Was Marken aus einem Jahr DSGVO bei der Vorbereitung auf den California Consumer Privacy Act lernen können

Das Folgende ist ein Gastbeitrag von Jack Carvel, General Counsel bei Qubit.

Mai 2019 jährt sich zum ersten Mal die Umsetzung der Datenschutz-Grundverordnung (DSGVO), der umfangreichsten Änderung der Datenschutzbestimmungen seit Jahrzehnten. Während die DSGVO erheblich dazu beigetragen hat, das Bewusstsein für die Rechte des Einzelnen in Bezug auf Daten zu schärfen, war die Geschichte der Durchsetzung eine völlig andere.

Der überraschende Mangel an hohen Bußgeldern und der fortgesetzte Missbrauch von Daten Dritter, von denen viele dachten, dass sie überhaupt nicht mehr existieren würden, war im vergangenen Jahr eklatant. Dies kann sich jedoch noch mit der Umsetzung neuer Rechtsvorschriften ändern, wie z. B. der erwarteten ePrivacy-Komponente – dem nächsten Element des EU-Datenschutzregimes, das voraussichtlich bald in Kraft treten wird – und einer wichtigen Datenschutzentwicklung, die im Januar in den USA eintrifft 2020: das California Consumer Privacy Act (CCPA). In diesem Beitrag werde ich die Lehren aus der DSGVO nach einem Jahr erörtern und Tipps geben, wie man sich am besten auf den CCPA und andere strengere Gesetze vorbereitet, die in naher Zukunft erwartet werden.

DSGVO: „A+“ für Awareness, „D“ für Enforcement

Lassen Sie uns zunächst rechtfertigen, wo es angebracht ist: Die DSGVO war sehr gut für Unternehmen, die sie ernst genommen haben. Dies hat zu gesünderen Kundendatenbanken mit einem klareren Verständnis der Kunden und einem besseren Einblick in ihr Verhalten geführt.

Das letzte Frühjahr war ein bisschen wie die Anwendung der Kondo-Methode oder des Frühjahrsputzes auf Daten, da Unternehmen auf der ganzen Welt den Prozess durchlaufen mussten, zu verstehen, wo ihre Daten gespeichert sind und was damit passiert. Alle konzentrierten sich nur wenige Monate auf den Datenschutz und machten die Online-Welt immer sicherer. Und die Prüfung hat sich enorm verbessert. Es gab eine Handvoll Bußgelder, darunter ein erhebliches für Google mit 50 Millionen Euro. Anfangs gingen viele in der Branche davon aus, dass solche Bußgelder zur Norm werden würden, aber das haben wir noch nicht gesehen.

Ein Bereich, in dem die DSGVO besonders glanzlos war, ist der Umgang mit Datenbrokern von Drittanbietern. Es gibt viele schlechte Praktiken bei Unternehmen, deren gesamtes Geschäftsmodell auf dem Verkauf von Daten aus zweiter oder dritter Hand beruht. Diese Daten können leicht kopiert, offengelegt und an Parteien weitergegeben werden, ohne dass der Verbraucher es jemals erfährt – und wurden wahrscheinlich ohne Zustimmung oder Verständnis darüber, welche Daten gesammelt wurden und warum, erlangt. Mit der DSGVO erwarteten viele, dass dies ein Ende haben würde, aber die Regulierungsbehörden sind diesen missbräuchlichen Datenpraktiken nicht nachgegangen.

Es gibt auch kleinere Unternehmen in den USA (und in anderen Ländern außerhalb der EU), die die Standards nicht einhalten. Sie haben nicht die Ressourcen, um unterschiedliche Datenregelungen einzuhalten, und sie haben keinen internen Anwalt, der die Einhaltung überwacht, also gehen sie einfach das Risiko ein. Bei diesen Unternehmen herrscht im Falle eines Verstoßes nur sehr wenig Transparenz, da die Aufsichtsbehörden die Richtigkeit der Aussagen nicht überprüfen können. Nichteinhaltung ist jedoch eine sehr riskante Strategie. Die Verbraucher werden sich ihrer Datenrechte und des Wertes ihrer Daten viel bewusster, so dass ein Unternehmen zwar Bußgelder vermeiden kann, aber seinen Markenwert und seinen Ruf riskiert, wenn es zu einer Datenschutzverletzung kommt – und das kann noch schlimmer sein als Bußgelder.

Strengere Durchsetzung könnte kommen

Es werden Datenschutzbestimmungen erwartet, die das Spiel mit der Durchsetzung verändern können. Eine wichtige kommende Entwicklung ist die ePrivacy-Verordnung, die Richtlinien zu Cookies definiert, welche Zustimmung erforderlich ist, an wen Unternehmen E-Mails senden können und aus welchen Gründen, Nachverfolgung usw. und dem umfassenderen Konzept personenbezogener Daten eine definitivere Ebene hinzufügt. Dies wird wahrscheinlich zu mehr Durchsetzung führen, da die Regulierungsbehörden sowohl die DSGVO als auch die ePrivacy-Verordnung gemeinsam anwenden werden, obwohl dies noch Monate entfernt ist.

Ein weiteres Gesetz am Horizont, das die Arbeitsweise von Unternehmen verändern wird, ist das CCPA. Entscheidend dabei ist, dass dies das erste dieser Art von Gesetz ist, das in den USA verwurzelt ist. Wir sehen vielleicht nicht so viel Aufhebens um diese bevorstehende Verordnung, vielleicht weil es kein Bundesgesetz ist, aber Unternehmen, die sich nicht darauf vorbereiten, können dies tun Seien Sie sehr unangenehm überrascht von Strafen wie bis zu 7.500 US-Dollar pro CCPA-Verstoß und 750 US-Dollar pro kompromittiertem Datensatz – was sich zu einer beträchtlichen Summe summieren und für ein kleineres Unternehmen verheerend sein kann.

Einige Ratschläge für Einzelhändler

Einzelhändler, insbesondere diejenigen in den USA, die nicht den strengen Prozess der Vorbereitung auf die DSGVO durchlaufen haben, den globale Unternehmen haben, müssen die erheblichen Vorbereitungen berücksichtigen, die erforderlich sind, um die bevorstehenden Richtlinien einzuhalten. Kalifornien wird bei der Verhängung saftiger Bußgelder bei Nichteinhaltung wahrscheinlich strenger sein als das, was wir bei der DSGVO beobachtet haben. Große globale Marken sind möglicherweise bereits auf den CCPA vorbereitet, was zum Teil auf ihre Vorbereitungen für die DSGVO und die sorgfältige Datenprüfung zurückzuführen ist, die in Europa seit einiger Zeit besteht. Kleinere Unternehmen könnten jedoch von den bevorstehenden strengen Datenschutz- und Compliance-Untersuchungen überrascht werden. Hier sind einige Tipps, die US-Unternehmen helfen können, und diejenigen, die weiterhin in Kalifornien Geschäfte machen möchten, bei der Vorbereitung auf die bevorstehende Gesetzgebung:

1. Auch wenn es keine feste Anforderung des CCPA ist, sollte die Erstellung eines „Verarbeitungsverzeichnisses“ der erste Schritt sein: Identifizieren Sie, welche Daten Sie sammeln und was genau Sie damit machen. Wenn Sie sich diesem Prozess unterziehen, werden Sie verstehen, in welchen Anwendungsbereich Sie innerhalb des CCPA fallen. Sie müssen mit einem gründlichen Verständnis all dessen in den Prozess einsteigen.
2. Natürlich sind Daten wertvoll, aber mehr Daten bedeuten nicht unbedingt mehr Wert. Wenn Sie nicht wissen, warum Sie es sammeln, werden Sie es los. Daten, die für Ihr Unternehmen nicht nützlich sind, kosten Sie nur Geld in Form von Speicherkosten und erhöhen Ihr Risiko für Datenschutzverletzungen. Das Löschen von Daten kann sich beängstigend anfühlen, aber es ist ein unglaublich ermächtigender Schritt und wird Ihre datengesteuerte Entscheidungsfindung letztendlich effizienter machen. Viele Unternehmen haben höhere Konversionsraten und effektiveres Targeting festgestellt, wenn sie saubere Datensätze verwenden.
3. Die DSGVO verlangt in manchen Fällen einen Datenschutzbeauftragten. Dies ist im Allgemeinen eine gute Idee: jemanden für den Datenschutz verantwortlich zu machen und das Unternehmen darauf vorzubereiten, seinen Verpflichtungen gemäß den geltenden Rechtssystemen nachzukommen. Stellen Sie außerdem sicher, dass diese Person gut sichtbar ist. Beim CCPA ist es nicht erforderlich, dass diese Person wie in der DSGVO der Geschäftsleitung Bericht erstattet; Es wäre jedoch eine sehr gute Idee sicherzustellen, dass die Geschäftsleitung genau weiß, was der interne Prüfer feststellt.
4. Wenden Sie sich proaktiv an Ihre Anbieter und Partner, um zu verstehen, was in bestimmten Szenarien passiert; Könnten sie Ihnen bei Anforderungen innerhalb bestimmter Zeitrahmen helfen? Sprechen Sie über den Prozess. Wenn Sie dieses Gespräch mit den anderen Parteien beginnen, mit denen Ihr Unternehmen zusammenarbeitet, wird schnell klar, ob sie helfen und sich daran halten können.
5. Verstehen Sie die positiven Vorteile von Datenschutzgesetzen für Ihr Unternehmen. Diese Richtlinien ermöglichen es Unternehmen, ihre Kundendatenbanken gesünder und aktiver zu gestalten, die Kosten im Zusammenhang mit der Datenspeicherung zu senken und eine persönlichere Kommunikation mit den Personen zu entwickeln, die sie erhalten möchten.
6. Mach es spaßig. Es ist viel wahrscheinlicher, dass Endbenutzer Ihre Datenverarbeitungspraktiken verstehen und ihnen zustimmen, wenn Sie eine einfache und einfache Sprache verwenden und ihnen die Vorteile Ihrer Vorgehensweise aufzeigen. Wenn Sie die Sammlung nicht rechtfertigen können, lohnt es sich vielleicht noch einmal zu überlegen, ob Sie sie wirklich brauchen!

Es mag nicht einfach sein, Compliance-Prozesse zu entwickeln und auszuführen, aber wenn dies geschehen ist, wird die Welt zu einem besseren Ort. Und für gut vorbereitete Unternehmen kann es sogar einen Schub für ihr Geschäft bedeuten.