Was bedeutet der California Privacy Rights Act (CPRA) für die Zukunft Ihres Datenschutzprogramms?

Im Jahr 2020 verabschiedeten die Kalifornier den California Privacy Rights Act (CPRA), eine Initiative, die von derselben Gruppe vorgeschlagen wurde, die auch hinter dem CCPA steht: California for Consumer Privacy. Was bedeutet der CPRA für die Werbebranche und den Datenschutz? Kurz gesagt: mehr Kontrolle für die Verbraucher über ihre Daten und klarere Bedingungen für die Durchsetzung.

Der Datenschutz in den USA wird sich wahrscheinlich weiterhin von Bundesstaat zu Bundesstaat weiterentwickeln. Selbst in Kalifornien sind die Verbraucherschützer geteilter Meinung, ob der CPRA der richtige Weg zum Schutz der Persönlichkeitsrechte ist. Die Befürworter des CPRA glauben, dass er den CCPA stärken und die nationalen Standards näher an die Präzedenzfälle der EU-DSGVO heranführen wird. Wir stellen Ihnen einige Schlüsselkomponenten vor, die Ihr Programm zur Einhaltung des Datenschutzes erheblich verändern könnten.

Mehr Steuermöglichkeiten, mehr Schaltflächen

Der CPRA definiert eine Reihe neuer Konzepte, die mit neuen Anforderungen an die Bereitstellung von Datenverarbeitungshinweisen und Opt-out-Kontrollen einhergehen. Ähnlich wie bei den bestehenden Rechten auf Offenlegung und Löschung von Daten verlangen die erweiterten Rechte von den Verlegern, dass sie den Verbrauchern zwei oder mehr Methoden zur Verfügung stellen, mit denen sie eine Abmeldung beantragen können. Hier ein paar zusätzliche Links, die Sie hinzufügen können:

„Do Not Share My Personal Information“ (Meine persönlichen Informationen dürfen nicht weitergegeben werden.):

Der CPRA ist eine aktualisierte Version der derzeitigen Nachricht „Do Not Sell My Personal Information“ (Meine persönlichen Daten dürfen nicht verkauft werden.), die es den Kaliforniern ermöglicht, den Verkauf ihrer Daten abzulehnen. Er schreibt vor, dass sie über die Weitergabe persönlicher Daten an Dritte für personalisierte Werbung informiert werden und diese ablehnen können. 

„Limit the Use of My Sensitive Personal Information“ (Die Verwendung meiner sensiblen persönlichen Daten soll eingeschränkt werden.):

Die Verbraucher erhalten das Recht, die Verarbeitung bestimmter Kategorien von als sensibel eingestuften Informationen – etwa geografische Standortdaten – einzuschränken.

„Correct My Information“ (Ich möchte meine Daten korrigieren.):

Mit dieser Klausel wird das bestehende Recht, die Löschung von Daten zu verlangen, durch das Recht auf Berichtigung unrichtiger personenbezogener Daten ersetzt. 

Einrichtung einer speziellen Behörde zur Durchsetzung des Datenschutzes 

In Ergänzung der neuen Vorschriften schafft der CPRA neue Durchsetzungsstellen in Form einer staatlichen Behörde, die für die Umsetzung und Durchsetzung des CCPA zuständig ist: die California Privacy Protection Agency. Ihre Aufgabe wird es sein, regelmäßige Audits durchzuführen und den Unternehmen Hinweise zu geben, inwieweit sie die Vorschriften einhalten. Ähnlich wie die Regulierungsbehörde der EU-DSGVO wird die CPPA befugt sein, Unternehmen zu prüfen und bei Beschwerden über Verstöße Sanktionen zu verhängen. 

Höherer Einsatz für Hochrisikodaten

Unternehmen, deren „Verarbeitung personenbezogener Daten von Verbrauchern ein erhebliches Risiko für die Privatsphäre oder die Sicherheit der Verbraucher darstellt“, müssen der kalifornischen Datenschutzbehörde jährliche Cybersicherheits-Audits vorlegen. Alle Unternehmen müssen Risikobewertungen vorlegen, in denen geprüft wird, inwieweit ihre Datenverarbeitung ein Risiko für die persönlichen Daten der Verbraucher darstellen kann. 

Während die bestehende CCPA-Gesetzgebung nach einer Datenschutzverletzung eine „Heilungsfrist“ vorsieht, stellt der CPRA klar, dass Unternehmen viel mehr tun müssen, als nur die Daten offenzulegen, um eine Privatklage zu vermeiden. Auch die Geldbußen für Verstöße gegen die Datenschutzbestimmungen für Kinder werden höher ausfallen, und zwar bis zu dreimal so hoch.   

Verwaltung von Opt-outs in einer sich verändernden Landschaft

Obwohl der CPRA erst im Januar 2023 in Kraft tritt, gilt er rückwirkend für alle Daten, die ab Januar 2022 erhoben wurden. Zahlreiche Details des CPRA müssen noch geklärt werden, und es wird noch eine Weile dauern, bis wir wissen, wie die Einhaltung der Vorschriften aussehen wird. Es schadet allerdings nicht, sich schon einmal vorzubereiten.

Unternehmen, die bereits Erfahrung mit der DSGVO haben, wissen, dass die Verwaltung verschiedener Zustimmungsgrade schnell kompliziert wird. Erwägen Sie daher die Anschaffung einer Lösung zur Erfassung und Weitergabe der Datenschutzpräferenzen der Verbraucher. Eine Einwilligungsmanagement-Plattform (CMP) wie Sourcepoint bietet die erforderliche Technologie, um die Opt-outs der Verbraucher zu erfassen und die Verbraucherpräferenzen an den Rest des Ökosystems weiterzugeben.   

Angesichts der verschärften Konsequenzen bei Verstößen und Nichteinhaltung der Vorschriften empfehlen wir, ein Protokoll für die regelmäßige Bewertung der Datenschutzrisiken einzuführen. Wenn möglich, sollte auch die Einstellung eines Datenschutzbeauftragten in Betracht gezogen werden.

Die Debatten um das CPRA zeigen, dass sich die Datenschutzbestimmungen nicht nur in Kalifornien, sondern überall in den Vereinigten Staaten weiterentwickeln werden. In einer sich wandelnden Landschaft ist es wichtiger denn je, auf die sich ändernden Vorschriften zu achten und Ihre aktuellen Prozesse und Technologien mit denen zu vergleichen, die Ihnen helfen können, die Compliance-Anforderungen zu erfüllen.