Am 10. Oktober verabschiedete der Staat Kalifornien den Delete Act, ein neues Gesetz, das es den Einwohnern Kaliforniens ermöglicht, von allen Datenvermittlern gleichzeitig die Löschung ihrer persönlichen Daten zu verlangen. Das Gesetz wird wahrscheinlich tiefgreifende Auswirkungen auf die Datenschutzpraktiken innerhalb und außerhalb des Staates haben. Sehen wir uns also an, was es mit diesem Gesetz auf sich hat!
- Was ist der Delete Act?
- Hatten die Kalifornier nicht bereits ein Recht auf Löschung?
- Wie funktioniert das Löschgesetz?
- Wie unterscheidet sich das Löschgesetz von anderen Gesetzen?
- Für wen gilt das Gesetz?
- Gibt es Ausnahmen vom Delete Act?
- Welche Strafen sind im Rahmen des Delete Act vorgesehen?
- Welche Auswirkungen wird das Löschgesetz haben?
- Schlussfolgerung
Was ist der Delete Act?
Der Delete Act ist ein neues kalifornisches Gesetz über das Recht auf Löschung Ihrer Daten bei Datenmaklern. Das Gesetz wird von der California Privacy Protection Agency (CPPA) durchgesetzt.
Hatten die Kalifornier nicht bereits ein Recht auf Löschung?
Ja, die Einwohner Kaliforniens haben nach dem CCPA ein Recht auf Löschung. Allerdings gibt es zwei Probleme, wenn es um Datenmakler geht.
Erstens ist unklar, ob sie dieses Recht gegenüber Datenmaklern geltend machen können, wenn man den Wortlaut des CCPA zugrunde legt. Zweitens wäre es in der Praxis schwierig, von Datenmaklern die Löschung personenbezogener Daten zu verlangen, selbst wenn dies möglich wäre. In der Regel verfügen viele verschiedene Makler über Informationen zu einem einzelnen Verbraucher, und die Verbraucher wissen in der Regel nicht, wer diese Makler sind und wie sie mit ihnen in Kontakt treten können.
Langer Rede kurzer Sinn: Das mit dem Delete Act eingeführte Recht auf Löschung ist im kalifornischen Recht nicht neu, aber das Gesetz macht es den Verbrauchern viel leichter, es gegenüber Datenmaklern geltend zu machen.
Wie funktioniert das Löschgesetz?
Das im Gesetz beschriebene Löschsystem wird aus einem einheitlichen Register für Löschanträge bestehen. Datenvermittler müssen in regelmäßigen Abständen auf das System zugreifen und ihre Datenbanken überprüfen, um sicherzustellen, dass sie keine Daten über Personen enthalten, die einen Antrag gestellt haben.
Die Datenvermittler müssen auch andere Verpflichtungen erfüllen, wie z. B. die Befolgung von Löschungsanträgen dokumentieren und die Ergebnisse ihrer Verfahren zur Befolgung von Anträgen überprüfen.
Das Gesetz über die Löschung von Daten ist in Bezug auf die technischen Einzelheiten des Systems vage und fordert die CPPA auf, die Mängel in ihrer künftigen Verordnung zu beseitigen. Das Gesetz sieht vor, dass das System spätestens im Jahr 2026 einsatzbereit sein muss. Aller Wahrscheinlichkeit nach wird die Planung des Systems für die CCPA kein Spaziergang sein - und die Umsetzung wird für die Unternehmen kein Spaziergang sein!
Wie unterscheidet sich das Löschgesetz von anderen Gesetzen?
Das Löschgesetz ist ein innovatives Gesetz. Datenschutzgesetze wie die Datenschutz-Grundverordnung (GDPR) und das kalifornische Datenschutzgesetz (CCPA) sehen das Recht auf Löschung als eine Angelegenheit zwischen einer Einzelperson und einem bestimmten Unternehmen oder einer Organisation vor. Mit dem Delete Act hingegen wird der Geltungsbereich eines einzigen Antrags auf alle Datenvermittler ausgeweitet. Dieses System unterscheidet sich von typischen Löschanträgen und ähnelt eher einer Art "Do-not-call"-Register.
Das Löschgesetz unterscheidet sich auch insofern von anderen Datenschutzgesetzen, als sich die Anträge auch auf alle Daten auswirken, die nach der Einreichung gesammelt wurden. Ein Datenvermittler kann Ihre Daten nicht einfach löschen und damit Schluss machen; er muss seine Datenbank regelmäßig überprüfen und alle neuen Daten über Sie löschen. Ein kontinuierlicher Prozess der Überprüfung und Löschung ist erforderlich.
Für wen gilt das Gesetz?
Einerseits gilt das Gesetz, ähnlich wie der CCPA, für Einwohner Kaliforniens. Niemand sonst kann einen Antrag nach dem Gesetz stellen.
Auf der anderen Seite gilt das Gesetz auch für Datenmakler. Das Gesetz definiert Datenmakler als Unternehmen, die wissentlich Informationen von Verbrauchern sammeln und verkaufen, zu denen das Unternehmen keine direkte Beziehung hat. Datenmakler fungieren also im Wesentlichen als Vermittler, die personenbezogene Daten von Verbrauchern über einen Dritten erwerben und sie an einen anderen Dritten verkaufen.
Es sei darauf hingewiesen, dass das Gesetz dieselbe weit gefasste Definition des Datenverkaufs verwendet wie das CCPA/CPRA. Die Weitergabe von Verbraucherdaten im Austausch gegen etwas Wertvolles wird wahrscheinlich als Verkauf betrachtet, unabhängig davon, ob eine Geldzahlung damit verbunden ist oder nicht. Dies bedeutet, dass das Gesetz auf viele Vermittler im Werbesektor Anwendung finden könnte, je nachdem, wie die Regulierungsbehörden die Definition verstehen.
Es ist noch unklar, ob die Definition von Datenmaklern auch Unternehmen umfasst, die Daten von Vermittlern kaufen oder erhalten - mit anderen Worten, die Kunden von Datenmaklern. Dieser noch unklare Punkt ist entscheidend, da viele Unternehmen (auch kleinere) ihre Kundendaten mit Informationen von Dritten anreichern. Eine künftige Regelung durch den CCPA wird hier hoffentlich Klarheit schaffen.
Eines ist jedoch klar: Ähnlich wie das CCPA wird auch das Delete Act für Datenmakler außerhalb Kaliforniens und sogar außerhalb der USA gelten .
Am Rande sei darauf hingewiesen, dass es in Kalifornien ein Register für Datenmakler gibt, und dass die Registrierung bereits vor dem Data Act obligatorisch war. Dies könnte die Durchsetzung des Gesetzes erleichtern, da die CCPA weiß, wer die Datenmakler sind und wie man sie kontaktieren kann.
Gibt es Ausnahmen vom Delete Act?
Ja. Ähnlich wie das CCPA gilt das Gesetz über die Löschung von Daten nicht für Unternehmen, die an sektorspezifische Vorschriften gebunden sind (z. B. HIPAA für den Gesundheitssektor).
Welche Strafen sind im Rahmen des Delete Act vorgesehen?
Datenmakler können ** für jeden Tag**, an dem sie einem Löschungsantrag nicht nachkommen, mit einer Geldstrafe von ** 200 Dollar** belegt werden. Datenmakler können auch nach den bereits bestehenden kalifornischen Gesetzen mit einer Geldstrafe belegt werden, wenn sie sich nicht in das Register für Datenmakler eintragen lassen.
Welche Auswirkungen wird das Löschgesetz haben?
Der Delete Act wird wahrscheinlich große Auswirkungen auf den Werbesektor und andere Sektoren haben, die in hohem Maße auf Datenvermittler angewiesen sind (z. B. die Betrugsaufdeckung). Um dem Gesetz zu entsprechen, müssen die Unternehmen neue Verfahren einführen und ihre Datenbanken regelmäßig überprüfen, um die zu löschenden Daten zu finden.
Dies wird wahrscheinlich zu einem nicht unerheblichen Anstieg der Rechts- und Betriebskosten führen. Außerdem müssen die Unternehmen, falls noch nicht geschehen, robuste Data-Governance-Verfahren einführen, um das Herausfiltern von Datenbanken und das Abrufen der zu löschenden Informationen zu erleichtern.
Schließlich ist noch anzumerken, dass Datenmakler die Löschungsanträge überprüfen müssen. Mit anderen Worten: Die Makler müssen sicherstellen, dass die Verbraucher die sind, für die sie sich ausgeben, und sie müssen genau herausfinden, welche persönlichen Informationen in ihren Datenbanken sich auf sie beziehen.
Dies wird kompliziert sein, weil Datenmakler manchmal keine direkten Identifikatoren sammeln, die eine einfache Überprüfung ermöglichen würden. Es wäre ratsam, dass die Unternehmen solide Überprüfungsverfahren einrichten, bevor die ersten Anfragen eingehen, und dass sie die CPPA im Hinblick auf etwaige Hinweise zur Überprüfung im Auge behalten.
Schlussfolgerung
Es ist noch zu früh, um zu sagen, inwieweit sich das Löschgesetz auf die digitale Wirtschaft auswirken wird. Klar ist jedoch, dass es die Einhaltung der Vorschriften für Datenmakler erschweren wird. Unternehmen, die unter das Gesetz fallen, sollten vorausschauend denken und sich unverzüglich auf die Erfüllung der Verpflichtungen vorbereiten.
Der Schutz der Privatsphäre liegt uns sehr am Herzen. Sie ist ein Menschenrecht, das mit jedem Tag wichtiger wird, da die Welt immer stärker vernetzt ist.
Aus diesem Grund haben wir Simple Analytics entwickelt. Unser datenschutzfreundliches Tool ermöglicht es unseren Kunden, auf ethisch vertretbare und datenschutzfreundliche Weise alle benötigten Einblicke zu erhalten. Simple Analytics liefert genaue Einblicke ohne Cookies, ohne Tracker und ohne ein einziges Bit an persönlichen Daten zu sammeln! Wenn sich das für Sie gut anhört, probieren Sie uns doch einfach aus!