Im November stimmten die Kalifornier bei einer Abstimmung für Proposition 24, auch bekannt als California Privacy Rights Act (CPRA), zur Schaffung einer neuen Datenschutzbehörde für Verbraucher. Damit ist Kalifornien anderen Bundesstaaten in Bezug auf Datenschutzproduktionen für Verbraucher und Datensicherheitsanforderungen für Unternehmen einen weiteren Schritt voraus. Kalifornien verfügte bereits über ein Datenschutzgesetz, den California Consumer Privacy Act (CCPA), der 2018 verabschiedet wurde. Es trat im Januar 2020 in Kraft, und die Durchsetzung begann offiziell im vergangenen Juli.

Der CCPA sollte verhindern, dass Kalifornien eine strengere Datenschutzinitiative per Abstimmung verabschiedet. „Das CCPA ist wahrscheinlich eines der wichtigsten Datenschutzgesetze in den USA, das die Verbraucher heute schützt“, sagt Christophe Bertrand, Analyst bei der Enterprise Strategy Group, aber ursprünglich sollte es noch restriktiver sein. „Es war das Ergebnis vieler politischer Verhandlungen, die das Endprodukt abschwächten.“

Das wird mit dem neuen Gesetz nicht passieren. Einmal verabschiedet, kann es nur gestärkt, nicht geschwächt werden. Es wurde verabschiedet. Das CPRA wurde von den Wählern mit 56% zu 44% angenommen.

Überraschenderweise gab es nicht viel Lobbyarbeit gegen die Wahlinitiative seitens der großen Technologieunternehmen. „Ich denke, das liegt zum Teil an der Katastrophe von 2020, der Pandemie und dem Vorfeld der Wahlen“, sagt Jessica Lee, Partnerin bei Loeb & Loeb und Co-Vorsitzende der Datenschutz- und Sicherheitspraxis der Firma. „Viele Dinge passierten zur gleichen Zeit. Außerdem gab es in den letzten Jahren eine Gegenreaktion gegen die großen Technologieunternehmen und eine Reihe von Datenschutzskandalen. Wenn sich also ein Technologieunternehmen gegen ein Datenschutzgesetz ausspricht, hat das wahrscheinlich PR- und Markenerwägungen zur Folge.“

Außerdem müssen die größten Unternehmen bereits die europäische Datenschutzverordnung (GDPR) einhalten. „

CPRA verschärft einige Anforderungen, verringert das Risiko an anderer Stelle

Das CPRA verschärft einige Anforderungen, bringt Kalifornien mehr in Einklang mit der GDPR und schafft eine neue staatliche Behörde – die California Privacy Protection Agency. Bisher war der Generalstaatsanwalt des Bundesstaates zusätzlich zu seinen anderen Zuständigkeiten mit Fragen des Verbraucherschutzes befasst. Jetzt erhält der Datenschutz eine eigene Behörde mit einem Grundbudget von 10 Millionen Dollar, die außerdem einen Teil der Bußgelder und Vergleiche erhält, die sie von Unternehmen einnimmt, die gegen das Gesetz verstoßen.

Das Gesetz tritt am 1. Januar 2023 in Kraft, sagt Lee, und die Durchsetzung beginnt sechs Monate später. „Die Unternehmen haben im Wesentlichen zwei Jahre Zeit, um sich vorzubereiten“, sagt sie.

Diese zwei Jahre könnten Änderungen mit sich bringen, die zu zusätzlichen Kontrollen, Strafen und Durchsetzungsmaßnahmen führen, sagt Orson Lucas, Principal im Bereich Cybersicherheitsdienste bei KPMG. Dies könnte das Ergebnis von Veränderungen in der Technologie- und Geschäftslandschaft oder anderer Entwicklungen sein. „Zum Beispiel, wenn es zwischen jetzt und Januar 2023 eine Reihe erheblicher Verstöße gibt“, sagt er.

Eine Reihe von Aspekten des CPRA wird die potenziellen Risiken und Haftungen der Unternehmen verringern. Erstens gilt der CCPA für Unternehmen, die mindestens 50.000 kalifornische Einwohner, Haushalte oder Geräte bedienen. Das CPRA erhöht diese Zahl auf 100.000 und streicht „Geräte“ aus der Liste, sagt Catherine Lyle, Leiterin der Schadensabteilung bei Coalition, einem Cyber-Versicherungsunternehmen. Unternehmen werden nicht für Verstöße gegen das CPRA verantwortlich gemacht, die von Dritten begangen werden, wenn bestimmte Vereinbarungen getroffen wurden und der Geschäftspartner selbst das CPRA einhält, sagt sie. „

CPRA wirkt sich für vorbereitete Unternehmen nur geringfügig aus

Für Unternehmen, die bereits mit dem CCPA von 2018 – und insbesondere mit der europäischen GDPR – konform sind, werden die Änderungen geringfügig sein. Das ist der Fall bei Branch Metrics, einem globalen Online-Marketing-Unternehmen, das Airbnb, Target und Yelp zu seinen Tausenden von Geschäftskunden zählt. Das Unternehmen verarbeitet Milliarden von Kundendatensätzen und gerät damit direkt in das Fadenkreuz des Gesetzes.

„Das Schöne an CPRA ist, dass es in gewisser Hinsicht enger mit GDPR zusammenhängt als CCPA“, sagt Alex Austin, CEO von Branch Metrics. „Wenn sich Ihr Unternehmen auf die GDPR vorbereitet hat, ist es also weniger schwer, die Anforderungen zu erfüllen. Das bedeutet, dass die inkrementellen Änderungen, die das Unternehmen vornehmen muss, um das CPRA einzuhalten, „relativ gering“ sein werden, sagt er. „Es hilft auch, dass wir viel Zeit haben, um alle erforderlichen Änderungen vorzunehmen“, fügt er hinzu. „Das Gesetz tritt erst 2023 in Kraft und betrifft in der Regel nur Daten, die bis ins Jahr 2022 zurückreichen. Das bedeutet, dass man mehr als ein Jahr Zeit hat, sein Haus in Ordnung zu bringen.“

Generell, so Austin, sei es umso besser, je mehr die verschiedenen Datenschutzgesetze, die auf der ganzen Welt entstehen, harmonisiert werden. „

Neue Anforderungen an die Datenminimierung

Für einige Unternehmen werden die Änderungen zwischen dem CCPA und dem CPRA von Bedeutung sein, sagt Dan Frank, Leiter des Bereichs Datenschutz bei Deloitte. Nehmen wir zum Beispiel die Datenminimierung. Die neuen Vorschriften verbieten es Unternehmen, personenbezogene Daten „länger als unbedingt nötig“ aufzubewahren, sagt er. Das ist ein Problem, denn wenn es um die Löschung von Daten geht, scheuen sich die Unternehmen davor wie die Pest. „Einige Daten sind gut, mehr Daten sind besser, alle Daten sind am besten.“ Daten können durch maschinelles Lernen und KI-Systeme analysiert werden und Unternehmen bei der Entwicklung neuer Produkte, Dienstleistungen und Anwendungen helfen.

Das Löschen von Daten ist ein heikles Thema. Zum einen gibt es gesetzliche Bestimmungen und andere Vorschriften und Compliance-Anforderungen zur Aufbewahrung von Daten. Dann ist da noch die technische Seite. „Es gibt all diese systemübergreifenden Abhängigkeiten, die das Löschen von Daten unheimlich machen“, sagt er. „Wir wollen nichts kaputt machen.“

Die meisten Unternehmen planen, abgelaufene Daten zu anonymisieren, sagt Frank. Auf diese Weise können sie immer noch zum Trainieren von KI-Systemen verwendet werden, und es entstehen möglicherweise weniger Abhängigkeitsprobleme. „Wir werden sehen, wie sich das auf lange Sicht auswirkt“, sagt er. „Wenn diese Daten in irgendeiner Weise auf eine Person zurückgeführt werden können – direkt oder durch Rückschlüsse – dann sind sie nicht mehr anonymisiert. Das ist eine Herausforderung.“

Die Verwendung des Wortes „angemessen“ in dem Gesetz ist ebenfalls ein rotes Tuch. Wer entscheidet, was angemessen ist? Ein starkes Data-Governance-System kann Unternehmen auch dabei helfen, einen anderen Aspekt des neuen Gesetzes anzugehen, nämlich den Verbrauchern die Möglichkeit zu geben, ungenaue Daten über sich selbst zu korrigieren.

„Dies ist eine Herausforderung, wenn ein Unternehmen sein Stammdatenmanagement nicht wirklich rationalisiert hat und nicht über eine goldene Bilanz dieser Daten verfügt“, sagt Angela Saverice-Rohan, Leiterin des Bereichs Datenschutz in Amerika bei Ernst & Young. „Wenn Sie bestimmte Daten in einem System ändern, wie wird sich das auf alle anderen Prozesse auswirken?“

Neue Anforderungen an die gemeinsame Nutzung von Daten

Unternehmen müssen nun auch sicherstellen, dass alle Geschäftspartner, mit denen sie Daten austauschen, das CPRA einhalten. Da ein Teil des Gesetzes angemessene Cybersicherheitsmaßnahmen vorsieht, müssen die CISOs möglicherweise aktiv werden, sagt Saverice-Rohan. „Dies ist eine Arbeit, die normalerweise im Rahmen von Sicherheitsrisikobewertungen durchgeführt wird“, sagt sie.

Eine weitere große Änderung betrifft die Art und Weise, wie Verbraucher die Weitergabe ihrer Daten erlauben. Unter dem früheren CCPA mussten die Unternehmen den kalifornischen Kunden die Möglichkeit geben, sich gegen den Verkauf ihrer Daten an Dritte zu entscheiden. Jetzt gilt das für alle Arten der Weitergabe, nicht nur für den Verkauf, sagt Frank von Deloitte. „Die Verbraucher müssen die Möglichkeit haben, sich gegen eine bestimmte Verwendung ihrer persönlichen Daten zu entscheiden“, sagt er. „Wenn sie das tun, müssen Sie in der Lage sein, die Verwendung der Daten zu unterbinden, was, wenn man es sich recht überlegt, eine ziemlich mühsame Aufgabe ist. Das macht die Datenverwaltung so wichtig.

Mehr Haftungsrisiken bei Datenschutzverletzungen

Ein weiterer Unterschied besteht darin, dass sich die Unternehmen zusätzliche Sorgen über Datenschutzverletzungen machen müssen, sagt Frank. So gilt die Haftung für Datenschutzverletzungen jetzt auch für E-Mail-Adressen, wenn diese in Kombination mit einer Sicherheitsfrage verwendet werden. Wenn eine Datenschutzverletzung Informationen über Minderjährige betrifft, können die Geldstrafen verdreifacht werden. „Sie sollten besser wissen, welche Informationen Sie über Kinder haben, und im Falle einer Kompromittierung verbesserte Datenschutzmaßnahmen ergreifen“, sagt er.

Sowohl das ursprüngliche CCPA-Gesetz als auch das neue CPRA ermöglichen es einzelnen Verbrauchern, Unternehmen nach einer Datenschutzverletzung zu verklagen. Jetzt haben die Menschen mehr potenzielle Gründe, diese Klagen einzureichen, sagt er. „Vielleicht haben Sie mehr Daten gesammelt, als ich Ihnen erlaubt habe“, sagt er.

Das CPRA erweitert das Potenzial für Klagen im Zusammenhang mit Datenschutzverletzungen auch auf andere Weise, so Alan Friel, Partner bei der Anwaltskanzlei BakerHostetler. Unter dem CCPA hatten Unternehmen ein Zeitfenster, um Probleme zu beheben, nachdem Verbraucher eine Beschwerde eingereicht hatten, sagt er. Das Gesetz war etwas verwirrend in Bezug auf die Art der Probleme, die auf diese Weise „geheilt“ werden konnten.

Das CPRA stellt nun klar, dass das Recht auf Heilung nicht die Möglichkeit einschließt, Strafen zu vermeiden, indem Sicherheitslücken gestopft werden, nachdem ein Verstoß stattgefunden hat. „Wenn Sie es versäumen, angemessene Sicherheitsvorkehrungen zu treffen, und es zu einem Verstoß kommt, und Sie dann die Ursache des Verstoßes beheben, haben Sie immer noch das Recht auf eine Privatklage und gesetzlichen Schadensersatz“, sagt Friel. „

Eine weitere Änderung besteht darin, dass die Verbraucher nicht mehr nachweisen müssen, dass sie durch eine Sicherheitsverletzung geschädigt wurden. „Früher konnte man klagen, aber man musste einen Schaden nachweisen“, sagt Friel.

BakerHostetler verteidigt derzeit Unternehmen gegen mehrere Datenschutzklagen in Kalifornien. „Wir waren sehr viel erfolgreicher, wenn es darum ging, die Klagen abzuwehren, bei denen es einen Schadensstandard gab“, sagt Friel. „Die meisten Verbraucher können nicht nachweisen, dass ihnen durch eine Datenschutzverletzung tatsächlich ein finanzieller Schaden entstanden ist, weshalb sie eine kostenlose Kreditüberwachung erhalten. Es sind die Banken und Einzelhändler, die am Ende die Kosten tragen müssen – die Verbraucher im Allgemeinen nicht so sehr. Der entscheidende Unterschied besteht darin, dass die bloße Tatsache, dass eine Datenschutzverletzung stattgefunden hat, als Schaden ausreicht, um eine Klage einzureichen.“

Erwarten Sie weitere Klagen im Zusammenhang mit dem Datenschutz

Unternehmen haben bereits mit Klagen im Zusammenhang mit dem Datenschutz begonnen. Letzten Monat stimmte der Kinderbekleidungshändler Hanna Andersson einem Vergleich in Höhe von 400.000 Dollar zu, um auf eine Sammelklage zu reagieren, die aus einem Datenschutzverstoß im Jahr 2019 resultierte. Zu den anderen Unternehmen, die bereits auf der Grundlage des CCPA verklagt wurden, gehören Salesforce, Walmart, der Online-Schreibwarenhändler Minted, die Sunshine Behavioral Health Group, TikTok, Zoom und Houseparty.

Nicht nur Verbraucher und ihre Anwälte werden sich gegen Unternehmen wehren müssen, sagt Saverice-Rohan von Ernst & Young. Obwohl das CPRA selbst erst im Jahr 2023 in Kraft tritt, wird erwartet, dass die neue Behörde sich sofort an die Arbeit macht und die bestehenden Gesetze durchsetzt. „Im Januar wird die neue Behörde die Möglichkeit haben, das bestehende CCPA durchzusetzen“, sagt sie. „Und sie werden nach Maßnahmen Ausschau halten. Die Durchsetzung ist nicht nur wahrscheinlich. Sie steht unmittelbar bevor – und zwar im Jahr 2021.“

Mittelgroße Unternehmen werden besonders stark betroffen sein, prognostiziert Benjamin Wright, US-Anwalt und leitender Dozent am SANS Institute. Für Unternehmen mit jährlichen Überprüfungen im Wert von weniger als 25 Millionen Dollar seien die Anforderungen weniger belastend, sagt er. „Riesige Unternehmen können Heerscharen von Anwälten und Compliance-Experten auf Streitigkeiten ansetzen. Mittelständische Unternehmen haben nicht die Größenvorteile, die es ihnen erlauben würden, Heerscharen von Anwälten einzustellen, sagt er.

Abhängig davon, wie viel Unterstützung die neue Behörde von anderen kalifornischen Beamten und Gesetzgebern erhält, verfügt sie möglicherweise nicht über die Ressourcen oder Talente, um die größten Ziele zu verfolgen. Dies geschieht bereits in Europa unter der GDPR, sagt Wright, wobei die Aufsichtsbehörden oft eher gegen kleinere und mittlere Unternehmen vorgehen.

„Die riesigen Unternehmen können jahrelang vor Gericht kämpfen, sei es in Europa oder in Kalifornien“, sagt Wright. „Für die Aufsichtsbehörden ist es sehr kräftezehrend und teuer, jahrelang Klagen zu führen. Eine schwache Behörde, die jahrelang einen Prozess gegen einen mächtigen Gegner führt, kann eine hohe Personalfluktuation erleiden.“

Chancen für Unternehmen zur Einhaltung des CPRA

CPRA ist nicht nur schlecht für Unternehmen. „Erwarten Sie, dass kluge Unternehmen versuchen werden, dies als Gelegenheit zu nutzen, um ihre Konformität und Unterstützung für den Datenschutz zu demonstrieren“, sagt Steve Durbin, Geschäftsführer des Information Security Forum.