Sie denken, Datenschutz ist nur etwas für Europa? Denk nochmal.

Die DSGVO ist fertig. Und es betraf ohnehin nur die in der EU tätigen Unternehmen. Recht?

Nicht wirklich.

1. Datenschutz ist nie „fertig“. Compliance ist eine allgegenwärtige Anforderung, und Unternehmen sollten ihre Berührungspunkte, ihre Datenerfassungspraktiken, ihre Datenverarbeitungslogik und die gleichen Überlegungen für ihre Anbieter kontinuierlich überwachen.
2. Die DSGVO betrifft alle Unternehmen, die die Daten von EU-Bürgern verarbeiten – nicht nur diejenigen in Europa.
3. Die DSGVO war die Spitze des Eisbergs. Die Welt wird sich der Bedrohungen einer gefühllosen Datenerfassung und -verarbeitung ungestraft bewusst. Ja, Europa ist zuerst aufgewacht. Aber das bedeutet nicht, dass die USA und der Rest der Welt weiter schlummern werden.

Tatsächlich haben die USA bereits den Weg zu revolutionären Datenschutzbestimmungen eingeschlagen. Da Gesetze in Kalifornien, Nevada und Maine verabschiedet und Gesetzesvorlagen in vielen anderen Bundesstaaten geplant sind, sollten Unternehmen damit rechnen, dass sie in den kommenden Monaten betroffen sein werden.

Dieser Artikel schlüsselt die entscheidenden Teile des Datenschutzgesetzes/Gesetzentwurfs jedes Bundesstaats auf – einschließlich, wen sie abdecken, wann sie in Kraft treten, Strafen, wie die Einhaltung erreicht wird, warum die Bundesstaaten die Zügel vor der Bundesregierung übernommen haben, um die personenbezogenen Daten der Verbraucher zu schützen, sowie wie die Umsetzung der Datenschutzbestimmungen Ihrem Unternehmen zugute kommen könnte.

US-Bundesverordnung?

In einem Brief an die führenden Kongressmitglieder vom 10. September forderten die CEOs des Business Roundtable aus allen Branchen die politischen Entscheidungsträger auf, so bald wie möglich ein umfassendes nationales Datenschutzgesetz zu verabschieden, das den Schutz der amerikanischen Verbraucher stärkt und einen Rahmen schafft, um kontinuierliche Innovation und Wachstum zu ermöglichen digitale Wirtschaft.

Der von 51 CEOs unterzeichnete Brief wurde an die Führung des Repräsentantenhauses und des Senats sowie an die Vorsitzenden der Ausschüsse für Energie und Handel des Repräsentantenhauses und des Senats für Handel, Wissenschaft und Verkehr geschickt.

Aus Sicht der US-Unternehmen gab es nie einen besseren Zeitpunkt für die Einführung eines föderalen Datenschutzgesetzes.

Die DSGVO schreibt vor, dass jedes Unternehmen, das Daten über Personen mit Wohnsitz in der EU sammelt, die Gesetzgebung einhalten muss – unabhängig davon, ob dieses Unternehmen seinen Sitz in der EU hat oder nicht. Dies bedeutet, dass viele US-Unternehmen bereits DSGVO-konform sind, um international tätig zu sein, und über den Rahmen verfügen, um diese Konformität auf den US-Markt auszudehnen.

Anders sieht es bei nationalen US-Unternehmen aus. Die Einhaltung des Datenschutzes wird mit (möglicherweise) bis zu 50 verschiedenen staatlichen Gesetzen mit unterschiedlichen Spezifikationen und Anforderungen zu einem Albtraum. Ein Bundesgesetz würde dies rationalisieren und eine einheitliche Gesetzgebung für alle Bundesstaaten schaffen.

Gesetze der US-Bundesstaaten

Als Reaktion darauf haben die Staaten viel früher Maßnahmen ergriffen.

Mit Gesetzen, die in drei Staaten verabschiedet wurden, Gesetzentwürfen in anderen und mehreren Staaten, die neue Gesetze zur Meldung von Datenschutzverletzungen verabschieden, erleben wir den Beginn einer massiven Verschiebung hin zum Schutz von Verbraucherdaten und zur Rechenschaftspflicht für Unternehmen, die diese kontrollieren und verarbeiten.

Das IAPP Westin Research Center hat die folgende Liste von vorgeschlagenen und erlassenen umfassenden Datenschutzgesetzen aus dem ganzen Land zusammengestellt, um die Bemühungen der Unternehmen zu unterstützen, mit der sich verändernden Landschaft des staatlichen Datenschutzes Schritt zu halten.

Obwohl viele der in der Karte enthaltenen Gesetzentwürfe nicht in Kraft treten werden, kann ein Vergleich der wichtigsten Bestimmungen in jedem Gesetzentwurf hilfreich sein, um zu verstehen, wie sich der Datenschutz in den Vereinigten Staaten entwickelt.

Kalifornien

Als eines der ersten Datenschutzgesetze, das nach der DSGVO verabschiedet wurde, fungiert der CCPA als Blaupause für andere Gesetzentwürfe in den USA. Mit Wirkung vom 1. Januar 2020 gilt der CCPA für ein Unternehmen, das personenbezogene Daten von Einwohnern Kaliforniens erhebt/verarbeitet oder Geschäfte in Kalifornien tätigt.

Diese Unternehmen unterliegen dem CCPA, wenn sie entweder:

• Überschreiten Sie einen Bruttoumsatz von 25 Millionen US-Dollar
• Kaufen, empfangen, verkaufen oder teilen (insgesamt) personenbezogene Daten von 50.000 oder mehr Haushalten oder Geräten von Verbrauchern
• Erzielen Sie 50 % oder mehr des Jahresumsatzes durch den Verkauf der persönlichen Daten von Verbrauchern

Der CCPA gewährt Verbrauchern ähnliche Rechte wie die DSGVO, einschließlich der Offenlegung personenbezogener Daten und Anfragen nach personenbezogenen Daten. Unternehmen müssen auf überprüfbare Verbraucheranfragen mit Informationen wie Kategorien und Daten personenbezogener Daten, Drittparteien und Kategorien von Drittparteien, mit denen Daten geteilt werden, und mehr antworten.

Dieser Abschnitt, bekannt als Datensubjektanfragen (DSR), gewährt Benutzern Zugriff auf und Löschoptionen für ihre persönlichen Daten. Außerdem verlangt der CCPA, dass Unternehmen auf ihrer Homepage einen Link „Meine persönlichen Daten nicht verkaufen“ anzeigen.

Der CCPA wird vom Generalstaatsanwalt durchgesetzt und sieht Bußgelder von bis zu 7.500 US-Dollar für jeden einzelnen Verstoß vor.

Nevada

Das Datenschutzgesetz von Nevada wurde am 29. Mai 2019 unterzeichnet, tritt jedoch am 1. Oktober 2019 in Kraft, drei Monate vor dem bekannteren CCPA. Die Gesetze sind sehr ähnlich, haben aber einen großen Unterschied in der Definition von „Verkauf“. Das Gesetz von Nevada ist strenger, deckt nicht alle Dienstleister ab und ist gegenüber Finanzinstituten nachsichtiger.

Laut InfoLawGroup sind sich der CCPA und das Gesetz von Nevada insofern ähnlich, als beide verlangen, dass „Unternehmen einen Prozess entwickeln, um die Legitimität einer Verbraucher-Opt-out-Anfrage zu überprüfen, und von Unternehmen verlangen, innerhalb von 60 Tagen auf die Anfrage zu antworten“.

Ähnlich wie in Kalifornien liegt die Vollstreckung in Nevada beim Generalstaatsanwalt und umfasst Bußgelder von bis zu 5.000 US-Dollar pro Verstoß.

Maine

Das Datenschutzgesetz von Maine wurde am 6. Juni 2019 unterzeichnet, tritt jedoch am 1. Juli 2020 in Kraft. Dieses Gesetz hindert Internetdienstanbieter (ISPs) daran, die Daten ihrer Kunden zu verkaufen, zu teilen oder Dritten Zugriff darauf zu gewähren, sofern dies nicht ausdrücklich angegeben ist Genehmigung durch diese Kunden. Mit den Änderungen

Die Einwohner von Maine haben jetzt eine zusätzliche Schutzebene für E-Mails, Online-Chats, Browserverlauf, IP-Adressen und Geolokalisierungsdaten, die üblicherweise von Unternehmen der Telekommunikations- und Technologiebranche gesammelt und gespeichert werden.

Während also der CCPA Kunden das Recht gibt, sich abzumelden, verbietet dieses neue Gesetz ISPs, Kundendaten zu verwenden, es sei denn, der Kunde stimmt zu. Diese Anforderung geht weiter als das CCPA- oder Nevada-Gesetz und ist unter den US-Datenschutzgesetzen im Allgemeinen relativ einzigartig Opt-out-Zustimmung bevorzugen.

Warten Sie nicht – bereiten Sie sich jetzt vor:

Laut einer PwC-Umfrage aus dem Jahr 2018 hatten 64 % der Unternehmen noch nicht begonnen, sich auf die CCPA-Vorschriften vorzubereiten.

Haben Sie den Beginn Ihrer Compliance-Reise aufgeschoben? Sie haben den Prozess begonnen, sehen sich aber durch die schnell näher rückenden Fristen herausgefordert?

Im Folgenden finden Sie eine Liste bewusster Maßnahmen, die Sie als Unternehmen ergreifen können, um den Weg der Einhaltung der meisten bestehenden Gesetze und derjenigen, die in naher Zukunft durchgesetzt werden, einzuschlagen.

Schritt 1: Aktualisieren Sie die Datenschutzhinweise und -richtlinien

Angesichts all der im Mai 2018 eingegangenen E-Mails „Wir haben unsere Datenschutzrichtlinie aktualisiert“ (DSGVO-konform), ist es wahrscheinlich vernünftig, im dritten Quartal 2019 eine weitere Welle zu erwarten, diesmal CCPA- oder Nevada- oder Maine-konform.

Diese Gesetze verlangen, dass betroffene Unternehmen „am oder vor dem Erfassungsort“ Verbraucher darüber informieren, welche Kategorien personenbezogener Daten das Unternehmen erfasst und zu welchem ​​Zweck die Informationen vom Unternehmen verwendet werden.

Die Mitteilung muss auch ausdrücklich die Kategorien personenbezogener Daten angeben, die erfasst, offengelegt oder verkauft werden, und Verbraucher haben ein neues Recht, den Verkauf ihrer Daten abzulehnen.

Unternehmen müssen auch ihre Datenschutzrichtlinien aktualisieren, um eine Beschreibung der anderen neuen Verbraucherrechte aufzunehmen.

Da viele Unternehmen bei der DSGVO-Konformität entscheiden mussten, bevor sie die gesetzlich vorgeschriebenen Richtlinienaktualisierungen vornehmen, müssen Unternehmen festlegen, ob sie eine Datenschutzerklärung für jeden Einwohner eines Bundesstaates oder eine universelle Richtlinie beibehalten.

Schritt 2: Aktualisieren Sie Datenbestände, Geschäftsprozesse und Datenstrategien

Unternehmen müssen auch ein Dateninventar führen, das im Wesentlichen eine Datenbank ist, um ihre Datenverarbeitungsaktivitäten zu verfolgen, einschließlich Geschäftsprozessen, Drittanbietern, Produkten, Geräten und Anwendungen, die personenbezogene Verbraucherdaten verarbeiten.

Unternehmen, die DSGVO-konform werden mussten, müssen ihren Datenbeständen einige Spalten hinzufügen, darunter eine Spalte:

• Feststellung, ob die Datennutzung den „Verkauf“ von Informationen umfasst;
• Identifizierung, welche Kategorien personenbezogener Daten an Dritte übermittelt werden;
• Feststellung, ob die Daten vor mehr als 12 Monaten erhoben wurden und daher möglicherweise ausgenommen sind.
• Die Datenbank muss auch auf dem neuesten Stand gehalten werden und in der Lage sein, alle Verbraucherrechtsanfragen zu verfolgen, wie z. B. die Verfolgung einer verifizierten Informationsanfrage.

Schritt 3: Implementieren Sie Protokolle zur Gewährleistung der Verbraucherrechte

Diese Gesetze garantieren eine Reihe von Verbraucherrechten, für deren Gewährleistung Unternehmen Maßnahmen ergreifen müssen.

• Recht auf Benachrichtigung – Obwohl es sich nicht gerade um ein gewährtes Recht handelt, muss der Verbraucher bei oder bevor ein Unternehmen personenbezogene Daten von einem Verbraucher sammelt, ordnungsgemäß darüber informiert werden, welche Kategorien von Informationen gesammelt und für welche Zwecke die Informationen verwendet werden.

• Zugangsrecht / Auskunftsrecht – Auf überprüfbare Anfrage muss das Unternehmen Schritte unternehmen, um dem Verbraucher die personenbezogenen Daten, die per Post oder elektronisch zugestellt werden können, kostenlos offenzulegen und zu übermitteln. Wenn sie elektronisch bereitgestellt werden, müssen sie in einem tragbaren und, soweit technisch machbar, in einem leicht verwendbaren Format bereitgestellt werden, das es dem Verbraucher ermöglicht, die personenbezogenen Daten problemlos an eine andere Stelle zu übermitteln. Ein Unternehmen kann einem Verbraucher jederzeit personenbezogene Daten zur Verfügung stellen, muss diese jedoch höchstens zweimal innerhalb von 12 Monaten an einen Verbraucher weitergeben.

• Recht auf Information – Der Verbraucher hat das Recht zu verlangen, dass ein Unternehmen, das personenbezogene Daten erfasst, Folgendes offenlegt: (1) die Kategorien der erfassten personenbezogenen Daten; (2) die Quellen, aus denen die Informationen gesammelt wurden; (3) den geschäftlichen oder kommerziellen Zweck für das Sammeln oder Verkaufen der Informationen; (4) Kategorien von Dritten, mit denen das Unternehmen die Informationen teilt; (5) die spezifischen personenbezogenen Daten, die das Unternehmen über den Verbraucher gesammelt hat.

• Recht auf Löschung – Der Verbraucher hat das Recht, auf überprüfbare Anfrage zu verlangen, dass ein Unternehmen alle personenbezogenen Daten über den Verbraucher löscht, die das Unternehmen gesammelt hat. Nach Erhalt einer solchen Anfrage muss das Unternehmen die Informationen löschen und alle Dienstleister anweisen, die Informationen ebenfalls aus seinen Aufzeichnungen zu löschen, es sei denn, das Unternehmen oder der Dienstleister benötigt die Informationen, um: (1) die Transaktion zu berechnen, für die die personenbezogenen Daten erfasst wurden , eine Ware oder Dienstleistung bereitzustellen, die vom Verbraucher angefordert oder im Rahmen der laufenden Geschäftsbeziehung eines Unternehmens mit dem Verbraucher vernünftigerweise erwartet wird, oder auf andere Weise einen Vertrag zwischen dem Unternehmen und dem Verbraucher zu erfüllen; (2) Sicherheitsvorfälle erkennen; Schutz vor böswilligen, irreführenden, betrügerischen oder illegalen Aktivitäten; oder die für diese Aktivität Verantwortlichen strafrechtlich verfolgen; (3) Debuggen, um Fehler vorhandener beabsichtigter Funktionalität zu identifizieren und zu beheben; (4) Ausübung der freien Meinungsäußerung, Gewährleistung des Rechts eines anderen Verbrauchers auf freie Meinungsäußerung oder Ausübung eines anderen gesetzlich vorgesehenen Rechts; (5) sich im öffentlichen Interesse an öffentlicher oder anerkannter wissenschaftlicher, historischer oder statistischer Forschung zu beteiligen; (6) um ausschließlich interne Verwendungen zu ermöglichen, die angemessen auf die Erwartungen des Verbrauchers abgestimmt sind, basierend auf der Beziehung des Verbrauchers zum Unternehmen; (7) einer gesetzlichen Verpflichtung nachkommen; (8) die personenbezogenen Daten des Verbrauchers anderweitig intern auf rechtmäßige Weise zu verwenden, die mit dem Kontext vereinbar ist, in dem der Verbraucher die Informationen bereitgestellt hat.

• Widerspruchsrecht – Der Verbraucher hat das Recht, den Verkauf personenbezogener Daten durch ein Unternehmen abzulehnen. Unternehmen müssen in einer für Verbraucher angemessen zugänglichen Form einen klaren und auffälligen Link zur Homepage mit dem Titel „Meine personenbezogenen Daten nicht verkaufen“ zur Verfügung stellen, der es einem Verbraucher ermöglicht, den Verkauf seiner personenbezogenen Daten abzulehnen. Das Unternehmen muss mindestens 12 Monate warten, bevor es den Verkauf der personenbezogenen Daten eines Verbrauchers fordert, der sich dagegen entschieden hat.

Schritt 4: Führen Sie Sicherheitsupdates durch

Diese Gesetze verlangen auch, dass betroffene Unternehmen personenbezogene Daten mit „angemessener“ Sicherheit schützen. In der Praxis hat dieser Standard Unternehmen dazu veranlasst, einen risikobasierten Ansatz zu verfolgen, um Bedrohungen der Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten zu begegnen. Sie bewerten die Bedrohungen für Daten, stufen die Risiken der erkannten Schwachstellen ein und schließen zuerst die Lücken mit hohem Risiko.

Schritt 5: Aktualisieren Sie die Vereinbarungen mit Drittanbietern

Um die US-Datenschutzgesetze einzuhalten, müssen Unternehmen, die ihre Daten von anderen Unternehmen verarbeiten lassen, ihre Verträge mit Drittanbietern aktualisieren, einschließlich des Einfügens von Standardvertragsklauseln; Erfordern von Anbieterdatenbeständen; Verwendung von Due-Diligence-Fragebögen; Bereitstellung von Verarbeitungsaufzeichnungen; Erfordern der Synchronisierung von Verbraucherreaktionsprozessen; Erfordern einer Vor-Ort-Bewertung und -Prüfung; und die Anforderung einer Zuordnung der spezifischen Datenelemente, die mit jeder Drittpartei geteilt werden, einschließlich der Kennzeichnung derjenigen Übertragungen, die als „Verkauf“ gelten.

Für diese Drittanbieter, die für Informationen bezahlt haben, müssen sie zusätzlich Prozesse entwickeln, um Verbraucheranfragen nachzukommen, den Verkauf abzulehnen, und die Löschung dieser Daten vorsehen.

Schritt 6: Training

Schließlich verlangen diese Gesetze, dass Mitarbeiter, die Verbraucheranfragen bearbeiten, über alle Anforderungen informiert werden. Aufgrund der damit verbundenen Strafen sollte diese Schulung das Minimum sein, und zusätzliche Mitarbeiterschulungen werden empfohlen.

Denken Sie, es ist viel zu implementieren? Unternehmen profitieren von Compliance:

Es gab einige Kritik an Datenschutzgesetzen und Behauptungen, dass diese Gesetze schlecht für Unternehmen sind.

Compliance-Programme kosten Geld, aber Unternehmen können nicht erwarten, mit Vermögenswerten wie Daten Geld zu verdienen, und kein Geld ausgeben, um sicherzustellen, dass ihre Maßnahmen konform sind.

Die wichtigsten Anforderungen in den Datenschutzgesetzen, wie oben erwähnt, entsprechen jedoch größtenteils dem gesunden Menschenverstand, sodass ein Compliance-Programm niemals ein Fass ohne Boden sein sollte.

Darüber hinaus, selbst wenn der rechtliche Druck nicht zu steigen begann, würde der ethische und Bewusstseinsdruck zunehmen.

Verbraucher wollen Geschäfte mit Unternehmen machen, die ihre Privatsphäre AKTIV schützen.

Ja, es fallen Compliance-Kosten an, aber diese sollten als Teil der Kosten für Geschäfte mit Daten und den Aufbau und Erhalt des Rufs einer Marke betrachtet werden. Als konformes Unternehmen können Sie Ihre Einhaltung vermarkten, was wiederum dazu beitragen kann, den Umsatz und die Kundenbindung zu steigern.

Nahezu alle Organisationen weltweit erkennen jetzt, dass Investitionen in den Datenschutz zu geschäftlichen Vorteilen führen. Unternehmen, die investiert haben, um sich auf die DSGVO vorzubereiten, erleben weniger und weniger kostspielige Datenschutzverletzungen , sie sehen weniger Reibungsverluste im Vertrieb aufgrund von Datenschutzbedenken der Kunden, weniger Datensätze sind betroffen , Systemausfallzeiten waren kürzer .

Dies sind einige der Ergebnisse der kürzlich veröffentlichten Cisco Data Privacy Benchmark Study 2019, die sich auf Daten aus einer Doppelblindumfrage unter mehr als 3.200 Sicherheits- und Datenschutzexperten in 18 Ländern stützt. Die Studie ist die erste in einer Reihe, die Schlüsselprobleme untersucht, mit denen Unternehmen heute in Bezug auf Datenschutz und Cybersicherheit konfrontiert sind.

Laut der Cisco-Studie geben 97 % der Unternehmen an, dass sie von ihren Investitionen in den Datenschutz weitere Vorteile erhalten, die über die bloße Einhaltung von Datenschutzgesetzen hinausgehen. Zu diesen Vorteilen gehören Wettbewerbsvorteile , Attraktivität für Investoren , betriebliche Effizienz und größere Flexibilitäts - und Innovationsfähigkeit .

Drei Viertel aller Befragten gaben an, zwei oder mehr dieser Leistungen zu erhalten. Darüber hinaus sagt die Mehrheit der Unternehmen jetzt, dass ein starker Datenschutz ein Wettbewerbsunterscheidungsmerkmal in ihren Märkten ist.

Diese Ergebnisse unterstreichen die Notwendigkeit für Unternehmen, Änderungen vorzunehmen, nicht nur um die Datenschutzgesetze einzuhalten, sondern auch um die geschäftlichen Vorteile ihrer Datenschutzinvestitionen zu maximieren.

Die Verbesserung des Datenmanagements, die Stärkung des Kundenvertrauens sowie kürzere Verkaufsverzögerungen und weniger kostspielige Datenschutzverletzungen können für Ihr Unternehmen von Bedeutung sein und Ihnen den Wettbewerbsvorteil verschaffen, den Ihr Unternehmen braucht, um erfolgreich zu sein.

Die Schrift ist groß und fett an der Wand. Datenschutz gilt nicht nur für Europa … er ist das Gebot der Stunde für Unternehmen auf der ganzen Welt. Der Wechsel ist turbulent. Aber es war eine, die unvermeidlich war.

Menschen haben Schlösser erfunden, um ihre Sachwerte zu schützen. Jetzt, da immaterielle Daten ebenso wertvoll (wenn nicht sogar noch wertvoller) sind, wird die rücksichtslose Anhäufung und Verarbeitung derselben verpönt, nicht gemocht und letztendlich als Verstoß angesehen.

Datenschutz-Compliance-Praktiken optimieren den Betrieb. Und sie stärken den Ruf, indem sie das Risiko von Datenschutzverletzungen verringern. Meiner Meinung nach geht es nicht um den Aufwand, der mit Compliance verbunden ist, sondern darum, früh aufzuwachen, dass Compliance durchaus IHR nächster großer Wettbewerbsvorteil sein kann.

Convert hat bereits ein solides Fundament gelegt. Und du?