Kalifornische Regulierungsbehörde optimiert und präzisiert Datenschutzbestimmungen

Der Dezember war ein Meilenstein für die kalifornische Datenschutzbehörde, da sie eine Reihe vorgeschlagener Gesetzesänderungen in die öffentliche Kommentierungsphase überführte. Die Überarbeitungen festigen einige der Überlegungen, die Kalifornien in den letzten Jahren zu einem Vorreiter im regionalen Datenschutzrecht gemacht haben. Und sie bieten den im Bundesstaat tätigen Unternehmen die dringend benötigte Klarheit.

Eine kurze Geschichte der kalifornischen Datenschutzbestimmungen

Die Geschichte davon Revisionen beginnt im November 2020 mit der Zustimmung der Wähler zu Proposition 24, einer Wahlinitiative, die den California Privacy Rights Act (CPRA) hervorgebracht hat. Durch dieses Gesetz wurde der California Consumer Privacy Act (CCPA) von 2018 geändert.

Der CCPA hatte Verbraucherschutzmaßnahmen eingeführt – darunter das Recht, zu erfahren, welche personenbezogenen Daten ein Unternehmen über ihn sammelt, und deren Löschung zu verlangen, sowie das Recht, dem Verkauf seiner Daten zu widersprechen. Die CPRA fügte weitere Schutzmaßnahmen hinzu, einschließlich des Rechts, die Nutzung personenbezogener Daten einzuschränken und ungenaue Aufzeichnungen zu korrigieren. Darüber hinaus wurde das Verbot des Verkaufs von Verbraucherdaten durch die CCPA auf die Weitergabe von Daten ausgeweitet. Schließlich gründete Prop 24 die California Privacy Protection Agency (CPPA).

Hierbei handelte es sich um eine separate Behörde mit der Aufsicht über die Verwaltung und Durchsetzung des CCPA. Eine Aufgabe, die früher ausschließlich von der Generalstaatsanwaltschaft übernommen wurde.

Im Juli 2022 begann die CCPA mit der Ausarbeitung von Regeln zur Übernahme dieser CPRA-Vorschriften und harmonisierte damit die CCPA und die CPRA. Die überarbeiteten Vorschriften wurden im November eingeführt. Sie wurden am 29. März vom Amt für Verwaltungsrecht genehmigt, aber sofort von der Handelskammer vor Gericht angefochten. Es argumentierte, dass die endgültigen Regelungen bis zum 1. Juli 2022 vereinbart worden sein sollten und dass die Durchsetzung frühestens ein Jahr nach diesem Zeitpunkt erfolgen sollte, und forderte das Gericht auf, die Regelungen bis zu einem Jahr nach ihrer Genehmigung (29. März 2024) auszusetzen.

Die CCPA hat nicht untätig darauf gewartet, dass die einstweilige Verfügung ausläuft. Am 1. Dezember wurden einige neue Änderungsvorschläge zu den CCPA-Vorschriften vorgelegt. Es handelte sich um diese Reihe von Vorschlägen, die auf einer Tagung erörtert wurden Vorstandssitzung am 8. Dezember (Tagesordnungspunkt drei) und leitete dann die nächste Phase des offiziellen Regelsetzungsprozesses ein.

Auspacken der neuesten vorgeschlagenen Revisionen

Die jüngsten Änderungsvorschläge seien größtenteils unumstritten, erklärt Cobun Zweifel-Keegan, DC-Geschäftsführer der International Association of Privacy Professionals (IAPP).

„Die meisten davon sind keine kreativen Abgänge der Agentur“, sagt er gegenüber ISMS.online. „Ich denke, sie dienen vor allem der Klarstellung und Aktualisierung von Standards, um sie an die vom Gesetzgeber vorgenommenen Änderungen anzupassen.“

Es sei erwartet worden, dass klarstellende Regeln bei der Durchsetzung sowohl des CCPA als auch des CPRA helfen würden, fährt er fort.

„Das neue Gesetz ermächtigt das CPPA ganz ausdrücklich, bestimmte Standards klarzustellen, die im Gesetz selbst nicht ausdrücklich festgelegt sind“, fügt Zweifel-Keegan hinzu.

Odia Kagan, Partnerin der Anwaltskanzlei Fox Rothschild LLP, nennt die vorgeschlagenen Änderungen die „neuen, neuen Vorschriften“. Sie klären Punkte, über die es keinen gemeinsamen Konsens gab, und konzentrieren sich auf Nuancen in Bereichen wie der Verbrauchereinwilligung.

„Es gibt neue Beispiele dafür, was keine Einwilligung darstellt“, sagt sie gegenüber ISMS.online.

Beispielsweise heißt es in den Überarbeitungen ausdrücklich, dass das Schließen eines Popup-Fensters, in dem um Erlaubnis zur Erhebung und Nutzung von Daten gebeten wird, statt explizit auf die Schaltfläche „Ja“ zu klicken, keine Einwilligung bedeutet. Es warnt auch vor irreführenden Techniken wie der Platzierung von Countdown-Timern neben den Einwilligungsoptionen, um Benutzer in Panik zu versetzen.

Klare Sprache, bitte

Bemerkenswert ist auch der Fokus auf klare Sprache. Die vorgeschlagenen Überarbeitungen erfordern eine klare Sprache, die Unternehmen dazu auffordert, die Kategorien von Quellen zu beschreiben, aus denen Daten gesammelt werden, sowie Dritte, mit denen sie möglicherweise geteilt werden. Wie der CCPA in seiner Erläuterung der vorgeschlagenen Änderungen ausführlich darlegt, benötigen Verbraucher ein „aussagekräftiges Verständnis“ darüber, woher Unternehmen ihre personenbezogenen Daten beziehen.

Änderungen wie diese werden dazu beitragen, das CCPA verbraucherfreundlicher zu machen, erklärt Kagan.

„Wenn Sie sagen: ‚Wir sammeln Ihre geschützten Klassifizierungen‘, versteht niemand, was das ist“, sagt sie.

Verteidigung des Rechts auf Löschung

Eine der vielleicht bedeutendsten Änderungsvorschläge betrifft das Recht auf Löschung von Informationen. Es schreibt vor, dass sowohl Unternehmen als auch ihre Dienstleister und Auftragnehmer sicherstellen, dass Informationen gelöscht bleiben.

„Das ist interessant, denn die Dinge, die man von Datenbrokern erhält, stehen derzeit unter der Lupe – insbesondere, weil die FTC gerade zwei Entscheidungen zu Datenbrokern und den Informationen, die man von ihnen erhält, erlassen hat“, sagt Kagan.

Diese Entscheidungen, die beide im Januar nach den vom CPPA vorgeschlagenen Regelrevisionen erlassen wurden, betrafen genaue Standortdaten, die von verkauft wurden X-Mode Social und InMarket-Medien.

Mit technischen Innovationen Schritt halten

Die CPPA-Vorschläge enthalten zahlreiche weitere klarstellende Änderungen, von denen einige seltsam spezifisch erscheinen. Beispielsweise wird gewarnt, dass Unternehmen, die Daten in der erweiterten oder virtuellen Realität (AR/VR) sammeln, den Verbraucher warnen müssen, bevor sie die AR/VR-Umgebung betreten. Dies wurde wieder eingeführt, nachdem es zuvor weggelassen wurde, um die Implementierung zu vereinfachen. Dies ist jedoch nicht verwunderlich, da die Aufgabe der Agentur teilweise darin besteht, Vorschriften zu schaffen, die die Datenschutzgesetze in einer sich schnell entwickelnden Technologielandschaft, die solche Innovationen beinhaltet, relevant halten.

Diese Notwendigkeit, mit der technologischen Entwicklung Schritt zu halten, gilt insbesondere für einen weiteren laufenden Regelsetzungsprozess, der sich auf die automatisierte Entscheidungsfindung konzentriert und für den es separate Vorschriften vom CPPA geben wird.

„In solchen Situationen bedarf es weiterer Klärung, etwa bei der Technologie zur automatisierten Entscheidungsfindung“, sagt Zweifel-Keegan. „Eigentlich handelt es sich dabei nur um eine kleine Regel in der Satzung, sie könnte aber zu einem ganzen mehrseitigen Regelwerk werden, das dabei hilft, zu erklären, welche Anforderungen gelten.“

Darüber hinaus arbeitet das CPPA an zwei weiteren Regelwerken zur Risikobewertung und Cybersicherheit. Während es die „neuen neuen“ Vorschriften vom Dezember aus der Phase der Speichelleckerei in den offiziellen Bereich der Regelsetzung drängt. Es gibt noch viel zu tun – und diejenigen, die in Kalifornien Geschäfte machen, müssen genau im Auge behalten, was dort passiert.

Was können Unternehmen tun, wenn sie diese laufenden Veränderungen verfolgen? In Zeiten der Unsicherheit sollten Sie auf bewährte Best Practices zurückgreifen, die Sie nahe – oder ganz – dorthin bringen, wo Sie sein müssen, wenn der Regelsetzungsprozess abgeschlossen ist.

Standards wie ISO 27001 für Sicherheitsmanagement und ihre Erweiterung ISO 27701 (die den Grundstein für wirksame Datenschutz-Informationsmanagementsysteme legt) sind solide Grundlagen für die Compliance. Sie bereiten Unternehmen darauf vor, neue Standards für die Verwaltung und den Schutz von Verbraucherdaten zu erfüllen, sobald diese gelten.