California Consumer Privacy Act (CCPA)

ÜBERSICHT ÜBER CCPA

Der California Consumer Privacy Act (CCPA) ist das erste umfassende Datenschutzgesetz in den VEREINIGTEn Staaten. Sie bietet den Verbrauchern in Kalifornien eine Vielzahl von Datenschutzrechten. Unternehmen, die durch das CCPA reguliert werden, haben eine Reihe von Verpflichtungen gegenüber diesen Verbrauchern, einschließlich Offenlegungen, der Datenschutz-Grundverordnung (DSGVO) wie verbraucherbezogenen Datensubjektrechten (DSRs), einem "Opt-Out" für bestimmte Datenübertragungen und einer "Opt-In"-Anforderung für Minderjährige.

Das CCPA gilt nur für Unternehmen, die in Kalifornien Tätig sind und mindestens eine der folgenden Voraussetzungen erfüllen: (1) einen jährlichen Umsatz von mehr als 25 Millionen US-Dollar erzielen oder (2) mehr als 50 % ihrer jährlichen Einnahmen aus dem Verkauf von persönlichen Informationen von Verbrauchern in Kalifornien ableiten oder (3) die persönlichen Informationen von mehr als 50.000 Kalifornischen Verbrauchern jährlich kaufen, verkaufen oder teilen.

Das CCPA tritt am 1. Januar 2020 in Kraft. Die Durchsetzung durch die California Attorney General (AG) beginnt jedoch am 1. Juli 2020.

Die California AG setzt das CCPA durch und ist berechtigt, Verstöße gegen die Vorschriften zu erzwingen. Das CCPA bietet auch ein privates Aktionsrecht, das auf Datenschutzverletzungen beschränkt ist. Im Rahmen des privaten Klagerechts kann der Schaden zwischen $ 100 und $ 750 pro Vorfall und Verbraucher liegen. Die California AG kann das CCPA auch in ihrer Gesamtheit durchsetzen, mit der Möglichkeit, eine Zivilstrafe von nicht mehr als $ 2.500 pro Verstoß oder $ 7.500 pro vorsätzlichem Verstoß zu erheben.

Microsoft und das CCPA

Für kommerzielle Kunden, die in Kalifornien tätig sind, wird Microsoft als "Dienstanbieter" in Bezug auf unsere Onlinedienste und Professional-Dienste fungieren. Die Bedingungen der Onlinedienstbedingungen (ONLINE Services Terms, OST) und des Microsoft Professional Services Data Protection Addendum (MSDPA) erfüllen bereits die Anforderungen für Dienstanbieter im Rahmen des CCPA und sind in der Regel ausreichend, damit Kunden weiterhin Daten an unsere Onlinedienste übertragen können. Daher sind keine zusätzlichen vertraglichen Änderungen erforderlich, damit Sich Kunden im Rahmen des CCPA auf Microsoft als Dienstanbieter verlassen können.

Wie im OST festgelegt, hält Microsoft alle Gesetze und Bestimmungen ein, die für die Bereitstellung der Onlinedienste gelten, einschließlich des CCPA.

In Microsoft eingeschlossene Cloudplattformen und -Dienste

Vorbereiten der CCPA-Compliance bei Verwendung von Microsoft-Produkten und -Diensten

Hier sind einige Schritte, die Sie ausführen können, um sich auf das CCPA vorzubereiten:

  • Nutzen Sie die DSGVO-Bewertung im Compliance-Manager als Teil Ihres CCPA-Datenschutzprogramms.
  • Richten Sie einen Prozess ein, um effizient auf Anträge betroffener Personen (Data Subject Access Requests, DSARs) mithilfe des Tools für Anträge betroffener Personen zu reagieren.
  • Richten Sie Etiketten und Richtlinien ein, um vertrauliche Daten mit Microsoft Information Protection zu erkennen, zu klassifizieren und zu kennzeichnen und zu schützen.
  • Verwenden Sie E-Mail-Verschlüsselungsfunktionen, um vertrauliche Informationen weiter zu kontrollieren.

Häufig gestellte Fragen

Wie wirkt sich das CCPA auf mein Unternehmen aus?

Viele der Rechte des CCPA, die den Kaliforniern gewährt werden, ähneln den Rechten, die die DSGVO bereitstellt, einschließlich der Anträge auf Offenlegung und Datensubjektrechte (Data Subject Right, DSR), wie z. B. Zugriff, Löschung und Portabilität. Kunden können daher auf unsere bereits vorhandenen DSGVO-Lösungen zurückgreifen, um ihnen bei der CCPA-Compliance zu helfen.

Um Ihre CCPA-Reise zu beginnen, sollten Sie sich auf die Ermittlung von Informationen konzentrieren, bestimmen, wie personenbezogene Informationen geteilt werden, wie sie verwendet werden, wie sie geschützt sind und ein formales Programm zur Reaktion auf Datenschutzverletzungen eingerichtet haben.

Worin unterscheiden sich DSGVO und CCPA?

Es gibt viele Unterschiede. Es ist einfacher, sich auf die Ähnlichkeiten zu konzentrieren, einschließlich:

  • Transparenz-/Offenlegungsverpflichtungen,
  • Verbraucherrechte zum Zugreifen, Löschen und Empfangen einer Kopie von Daten,
  • Definition von "Dienstanbietern", die der Definition von "Verarbeitern" durch die DSGVO mit einer ähnlichen vertraglichen Verpflichtung ähnelt, und
  • Definition von "Unternehmen", die die DSGVO-Definition von "Verantwortlichen" umfasst.

Der größte Unterschied in CCPA ist die Kernanforderung, die es ermöglicht, den Verkauf von Daten an Dritte abzuwählen (wobei "Verkauf" allgemein definiert ist, um die Freigabe von Daten für wertvolle Überlegungen einzuschließen).

Welche Rechte müssen Unternehmen laut der CCPA gewähren?

Das CCPA erfordert regulierte Unternehmen, die persönliche Informationen sammeln, übertragen und verkaufen, unter anderem:

  • Den Verbrauchern vor der Erfassung Informationen über die Kategorien und Zwecke der Erfassung zur Verfügung zu stellen.
  • Detailliertere Offenlegungen in einer Datenschutzrichtlinie in Bezug auf die Quellen, Geschäftszwecke und Kategorien von personenbezogenen Informationen, die gesammelt werden, einschließlich der Art und Weise, wie diese Kategorien verkauft oder an andere Entitäten übertragen werden.
  • Aktivieren Sie die Rechte von Anträgen betroffener Personen auf Zugriff, Löschung und Portabilität für die spezifischen persönlichen Informationen, die von Ihnen erfasst wurden.
  • Aktivieren Sie ein Steuerelement, das es Verbrauchern ermöglicht, den Verkauf der Daten des Verbrauchers zu deaktivieren. Übertragungen an ausgenommene Entitäten, z. B. Dienstanbieter, sind jedoch zulässig.
  • Aktivieren Sie für Minderjährige unter 16 Jahren einen Teilnahmeprozess, sodass kein Verkauf der persönlichen Informationen des Minderjährigen erfolgen kann, ohne sich aktiv für den Verkauf zu entscheiden.
  • Stellen Sie sicher, dass die Verbraucher nicht wegen der Ausübung ihrer Rechte aus dem CCPA diskriminiert werden.

Wie gilt das CCPA für Kinder?

  • CCPA führt elterliche Zustimmungsverpflichtungen im Einklang mit dem Children's Online Privacy Protection Act (COPPA) für Kinder unter 13 Jahren ein.
  • Für Kinder zwischen 13 und 16 Jahren erlegt CCPA eine neue Verpflichtung auf, die Zustimmung des Kind einzuholen.

Verwenden Sie den Microsoft Compliance Manager, um Ihr Risiko einzuschätzen

Microsoft Compliance Manager ist eine Funktion im Microsoft 365 Compliance Center, die Ihnen hilft, die Compliance-Position Ihres Unternehmens zu verstehen und Maßnahmen zu ergreifen, um Risiken zu reduzieren. Compliance Manager bietet eine Premiumvorlage für die Erstellung einer Bewertung für diese Verordnung. Suchen Sie die Vorlage auf der Seite Bewertungsvorlagen im Compliance Manager. Erfahren Sie, wie Sie Bewertungen im Compliance-Manager erstellen.

Ressourcen