Hinweis
Dieses Thema wird "wie besehen" bereitgestellt. Informationen und Ansichten, die in diesem Thema ausgedrückt werden, einschließlich URL- und anderer Verweise auf Internetwebsites, können ohne vorherige Ankündigung geändert werden. Das Risiko der Produktnutzung liegt allein beim Nutzer. Dieser Artikel wurde als Leitfaden erstellt und sollte nicht als rechtlicher Ratschlag interpretiert werden. Sie sollten sich mit Ihren eigenen Rechtsexperten beraten. Dieser Artikel gewährt keine Rechte an dem geistigen Eigentum für Microsoft-Produkte. Er darf für interne Zwecke und als Referenz kopiert und verwendet werden.
- Der Virginia Consumer Data Protection Act (VCDPA) ist ein umfassendes Datenschutzgesetz im USA und wird ab dem 1. Januar 2023 von der Virginia Attorney General (AG) durchgesetzt. Der Generalanwalt kann "Schadensersatz für bis zu $ 7.500 für jeden Verstoß" beantragen.
- Der VCDPA bietet Virginia-Verbrauchern eine Vielzahl von Datenschutzrechten. Unternehmen, die vom VCDPA reguliert werden, werden gegenüber diesen Verbrauchern viele Verpflichtungen haben, einschließlich der Bereitstellung von Offenlegungen, der Reaktion auf die Datenschutz-Grundverordnung (DSGVO) von Anträgen betroffener Verbraucher (DSRs) und der Einhaltung bestimmter Datenverarbeitungspflichten (z. B. Datenminimierung, angemessene Datenschutzpraktiken).
- Unternehmen mit starken DSGVO-Compliance-Programmen können zwar einen Vorsprung bei der VCDPA-Compliance haben, es gibt jedoch wichtige Unterschiede zwischen der DSGVO und VCDPA , die berücksichtigt werden müssen. Compliance kann nicht über Nacht erfolgen; Es dauert einige Zeit, um die regulatorischen Feinheiten des VCDPA zu verstehen und interne Tools und Mechanismen zu implementieren, um sicherzustellen, dass Datenstände für die VCDPA-Compliance bereit sind.
- Wie im Abschnitt "Umfassende häufig gestellte Fragen" ausführlich beschrieben, stellt Microsoft Produkte und Dienste bereit, die Kunden dabei helfen, VCDPA-Compliance zu erreichen , und um bestimmte elementare Tools bereitzustellen, die Kunden bei der Einrichtung, Implementierung und Aufrechterhaltung von "angemessenen administrativen, technischen und physischen Datenschutzpraktiken zum Schutz der Vertraulichkeit, Integrität und Barrierefreiheit personenbezogener Daten" unterstützen, wie dies vom VCDPA gefordert wird.
Der VCDPA wird sich für gemeinnützige Unternehmen bewerben, die personenbezogene Daten von Einwohnern virginias in größerem Umfang kontrollieren oder verarbeiten.
Genauer gesagt: der VCDPA gilt für Organisationen, "die Geschäfte im Commonwealth von Virginia tätigen oder Produkte oder Dienstleistungen herstellen, die für Einwohner des Commonwealth bestimmt sind" und während des Kalenderjahres entweder: (1) personenbezogene Daten von mindestens 100.000 Einwohnern von Virginia kontrollieren oder verarbeiten oder (2) mehr als 50 % des Bruttoumsatzes aus dem Verkauf personenbezogener Daten ableiten (der VCDPA erklärt nicht, ob die Umsatzschwelle nur für Einwohner Virginias gilt) und personenbezogene Daten von mindestens 25.000 Einwohnern von Virginia zu kontrollieren oder zu verarbeiten.
Obwohl der VCDPA keine "Geschäftstätigkeit in Virginia" definiert, kann ein reguliertes Unternehmen davon ausgehen, dass der VCDPA darauf angewendet wird, wenn es eine wirtschaftliche Aktivität gibt, die die Steuerpflicht oder die persönliche Gerichtsbarkeit in Virginia auslöst.
Nein Wie unter "Gibt es andere Datenverarbeitungsbedingungen, die vorhanden sein müssen" beschrieben? die Bedingungen des Nachtrags "Microsoft-Produkte und -Dienste zum Datenschutz" den Anforderungen des VCDPA entsprechen.
Viele Der VCDPA-Rechte, die Virginia-Verbrauchern gewährt werden, ähneln den Rechten, die die DSGVO bietet, einschließlich der Verbraucherrechte wie die Rechte auf Zugriff, Löschung und Portabilität personenbezogener Daten. Als solches kann ein reguliertes Unternehmen nach unseren bestehenden DSGVO-Lösungen suchen, um sie bei ihren VCDPA-Compliance-Bemühungen zu unterstützen.
Je nach den einzigartigen Umständen Ihres Unternehmens und der Entwicklung Ihres VCDPA-Datenschutzprogramms können Sie sich auf die folgenden fünf wichtigen Schritte konzentrieren, um Ihre VCDPA-Reise zu beginnen:
- Entdecken: Identifizieren Sie, welche personenbezogenen Daten Ihr Unternehmen hat und wo es sich befindet.
- Karte: Bestimmen Sie, wie Ihr Unternehmen personenbezogene Daten mit Dritten teilt.
- Verwalten: Steuern, wie personenbezogene Daten verwendet und auf sie zugegriffen wird.
- Schützen: Richten Sie Sicherheitskontrollen ein, um Schwachstellen und Datenschutzverletzungen zu verhindern, zu erkennen und darauf zu reagieren.
- Dokument: Dokumentieren eines Programms zur Reaktion auf Datenschutzverletzungen.
Darüber hinaus ist Microsoft Purview Compliance Manager ein Feature in der Microsoft Purview-Complianceportal, das Ihnen hilft, den Compliancestatus Ihrer Organisation zu verstehen und Maßnahmen zur Verringerung von Risiken zu ergreifen. Die Vorlage für die Erstellung der Bewertung finden Sie auf der Seite Bewertungsvorlagen im Compliance Manager. Weitere Informationen finden Sie im Artikel zu Buildbewertungen im Compliance-Manager.For more information, see the build assessments in Compliance Manager article.
Sie müssen verstehen, welche spezifischen Verpflichtungen Ihre Organisation im Rahmen von VCDPA hat und wie Sie diese erfüllen. Microsoft ist jedoch hier, um Ihnen auf Ihrem Weg zu helfen.
Die VCDPA wurde am 2. März 2021 in Kraft gesetzt. Die Durchsetzung durch den Generalanwalt von Virginia (AG) beginnt jedoch erst am 1. Januar 2023.
Bestimmte Organisationen sind vom VCDPA ausgenommen, einschließlich:
- Behörden des Bundesstaats Virginia
- Finanzinstitute, die dem Gramm-Leach-Bliley Act unterliegen
- Erfasste Unternehmen oder Geschäftspartner, die den Datenschutz-, Sicherheits- und Verletzungsbenachrichtigungsregeln unterliegen, die gemäß dem Health Insurance Portability and Accountability Act festgelegt wurden
- Gemeinnützige Organisationen; und Hochschuleinrichtungen.
Der VCDPA bietet auch Schutz vor Diskriminierung, wenn/wenn Verbraucher sich entscheiden, ihre Rechte auszuüben, und gibt Verbrauchern die Möglichkeit, den Verkauf ihrer personenbezogenen Daten, gezielte Werbung und bestimmte Profilings abzuwählen. Weitere Informationen dazu, wie Sie Microsoft-Produkte, -Dienste und -Verwaltungstools verwenden können, um personenbezogene Daten zu finden und zu "handeln", finden Sie unter "Anträge betroffener Personen" und der DSGVO und des CCPA.
Der VCDPA verlangt, dass regulierte Unternehmen innerhalb von 45 Tagen auf Anfragen zur Ausübung von Verbraucherrechten reagieren, und diese Frist kann um weitere 45 Tage verlängert werden, wenn dem anfordernden Verbraucher eine Mitteilung über den Grund für diese Verzögerung vorgelegt wird. Der VCDPA bietet verbrauchern auch das Recht, die Ablehnung eines solchen Antrags durch ein vom Unternehmen bereitgestelltes Beschwerdeverfahren, das "auffällig verfügbar" sein muss, einzulegen. Ein Unternehmen muss innerhalb von 60 Tagen schriftlich auf ein Rechtsmittel reagieren; wird die Beschwerde abgelehnt, muss das Unternehmen dem Verbraucher einen "Onlinemechanismus (sofern verfügbar) oder eine andere Methode" zur Verfügung stellen, über den ein Verbraucher eine Beschwerde bei der AG einreichen kann.
Zu den geschäftlichen Verpflichtungen im Rahmen des VCDPA gehören:
- Datenminimierung: Beschränken Sie die Sammlung personenbezogener Daten auf das, was angemessen, relevant und angemessen notwendig ist (z. B. die angegebenen und ausdrücklichen Zwecke für die Verarbeitung).
- Zweckbeschränkung: Verarbeiten sie personenbezogene Daten nur für Zwecke, die angemessen notwendig oder mit den dem Verbraucher offengelegten Zwecken vereinbar sind (z. B. in einer Datenschutzerklärung).
- Sicherheitskontrollen: Einrichten, Implementieren und Verwalten von "angemessenen administrativen, technischen und physischen Datensicherheitspraktiken" zum Schutz personenbezogener Daten von Verbrauchern.
- Nichtdiskriminierung: Personenbezogene Daten werden nicht auf eine Weise verarbeitet, die gegen staatliche oder bundesspezifische Antidiskriminierungsgesetze verstößt. Darüber hinaus ist es Unternehmen untersagt, Verbraucher zu diskriminieren, wenn sie ihre Rechte im Rahmen der VCDPA ausüben (mit einigen Ausnahmen, auch für Treueprogramme).
- Einwilligung: Einholen der ausdrücklichen Zustimmung von Verbrauchern, wenn das Unternehmen (1) sensible Daten verarbeitet oder (2) von den Zwecken der Datenverarbeitung abweicht, die dem Verbraucher offen gelegt wird (z. B. in der Datenschutzerklärung des Unternehmens).
"Personenbezogene Daten" sind alle Informationen, die mit einer identifizierten oder identifizierbaren natürlichen Person verknüpft oder vernünftig verknüpft sind, aber keine nicht identifizierten Daten oder öffentlich zugänglichen Informationen enthalten. Die VCDPA-Definition von "personenbezogenen Daten" entspricht in etwa "personenbezogenen Daten" gemäß der DSGVO.
"Vertrauliche Daten" ist eine Kategorie von "personenbezogenen Daten", die Folgendes umfasst:
- Personenbezogene Daten, die rassische oder ethnische Herkunft, religiöse Überzeugungen, diagnose der psychischen oder körperlichen Gesundheit, sexuelle Orientierung, Staatsbürgerschaft oder Einwanderungsstatus offenlegen;
- Die Verarbeitung genetischer oder biometrischer Daten zum Zwecke der eindeutigen Identifizierung einer natürlichen Person;
- Die von einem bekannten Kind erhobenen personenbezogenen Daten; Oder
- Präzise Geolocation-Daten.
Wie oben erwähnt, erfordert der VCDPA die Zustimmung des Verbrauchers, bevor daten unter bestimmten Umständen verarbeitet werden, einschließlich vor der Verarbeitung sensibler Daten eines Verbrauchers. "Zustimmung" ist definiert als ein "eindeutiger bestätigender Akt, der die frei gegebene, spezifische, informierte und eindeutige Zustimmung eines Verbrauchers zur Verarbeitung personenbezogener Daten im Zusammenhang mit dem Kunden darstellt" und könnte "eine schriftliche Erklärung, einschließlich einer erklärung auf elektronischem Wege, oder jede andere unzweideutig bestätigende Aktion" enthalten.
Die folgenden Informationen müssen in einem angemessen zugänglichen, klaren Datenschutzhinweis enthalten sein:
- Die Kategorien der verarbeiteten personenbezogenen Daten;
- Zweck der Verarbeitung personenbezogener Daten;
- Wie Verbraucher ihre Rechte in Bezug auf ihre personenbezogenen Daten ausüben können (z. B. das Recht auf Berichtigung personenbezogener Daten);
- Die Kategorien personenbezogener Daten, die an Dritte weitergegeben werden (sofern vorhanden);
- Die Kategorien von Dritten, mit denen ein reguliertes Unternehmen personenbezogene Daten teilt (sofern vorhanden).
- Die Tatsache, dass personenbezogene Daten an Dritte verkauft oder für gezielte Werbung verarbeitet werden und wie sie sich abmelden können (diese Erklärung ist nur erforderlich, wenn ein Verantwortlicher Daten für gezielte Werbung verkauft oder verarbeitet); Und
- Wie Verbraucher gegen eine vom Unternehmen getroffene Rechtsbehelfsentscheidung einlegen können.
Der "Verkauf personenbezogener Daten" wird als "Austausch personenbezogener Daten zur monetären Gegenleistung" durch ein Unternehmen an einen Dritten definiert. Der VCDPA bietet Verbrauchern das Recht, sich vom Verkauf ihrer personenbezogenen Daten "abzumelden".
Der VCDPA weist darauf hin, dass ein reguliertes Unternehmen in den folgenden Offenlegungen keine "Opt-out"-Verkaufsanforderungen erfüllen muss:
- (i) an einen Auftragsverarbeiter (z . B. eine Entität, die personenbezogene Daten im Namen des Unternehmens verarbeitet),
- ii) einem Dritten zur Bereitstellung eines von einem Verbraucher angeforderten Produkts oder einer Dienstleistung,
- iii) an ein verbundenes Unternehmen,
- iv) informationen, die ein Verbraucher absichtlich über einen Massenmedienkanal der Öffentlichkeit zur Verfügung gestellt und diese Informationen nicht auf ein bestimmtes Publikum beschränkt hat, und
- (v) im Rahmen einer Fusion, Übernahme usw., bei der ein Dritter die Kontrolle über das Gesamte oder einen Teil des Geschäftsvermögens übernimmt.
Eine Datenschutz-Datenschutz-Würdigung ist eine Bewertung, die die Vorteile im Vergleich zu potenziellen Risiken für Verbraucher identifiziert und abwägt, die sich aus einer bestimmten Verarbeitung personenbezogener Daten ergeben. Im Rahmen der VCDPA muss ein Datenschutzgesetz für die folgenden Aktivitäten durchgeführt werden: den Verkauf personenbezogener Daten, bei der Verarbeitung sensibler personenbezogener Daten, bei der Verarbeitung personenbezogener Daten für gezielte Werbung, bei der Verarbeitung personenbezogener Daten für bestimmte Profilerstellungszwecke und bei Fällen, in denen die Verarbeitung ein erhöhtes Risiko von Schäden für die Verbraucher darstellt. Informationen zur Verwendung von Microsoft-Produkten, -Diensten und -Verwaltungstools für die Durchführung einer Datenschutz-Folgenabschätzung für die DSGVO.
Der VCDPA verlangt, dass ein Verantwortlicher (z. B. die Entität, die den Zweck und die Mittel der Verarbeitung personenbezogener Daten bestimmt) und ein Datenverarbeiter (z. B. eine Entität, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet) eine Vereinbarung abschließen, die bestimmte Bedingungen für die Datenverarbeitung enthält. Die Bedingungen dieses Vertrags müssen bestimmte Bestimmungen enthalten, z. B.: Anweisungen zur Verarbeitung von Daten, Arten von datensubjekten Daten, Art und Zweck der Verarbeitung, Dauer der Verarbeitung sowie Rechte und Pflichten beider Parteien. Darüber hinaus muss der Vertrag Verpflichtungen im Zusammenhang mit Unteraufträgen, Bewertungen, Vertraulichkeitspflichten, Löschung oder Rückgabe personenbezogener Daten enthalten und die Einhaltung des VCDPA durch einen Auftragsverarbeiter nachweisen.
Microsoft kann unter bestimmten Umständen als Datenverarbeiter betrachtet werden, wenn dienste für unsere Kunden bereitgestellt werden. Wenn dies der Fall ist, erfüllen die Bedingungen des Microsoft Products and Services Data Protection Addendum (DPA) bereits die Anforderungen des VCDPA, da diese Anforderungen den vertraglichen Anforderungen der DSGVO ähneln; Es ist nicht erforderlich, den Vertrag Ihrer Organisation mit Microsoft zu aktualisieren. Wie in der Datenschutzbestimmungen dargelegt, hält Microsoft alle Gesetze und Vorschriften ein, die für die Bereitstellung der Onlinedienste gelten, einschließlich des VCDPA.
Die VCDPA erteilt der AG die ausschließliche Befugnis, ihre Bestimmung zu erzwingen, vorbehaltlich einer 30-tägigen Heilungsfrist für mutmaßliche VCDPA-Verstöße. Die AG kann unterlassungs- und Schadensersatz in Höhe von bis zu 7.500 US-Dollar für jeden Verstoß und alle "angemessenen Aufwendungen, die bei der Untersuchung und Vorbereitung des Falls entstehen, einschließlich Anwaltskosten" beantragen.
Der VCDPA gewährt verbrauchern kein privates Klagerecht.
Unter anderem hat Microsoft DSRs im Zusammenhang mit der DSGVO global implementiert, sodass wir bereits in einer hervorragenden Position sind, um Ihnen bei der Erfüllung ähnlicher VCDPA-Anforderungen zu helfen. Wir haben auch unsere Vereinbarungen zur Datenfreigabe von Drittanbietern überprüft und Schritte unternommen, um festzustellen, dass die erforderlichen Vertragsbedingungen und Schutzschienen vorhanden sind, um sicherzustellen, dass wir keine persönlichen Informationen "verkaufen".
Microsoft unterstützt Sie auch bei der Erfüllung Ihrer Verpflichtungen im Rahmen des VCDPA, indem geeignete technische und organisatorische Maßnahmen implementiert werden, um Ihre Antworten auf Anträge betroffener Verbraucher zu erleichtern, technische Compliance-Tools/-Mechanismen bereitzustellen und Anweisungen zur Datenverarbeitung einzuhalten.
Aufgrund der Art des Cloud Computings arbeitet Microsoft unter einem Modell mit gemeinsamer Verantwortung für Onlinedienste. Gemeinsame Verantwortung ist ein wichtiges Thema, da sowohl Clouddienstanbieter als auch regulierte Unternehmen für Teile der Cloudsicherheit verantwortlich sind. Weitere Informationen zu unseren Sicherheits- und Datenschutzpraktiken finden Sie im Microsoft Trust Center.
- Beginnen Sie mit der Verwendung der DSGVO-Bewertung im Compliance-Manager als Teil des VCDPA-Datenschutzprogramms Ihrer Organisation.
- Richten Sie einen Prozess ein, um effizient auf Verbraucherrechtsanforderungen zu reagieren.
- Richten Sie Richtlinien ein, um vertrauliche Daten mit Microsoft Purview Information Protection zu ermitteln, zu klassifizieren, zu kennzeichnen und zu schützen.
- Verwenden Sie E-Mail-Verschlüsselungsfunktionen, um vertrauliche Informationen weiter zu kontrollieren.
Der VCDPA definiert ein Kind als jede Person, die jünger als 13 Jahre ist. Unternehmen, die nachprüfbare Zustimmungsanforderungen gemäß der Children es Online Privacy Protection Rule (COPPA) erfüllen, gelten als konform mit allen Verpflichtungen, die elterliche Zustimmung im Rahmen des VCDPA einzuholen.
Der VCDPA sieht vor, dass die vertraulichen Daten eines Kindes gemäß den COPPA-Anforderungen verarbeitet werden müssen.
VCDPA-Verpflichtungen gelten nicht für personenbezogene Daten, die in einem Beschäftigungskontext gesammelt und verwendet werden.
Es gibt viele Unterschiede. Es ist einfacher, sich auf die Ähnlichkeiten zu konzentrieren, einschließlich:
- Transparenz- und Offenlegungspflichten.
- Rechte der Verbraucher auf Zugriff, Löschung und Berichtigung ihrer personenbezogenen Daten.
Wichtig ist, dass VCDPA Unternehmen die Möglichkeit gibt, Verbrauchern die Möglichkeit zu geben, sich vom Verkauf von Daten an Dritte, gezielte Werbung und bestimmte Profilerstellungen abzumelden. Dies sind engere und spezifischere Verpflichtungen als das allgemeine Recht der DSGVO, der Verarbeitung zu widersprechen, die diese Arten von Offenlegungen umfasst, aber nicht speziell auf die Abdeckung dieser Offenlegungen beschränkt ist.
Darüber hinaus bietet der VCDPA Verbrauchern das Recht, gegen die Weigerung eines Unternehmens, einen Antrag einer betroffenen Person durch ein von dem Unternehmen bereitgestelltes Beschwerdeverfahren zu stellen, das "auffällig verfügbar" sein muss, Einspruch einzulegen. Ein solches Beschwerdeverfahren ist in der DSGVO nicht erforderlich.