Vergleich zwischen CCPA- und GDPR-Compliance

Die GDPR ist ein Gesetz der Europäischen Union (EU), das im April 2016 in Kraft getreten ist Die Verordnung zielt darauf ab, den Schutz personenbezogener Daten zu verbessern und die Rechenschaftspflicht von Unternehmen bei Datenschutzverletzungen zu erhöhen, um die Einwohner der Europäischen Union zu schützen. Die GDPR sieht Geldbußen in Höhe von bis zu 4 % des weltweiten Umsatzes oder 20 Millionen Euro vor (je nachdem, welcher Betrag höher ist). Zudem unterliegt Ihr Unternehmen unabhängig von seinem Sitz der Verordnung, wenn es personenbezogene Daten von EU-Bürgern verarbeitet oder kontrolliert.

Bedeutende Anforderungen der DSGVO an die Datensicherheit
Einige der wichtigsten Bestimmungen der DSGVO verlangen von Unternehmen Folgendes:

• Personenbezogene Daten müssen in einer Weise verarbeitet werden, die ihre Sicherheit gewährleistet, „einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung“ (Artikel 5).
• Es müssen technische und organisatorische Maßnahmen zur Gewährleistung einer dem Risiko angemessenen Datensicherheit umgesetzt werden, einschließlich „Pseudonymisierung und Verschlüsselung personenbezogener Daten“. (Artikel 32)
• Organisationen müssen die betroffenen Personen „unverzüglich“ über die Datenschutzverletzung personenbezogener Daten benachrichtigen, „wenn diese Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem hohen Risiko für die persönlichen Rechte und Freiheiten“ dieser Personen führt. (Artikel 34)
• Organisationen müssen Schutz vor „unbefugter Offenlegung von beziehungsweise unbefugtem Zugang zu personenbezogenen Daten“ gewährleisten. (Artikel 32)

Mehr über die GDPR:

• Was ist die DSGVO? – Entrust-Website mit vollständiger Liste der Kapitel und Artikel der GDPR
• GDPR.EU – Offizielle Website der Europäischen Union mit umfassendem Leitfaden zur Einhaltung der Vorschriften
• GDPR-Übersicht – Entrust-Website mit einem allgemeinen Überblick über die GDPR

In Artikel 6 (Rechtmäßigkeit der Verarbeitung) werden „Verschlüsselung oder Pseudonymisierung“ als „geeignete Schutzmaßnahmen“ zum Schutz der personenbezogenen Daten der Betroffenen genannt.

In Artikel 32 (Sicherheit der Verarbeitung) heißt es: „Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Maß an Sicherheit zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:

(a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten …“

Artikel 34 (Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person) ermöglicht es Organisationen, die von einer Verletzung des Schutzes personenbezogener Daten betroffen sind, die Mitteilungspflicht zu umgehen, wenn sie eine Verschlüsselung verwendet haben, um „die personenbezogenen Daten für jede Person, die nicht für den Zugriff berechtigt ist, unverständlich zu machen“.

Der California Consumer Privacy Act (CCPA) trat Anfang 2020 in Kraft. Es soll den Einwohnern Kaliforniens mehr Kontrolle darüber geben, welche personenbezogenen Daten erfasst und wie diese Daten verwendet werden.

Unternehmen, die gegen die CCPA-Bestimmungen verstoßen, müssen für jeden vorsätzlichen Verstoß mit einer Geldstrafe von 7.500 USD rechnen. Nicht vorsätzliche Verstöße sind weniger empfindlich, aber mit jeweils 2.500 USD immer noch kostspielig. Zivilrechtliche Streitigkeiten können jedoch potenziell negative Auswirkungen auf nicht konforme Organisationen haben. Für jeden Verbraucher, der von der Nichteinhaltung des CCPA betroffen ist, müssen Organisationen zivilrechtlichen Schadensersatzforderungen von bis zu 750 USD pro Verbraucher rechnen.

Mehr über CCPA:

• CCPA Civil Code – Offizielles Gesetzbuch auf der Informationsseite zur staatlichen Gesetzgebung Kaliforniens
• CCPA-Übersicht – Entrust-Website mit einem allgemeinen Überblick über den CCPA

Abschnitt 1798.150 des CCPA besagt: „Jeder Verbraucher, dessen unverschlüsselte und nicht bearbeitete personenbezogene Daten, wie in Unterabsatz (A) des Absatzes (1) des Buchstaben (d) von Artikel 1798.81.5 definiert, infolge einer Verletzung der Pflicht des Unternehmens, angemessene Sicherheitsverfahren und -praktiken einzuführen und aufrechtzuerhalten, die für die Art der Daten angemessen sind, um die personenbezogenen Daten zu schützen, einem unbefugten Zugriff und Ausschleusung, Diebstahl oder Offenlegung ausgesetzt sind, kann eine Zivilklage einreichen …“

Darüber hinaus wird der Schutz von Verschlüsselungsschlüsseln in den Rechtsvorschriften im Zusammenhang mit dem CCPA behandelt. Insbesondere die Assembly Bill 1130, die eingeführt wurde, um das kalifornische Gesetz zur Benachrichtigung bei Datenschutzverletzungen zu aktualisieren, schreibt vor, dass Personen, deren Daten verletzt wurden, benachrichtigt werden müssen, es sei denn, diese Daten sind verschlüsselt und die Verschlüsselungsschlüssel wurden nicht zusammen mit den Daten erlangt.

Inwieweit sind GDPR und CCPA ähnlich?
Sowohl GDPR als auch CCPA sollen die Privatsphäre und die Datenrechte der Menschen in ihren jeweiligen Ländern schützen. Beide dehnen ihre Reichweite auf Unternehmen aus, die mit ihren Einwohnern Geschäfte machen, unabhängig davon, ob diese Unternehmen in diesem Gebiet ansässig sind.

Sowohl CCPA als auch GDPR gewähren Einzelpersonen bestimmte Rechte in Bezug auf ihre personenbezogenen Daten und verlangen Transparenz von den Unternehmen, die diese Daten speichern und verarbeiten.

Sowohl CCPA als auch GDPR:

• Unternehmen sollen verpflichtet werden offenzulegen, welche personenbezogenen Daten sie über diese Personen gesammelt haben.
• Organisationen sollen verpflichtet werden offenzulegen, was sie mit den personenbezogenen Daten tun.
• Organisationen, die über personenbezogene Daten verfügen, sollen verpflichtet werden, diese Daten auf Verlangen der Person, auf die sich die Daten beziehen, zu löschen.
• Organisationen sollen verpflichtet werden, Maßnahmen zur Cybersicherheit zu ergreifen, um die personenbezogenen Daten von Personen zu schützen.
• Verhängung von Bußgeldern bei Nichteinhaltung.

Worin unterscheiden sich GDPR und CCPA?

• Die GDPR verlangt, dass Unternehmen eine Rechtsgrundlage haben müssen, bevor sie Daten über Einwohner verarbeiten. Der CCPA tut dies nicht.
• Die GDPR gilt für alle Unternehmen, die die oben genannten Anforderungen an die Rechtsgrundlage erfüllen. Der CCPA gilt nur für Unternehmen mit einem jährlichen Bruttoumsatz von mehr als 25 Millionen Dollar.
• Nach dem CCPA kann eine Einzelperson Unternehmen davon abhalten, ihre privaten Daten zu verkaufen, und Organisationen dürfen diese Personen nicht benachteiligen.
• Die GDPR legt Unternehmen, die gesundheitsbezogene Daten verarbeiten, zusätzliche Bedingungen auf, da sie durch die Aufnahme von Begriffen wie „genetische Daten“ und „biometrische Daten“ spezifischer ist. Der CCPA verwendet einen allgemeinen Oberbegriff.
• Im Allgemeinen dürften die GDPR-Geldbußen höher sein als die CCPA-Geldbußen. Der CCPA öffnet jedoch einen Weg für zivilrechtliche Verfahren, die für eine zuwiderhandelnde Organisation ebenso kostspielig sein könnten.