Es lebt! Bereiten Sie sich auf CPRA-Vorschriften und neue Datenschutzgesetze vor

Die Datenschutzgesetzgebung gewinnt an Dynamik: Es wurden mehr umfassende Datenschutzgesetze vorgeschlagen und auf staatlicher Ebene verabschiedet als je zuvor. Aber keines ist so breit gefächert wie das, was im Bundesstaat Kalifornien kommt.

Der California Privacy Rights Act (CPRA) trat am 1. Januar 2023 in Kraft und die Durchsetzung beginnt am 1. Juli 2023. Der CPRA stellt sowohl eine Klarstellung als auch eine Erweiterung des ursprünglichen California Consumer Privacy Act (CCPA) dar; zusammen bilden sie die strengsten Datenschutzgesetze des Landes.

Was bedeutet das für Ihr Unternehmen? Zum einen, wenn Ihre Marketingstrategie Gefahr läuft, nicht eingehalten zu werden, und Sie Geschäfte (einschließlich Online-Verkäufe) im Bundesstaat Kalifornien tätigen, müssen Sie den Datenschutz ganz oben auf Ihre Prioritätenliste setzen.

Überblick: CPRA vs. CCPA und andere Datenschutzgesetze, die 2023 in Kraft treten

Sie sind sich wahrscheinlich einer Flut von geänderten Fristen und angepassten Zeitplänen rund um CPRA bewusst, die Ende 2022 angekündigt wurden, aber sie ändern nicht den zuvor festgelegten Zeitplan für die Durchsetzung. Kommen wir also zur Sache.

Das CPRA war eine Abstimmungsmaßnahme, die entstand, weil es im ursprünglichen CCPA Grauzonen gab, die viele Fragen unbeantwortet ließen, insbesondere in Bezug auf die Definition von personenbezogenen Daten (PII) und verschiedene Arten der Datenerfassung.

Drahtrad

Die anderen staatlichen Datenschutzgesetze außerhalb Kaliforniens, die 2023 in Kraft treten, sind:

• Colorado Privacy Act (CPA): Gültig ab 1. Juli 2023
• Connecticut Act Concerning Personal Data Privacy and Online Monitoring (CTDPA): Gültig ab 1. Juli 2023
• Utah Consumer Privacy Act (UCPA): Gültig ab 31. Dezember 2023
• Virginia Consumer Data Protection Act (CDPA): Gültig ab 1. Januar 2023

Wie CPRA enthalten alle diese Landesgesetze Bestimmungen zu Verbraucherrechten sowie ihre eigene Auslegung dessen, was sensible personenbezogene Daten ausmacht. Aber es ist sehr wichtig zu wissen, dass sie alle unterschiedlich sind. Es gibt keine Einheitslösung für die Einhaltung des Datenschutzes in allen Bundesstaaten.

Hier kommt Ihre Rechtsabteilung ins Spiel. Sie müssen eine regelmäßige Kommunikation mit Ihrem Rechtsteam einrichten, um über neue Regeln und Vorschriften, die sich in diesem Jahr und in der Zukunft auf Ihr Unternehmen auswirken können, immer einen Schritt voraus zu sein.

Die Änderungen: CPRA hat die Vorschriften zu PII und Datenaustausch geändert

Während CPRA bereits in Kraft ist, werden die endgültigen Regeln auf der Grundlage geänderter Vorschriften nach einer kurzen Verzögerung durch die California Privacy Protection Agency (CPPA) erst irgendwann im April 2023 veröffentlicht.

Einige der Änderungen im Rahmen von CPRA umfassen die Verschärfung der Grenzen für die gemeinsame Nutzung von Daten und die Bereitstellung klarerer Leitlinien dazu, wie Vermarkter das verwenden können, was das Gesetz als „potenziell sensible“ personenbezogene Daten definiert, einschließlich:

• Sozialversicherungs- oder Führerscheinnummer
• Staatliche Personalausweis- oder Reisepassnummer
• Anmeldedaten des Verbrauchers
• Geolokalisierung
• Finanzkonten, einschließlich Debit-/Kreditkartennummern zusammen mit allen Verifizierungen oder Passwörtern, die mit dem Konto verbunden sind
• Wettrennen
• Ethnizität
• Religion
• Genetische Daten
• Biometrische Daten
• Private Kommunikation
• Sexuelle Orientierung
• Gesundheitsinformationen

Eine der größten Debatten, die zu CPRA führte, war die mehrdeutige Sprache der CCPA-Anforderung „Nicht verkaufen“. Nach dem neuen Gesetz müssen Unternehmen den Verbrauchern nun ermöglichen, sich sowohl vom Verkauf als auch von der Weitergabe ihrer Daten abzumelden, indem sie auf ihren Websites eine obligatorische Option „Meine Daten nicht verkaufen oder weitergeben“ angeben.

Wenn Sie Daten an Dritte weitergeben, die ursprünglich nicht autorisiert waren, sind Sie gesetzlich verpflichtet, Benutzern die Möglichkeit zu geben, sich abzumelden. Es sind zwei Teile zu berücksichtigen:

• Echte Identität: die persönlich identifizierbaren Informationen (PII) eines Benutzers, die vor Ort erfasst werden
• Passive Identität: Cookies und Browserkennungen oder alles, was Benutzer automatisch verfolgt

Während die aktuellen Vorschriften finalisiert werden, können Sie in Zukunft mit weiteren Vorschriften rechnen. Abschnitt 1798.185 des CPRA ermächtigt die CPPA, „um eine breite Öffentlichkeitsbeteiligung zu ersuchen und Vorschriften zu erlassen, um die Zwecke dieses Titels (CPRA) zu fördern“. Dies bietet einen breiten Spielraum für zusätzliche Regeln und Einschränkungen, die von der Hinzufügung neuer Kategorien personenbezogener Daten in Bezug auf den Datenschutz bis hin zur Einführung neuer Verfahren in Bezug auf die Weitergabe personenbezogener Daten und die Ablehnung des Verkaufs personenbezogener Daten reichen.

Verglichen mit den Gesetzen, die in den anderen vier Bundesstaaten in Kraft treten, bietet Kalifornien mit Abstand den meisten rechtlichen Schutz für den Datenschutz der Verbraucher. Aber denken Sie daran: Compliance in Kalifornien bedeutet nicht automatisch Compliance anderswo.

OneTrust

Die Auswirkungen: was von der CPRA-Durchsetzung zu erwarten ist

Unter CCPA blieb die Durchsetzung ein großes Fragezeichen, aber erwarten Sie, dass Kalifornien mit CPRA die Hitze aufdreht. Die Geldstrafe von 1,2 Millionen US-Dollar, die Sephora wegen Verstoßes gegen den CCPA im Jahr 2022 auferlegt wurde, sollte als Warnschuss für Marken dienen, die dachten, sie könnten vorbeilaufen.

Falls Sie sich nicht sicher waren, ob Kalifornien es ernst meint, sollte die Gründung der CPPA ein klares Zeichen sein; Sie werden vom California Attorney General (AG) abgelöst, um die Einhaltung, zukünftige Regeln und Strafen für Gesetzesverstöße zu überwachen. CPRA beseitigt auch die 30-tägige „Heilungs“-Frist, bevor eine Geldstrafe für einen Verstoß verhängt wird, und überlässt es stattdessen dem Ermessen der AG und/oder der CPPA, basierend auf der Absicht (oder dem Fehlen einer solchen) der Organisation, gegen das Gesetz zu verstoßen.

OneTrust

Es ist weniger sicher, wie die Durchsetzung in den vier Staaten ablaufen wird, in denen die Gesetzgebung zum ersten Mal in Kraft tritt; Was wir wissen, ist, dass sowohl die Durchsetzung als auch die Strafen in jedem Staat unterschiedlich sein werden. Ob in Kalifornien oder anderswo, Verstöße ziehen Konsequenzen nach sich, die Ihrem Unternehmen finanziell schaden und Ihren Ruf bei Ihren Kunden gefährden können.

CPRA-Compliance: So arbeiten Sie mit Ihrem Rechtsteam zusammen

Was Marken jetzt tun können, ist so zu tun, als ob endgültige Vorschriften und Durchsetzung bereits vorhanden wären. Wenn Sie sich nicht sicher sind, was das bedeutet, wenden Sie sich an Ihre Rechtsabteilung und suchen Sie nach Wegen, wie Sie zusammenarbeiten können, um sicherzustellen, dass Ihr Unternehmen die Vorschriften einhält.

Es gibt mehrere Möglichkeiten, wie Sie diese Arbeit mit Ihrem Rechtsteam beginnen können:

• Ordnen Sie Ihre Datensilos zu: Selbst Organisationen mit ausgefeilten Datenverwaltungs- und Speicherprozessen stellen möglicherweise fest, dass einige Daten innerhalb ihrer Organisation isoliert sind. Es ist wichtig, eine umfassende Karte zu entwickeln, die definiert, welche Daten gespeichert werden, wo sie gespeichert werden und welchen Zweck das Silo hat. Idealerweise würden Sie versuchen, diese Silos aufzubrechen, aber der erste Schritt besteht darin, herauszufinden, wo sich die Daten befinden.
• Stellen Sie umfassende Informationen zu Anwendungsfällen bereit: Rechtsteams werden häufig versuchen, Datenflüsse vollständig zu blockieren, wenn sie ein Risiko für das Unternehmen darstellen könnten. In Ermangelung von Kontext können beispielsweise Rechtsabteilungen ihren Teams raten, die eingeschränkte Datenverarbeitung in einem Google Ads-Konto zu aktivieren. Das würde tatsächlich für alle Einwohner gelten, die den regionalen Datengesetzen unterliegen, und nicht nur für diejenigen, die von ihrem Widerspruchsrecht Gebrauch gemacht haben. Während dieser Ansatz möglicherweise absoluten Rechtsschutz bietet, wirkt er sich auch auf die Marketingeffizienz aus (und dies müssen Marken verstehen, um das richtige Gleichgewicht zwischen diesen Kompromissen zu finden). Sichtlinie, damit sie eine umfassende und aktuelle Datenschutzrichtlinie auf Ihrer Website pflegen können, die die Art widerspiegelt, wie diese Daten heute verwendet werden (in nur wenigen Monaten kann sich viel ändern!)
• Berechnen Sie die geschätzten Auswirkungen von Compliance-Maßnahmen: Wenn Sie das gesamte Tracking für Verbraucher in einer bestimmten Region blockieren, berechnen Sie den geschätzten Umfang der Abdeckung und geben Sie verschiedene Szenarien für Effizienzverluste an. Wenn Sie beispielsweise jährlich 100.000 Kunden haben und 12 % davon in Kalifornien ansässig sind, könnten Sie Ihre vorhandenen CPA-Daten (Cost-per-Acquisition) verwenden, um die Auswirkungen eines Rückgangs der Medieneffizienz um 10 % oder 20 % (oder mehr) darzustellen ). Das kann passieren, weil die CPAs steigen oder die Kundenakquise zurückgeht. Sie können Ihre Arbeit nutzen, um Ihren Teams dabei zu helfen, das Ausmaß der steuerlichen Auswirkungen bei der Implementierung universeller Opt-outs zu verstehen. Da es schwierig ist, diese Auswirkungen im Voraus tatsächlich abzuschätzen, werden diese skalierten Beispiele andere Unternehmensleiter eher dazu bringen, aufmerksam zu sein und mit Ihnen und Ihrer Rechtsabteilung zusammenzuarbeiten, um eine praktikable Lösung zu finden, die sicherstellt, dass Verbraucher ihre Rechte ausüben können, während das Steuerrisiko gemindert wird zum Endergebnis der Marke.
• Erörtern Sie die Rolle und Verwendung einer Consent Management Platform (CMP): Die Art und Weise, wie Verbraucher ihr Recht ausüben, der Datenfreigabe zu widersprechen oder ihre Daten löschen zu lassen, ist von entscheidender Bedeutung. Nicht alle CMP-Lösungen sind gleich. Einige, wie CookieBot, sind nur darauf ausgelegt, Cookies (und damit Anzeigenverfolgung) zu blockieren, während andere, wie OneTrust, umfassender sind. Sie müssen die richtige Lösung für Ihr Unternehmen finden, mit der Sie die Vorschriften einhalten und Ihr Marketing funktionieren kann.
• Richten Sie sich an der Sprache aus, die Sie verwenden, um Verbraucher aufzuklären: Besprechen Sie mit Ihrer Rechtsabteilung verschiedene Möglichkeiten, Verbraucher über die Datennutzung aufzuklären. Ohne Kontext könnten viele Verbraucher vom Worst-Case-Szenario ausgehen. Wenn Sie jedoch klare Beispiele dafür liefern, wie Sie ihre Daten verwenden und welche Grenzen Sie gesetzt haben, stellen Sie möglicherweise fest, dass die Verbraucher offener dafür sind, ihre Daten zu teilen. Es ist niemals angemessen, Verbraucher an der Ausübung ihrer Rechte zu hindern, aber Ihre Rechtsabteilung kann Ihnen konkrete Hinweise dazu geben, was Sie Verbrauchern sagen können und was nicht, wenn sie planen, sich abzumelden.

Denken Sie daran: Compliance ist nicht optional. Gehen Sie jetzt zukünftigen Herausforderungen voraus, indem Sie mit Ihrer Rechtsabteilung zusammenarbeiten und den bestmöglichen Weg nach vorne finden.

Laden Sie State of the Data 2023: The Path to Profitability Requires Privacy Compliance herunter, um mehr über kommende Gesetze und Compliance-Anforderungen zu erfahren, die sich auf Ihr Unternehmen auswirken werden.