California Consumer Privacy Act: Wird es die Datenschutzgesetze des Bundes in den USA fordern?

Das California Consumer Privacy Act (CCPA) wurde einstimmig verabschiedet und am 1. Januar dieses Jahres eingeführt. Es ist das erste umfassende Gesetz, das sich auf Verbraucherdaten und Datenschutz in den USA konzentriert. Ähnlich wie in der Allgemeinen Datenschutzverordnung (DSGVO) der EU hat die CCPA die meisten im Staat tätigen Unternehmen gezwungen, strukturelle Änderungen an ihren Datenschutzprogrammen vorzunehmen. Einwohner in Kalifornien haben jetzt neue Rechte an ihren Daten, einschließlich der Sichtbarkeit der Daten, die Unternehmen auf ihnen gesammelt haben, sowie der Option, diese Daten löschen zu lassen oder zu verhindern, dass ihre Daten an Dritte verkauft werden.

Das CCPA hat bereits eine Reihe anderer Datenschutz- und Datenschutzbestimmungen auf Bundesstaatsebene ausgelöst. Wie lange wird es jedoch dauern, bis in den USA Bundesgesetze zum Schutz der Privatsphäre und des Datenschutzes umgesetzt werden?

Die Auswirkungen von CCPA auf andere Staaten

Die CCPA hat einen großen Einfluss auf die gesetzgeberische Haltung einer Reihe anderer Staaten zum Datenschutz. In diesem Jahr werden wahrscheinlich mehrere andere Staaten dem Beispiel Kaliforniens folgen und neue Datenschutzgesetze und Datenschutzrichtlinien für Verbraucher umsetzen. Bisher sind New York, New Hampshire und Washington nur eine Reihe von Staaten, die Gesetze eingeführt haben.  Die Gesetzesvorlage des Washington State Privacy Act starb daraufhin.

Der Gesetzentwurf von New Hampshire, der sich mit der Erfassung personenbezogener Daten durch Unternehmen befasst, wurde fast genau nach kalifornischem Recht verfasst, mit nur geringfügigen Unterschieden im ursprünglichen Entwurf des Gesetzentwurfs. Wenn es grünes Licht erhält, wird es Anfang Januar nächsten Jahres in Kraft treten und bereits am 1. Juli 2021 durchgesetzt.

Der New York Privacy Act (NYPA) unterscheidet sich von CCPA in Bezug auf den Umfang der Unternehmen, die in New York geschäftlich tätig sind. CCPA ist auf Unternehmen beschränkt, die in Kalifornien geschäftlich tätig sind oder die einen Bruttojahresumsatz von mindestens 25 Millionen US-Dollar erzielen oder mit personenbezogenen Daten von 50.000 Verbrauchern oder mehr umgehen. Die New Yorker Gesetzgebung würde für alle im Staat tätigen Unternehmen gelten, unabhängig von ihrer Größe. In der Gesetzesvorlage müssten Unternehmen angeben, wie personenbezogene Daten deidentifiziert (anonymisiert) werden, damit die Verbraucher genau wissen, mit wem ihre Daten geteilt werden, und „besondere Sicherheitsvorkehrungen“ für den Datenaustausch treffen.

Während nach dem vorgeschlagenen Gesetz der Generalstaatsanwalt Rechtsstreitigkeiten einleiten kann, enthält der Gesetzentwurf auch eine Bestimmung namens „privates Klagerecht“, die einzelnen Verbrauchern das Recht einräumt, ein Unternehmen zu verklagen, das gegen die Bestimmungen der Gesetzgebung verstoßen hat. Ein Argument gegen die neue Gesetzgebung ist, dass Verstöße, die zu einem privaten Klagerecht führen, viele kleine Unternehmen finanziell verarmen könnten.

Abschnitt §1102 des NYPA enthält eine „Daten-Treuhand“ -Vorschrift, nach der Organisationen verpflichtet sind, „im besten Interesse des Verbrauchers zu handeln, ohne Rücksicht auf die Interessen des Unternehmens, des für die Verarbeitung Verantwortlichen oder des Datenbrokers, wie dies von einem vernünftigen Verbraucher gemäß erwartet wird die Umstände."

In die richtige Richtung gehen: COPRA & Online Privacy Act

Obwohl einzelne Staaten diese Schritte vorantreiben, um den Datenschutz und die Sicherheit der Bürger zu gewährleisten, werden 50 separate Verbraucherschutzgesetze für Unternehmen ein Chaos schaffen. Auf Bundesebene ist ein umfassendes Gesetz zum Schutz der Privatsphäre und des Datenschutzes der Verbraucher erforderlich, das die Mindestsicherheitsanforderungen enthält, die Organisationen zum Schutz der Daten ihrer Kunden implementieren müssen.

Das Online-Datenschutzgesetz für Verbraucher ( KOPRA ) wurde im Dezember letzten Jahres dem Senat vorgestellt und weist viele Ähnlichkeiten mit GDPR und CCPA auf, da Unternehmen aufgefordert werden, die von einer Person gesammelten Daten auf Anfrage zur Verfügung zu stellen. In vielen Fällen werden Einzelpersonen aufgefordert, ihre Daten zu löschen. In einigen Fällen können Einzelpersonen jedoch Ungenauigkeiten der gespeicherten Daten korrigieren. COPRA enthält auch biometrische Daten, einschließlich Gesichtserkennung und Geolokalisierung als vertrauliche Informationen.

Ebenfalls im letzten Jahr eingeführt wurde die Online-Datenschutzgesetz in das US-Repräsentantenhaus. Dieser Gesetzentwurf hatte viele Ähnlichkeiten mit dem Gesetzentwurf des Senats und beinhaltet die Schaffung einer Agentur für digitalen Datenschutz. Die Datenschutzbehörde wird eine unabhängige Bundesbehörde für den Schutz der Privatsphäre der Polizei und mutmaßliche Misshandlungen. Wie geschrieben, enthält der Gesetzentwurf auch Strafen und Einzelheiten zur Durchsetzung von Verstößen, zu deren Durchsetzung Staatsanwälte befugt sind. Darüber hinaus können einzelne betroffene Verbraucher wie der New York Privacy Act Sammelklagen gegen Organisationen erheben.

Wann werden wir die Datenschutz- und Datenschutzgesetze des Bundes sehen?

Während wir die COVID-19-Pandemie durchleben, sind Datenschutz und Datenschutz noch wichtiger. In diesem Jahr werden noch mehr Staaten gemeinsam mit Kalifornien ihre eigenen Gesetze zur Datensicherheit und zum Datenschutz einführen, die ein wesentlicher Treiber für ähnliche Gesetze mit nationalem Geltungsbereich sein werden. Während es unwahrscheinlich ist, dass COPRA in diesem Jahr ein Bundesgesetz wird, werden wir sehen, dass der Gesetzgeber große Schritte in Richtung eines Gesetzes unternimmt bundesweite Gesetzgebung Dies soll den Datenschutz und die Sicherheit der Verbraucher schützen, dank der ersten Schritte, die der Bundesstaat Kalifornien zur Einführung von CCPA unternommen hat.

Einhaltung der Vorschriften

Erfahren Sie, warum die weltweit führenden Banken OneSpan vertrauen, um komplexe Compliance-Anforderungen zu erfüllen.

Mehr erfahren

Dieser Blog, geschrieben von Michael Magrath, Director, Global Standards & Regulations bei OneSpan, wurde ursprünglich am veröffentlicht DataProtectionMagazine.com am 15. April 2020.