CCPA vs. DSGVO: Datenschutzgesetze in Europa und den USA | Actonic GmbH

CCPA vs. DSGVO: Datenschutzgesetze in Europa und den USA

Die Datenregulierungslandschaft ändert sich ständig, da neue Gesetze und Regeln rasch verabschiedet werden. Kaum hatte sich die Welt mit der DSGVO abgefunden, hat Kalifornien beschlossen, ihren Datenschutz zu verbessern und in den USA einen neuen Standard zu setzen.

Das kalifornische Verbraucherschutzgesetz (CCPA) trat am 1. Januar 2020 in Kraft. Es ist das erste umfassende Gesetz in den USA, das den Menschen die Kontrolle über die Verwendung ihrer personenbezogenen Daten gibt, und es wird wahrscheinlich zum nationalen Standard in Bezug auf Datenschutz. Da Kalifornien die fünftgrößte Volkswirtschaft der Welt ist und Giganten wie Google, Facebook und Yahoo beheimatet, könnte sich herausstellen, dass die Auswirkungen dieses neuen Gesetzes noch größer sind als die der DSGVO. In diesem Artikel werden wir uns das neue kalifornische Verbraucherschutzgesetz und seine Anforderungen genauer ansehen und es mit der DSGVO vergleichen.

 

Für wen gilt die CCPA und welche Art von Daten sind geschützt?

Die CCPA gilt für jedes Unternehmen, das in Kalifornien geschäftlich tätig ist, wenn es

 

  • personenbezogene Daten von 50.000 oder mehr Verbrauchern kauft und verkauft
  • einen Jahresumsatz von mindestens 25.000 USD erzielt oder
  • mehr als die Hälfte seines Umsatzes mit dem Verkauf personenbezogener Daten erzielt.

Laut CCPA handelt es sich bei personenbezogenen Daten um „Informationen, die einen bestimmten Verbraucher oder Haushalt identifizieren, sich auf ihn beziehen, ihn beschreiben, mit ihm in Verbindung gebracht werden können oder mit ihm direkt oder indirekt in Verbindung gebracht werden können“. Dazu gehören:

 

  • PII (Name, Adresse, E-Mail-Adresse, Telefonnummer usw.),
  • Biometrische Informationen (Fingerabdrücke, DNA usw.),
  • Geolokalisierungsdaten,
  • Informationen zu Internetaktivitäten (Suchverlauf usw.),
  • Bildungs- oder beschäftigungsbezogene Informationen usw.

Mit anderen Worten, die CCPA definiert personenbezogene Daten viel umfassender als die DSGVO, was bedeutet, dass Unternehmen jetzt vor einer noch größeren Herausforderung bei der Einhaltung von Vorschriften stehen.

 

Was sind die Rechte und Strafen im Rahmen der CCPA?

Die CCPA wurde entwickelt, um mehr Transparenz und Privatsphäre zu fördern, und berechtigt die Kalifornier zu einer Reihe neuer Rechte:

 

  • Das Recht zu wissen, welche persönlichen Daten gesammelt und verarbeitet werden. Dies bedeutet, dass Unternehmen Benutzer benachrichtigen müssen, wenn sie ihre persönlichen Daten sammeln.
  • Das Recht zu wissen, ob und an wen ihre persönlichen Daten verkauft oder weitergegeben werden. Dies bedeutet, dass Benutzer möglicherweise verlangen, über die Art von Dritten informiert zu werden, an die ihre persönlichen Daten weitergegeben werden, und über die Art der Informationen, die weitergegeben wurden.
  • Das Recht, ihre persönlichen Daten löschen zu lassen. Dies bedeutet, dass jeder Benutzer ein Unternehmen auffordern kann, alle über ihn gesammelten Daten zu löschen.
  • Das Recht, den Verkauf ihrer persönlichen Daten abzulehnen. Dies bedeutet, dass Benutzer den Verkauf ihrer persönlichen Daten an Dritte verbieten können. Mit anderen Worten, Unternehmen sind verpflichtet, auf ihrer Website die Schaltfläche „Meine persönlichen Daten nicht verkaufen“ zu haben. Wenn ein Benutzer darauf klickt, kann das Unternehmen seine persönlichen Daten nicht an Dritte, einschließlich Werbetreibende, verkaufen.
  • Das Recht, auf ihre persönlichen Daten zuzugreifen. Benutzer können einen Bericht über die vom Unternehmen gesammelten personenbezogenen Daten anfordern, der innerhalb von 45 Tagen kostenlos zur Verfügung gestellt werden muss.
  • Das Recht, nicht diskriminiert zu werden, auch wenn sie ihre Datenschutzrechte ausgeübt haben. Dies bedeutet, dass ein Unternehmen die Bereitstellung eines Dienstes nicht verweigern oder zusätzliche Gebühren erheben kann, wenn ein Benutzer beschließt, seine Rechte aus dem CCPA auszuüben.

 

CCPA vs. DSGVO: Datenschutzgesetze in Europa und den USA
DSGVO und CCPA: Datenschutzrechte

Abgesehen davon stellt die CCPA hohe Anforderungen an die Datenanonymisierung. Nach dem neuen Gesetz und seiner Definition personenbezogener Daten können pseudonymisierte Daten weiterhin als personenbezogene Daten betrachtet werden, da sie auf einen bestimmten Benutzer zurückgeführt werden können.

Die Nichteinhaltung des CCPA kann zu hohen Geldstrafen führen – 7.500 USD pro vorsätzlichem Verstoß, 2.500 USD pro unbeabsichtigtem Verstoß und 750 USD pro betroffenem Benutzer. In Anbetracht der Anzahl der Benutzer, die von einem Verstoß betroffen sind, können Bußgelder Millionen von Dollar betragen.

 

CCPA vs DSGVO: Was sind die wichtigsten Gemeinsamkeiten?

Obwohl die CCPA und die DSGVO darauf abzielen, die Grundprinzipien des Datenschutzes umzusetzen, sollten sie nicht als einzelnes Dokument behandelt werden. Beide Standards zeichnen sich durch Folgendes aus:

 

  • Extraterritoriale Reichweite, was bedeutet, dass sowohl die CCPA als auch die DSGVO für Unternehmen außerhalb ihrer Gerichtsbarkeit gelten können.
  • Gewährte Rechte: Beide Dokumente gewähren Benutzern das Recht, ihre persönlichen Daten löschen zu lassen und zu erfahren, wann ihre persönlichen Daten gesammelt, gespeichert und an Dritte weitergegeben werden.
  • Finanzielle Sanktionen: Die Nichtbeachtung führt zu hohen Geldstrafen.
  • Unternehmen müssen sowohl organisatorische als auch technische Maßnahmen ergreifen, um die Einhaltung der DSGVO und der CCPA sicherzustellen.

 

CCPA vs DSGVO: Was sind die wichtigsten Unterschiede?

Obwohl die CCPA oft als amerikanische Version der DSGVO bezeichnet wird, weist sie eine Reihe von Unterschieden auf, die berücksichtigt werden sollten. Erstens werden personenbezogene Daten im Rahmen des CCPA viel weiter gefasst. Wenn es um personenbezogene Daten geht, konzentriert sich die DSGVO hauptsächlich auf eine Person, während die CCPA auch Informationen enthält, mit denen ein Haushalt oder das Verhalten einer Person als Verbraucher identifiziert werden kann. Für Unternehmen bedeutet dies, dass sie versuchen sollten, alle möglichen Arten von Benutzerdaten abzudecken.

Zweitens, wenn wir uns die Unternehmen ansehen, die die Anforderungen erfüllen müssen, werden wir feststellen, dass die CCPA einen viel engeren Geltungsbereich hat. Während die DSGVO für jedes Unternehmen gilt, das personenbezogene Daten von Benutzern sammelt und verarbeitet, gilt die CCPA nur für Unternehmen, die gewinnorientiert arbeiten und einen Großteil ihres Einkommens durch den Kauf oder Verkauf personenbezogener Daten erzielen. Somit sind gemeinnützige Organisationen von den neuen Regeln nicht betroffen.

Schlussendlich sind die von der DSGVO und der CCPA gewährten Kernrechte zwar ähnlich, aber nicht identisch. Die Hauptanforderung des CCPA besteht darin, dass Unternehmen Benutzer informieren müssen, wenn ihre Daten an Dritte verkauft werden, und die Benutzer diesen Verkauf ablehnen können. Dieser Aspekt ist derzeit in der DSGVO nicht geregelt. Andererseits gewährt die CCPA im Gegensatz zur DSGVO kein Recht auf Berichtigung personenbezogener Daten, und die Anforderung zur Datenminimierung wird nicht auferlegt.

 

Was können Sie tun, um die Einhaltung sicherzustellen?

Insgesamt spiegelt die CCPA den globalen Trend zu mehr Sicherheit personenbezogener Daten wider. Für Unternehmen, die große Mengen an persönlichen Informationen verarbeiten, werden Transparenz und Verbrauchervertrauen zu einem wichtigen Bestandteil des Geschäfts. Nach einer Reihe hochkarätiger Datenschutzverletzungen nehmen die Regierungen auch den Datenschutz sehr ernst. Die europäische DSGVO, die amerikanische CCPA und das japanische Gesetz zum Schutz personenbezogener Daten sind bereits in Kraft getreten, und viele weitere stehen vor der Tür. Angesichts all dessen scheint es, dass Unternehmen sich darauf vorbereiten sollten, strengere Datenschutzanforderungen zu erfüllen.

Obwohl eine echte Durchsetzung des CCPA erst im Juli 2020 wahrscheinlich ist, ist es an der Zeit, dass Unternehmen ihre Richtlinien und Prozesse überarbeiten und geeignete Maßnahmen ergreifen, um den neuen Standard einzuhalten. Der beste Ansatz zur Gewährleistung der Einhaltung der CCPA besteht darin, eine umfassende Datenschutzstrategie festzulegen und über die richtigen Tools nachzudenken.

Wenn Sie Jira oder Confluence in Ihrem Unternehmen verwenden, können unsere Plugins GDPR (DSGVO) and Security for Jira und GDPR (DSGVO) and Security for Confluence die Antwort sein. Ursprünglich entwickelt, um die GDPR-Anforderungen zu erfüllen, bieten sie Funktionen, die darüber hinausgehen und alle Ihre CCPA-Anforderungen abdecken können. Mit über 100 PII-Suchmustern ist das Auffinden und Anonymisieren persönlicher Informationen so einfach wie nie. Dies ist entscheidend, wenn Sie vollständig CCPA-konform sein möchten. Starten Sie noch heute Ihre kostenlose Testversion und lassen Sie uns Sie unterstützen, während Sie sich auf Ihr Geschäft konzentrieren.

 

 


 

Weitere Informationen zur Einhaltung der DSGVO finden Sie in den Artikeln dieser Reihe:

 

 

 

Lassen Sie uns in Kontakt bleiben!

Folgen Sie uns auf LinkedIn, Facebook, XING und Twitter und abonnieren Sie unseren Newsletter, um regelmäßig Updates, Tipps und Angebote direkt in Ihr Postfach zu erhalten.