California Consumer Privacy Act (CCPA)

CCPA-Übersicht

Der California Consumer Privacy Act (CCPA) ist das erste umfassende Datenschutzgesetz im USA. Es bietet kalifornischen Verbrauchern mehrere Datenschutzrechte. Unternehmen, die durch den CCPA reguliert werden, haben eine Reihe von Verpflichtungen gegenüber diesen Verbrauchern, einschließlich Offenlegungen, Datenschutz-Grundverordnung (DSGVO) wie Rechte betroffener Verbraucher (DSRs), ein "Opt-out" für bestimmte Datenübertragungen und eine "Opt-in"-Anforderung für Minderjährige.

Der CCPA gilt nur für Unternehmen, die geschäfte in Kalifornien tätig sind und eine oder mehrere der folgenden Punkte erfüllen: (1) einen Bruttojahresumsatz von mehr als 25 Millionen US-Dollar erzielen oder (2) mehr als 50 % ihres Jahreseinkommens aus dem Verkauf von personenbezogenen Daten von kalifornischen Verbrauchern ableiten oder (3) persönliche Informationen von mehr als 50.000 kalifornischen Verbrauchern jährlich kaufen, verkaufen oder teilen.

Der CCPA ist am 1. Januar 2020 in Kraft getreten. Die Durchsetzung durch den California Attorney General (AG) begann am 1. Juli 2020.

Die California AG erzwingt den CCPA und hat die Befugnis, Geldbußen gegen Nichtkonformität ausstellen zu können. Der CCPA bietet auch ein privates Klagerecht, das auf Datenschutzverletzungen beschränkt ist. Im Rahmen des privaten Klagerechts kann der Schaden zwischen $ 100 und $ 750 pro Vorfall und Verbraucher liegen. Die California AG kann das CCPA auch in ihrer Gesamtheit durchsetzen, mit der Möglichkeit, eine Zivilstrafe von nicht mehr als $ 2.500 pro Verstoß oder $ 7.500 pro vorsätzlichem Verstoß zu erheben.

Microsoft und der CCPA

Für gewerbliche Kunden, die geschäfte in Kalifornien tätig sind, fungiert Microsoft als "Dienstanbieter" in Bezug auf unser Onlinedienste- und Professional Services-Angebot. Die Bedingungen der Online services Terms (OST) und des Microsoft Professional Services Data Protection Addendum (MSDPA) erfüllen bereits die Anforderungen an Dienstanbieter im Rahmen des CCPA und sind in der Regel ausreichend, damit Kunden weiterhin Daten an unsere Onlinedienste übertragen können. Daher sind keine zusätzlichen Vertragsänderungen erforderlich, damit Kunden sich auf Microsoft als Dienstanbieter im Rahmen des CCPA verlassen können.

Wie in der OST dargelegt, hält Microsoft alle Gesetze und Vorschriften ein, die für die Bereitstellung der Onlinedienste gelten, einschließlich des CCPA.

Zu Microsoft gehörende Cloudplattformen und -dienste

• Azure
• Azure DevOps
• Dynamics 365
• Intune
• Office 365
• Support und Professional Services
• Visual Studio

Wie Sie sich bei der Verwendung von Microsoft-Produkten und -Diensten auf die CCPA-Compliance vorbereiten können

Hier sind einige Schritte, die Sie ausführen können, um sich auf den CCPA vorzubereiten:

• Nutzen Sie die DSGVO-Bewertung im Compliance-Manager als Teil Ihres CCPA-Datenschutzprogramms.
• Richten Sie mithilfe des Tools für anforderungen betroffener Personen einen Prozess ein, um effizient auf Zugriffsanforderungen von betroffenen Personen (Data Subject Access Requests, DSARs) zu reagieren.
• Richten Sie Bezeichnungen und Richtlinien ein, um vertrauliche Daten mit & Microsoft Purview Information Protection zu ermitteln, zu klassifizieren und zu schützen.
• Verwenden Sie E-Mail-Verschlüsselungsfunktionen, um vertrauliche Informationen weiter zu kontrollieren.

Häufig gestellte Fragen

Wie wirkt sich das CCPA auf mein Unternehmen aus?

Viele der Rechte des CCPA, die Den Kaliforniern gewährt werden, ähneln den Rechten der DSGVO, einschließlich der Anträge auf Offenlegung und Rechte betroffener Personen (DSR), z. B. Zugriff, Löschung und Portabilität. Daher können Kunden unsere bereits vorhandenen DSGVO-Lösungen nutzen, um sie bei der Einhaltung des CCPA zu unterstützen.

Um Ihre CCPA-Reise zu beginnen, sollten Sie sich auf die Ermittlung von Informationen konzentrieren, bestimmen, wie personenbezogene Informationen geteilt werden, wie sie verwendet werden, wie sie geschützt werden, und ein formelles Programm zur Reaktion auf Datenschutzverletzungen einrichten.

Worin unterscheiden sich DSGVO und CCPA?

Es gibt viele Unterschiede. Es ist einfacher, sich auf die Ähnlichkeiten zu konzentrieren, einschließlich:

• Transparenz-/Offenlegungspflichten,
• Rechte der Verbraucher auf Zugriff, Löschung und Empfang einer Kopie von Daten,
• Definition von "Dienstleistern", die mit der Definition von "Auftragsverarbeitern" mit einer ähnlichen vertraglichen Verpflichtung in der DSGVO vergleichbar ist, und
• Definition von "Unternehmen", die die DSGVO-Definition von "Verantwortlichen" umfasst.

Der größte Unterschied in CCPA ist die Kernanforderung, um eine Abmeldung vom Verkauf von Daten an Dritte zu ermöglichen (wobei "Verkauf" allgemein so definiert ist, dass er die Freigabe von Daten für wertvolle Überlegungen umfasst).

Welche Rechte müssen Unternehmen laut der CCPA gewähren?

Der CCPA verlangt von regulierten Unternehmen, die personenbezogene Daten sammeln, übertragen und verkaufen, unter anderem an:

• Den Verbrauchern vor der Erfassung Informationen über die Kategorien und Zwecke der Erfassung zur Verfügung zu stellen.
• Stellen Sie detailliertere Offenlegungen in einer Datenschutzrichtlinie in Bezug auf die Quellen, Geschäftszwecke und Kategorien von personenbezogenen Daten bereit, die gesammelt werden, einschließlich der Art, wie diese Kategorien verkauft oder an andere Entitäten übertragen werden.
• Aktivieren Sie die Rechte einer betroffenen Person auf Zugriff, Löschung und Portabilität für die spezifischen Teile personenbezogener Daten, die von Ihnen gesammelt wurden.
• Aktivieren Sie ein Steuerelement, das es Verbrauchern ermöglicht, den Verkauf der Daten des Verbrauchers abbestellen zu können. Übertragungen an ausgenommene Entitäten, z. B. Dienstanbieter, sind jedoch zulässig.
• Für Minderjährige unter 16 Jahren aktivieren Sie einen Opt-In-Prozess, sodass kein Verkauf der persönlichen Informationen des Minderjährigen erfolgen kann, ohne sich aktiv für den Verkauf zu entscheiden.
• Stellen Sie sicher, dass die Verbraucher nicht wegen der Ausübung ihrer Rechte aus dem CCPA diskriminiert werden.

Wie gilt das CCPA für Kinder?

• CCPA führt elterliche Zustimmungsverpflichtungen im Einklang mit dem Children's Online Privacy Protection Act (COPPA) für Kinder unter 13 Jahren ein.
• Für Kinder zwischen 13 und 16 Jahren erzwingt CCPA eine neue Verpflichtung, die Zustimmung des Kindes einzuholen.

Verwenden von Microsoft Purview Compliance Manager zum Bewerten Ihres Risikos

Microsoft Purview Compliance Manager ist ein Feature im Microsoft Purview-Complianceportal, das Ihnen hilft, den Compliancestatus Ihrer organization zu verstehen und Maßnahmen zur Verringerung von Risiken zu ergreifen. Compliance Manager bietet eine Premiumvorlage für die Erstellung einer Bewertung für diese Verordnung. Suchen Sie die Vorlage auf der Seite Bewertungsvorlagen im Compliance Manager. Erfahren Sie, wie Sie Bewertungen im Compliance-Manager erstellen.

Ressourcen

• Fünf Tipps zur Vorbereitung auf das neue California Consumer Privacy Act
• Bewerten Ihrer CCPA-Compliance mit der Microsoft Compliance-Bewertung
• Anträge betroffener Personen und die DSGVO
• California Consumer Privacy Act (CCPA) – häufig gestellte Fragen
• Compliance im Microsoft Trust Center