unternehmen in sechs Monaten mit der Einhaltung beginnen, sagt er., Dann, am 1. Januar 2020, muss jedes Unternehmen jedes andere Unternehmen, an das es Daten verkauft, offenlegen. „Es wird die Datenschutzlandschaft in Amerika für immer verändern“, sagt Tsopanis.
Was bedeutet der CCPA für die Sicherheit?
AB 375 beleuchtet die Anforderungen an Sicherheit und Reaktion auf Verstöße im Vergleich zur DSGVO. Wie bereits erwähnt, definiert das Gesetz Strafen für Unternehmen, die Verbraucherdaten aufgrund eines Verstoßes oder eines Sicherheitslücks offenlegen. Es erlaubt auch Gerichten, „Unterlassungs-oder deklaratorische Erleichterung“ oder „jede andere Erleichterung, die das Gericht für angemessen hält“ anzubieten.,“
Unternehmen müssen Verstöße im Rahmen von AB 375 nicht melden, und Verbraucher müssen Beschwerden einreichen, bevor Geldbußen möglich sind. Die beste Vorgehensweise für die Sicherheit besteht also darin, zu wissen, welche Daten ABI als private Daten definiert, und Schritte zu unternehmen, um sie zu sichern. Auch hier muss jede Organisation, die die DSGVO einhält, wahrscheinlich keine weiteren Maßnahmen ergreifen, um ABI in Bezug auf die Datensicherheit einzuhalten.,
Die hohen Anforderungen an die Verfolgung, den Zugriff und die Speicherung von Daten bedeuten, dass Sicherheitsteams eng mit Datenbankadministratoren zusammenarbeiten müssen, sagt Terry Ray, Senior Vice President und Fellow bei Imperva, einem Anbieter von Cybersicherheit. Alle Tools, die ausgewählt wurden, um mit Missbräuchen umzugehen, müssen nicht nur die vollständige Transparenz der gespeicherten Daten in der gesamten heterogenen Unternehmensumgebung gewährleisten, sondern auch sicherstellen, dass der Zugriff auf diese Daten ordnungsgemäß gesichert ist., „Schließlich werden sie diese Tools benötigen, um mit dem neuen Verbraucherportal zusammenzuarbeiten, indem sie bestimmte Verbraucherdaten mit dem überprüfbaren Verbraucher teilen, der sie anfordert“, sagt er.
Wenn die Daten bei Cloud-Anbietern gespeichert werden, wird das Problem nur noch schlimmer. Beispielsweise können Mitarbeiter ein Filesharing-Konto einrichten, um Marketing-oder Vertriebskontakte zu verfolgen. „Es ist nicht verwunderlich, dass sich große Technologieunternehmen wie Google und Facebook gegen die Gesetzesvorlage ausgesprochen haben“, sagt Kevin Bocek, Vice President für Sicherheitsstrategie und Threat Intelligence bei Venafi., „Die Kontrolle der Privatsphäre und der persönlichen Informationen, die zwischen Maschinen fließen, ist unglaublich schwierig und eine große Herausforderung für alle Unternehmen.“
Ein Work in progress
Der Gesetzentwurf wurde in nur sieben Tagen erstellt, weil der Gesetzgeber eine Wahlinitiative vermeiden wollte, um ein noch strengeres Gesetz zu verabschieden, das von vielen Technologieunternehmen abgelehnt wurde. „Im Moment stehen viele der Bestimmungen und Definitionen in Konflikt miteinander“, sagt Andy Dale, General Counsel und Vice President of Global Privacy bei SessionM.,
Ein problematischer Bereich ist, ob ein Unternehmen den Verbrauchern aufgrund ihrer Datenschutzeinstellungen unterschiedliche Preise berechnen kann. Zum Beispiel haben viele Unternehmen eine Option, bei der ein Verbraucher auf eine kostenpflichtige Stufe upgraden kann, in der er keine Anzeigen sieht. Hier ist das Gesetz wie derzeit geschrieben ein wenig widersprüchlich.
„Wenn der Verbraucher seine Rechte gemäß der Verordnung ausübt, können Unternehmen dem Verbraucher kein anderes Niveau oder eine andere Qualität von Produkten, Waren oder Dienstleistungen anbieten“, sagt Pravin Kothari, CEO von CipherCloud., „Auf der anderen Seite der Medaille ist es Unternehmen nach der Verordnung nicht untersagt, einem Verbraucher einen anderen Preis oder Satz in Rechnung zu stellen oder dem Verbraucher ein anderes Niveau oder eine andere Qualität von Waren oder Dienstleistungen anzubieten, wenn dieser Unterschied vernünftigerweise mit dem Wert zusammenhängt, der dem Verbraucher durch die Daten des Verbrauchers zur Verfügung gestellt wird.“
Es sieht so aus, als würde Kalifornien versuchen, einen Rahmen zu definieren, in dem Verbraucher für den Austausch ihrer Daten bezahlt werden können, sagt Kothari. „In diesem Bereich ist die Gesetzgebung ein bisschen visionär“, sagt er. „Wir werden in der Praxis sehen, wie das tatsächlich funktioniert.,“
Mehr zu CCPA:
- 9 CCPA-Fragen Jeder CISO sollte bereit sein,
- zu beantworten Die CCPA ist eine Gelegenheit, Ihr Datensicherheitshaus in Ordnung zu bringen
- Was ist „angemessene Sicherheit“? Und wie man die Anforderung erfüllt
- Nehmen Sie ernst mit Verbraucherdatenschutz
- Wie sich das Eigentum der Bürger an Daten auf das zukünftige Geschäft auswirkt