Skip to content

Unternehmen gehen “Wait-and-See” zur Einhaltung des neuen kalifornischen Datenschutzgesetzes ein

Share:
Twitter Facebook LinkedIn

Nach wochenlangen hektischen Verhandlungen wurde das kalifornische Datenschutzgesetz Ende Juni 2018 offiziell in Kraft gesetzt. Während das Gesetz erst im Januar 2020 in Kraft tritt, fragen sich viele schon jetzt, was das Gesetz für Unternehmen bedeutet, die im Staat und in ihren eigenen Rechtsabteilungen tätig sind. In der Tat ist es eine offene Frage, wie ihre Compliance-Bemühungen für die Unternehmenskonformität und sogar das Gesetz selbst bis zum Jahr 2020 aussehen werden.

Das kalifornische Datenschutzgesetz gilt für Unternehmen im Bundesland, die über 25 Millionen US-Dollar Jahresumsatz haben und die persönlichen Daten der Kalifornier kaufen, verkaufen oder verarbeiten, oder die mehr als die Hälfte ihrer jährlichen Einnahmen aus dem Verkauf solcher persönlichen Informationen.
Unter anderem ermöglicht das Gesetz kalifornischen Verbrauchern, Informationen darüber zu erhalten, wie ein gedecktes Unternehmen ihre persönlichen Daten sammelt, verkauft oder offenlegt, Kopien dieser Informationen anfordert und ihre gespeicherten persönlichen Daten löschen zu lassen, sofern sie nicht gelöscht werden. Ein paar Ausnahmen. Das Gesetz schreibt auch vor, dass Unternehmen kalifornischen Kunden die Möglichkeit geben, sich für den Verkauf ihrer persönlichen Daten an Dritte zu entscheiden, und es schafft ein eingeschränktes privates Klagerecht bei Datenverletzungen unverschlüsselter und nicht redakter Informationen.

Kirk Nahra, Partner von Wiley Rein, stellte fest, dass das Gesetz zwar “analog zur Allgemeinen Datenschutzverordnung der EU [GDPR]” sei, die Anforderungen des Gesetzes aber reaktionsfähiger seien als die Richtlinie. “GDPR hat mehr Vorabregeln, was man tun kann oder nicht. Das kalifornische Gesetz ist sehr eng mit dem Motto, man muss den Leuten sagen, was man tut, und sie müssen euch in bestimmten Situationen sagen, dass sie es nicht tun. ”

Da nur kalifornische Einwohner gesetzlich ermächtigt sind, müssen Unternehmen entscheiden, ob sie alle ihre Datenerhebungsoperationen überarbeiten oder nur für ihre kalifornischen Kunden in bestimmten Bereichen bauen.
“In der gleichen Weise, wie die meisten US-Unternehmen, wenn auch nicht alle, sich entschieden haben, GDPR nicht auf der ganzen Welt umzusetzen, werden wir das gleiche Problem mit Kalifornien und den weiteren USA haben”, sagte Nahra.

Doch unabhängig davon, ob es eng oder breit angewendet wird, werden die meisten Unternehmen Schwierigkeiten haben, die Datenschutzaufträge, die Zustimmung und die Streichung des Gesetzes zu erfüllen. “Ich denke, eine der größten Herausforderungen, die der von GDPR ähnelt, ist, dass man plötzlich wissen muss, welche Informationen man aufbewahrt, wie lange sie aufbewahrt werden und wo sie sind”, sagte Camden Hillas, leitender Unternehmensberater bei der Workflow-Automatisierungsfirma Nintex.

Doch bevor die Unternehmen herausfinden, wie sie ihre Geschäfte umgestalten können, müssen sie noch verstehen, wie das Gesetz für sie gilt — wenn überhaupt. Ein Problem, so Nahra, sei es, ob das Gesetz nur für personenbezogene Daten des Verbrauchers gilt. “Es gibt derzeit eine anhaltende Debatte unter meinen Kollegen darüber, ob Daten über Mitarbeiter abgedeckt sind oder nicht.” Wenn auch die persönlichen Daten der Mitarbeiter in den Zuständigkeitsbereich des Gesetzes fallen, dann würden viel mehr Unternehmen als gedeckte Unternehmen betrachtet.

Darüber hinaus könnten die Konzerne Schwierigkeiten haben, zu verstehen, wie sie die Vorteile von Vorbehalten im Gesetz ausnutzen können. So stellt das Gesetz zum Beispiel fest, dass “ein Unternehmen finanzielle Anreize, einschließlich Zahlungen an Verbraucher als Entschädigung, für die Erhebung personenbezogener Daten, den Verkauf personenbezogener Daten oder die Löschung personenbezogener Daten bieten kann”. Sie schränke aber weiter, “finanzielle Anreizpraktiken einzuschränken, die ungerecht, unvernünftig, erzwunsam oder Wuchergeschirglich sind”.

Genau das, was “ungerecht, unvernünftig, erzwunsam oder Wuchergescheisswaren” ausmacht, werde Sache der internen Rechtsabteilungen sein, denn solche Beschränkungen können, sofern keine endgültige regulatorische Orientierung vorliegt, fließend sein, sagte Nahra.

Es stellt sich auch die Frage, wie breit eine Ausnahmeregelung ist, die es Unternehmen ermöglicht, personenbezogene Daten für “geschäftliche Zwecke” zu sammeln und zu verarbeiten. “Es gibt keine wirklichen Informationen darüber, was als Geschäftsleistung qualifiziert ist”, sagte Hillas.

Natürlich hat das Gesetz noch Jahre, bis es in Kraft tritt, und viele vermuten, dass diese Fragen rechtzeitig beantwortet werden, entweder durch Klarstellungen durch staatliche Regulierungsbehörden oder durch eine Änderung des Gesetzestextes selbst. Im Moment verfolgen viele Unternehmen also abwartend und halten ihre Besorgnis in Schach.

Siehe Originalpost von The Recorder.

Von Rhys Dipshan

Share:
Twitter Facebook LinkedIn

Sign up to get the latest news and resources for your small business

Privacy(Required)
Consent
We respect your Privacy
This field is for validation purposes and should be left unchanged.

Featured

Just the Facts: Debunking the FTC’s Case Against Amazon

Federal Trade Commission (FTC) Chair Lina Khan loves to talk about how the federal government is taking on big bad retailer Amazon, which she says is engaging in anticompetitive trickery to maintain monopoly power. The tale of Amazon’s badness is one Khan has been peddling for nearly a decade. It’s also the basis for the…

Maine Small Business Owners Express Frustration Over Data Privacy and Protection Act

Augusta, ME (April 10, 2024): Maine small business leaders expressed concern and disappointment at the consideration of Legislative Document 1977 and House Paper 1270, legislation that would regulate how businesses collect and use data to find customers, grow, and succeed. Recognizing the bill’s good intentions, the business leaders said data collection and usage restrictions would…

Data Privacy Laws Threaten Small Businesses’ Digital Advertising Efforts

The Maryland Online Data Privacy Act of 2024, a proposed bill set to impact data collection and online privacy, successfully passed both the Senate and House of Delegates and now awaits approval by Gov. Wes Moore.
Scale Your Workforce
QuickBooks Basics
The Story of Beddy’s
Digital Accounting Basics
Small Business Voices
Fundamentals of 3CU

Research

Small Businesses See the Transformative Potential of Artificial Intelligence
Connected Commerce Council
Digital Ads: Leveling the Playing Field for Small Businesses
Connected Commerce Council
Digital Tools: The Key to Small Business Resilience in Today’s Economy
Connected Commerce Council
Small Businesses Find Big Value in Digital Ads
Connected Commerce Council
Exploring the Diversification and Potential of Rural SMB Retail Sales
Connected Commerce Council
Small Business Leaders Oppose Anti-Tech Legislation That Will Hurt Their Sales
Catalyst Research
About Network News Contact Code of Conduct Terms of Use
Follow us:
Privacy Policy
Copyright © 2024, Connected Commerce Council