Bereiten Sie sich auf die CDPA vor: Ostküste trifft Westküste, während Virginia ein Datenschutzgesetz unterzeichnet
Veröffentlicht: 2021-04-22
Der Bundesstaat Virginia hat kürzlich dafür gestimmt, der erste Bundesstaat an der Ostküste zu werden, der ein Gesetz erlässt, das regelt, wie Unternehmen die personenbezogenen Daten von Verbrauchern schützen. Das neue Gesetz kommt, da Technologiegiganten von Gesetzgebern und Verbrauchern wegen ihres Umgangs mit personenbezogenen Daten zurückgedrängt werden.
Der Gesetzentwurf zum Virginia Consumer Data Protection Act (CDPA) wurde am 2. März 2021 unterzeichnet und tritt 2023 in Kraft.
Ähnlich wie der California Consumer Privacy Act von 2018 (CCPA), der California Privacy Rights Act von 2020 (CPRA) und sogar die europäische DSGVO ist die CDPA die neueste Entwicklung in einem Jahr, das für die Datenschutzgesetzgebung in den Vereinigten Staaten ein Wendepunkt war.
Aber Unternehmen, die an der Einhaltung der anderen Gesetze gearbeitet haben, sollten sich nicht auf ihren Lorbeeren ausruhen. Sie müssen sich noch auf das CDPA vorbereiten, das andere Bestimmungen als das CCPA oder das CPRA enthält.
In diesem Artikel werfen wir einen Blick auf diese unterschiedlichen Bestimmungen des Virginia Act und vergleichen sie mit dem CCPA (in der durch das CPRA geänderten Fassung) und der DSGVO.
| Wichtige Bestimmungen | Virginia CDPA | Kalifornien CCPA + CPRA | Europa DSGVO | ||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Verarbeitungsfähigkeit | |||||||||||||||||||||||
| Datenminimierung | Ja | Nein | Ja | ||||||||||||||||||||
| Zulässiger Zweck | Ja | Nein | Ja | ||||||||||||||||||||
| Individual Rechte | |||||||||||||||||||||||
| Recht auf Mitteilung über Verarbeitungstätigkeiten | Ja | Ja | Ja | ||||||||||||||||||||
| Recht auf Zugang zu personenbezogenen Daten | Ja | Ja | Ja | ||||||||||||||||||||
| Recht auf Datenübertragbarkeit (d. h. Daten müssen in einem leicht verwendbaren Format bereitgestellt werden, damit sie von einer Entität/Plattform auf eine andere übertragen werden können) | Ja | Ja | Ja | ||||||||||||||||||||
| Recht auf Berichtigung von Fehlern in personenbezogenen Daten | Ja | Nein | Ja | ||||||||||||||||||||
| Recht auf Löschung personenbezogener Daten | Ja | Ja | Ja | ||||||||||||||||||||
| Recht auf Deaktivierung von verhaltensbasierter Werbung | Ja | Nein | Ja | ||||||||||||||||||||
| Widerspruchsrecht gegen automatisierte Profilerstellung und Entscheidungsfindung | Ja | Nein | Ja | ||||||||||||||||||||
| Recht auf Nichtdiskriminierung bei der Ausübung dieser Rechte | Ja | Ja | Ja | ||||||||||||||||||||
| Recht auf Widerspruch gegen den Verkauf personenbezogener Daten | Ja | Ja | Nein | ||||||||||||||||||||
| Opt-in oder Opt-out für die Verarbeitung sensibler Informationen | Anmelden | Ablehnen | Anmelden | ||||||||||||||||||||
| Recht auf Beschwerde gegen die Ablehnung von Anträgen | Ja | Nein | Nein | ||||||||||||||||||||
| Rechenschaftspflicht/Governance | |||||||||||||||||||||||
| Datenschutzbewertungen | Ja | Nein | Ja | ||||||||||||||||||||
| Sicherheit | |||||||||||||||||||||||
| Angemessene Datensicherheit zum Schutz von Informationen | Ja | Ja | Ja | ||||||||||||||||||||
| Benachrichtigung bei Verletzung | Ja | Ja | Ja | ||||||||||||||||||||
| Datenübertragungen außerhalb des EWR | |||||||||||||||||||||||
| Zusätzliche Maßnahmen für internationale Überweisungen | Nein | Nein | Ja | ||||||||||||||||||||
| Übertragungen an Dritte | |||||||||||||||||||||||
| Vertragliche Anforderungen in Dienstleistungsverträgen | Ja | Ja | Ja | ||||||||||||||||||||
| Marketing | |||||||||||||||||||||||
| Einwilligung für Adtech-Cookies | Ja | Ja | Ja | ||||||||||||||||||||
| Einwilligung vor Direktmarketing eingeholt | Nein | Nein | Ja | ||||||||||||||||||||
| Strafverfolgungsbehörden | |||||||||||||||||||||||
| Generalstaatsanwalt | Generalstaatsanwalt, CPPA | DPA | |||||||||||||||||||||
| Operatives Datum | |||||||||||||||||||||||
| 1. Januar 2023 | 1. Januar 2020 / 1. Januar 2023 | 25. Mai 2018 | |||||||||||||||||||||
Unternehmen, die daran gearbeitet haben, die Einhaltung des CCPA oder der DSGVO zu erreichen, werden feststellen, dass diese Gesetze viele ähnliche Formulierungen und Terminologien haben; Es ist jedoch ein Fehler anzunehmen, dass das Gesetz von Virginia identische Anforderungen hat.
Während es Ähnlichkeiten mit dem CCPA und der DSGVO gibt, enthält das CDPA Nuancen, die wahrscheinlich für jede Organisation einzigartig sind.
Wenn Sie mit dem Lesen überfordert sind, sehen Sie sich die Schritt-für-Schritt-Anleitung an, die wir unten zusammengestellt haben, um Ihnen bei der Einhaltung des neuen Datenschutzgesetzes zu helfen.
Lassen Sie zunächst die Anwälte, IT-Experten und Datenschutzspezialisten in Ihrer Organisation die Anwendung des Gesetzes auf Ihr Unternehmen beurteilen. Identifizieren Sie dann alle Lücken und entwickeln Sie einen Compliance-Plan , der Lösungen für diese Probleme enthält.
Lassen Sie uns weiter ins Detail gehen, sollen wir?
Um die Einhaltung des CDPA zu erreichen, müssen Sie:
- Erstellen und pflegen Sie ein umfassendes Dateninventar, das Einblicke in die beteiligten Datentypen und die Art der Verarbeitungsaktivitäten bietet.
- Stellen Sie sicher, dass sensible Daten getrennt und ohne unnötige Risiken verwaltet werden.
- Implementieren Sie einen Rahmen für die Durchführung von Datenschutz-Folgenabschätzungen (DSFA).
- Bewerten Sie die vorhandenen Cybersicherheitsrichtlinien, -praktiken und -kontrollen, um sicherzustellen, dass sie mit branchenweit anerkannten Standards übereinstimmen.
- Ermöglichen Sie Verbrauchern, den Verkauf ihrer personenbezogenen Daten abzulehnen (falls zutreffend).
- Aktualisieren Sie die öffentlich zugänglichen Datenschutzrichtlinien, um sich unter anderem zu verpflichten, anonymisierte personenbezogene Daten nicht erneut zu identifizieren, und geben Sie Einzelheiten zu ihren Datenverarbeitungsaktivitäten an.
- Entwickeln Sie Mechanismen zum Akzeptieren, Verfolgen, Verifizieren und Erfüllen von Verbraucheranfragen zum Zugriff, zur Korrektur, zum Löschen und zum Opt-out personenbezogener Daten gemäß dem CDPA.
- Stellen Sie sicher, dass Ihre Kundendienstmitarbeiter genaue Kenntnisse der Vorschriften haben, um Verbraucheranfragen effizient und vorhersehbar zu erfüllen.
Auch wenn das Jahr 2023 wie eine ferne Zukunft erscheint, verschieben Sie die Erstellung Ihres Compliance-Plans nicht.
Wenn uns andere neuere Datenschutzgesetze eines gelehrt haben, dann, dass diese Initiativen umfangreiche Bemühungen und Zeit erfordern, um sorgfältig zu planen, Lücken in Ihren Datenschutzmechanismen zu erkennen und neue Richtlinien, Prozesse und Abhilfemaßnahmen zu implementieren.
Es ist nicht zu früh, CDPA-Compliance-Bemühungen zu starten, da immer mehr Staaten, wie New York und Washington, damit beginnen, Gesetze zum Schutz der Privatsphäre der Verbraucher zu erlassen.
Da immer mehr bundesstaatliche Gesetzgeber aktiv werden, um Gesetzentwürfe oder Gesetze zum Schutz der Privatsphäre von Verbrauchern zu verabschieden, wird eines klar: Die Gewährleistung der Privatsphäre der Kunden darf kein nachträglicher Gedanke mehr sein. Es muss in Ihr Geschäftsmodell integriert werden.
