Ein Blick auf das Colorado Privacy Act: Vorhersagen zur Zukunft des Benutzerdatenschutzes
Veröffentlicht: 2021-09-16
Im vergangenen Juli verabschiedete Colorado den Colorado Privacy Act (CPA) und ist damit nach Kalifornien, Nevada und Virginia der vierte Bundesstaat, der umfassende Datenschutzgesetze in den USA erlassen hat.
Während sich das CPA und ähnliche Gesetze im Laufe der Zeit ändern werden, bleibt die Frage: Sollten Unternehmen anfangen, auf die Einhaltung jedes neuen Einzelgesetzes hinzuarbeiten, oder sollten sie eine Art Plan aufstellen, durch den die Rechte der Benutzer in jedem Fall geschützt bleiben geschieht in Bezug auf politische Änderungen?
Mit den einzigartigen Datenschutzbestimmungen jedes Bundesstaates wird es für Unternehmen immer schwieriger, den Überblick über diese Änderungen zu behalten, die Einhaltung sicherzustellen und Strafen zu vermeiden.
Um diesen Prozess zu vereinfachen, werden wir einige aktuelle Beispiele aus verschiedenen Staaten vergleichen und einen Einblick geben, wie sie sich auf Geschäftspraktiken sowie zukünftige Trends beim Schutz von Benutzerdaten auswirken könnten.
In diesem Blogbeitrag werfen wir einen Blick auf den Colorado Privacy Act und wie er im Vergleich zu anderen Datenschutzgesetzen abschneidet, wie Nevadas SB20, Virginias CDPA, Kaliforniens CPPA und dem neuesten CPRA sowie der europäischen DSGVO.
Zunächst finden Sie hier eine Zusammenfassung aller wichtigen Bestimmungen dieser Gesetze:
| Wichtige Bestimmungen | Colorado CPA | Nevada SB220 | Virginia CDPA | Kalifornien CDPA + CPRA | Europa DSGVO | ||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Verarbeitungsfähigkeit | |||||||||||||||||||||||||||||||||||
| Datenminimierung | Ja | Ja | Nein | Ja | |||||||||||||||||||||||||||||||
| Zulässiger Zweck | Ja | Ja | Nein | Ja | |||||||||||||||||||||||||||||||
| Individual Rechte | |||||||||||||||||||||||||||||||||||
| Recht auf Mitteilung über Verarbeitungstätigkeiten | Ja | Ja | Ja | Ja | Ja | ||||||||||||||||||||||||||||||
| Recht auf Zugang zu personenbezogenen Daten | Ja | Ja | Ja | Ja | |||||||||||||||||||||||||||||||
| Recht auf Datenübertragbarkeit (d. h. Daten müssen in einem leicht verwendbaren Format bereitgestellt werden, damit sie von einer Entität/Plattform auf eine andere übertragen werden können) | Ja | Ja | Ja | Ja | |||||||||||||||||||||||||||||||
| Recht auf Berichtigung von Fehlern in personenbezogenen Daten | Ja | Ja | Nein | Ja | |||||||||||||||||||||||||||||||
| Recht auf Löschung personenbezogener Daten | Ja | Ja | Ja | Ja | |||||||||||||||||||||||||||||||
| Recht auf Deaktivierung von verhaltensbasierter Werbung | Nein | Ja | Nein | Ja | |||||||||||||||||||||||||||||||
| Widerspruchsrecht gegen automatisierte Profilerstellung und Entscheidungsfindung | Nein | Ja | Nein | Ja | |||||||||||||||||||||||||||||||
| Recht auf Nichtdiskriminierung bei der Ausübung dieser Rechte | Ja | Ja | Ja | Ja | |||||||||||||||||||||||||||||||
| Recht auf Widerspruch gegen den Verkauf personenbezogener Daten | Ja | Ja | Ja | Ja | Nein | ||||||||||||||||||||||||||||||
| Opt-in oder Opt-out für die Verarbeitung sensibler Informationen | Anmelden | Anmelden | Ablehnen | Anmelden | |||||||||||||||||||||||||||||||
| Recht auf Beschwerde gegen die Ablehnung von Anträgen | Nein | Ja | Nein | Nein | |||||||||||||||||||||||||||||||
| Rechenschaftspflicht/Governance | |||||||||||||||||||||||||||||||||||
| Datenschutzbewertungen | Ja | Ja | Nein | Ja | |||||||||||||||||||||||||||||||
| Sicherheit | |||||||||||||||||||||||||||||||||||
| Angemessene Datensicherheit zum Schutz von Informationen | Ja | Ja | Ja | Ja | |||||||||||||||||||||||||||||||
| Benachrichtigung bei Verletzung | Ja | Ja | Ja | Ja | |||||||||||||||||||||||||||||||
| Datenübertragungen außerhalb des EWR | |||||||||||||||||||||||||||||||||||
| Zusätzliche Maßnahmen für internationale Überweisungen | Ja | Nein | Nein | Ja | |||||||||||||||||||||||||||||||
| Übertragungen an Dritte | |||||||||||||||||||||||||||||||||||
| Vertragliche Anforderungen in Dienstleistungsverträgen | Ja | Ja | Ja | Ja | |||||||||||||||||||||||||||||||
| Marketing | |||||||||||||||||||||||||||||||||||
| Einwilligung für Adtech-Cookies | Nein | Ja | Ja | Ja | |||||||||||||||||||||||||||||||
| Einwilligung vor Direktmarketing eingeholt | Ja | Nein | Nein | Ja | |||||||||||||||||||||||||||||||
| Strafverfolgungsbehörden | |||||||||||||||||||||||||||||||||||
| Generalstaatsanwalt | Generalstaatsanwalt | Generalstaatsanwalt, CPPA | DPA | ||||||||||||||||||||||||||||||||
| Operatives Datum | |||||||||||||||||||||||||||||||||||
| 1. Juli 2023 | 1. Oktober 2019 | 1. Januar 2023 | 1. Januar 2020 / 1. Januar 2023 | 25. Mai 2018 | |||||||||||||||||||||||||||||||
Was haben all diese Datenschutzgesetze gemeinsam?
Das CPA ähnelt anderen Datenschutzgesetzen wie der DSGVO, dem Gesetz von Kalifornien und dem von Virginia. Es ist jedoch nicht mit Nevada zu vergleichen, da letzteres nur ein viel eingeschränkteres Gesetz zum Verkauf bestimmter online gesammelter Daten erlassen hat, sodass es aus dem folgenden Vergleich ausgeschlossen wird.
- Datenverarbeitungsvereinbarung – Dies ist bei allen Datenschutzgesetzen üblich. Einfach ausgedrückt bedeutet dies, dass eine Organisation eine Rechtsvorlage entwerfen muss, in der die Aktivitäten zur Verarbeitung personenbezogener Daten beschrieben werden, die bei der Nutzung einer Dienstleistung oder eines Produkts stattfinden. Kurz gesagt, es geht darum, wie die Datenverarbeitung stattfinden wird, wer wofür verantwortlich ist und welche Sicherheitsmaßnahmen ergriffen werden. Wir haben bereits 2018 unsere Vorlage für die DSGVO vorbereitet, die hier verfügbar ist. Mit jedem neuen Gesetz aktualisieren wir die Musterklauseln, um sie an alle neuen Rechtsbestimmungen anzupassen.
- Eine zweite Gemeinsamkeit zwischen Datenschutzgesetzen besteht darin, dass sie alle Organisationen verpflichten, geeignete technische und organisatorische Maßnahmen zu ergreifen, um schnell und richtig zu reagieren, wenn Verbraucher ihre Rechte ausüben. Was diese Rechte sind, ist von Gesetz zu Gesetz unterschiedlich, wie in der Tabelle oben zu sehen ist, aber die Maßnahmen bleiben gleich.
- Die Meldung von Verletzungen des Schutzes personenbezogener Daten ist ein weiterer gebräuchlicher Begriff in den Gesetzen. Eine Verletzung der Sicherheit personenbezogener Daten ist jedes Ereignis, das die Vertraulichkeit, Integrität oder Verfügbarkeit personenbezogener Daten, die von einer Organisation in einem beliebigen Format gespeichert werden, beeinträchtigen kann.
Verstöße gegen die Sicherheit personenbezogener Daten können viele Gründe haben, darunter:- die Weitergabe vertraulicher Daten an unbefugte Personen;
- Verlust oder Diebstahl von Daten oder Geräten, auf denen Daten gespeichert sind;
- unangemessene Zugriffskontrollen, die eine unbefugte Nutzung von Informationen ermöglichen;
- Versuche, sich unbefugten Zugang zu Computersystemen zu verschaffen, zB Hacking; Aufzeichnungen, die ohne Genehmigung des „Eigentümers“ der Daten geändert oder gelöscht wurden;
- Viren oder andere Sicherheitsangriffe auf IT-Ausrüstungssysteme oder -Netzwerke;
- IT-Geräte unbeaufsichtigt lassen, wenn Sie bei einem Benutzerkonto angemeldet sind, ohne den Bildschirm zu sperren, um andere am Zugriff auf Informationen zu hindern;
- E-Mails mit persönlichen oder sensiblen Informationen, die irrtümlicherweise an den falschen Empfänger gesendet wurden.
- Eine weitere häufige Anforderung unter GDPR, CCPA, VCDPA und CPA ist der Prozess der Durchführung von Datenverarbeitungs-Folgenabschätzungen (DPIAs) für alle neuen Verarbeitungsprojekte mit hohem Risiko. Eine DSFA ist der Prozess der systematischen Betrachtung der potenziellen Auswirkungen, die ein Projekt oder eine Initiative auf die Privatsphäre von Einzelpersonen haben könnte. Es ermöglicht Unternehmen, potenzielle Datenschutzprobleme zu erkennen, bevor sie auftreten, und einen Weg zu finden, sie zu mindern. Die DSGVO führte zuerst obligatorische DSFAs für diejenigen Organisationen ein, die an Verarbeitungen mit hohem Risiko beteiligt sind; B. dort, wo neue Technologien eingesetzt werden, wo ein Profiling wahrscheinlich erhebliche Auswirkungen auf Einzelpersonen haben wird oder wo ein öffentlich zugänglicher Bereich in großem Umfang überwacht wird.
Um beispielsweise Ihr Recht auf Zugang zu Ihren von Convert verwendeten personenbezogenen Daten auszuüben, müssen Sie eine schriftliche Anfrage an [email protected] senden. Erwähnen Sie in der Anfrage, dass Ihre Anfrage in Ausübung Ihres Rechts auf Auskunft gemäß dem spezifischen Datenschutzgesetz gestellt wird, an dem Sie interessiert sind. Der Datenschutzbeauftragte muss auf Ihre schriftliche Anfrage antworten. Seien Sie bereit, einen Nachweis Ihrer Identität zu erbringen, den der Datenschutzbeauftragte von Ihnen verlangen sollte, um sicherzustellen, dass personenbezogene Daten nicht an die falsche Person weitergegeben werden. Der obige Prozess ist spezifisch für die DSGVO, CCPA, CPA und ist bereits auf unserer Datenschutzseite dokumentiert.
Ebenso können Sie Ihr Recht auf Datenübertragbarkeit geltend machen, wenn Sie Ihr Convert-Konto schließen, den Dienst verlassen und eine Sicherungskopie aller Ihrer Convert-Daten wünschen. Sie können eine E-Mail an die oben angegebene E-Mail-Adresse schreiben, wenn die Option zum Herunterladen der Daten nicht sofort verfügbar ist, und den Datenschutzbeauftragten um eine Sicherungskopie der für den gesamten Dienst verwendeten Daten bitten. Der DSB muss auf Ihren schriftlichen Antrag hin tätig werden.
In seinem DSGVO-Projekt hat Convert einen Leitfaden für Mitarbeiter und eine Vorlage zur Durchführung von DSFAs entwickelt. Die Vorlage mit den vorausgefüllten Screening-Fragen finden Sie hier. Diese Vorlage wurde inzwischen an neue US-Datenschutzgesetze angepasst.
Aber es gibt einige wesentliche Unterschiede!
Die DSGVO schützt personenbezogene Daten. US-Gesetze schützen hauptsächlich diejenigen Verbraucher, die sich für den Schutz ihrer personenbezogenen Daten entscheiden.
- Die Debatte über Daten vs. Verbraucherschutz bildet den Kern all dieser Datenschutzinitiativen. Es ist auch ein wichtiger Punkt, der die DSGVO von allen anderen Datenschutzgesetzen unterscheidet. Mit der DSGVO sind personenbezogene Daten in den verschiedenen Phasen geschützt, von der Erhebung, Verarbeitung, Speicherung bis hin zur Weitergabe an Dritte. US-Gesetze stellen sicher, dass der Verbraucher geschützt ist, während er online ist und Dienste nutzt, surft oder Produkte testet. Aus diesem Grund kann die Datenschutzrichtlinie eines Unternehmens nicht gleich bleiben, wenn ein neues Gesetz in Kraft tritt. Neue Abschnitte müssen hinzugefügt werden, um neue rechtliche Bedingungen und Bestimmungen widerzuspiegeln. Wenden Sie sich immer an Ihre Anwälte, um genau zu wissen, was hinzugefügt werden muss, um mit jedem Gesetz konform zu sein.
- Die Gesetze unterscheiden sich auch im Umfang der Opt-in- / Opt-out-Regelung . Die DSGVO arbeitet unter einem Opt-in-Regime, was bedeutet, dass Mitgliedsländer der Europäischen Union keine personenbezogenen Daten von Besuchern sammeln, bis sie ausdrücklich zustimmen, indem sie ein Kontrollkästchen auf dem Zustimmungsbanner aktivieren, das auf der Website erscheint, auf der sie navigieren. Das Gegenteil passiert auf den Websites von US-amerikanischen Publishern. Daten können gesammelt werden, bis ein Besucher entscheidet, der Datenverarbeitung zu widersprechen. Kalifornien arbeitet nur unter einer Art hybriden Opt-out/Opt-in-Regelung. Der CCPA erlaubt es einer Organisation, Verbraucherdaten standardmäßig zu sammeln, verlangt aber auch, dass Datensammler den Verbrauchern vor der Datenerhebung Datenschutzhinweise geben. CPA, VCDPA unterliegen einem klaren Opt-out-Regime.
Bei Convert arbeiten wir unter einem Opt-in-Regime, da wir Wert auf Transparenz und die Auswahlmöglichkeiten der Besucher legen, und wir haben unsere Benutzererfahrung an ihre Anforderungen angepasst. - Unterschiede zeigen sich auch in den Regeln des internationalen Datentransfers . Die DSGVO ist bei diesen Übertragungen wiederum sehr streng und erlaubt sie nur, wenn das Empfängerland ähnliche Datenschutzbestimmungen hat. Andernfalls müssen Organisationen Standardvertragsklauseln oder die Zustimmung der Benutzer verwenden. Andererseits erlauben CCPA und VCDPA internationale Datenübertragungen weltweit, bis ein Vorfall eintritt. Dann wird die Organisation zur Verantwortung gezogen und es fallen Bußgelder an. Das CPA ist etwas nachsichtig und verlangt von Organisationen, Benutzer/Besucher zu informieren, wenn internationale Datenübertragungen stattfinden, schränkt diese jedoch nicht ein.
Bei Convert halten wir uns an die DSGVO und stellen auf Anfrage die erforderlichen Übertragungstools bereit (Standardvertragsklauseln sind Teil des Vertrags, den unsere Benutzer unterzeichnen). - Schließlich sehen die Gesetze unterschiedliche Reaktionsfristen bei Datenschutzverletzungen vor . Die DSGVO und der VCDPA geben Verantwortlichen oder Auftragsverarbeitern 30 Tage Zeit, um auf Datenschutzverletzungen zu reagieren. Das CPPA ist berechtigt, aber nicht verpflichtet, eine Frist zur Heilung von Verstößen gegen das CPRA anzubieten. Der CPA muss eine Antwortfrist von 60 Tagen anbieten.
Da Convert an keiner Datenschutzverletzung beteiligt war, war dies nicht einfach zu testen, aber wir haben solche Anfragen intern simuliert und festgestellt, dass wir innerhalb von 7-10 Tagen antworten können. Ziemlich beeindruckend angesichts der Tatsache, dass viele Menschen und Werkzeuge involviert sein können.
Ist Ihr Unternehmen auf die CPA vorbereitet?
Viele dieser Gesetze haben ähnliche Formulierungen, daher ist es ziemlich schwierig, die Unterschiede zu erkennen. Wir haben jedoch versucht, es Ihnen mit diesem Vergleich oben klarer zu machen. Um die Einhaltung dieser Datenschutzgesetze zu erreichen, sollten Sie darauf vorbereitet sein, viel Zeit damit zu verbringen, sie zu überprüfen und Rechtsexperten zu konsultieren.
Glücklicherweise gelten einige Maßnahmen universell für alle. Wir haben sie in einem unserer vorherigen Artikel aufgelistet, aber hier sind sie noch einmal, um Ihr Gedächtnis aufzufrischen:
- Erstellen und pflegen Sie ein umfassendes Dateninventar, das Einblicke in die beteiligten Datentypen und die Art der Verarbeitungsaktivitäten bietet.
- Stellen Sie sicher, dass sensible Daten getrennt und ohne unnötige Risiken verwaltet werden.
- Implementieren Sie einen Rahmen für die Durchführung von Datenschutz-Folgenabschätzungen (DSFA).
- Bewerten Sie die vorhandenen Cybersicherheitsrichtlinien, -praktiken und -kontrollen, um sicherzustellen, dass sie mit branchenweit anerkannten Standards übereinstimmen.
- Ermöglichen Sie Verbrauchern, den Verkauf ihrer personenbezogenen Daten abzulehnen (falls zutreffend).
- Aktualisieren Sie die öffentlich zugänglichen Datenschutzrichtlinien, um sich unter anderem zu verpflichten, anonymisierte personenbezogene Daten nicht erneut zu identifizieren, und geben Sie Einzelheiten zu ihren Datenverarbeitungsaktivitäten an.
- Entwickeln Sie Mechanismen zum Akzeptieren, Verfolgen, Verifizieren und Befolgen von Verbraucheranfragen zum Zugriff, zur Korrektur, zum Löschen und zum Opt-out personenbezogener Daten im Rahmen des CPA.
- Stellen Sie sicher, dass Ihre Kundendienstmitarbeiter genaue Kenntnisse der Vorschriften haben, um Verbraucheranfragen effizient und vorhersehbar zu erfüllen.
Wie wird die Datenschutzlandschaft im nächsten Jahrzehnt aussehen?
Der Datenschutz entwickelt sich zu einem bestimmenden Thema dieses Jahrzehnts. Dies wird eine immer sensiblere Welt sein, in der sich sowohl Unternehmen als auch Einzelpersonen zunehmend bewusst werden, dass es so etwas wie „Privat“ nicht mehr gibt.
Die jüngsten Datenschutzgesetze haben uns gelehrt, dass diese Initiativen umfangreiche Anstrengungen und Zeit erfordern, um sorgfältig zu planen, Lücken in den Datenschutzmechanismen zu erkennen und neue Richtlinien, Prozesse und Abhilfemaßnahmen zu implementieren. Die Datenschutzlandschaft wird sich also nicht schnell ändern.
Obwohl die Zukunft des Datenschutzes weitgehend ungeschrieben ist, prägen mehrere Trends sie bereits auf vielfältige Weise. Organisationen, die diese Trends in den nächsten zehn Jahren am besten steuern, werden wettbewerbsfähiger sein als diejenigen, die sich weiterhin nur an neue Gesetze halten.
Mal sehen, was sie sind.
- Die meisten Verbraucher werden ihre persönlichen Daten proaktiv schützen. Wir werden bessere Tools zum Schutz der Privatsphäre sehen (so wie wir jetzt Tools zum Eindringen in die Privatsphäre haben). Unternehmen, die sich nicht an diese Schutzmaßnahmen halten, laufen Gefahr, ihre Kunden zu verlieren.
- Grenzüberschreitende Datenübertragungen werden einfacher. Wir müssen keine lokalen Datenreiche aufbauen, die von Ausländern nicht betreten werden können.
- Privacy Customer Experience Journeys : Es werden neue Projekte entwickelt, die den kulturellen und rechtlichen Erwartungen der Datenschutzgesetze sowie der Haltung jedes Unternehmens zu Daten- und Technologieethik entsprechen.
- Datenschutzkultur der Mitarbeiter: Die Personalabteilung wird Datenschutzprogramme für Mitarbeiter einsetzen, die auf die Daten- und Technologiewerte des Unternehmens abgestimmt sind, um eine umfassende Datenschutzkultur zu entwickeln. Ein solches Programm könnte ein Mitarbeitergremium umfassen, das Datenschutz- und ethische Folgenabschätzungen für neue Technologien und Datenverwendungen am Arbeitsplatz überprüft und kommuniziert.
In 10 Jahren kann sich viel ändern, aber auch wenig. Hier bei Convert haben wir es zu einem Teil unserer Kultur gemacht, die Privatsphäre unserer Besucher und Benutzer zu respektieren. Wo stehen wir im Jahr 2030? Bis 2030 sehen wir Unternehmen, die die Privatsphäre der Nutzer respektieren, und Regulierungsbehörden, die alle reibungslos zusammenarbeiten, ohne die individuellen Freiheiten zu gefährden. Diese Vision ist das Wichtigste für unser Team bei Convert Company und wir hoffen, dass auch Sie sich uns anschließen werden!
