Ihr Unternehmen ist in der EU ansässig und Sie denken, dass der CCPA keine Auswirkungen auf Sie hat?
Falsch gedacht. Lesen Sie weiter, und wir erklären Ihnen, warum Ihr europäisches Unternehmen wahrscheinlich auch CCPA- und CPRA-konform sein muss.
Wie wirkt sich der CCPA auf europäische Unternehmen aus?
Obwohl diese Vorschriften aus Kalifornien stammen, haben sie globale Auswirkungen und können auch für Unternehmen in der Europäischen Union (EU) gelten. Denn CCPA und CPRA betreffen Unternehmen, die personenbezogene Daten von Einwohner*innen Kaliforniens erheben und verarbeiten, unabhängig davon, wo das Unternehmen seinen Sitz hat.
Die EU hat ihr eigenes Datenschutzgesetz, die Datenschutzgrundverordnung (DSGVO), welche für Unternehmen gilt, die personenbezogene Daten von EU-Bürger*innen verarbeiten. CCPA und CPRA ähneln der GDPR in vielerlei Hinsicht und teilen viele der gleichen Grundsätze, wie z. B. Datenschutz, Datensicherheit und Datensicherheit.
Die DSGVO wird jedoch in einem weitaus umfassenderen Rahmen angewandt und schließt alle Organisationen ein, die Daten von EU-Bürger*innen verarbeiten, unabhängig davon, ob das Unternehmen in Europa oder außerhalb ansässig ist. Es gibt keine weiteren Kriterien für die Beurteilung, ob man das Gesetz einhalten muss.
Das CCPA hingegen wird durchgesetzt, wenn ein Unternehmen Daten von kalifornischen Bürger*innen sammelt UND die folgenden Kriterien zutreffen:
-
Wenn ein Unternehmen einen Umsatz von mehr als 25 Millionen Dollar hat oder 50 % aus dem Verkauf personenbezogener Daten gewinnt.
-
Wenn ein Unternehmen Daten von mehr als 50.000 Nutzer*innen verarbeitet, wird es mit CPRA auf 100.000 Nutzer hochgestuft.
CCPA und CRPA gelten also für alle Unternehmen, die in Kalifornien oder weltweit tätig sind, den Schwellenwert erfüllen und von der Erhebung von Daten über in Kalifornien ansässige Personen profitieren und den Schwellenwert für Umsatz und Datenverarbeitung erfüllen.
Beide Verordnungen sind gleichwertig mit dem europäischen Datenschutzgesetz GDPR, das die Europäische Union am 25. Mai 2018 verabschiedet hat. Obwohl CCPA und GDPR den gleichen Zweck verfolgen, unterscheiden sich ihre Grundsätze und Vorschriften.
Wie sehen die Richtlinien aus?
Um die Bestimmungen des CCPA und des CPRA einzuhalten, müssen Unternehmen bestimmte Richtlinien befolgen, wie wir bereits in unserem letzten Artikel beschrieben haben. Dazu gehört zum Beispiel, dass die kalifornischen Einwohner*innen klar und deutlich über ihre Datenschutzrechte informiert werden, dass sie Zugang zu ihren Daten erhalten und dass sie genaue Statistiken über die erhobenen und verarbeiteten Daten erhalten.
Bei Nichteinhaltung der CCPA- und CPRA-Bestimmungen können Bußgelder zwischen 100 und 7.500 US-Dollar pro Verstoß verhängt werden.
Wie Sie den CCPA in Europa einhalten
Angenommen, Ihr Unternehmen ist in Europa ansässig und verkauft, übermittelt oder sammelt personenbezogene Daten von in Kalifornien ansässigen Personen; in diesem Fall ist es wichtig, die CCPA- und CPRA-Vorschriften zu kennen.
-
Prüfen Sie, ob Ihr Unternehmen unter die Normen beider Gesetze fällt, um sich auf die Einhaltung der Vorschriften vorzubereiten.
-
Die Durchführung eines gründlichen Plans und die Schulung Ihres Teams in Sachen Cybersicherheit helfen Ihnen, sensible Daten zu verarbeiten, ohne schwere Verstöße zu begehen und Strafen zu riskieren.
-
Aktualisieren Sie außerdem Ihre Unternehmensrichtlinien und Datenbankstrategien, um die Rechte der Verbraucher*innen zu schützen. Indem Sie die Sicherheit in den Vordergrund stellen, schützen Sie die Nutzer*innen und verhindern Schäden für Ihr Unternehmen.
-
Halten Sie sich ständig über die neuesten Aktualisierungen der Datenschutzgesetze informiert, um auf dem Laufenden zu bleiben.
-
Assess whether your business falls under both laws‘ standards to prepare your organization for compliance.
-
Conducting a thorough plan and training your team for cybersecurity will help process sensitive information without committing severe violations and risking penalties.
-
In addition, update your business policies and database strategies to protect consumer rights. In prioritizing security, you’re protecting users and preventing damage to your company.
-
Constantly keep up with the latest updates concerning data privacy laws to stay on track.
-
Und schließlich sollten Sie alte und komplizierte Systeme durch Anwendungen wie das Data Protection and Security Toolkit for Jira und Data Protection and Security Toolkit for Confluence ersetzen, mit denen Sie die Datenverarbeitung regeln und verwalten können. So stellen Sie sicher, dass der CCPA und alle anderen Datenschutzgesetze eingehalten werden.