Was ist Proposition 24 und wie wirkt sie sich auf Unternehmen aus?

Sie wissen vielleicht, dass letzte Woche eine wichtige Umfrage abgehalten wurde – richtig, Sie haben es erraten: Die kalifornischen Wähler haben die Entscheidung getroffen, Proposition 24 zu verabschieden, die formeller als California Privacy Rights and Enforcement Act bekannt ist.

Hier bei Impact sind wir scharfe Beobachter der Datenschutzlandschaft und der Litanei von Datenschutzgesetzen, die in den letzten Jahren entstanden sind.

Für Unternehmen werfen diese Gesetze Fragen zur Einhaltung und den damit verbundenen Kosten für deren Aufrechterhaltung auf. Angesichts der Tatsache, dass Kalifornien eine so große Bevölkerung darstellt, haben Datenschutzgesetze, die den Bundesstaat betreffen, oft eine Dominowirkung im ganzen Land, und viele KMUs mit CA-Kunden müssen sich vorbereiten, ähnlich wie sich amerikanische Unternehmen auf die DSGVO vorbereiten mussten.

Was ist Proposition 24?

Der Zweck von Proposition 24 besteht darin, das vorherige CCPA-Gesetz, das 2018 verabschiedet wurde, zu erweitern und zu ändern.

Dies soll erreicht werden, indem den Verbrauchern mehr Kontrolle über ihre Daten gegeben wird und mehr Unternehmen aufgefordert werden, diese Daten zu schützen.

CCPA führte das Recht der Kalifornier ein, zu verlangen, welche Informationen Unternehmen von ihnen sammeln, ein Opt-out und das Recht, Informationen löschen zu lassen, falls dies gewünscht wird.

Prop 24 geht noch einen Schritt weiter und legt zusätzlichen Schutz für sensible personenbezogene Daten fest, erweitert die Opt-outs, die Benutzern zur Verfügung stehen, um die gemeinsame Nutzung von Daten (eine der Möglichkeiten, wie große Technologieunternehmen Werbeeinnahmen erzielen) und fordert Unternehmen auf, mehr Mechanismen für den Zugriff der Verbraucher bereitzustellen , korrigieren und löschen Sie ihre Informationen.

Der Gesetzentwurf schafft auch eine neue dedizierte Behörde, die California Privacy Protection Agency, die die Verantwortung für die Strafverfolgung vom kalifornischen Generalstaatsanwalt übernehmen wird – der erste derartige Schritt in den USA.

Gegner sind besorgt über Zugeständnisse an Unternehmen, die dazu führten, dass der Gesetzentwurf vorgezogen werden könnte, insbesondere die Ausweitung von „Pay for Privacy“-Systemen, bei denen Unternehmen Rabatte für diejenigen anbieten dürfen, die bereit sind, Informationen auszutauschen – wodurch ein abgestuftes System geschaffen wird diejenigen, die sich einen höheren Preis leisten können, erhalten einen stärkeren Datenschutz für ihre Daten.

Aktivisten argumentieren, dass dies Einwohner mit niedrigeren Einkommen unverhältnismäßig stark treffen wird.

Warum ist Proposition 24 wichtig?

Unternehmen im ganzen Land haben Gesetze wie Proposition 24 genau im Auge behalten, hauptsächlich aus Interesse daran, was in einigen Jahren auf sie zukommen könnte.

Gesetzentwürfe wie CCPA oder in jüngerer Zeit der New Yorker SHIELD Act haben das Gespräch über den Datenschutz verändert – und was von Unternehmen erwartet wird, die im Besitz von Kundendaten sind.

Wo früher Unternehmen über den Atlantik hinweg auf die Auswirkungen der DSGVO auf den Datenschutz blickten, richten sich jetzt alle Augen auf Staaten wie New York und Kalifornien – zwei Staaten, die zusammen ein Fünftel der US-Bevölkerung ausmachen.

Unabhängig davon, wo ein Unternehmen seinen Sitz hat, muss es sich an den CCPA halten, wenn es einen Kunden in Kalifornien hat, sonst riskiert es, mit Strafen belegt zu werden.

Der Punkt ist, dass diese Gesetze als eine Art Richtschnur für andere Staaten fungieren, und tatsächlich gibt es viele, die sich auf ähnliche Gesetzesvorlagen vorbereiten, Florida ist ein Beispiel.

Anstelle eines Bundesdatenschutzgesetzes – das sich noch im frühen Ausschussstadium befindet; es ist noch weit davon entfernt, dass es auch nur annähernd einem Gesetz gleicht – die Staaten nehmen es auf sich, Gesetze auszuarbeiten.

Während es Datenschutzgesetzen immer noch an Durchdringung und Umfang mangelt, hat sich ihre Zahl seit 2016 verdoppelt – ein Hinweis darauf, wie prominent ein Thema geworden ist.

Mindestens 25 Staaten haben eine Art Verbraucherschutz erlassen – obwohl erwähnenswert ist, dass die meisten bestenfalls einfach sind und in Bezug auf den Datenschutz als schwach gelten. Im Moment sind es kleine Schritte und es ist ein langer Weg zu gehen, aber die Dynamik baut sich auf.

Aber was bedeutet das eigentlich für KMUs?

Für KMUs bedeutet dies, dass sie jetzt dringend darüber nachdenken sollten, ihre Compliance in Ordnung zu bringen, denn früher oder später müssen sie sich an das eine oder andere Datenschutzgesetz halten.

US-Unternehmen sind auf der anderen Seite des großen Teichs gegen die DSGVO-Gesetze verstoßen und mussten mit hohen Strafen rechnen – laut einem im letzten Jahr veröffentlichten Bericht wurden über 400 Millionen US-Dollar gegen in den USA ansässige Unternehmen erhoben.

So wie sie jetzt für Daten von EU-Bürgern verantwortlich sind, gilt das Gleiche jetzt für Unternehmen mit in Kalifornien oder New York ansässigen Bürgern.

Kurz gesagt, Unternehmen verstoßen gegen diese Compliance-Vorschriften, indem sie einfach nicht aufpassen, und am falschen Ende einer Compliance-Strafe zu stehen, ist eine Katastrophe. nicht nur wegen der hohen Bußgelder, sondern vor allem wegen des drastischen Reputationsschadens, den eine Datenschutzverletzung für ein KMU haben kann.

KMU und Compliance

Der Elefant im Raum bei all dem ist die einfache Tatsache, dass viele KMUs in Bezug auf die Einhaltung von Vorschriften auf einem Drahtseil balancieren.

Datensicherheit ist einer der wichtigsten Motivationsfaktoren für Investitionen in die Unternehmenstechnologie, gefolgt von Cloud-Lösungen und Infrastrukturausgaben.

Die Sicherheit von Geschäftsdaten in KMUs ist unzureichend, wobei zwei Drittel von ihnen in den letzten 12 Monaten eine Datenschutzverletzung erlebt haben.

Darüber hinaus werden die Verbraucher immer anspruchsvoller, was den Umgang mit ihren Daten betrifft. Die Erwartung von Gesetzen wie CCPA und SHIELD ist, dass Kundeninformationen auf einem akzeptablen Standard geschützt werden, und diese Erwartung wird zunehmend geteilt und auch von Verbrauchern vorangetrieben.

Tatsächlich sagen 84 % von ihnen, dass sie ihr Geschäft woanders hinführen würden, wenn sie sich mit den Datenschutzstandards einer Organisation, mit der sie zu tun haben, unwohl fühlen würden.

90 % der Unternehmensleiter erkennen an, dass Kundenvertrauen ein Wettbewerbsvorteil der Zukunft ist, aber weniger als die Hälfte der Unternehmensleiter betrachten Datenschutz und Sicherheit als oberste Priorität für Unternehmen.

Endeffekt

Nur 47 % der Chief Compliance Officer geben an, dass ihre Organisation über ein unternehmensweites Berichtssystem verfügt, das in die Compliance-Überwachung über Funktionen und Geschäftseinheiten hinweg integriert ist.

In einer Zeit, in der der Datenschutz wichtiger denn je ist, gibt es eine beträchtliche Anzahl von KMUs, die einfach nicht auf das Kommende vorbereitet sind.

Wir haben neue und aufkommende Gesetze wie die Unterzeichnung von Prop 24, einen zunehmenden Wunsch von Verbrauchern, mehr Eigentum an ihren Daten zu übernehmen, und Unternehmen, die von Cyberkriminellen und Hackern angegriffen werden und diesen zum Opfer fallen.

Das Endergebnis ist, dass KMU sich einen Vorsprung verschaffen müssen, indem sie vorausschauend auf die Art der kommenden Gesetzgebung schauen und verstehen, dass sie eher früher als später sicherstellen müssen, dass sie über die richtigen Datenschutzmaßnahmen verfügen, um gewährleistet zu sein sie können konform sein.

Nur 69 % der CCOs geben an, dass ihr Unternehmen Technologie nutzt, um seine Compliance-Initiativen zu unterstützen. Gesetze wie CCPA werden weiterhin in Bundesstaaten in den USA erlassen, und versierte Unternehmen stellen bereits sicher, dass ihre Datenschutzprogramme für die Zukunft gerüstet sind.

Die Cybersicherheitslösung von Impact Networking deckt alle Ihre Grundlagen ab – durch unsere Risikobewertung können wir feststellen, wo Ihre Schwachstellen liegen, und diese angemessen durch erstklassige technische Lösungen angehen, die von einem dedizierten virtuellen Chief Information Officer aus unserem Security Operations Center überwacht werden, um dies sicherzustellen Ihr Unternehmen erfüllt alle relevanten Gesetze und Vorschriften.