DSGVO vs. CCPA: 3 Gemeinsamkeiten und 6 Unterschiede

Was ist die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO) ist ein im Mai 2018 von der Europäischen Union (EU) erlassenes Datenschutzgesetz. Ziel ist der Schutz personenbezogener Daten von Personen innerhalb der EU durch strenge Richtlinien für die Handhabung, Verarbeitung und Speicherung von Daten. Die DSGVO gilt für alle Organisationen, auch außerhalb der EU, die mit Daten von EU-Bürgern umgehen. Sie legt Wert auf transparente Datenpraktiken, Einwilligung und individuelle Rechte in Bezug auf personenbezogene Daten.

Die DSGVO sieht bei Verstößen Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes vor, je nachdem, welcher Betrag höher ist. Die Verordnung legt den Schwerpunkt auf den Schutz der Privatsphäre, indem sie Unternehmen verpflichtet, Sicherheitsmaßnahmen zu ergreifen und Verstöße unverzüglich zu melden. Sie gewährt Einzelpersonen außerdem das Recht auf Zugriff, Korrektur und Löschung ihrer Daten und verbessert so die Kontrolle über personenbezogene Daten.

Erfahren Sie mehr über die Auswirkungen von KI auf die Cybersicherheit: KI-Cybersicherheit: Schutz von KI-Systemen vor Cyberbedrohungen.

Was ist CCPA?

Der California Consumer Privacy Act (CCPA) ist ein Datenschutzgesetz auf Bundesstaatsebene zum Schutz der personenbezogenen Daten der Einwohner Kaliforniens. Der CCPA tritt im Januar 2020 in Kraft und gewährt den Einwohnern Datenschutzrechte und mehr Transparenz bei der Erhebung, Verwendung und Weitergabe ihrer Daten durch Unternehmen. Er gilt für Unternehmen, die bestimmte Kriterien erfüllen, wie z. B. einen jährlichen Bruttoumsatz von über 25 Millionen US-Dollar oder die Verarbeitung von Daten von mindestens 50.000 Verbrauchern, Haushalten oder Geräten.

Was sind die Ähnlichkeiten zwischen CCPA und DSGVO?

1. Schutz Personenbezogene Daten

Sowohl die DSGVO als auch der CCPA zielen auf den Schutz personenbezogener Daten ab und legen den Schwerpunkt auf Transparenz und Kontrolle der Datennutzung. Die DSGVO umfasst alle Informationen, die eine Person identifizieren können, wie Name, E-Mail-Adresse und IP-Adresse. Die Definition des CCPA umfasst auch Daten wie den Browserverlauf, Kaufaufzeichnungen und sogar Schlussfolgerungen zur Erstellung eines Personenprofils. Beide Verordnungen schreiben eine klare Kommunikation über den Zweck der Datenerhebung und die Datensicherheitsmaßnahmen vor.

DSGVO und CCPA stärken die Rechte der betroffenen Personen und verpflichten Unternehmen, Einzelpersonen über die erhobenen und gespeicherten Daten zu informieren. Trotz unterschiedlicher Reichweite fordern beide Gesetze eine Minimierung der Datenerfassung und die Umsetzung von Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen. Sie erfordern außerdem Sicherheitsprotokolle, um unbefugten Zugriff zu verhindern und sicherzustellen, dass etwaige Verstöße den betroffenen Personen umgehend gemeldet werden.

2. Verbraucherrechte

Die DSGVO gewährt EU-Bürgern umfassende Rechte, darunter Auskunftsrecht, Berichtigungs- und Löschungsrechte sowie das Recht, der Datenverarbeitung zu widersprechen. Ebenso gewährt der CCPA den Einwohnern Kaliforniens das Recht zu erfahren, welche personenbezogenen Daten erhoben, verkauft oder weitergegeben werden, und die Möglichkeit, dem Datenverkauf zu widersprechen. Beide Gesetze betonen die Stärkung der Verbraucherrechte und ermutigen Unternehmen, transparente Datenschutzrichtlinien und -verfahren einzuführen.

Gemäß DSGVO können Einzelpersonen Datenübertragbarkeit beantragen, um ihre personenbezogenen Daten über verschiedene Dienste hinweg zu erhalten und wiederzuverwenden. Der CCPA enthält ähnliche Bestimmungen und ermöglicht Verbrauchern den Zugriff auf ihre Daten in einem leicht nutzbaren Format. Beide Verordnungen schreiben eine zeitnahe Beantwortung von Verbraucheranfragen vor, in der Regel innerhalb eines Monats (DSGVO) und 45 Tagen (CCPA), um ein schnelles Handeln der Organisationen zu gewährleisten.

3. Regulatorische Anforderungen

Die DSGVO verpflichtet Unternehmen zur Durchführung von Datenschutz-Folgenabschätzungen (DSFA), wenn Verarbeitungsaktivitäten ein hohes Risiko für personenbezogene Daten bergen. Für bestimmte Organisationen ist zudem die Ernennung eines Datenschutzbeauftragten (DSB) vorgeschrieben. Der CCPA schreibt zwar keinen DSB vor, verpflichtet Unternehmen jedoch zur Offenlegung ihrer Datenerhebungspraktiken und zur Implementierung von Mechanismen für Verbraucheranfragen. Beide Verordnungen unterstreichen die Bedeutung von Datenschutz-Governance und Rechenschaftspflicht bei Datenverarbeitungsaktivitäten.

Die Einhaltung der DSGVO erfordert eine strengere Dokumentation und die Einhaltung von Grundsätzen wie Rechtmäßigkeit, Fairness und Transparenz. Der CCPA legt Wert auf Klarheit im Umgang mit Daten und die Verfügbarkeit von Opt-out-Optionen.

DSGVO vs. CCPA: Die wichtigsten Unterschiede

1. Geltungsbereich

Die DSGVO gilt für alle Organisationen, die personenbezogene Daten von EU-Bürgern verarbeiten, unabhängig vom Standort der Organisation. Sie deckt alle Branchen ab und schreibt Vorschriften für den Umgang mit Daten vor. Im Gegensatz dazu zielt der CCPA auf gewinnorientierte Unternehmen ab, die in Kalifornien tätig sind und bestimmte Kriterien wie den jährlichen Bruttoumsatz oder die Menge der verarbeiteten personenbezogenen Daten erfüllen. Dies führt zu einem engeren Anwendungsbereich im Vergleich zur weltweiten Anwendbarkeit der DSGVO.

Der räumliche Geltungsbereich der DSGVO ist weitreichend und beeinflusst Datenschutzbestimmungen über die EU hinaus. Er umfasst auch Nicht-EU-Organisationen, die Waren oder Dienstleistungen für EU-Bürger anbieten. Ebenso kann der CCPA Unternehmen außerhalb Kaliforniens oder der USA betreffen, wenn sie mit Einwohnern Kaliforniens Geschäfte machen.

2. Art der erfassten Daten

Die Definition personenbezogener Daten in der DSGVO ist weit gefasst und umfasst alle Informationen, die sich auf eine identifizierbare Person beziehen. Dazu gehören direkte Identifikatoren wie Namen und indirekte Identifikatoren wie IP-Adressen. Die Definition des CCPA ist weiter gefasst und umfasst traditionelle personenbezogene Daten sowie Daten wie Browserverlauf, Kaufverhalten und biometrische Daten.

Beide Verordnungen umfassen spezielle Kategorien sensibler Daten, die zusätzlichen Schutz erfordern, wie etwa Gesundheitsdaten und biometrische Informationen gemäß der DSGVO. Der CCPA deckt auch Daten ab, die zur Erstellung von Verbraucherprofilen verwendet werden, und unterstreicht damit die sich entwickelnde Natur von Daten im digitalen Marketing und in der Analytik.

3. Rechtsgrundlage der Verarbeitung

Die DSGVO verlangt von Organisationen eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten, beispielsweise Einwilligung, vertragliche Notwendigkeit oder berechtigtes Interesse. Der Schwerpunkt liegt auf der Einholung einer ausdrücklichen Einwilligung für Datenverarbeitungsaktivitäten und stellt unter bestimmten Bedingungen sicher, dass die Einwilligung informiert und freiwillig erteilt wird. Der CCPA legt keine spezifischen Rechtsgrundlagen fest, sondern konzentriert sich auf die Rechte der Verbraucher auf Zugriff, Löschung und Widerspruch gegen den Verkauf von Daten und verlagert den Schwerpunkt auf die Kontrolle des Nutzers.

Gemäß der DSGVO erfordert die Verarbeitung sensibler personenbezogener Daten strengere Schutzmaßnahmen und Rechtfertigungen, darunter die ausdrückliche Zustimmung oder die Einhaltung gesetzlicher Verpflichtungen. Der Ansatz des CCPA konzentriert sich auf Transparenz und die Stärkung der Verbraucherrechte. Unternehmen sind verpflichtet, Verbraucher über ihre Datenschutzpraktiken zu informieren und ihre Opt-out-Möglichkeiten zu respektieren.

4. Durchsetzung und Strafen

Die DSGVO erlaubt es Aufsichtsbehörden, Geldbußen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes zu verhängen, je nachdem, welcher Betrag höher ist. Diese Strafen wirken abschreckend gegen Verstöße. Der CCPA verhängt Geldbußen von bis zu 7.500 US-Dollar für vorsätzliche Verstöße und 2.500 US-Dollar für unbeabsichtigte Verstöße. Die Durchsetzung erfolgt durch den Generalstaatsanwalt von Kalifornien.

An der Durchsetzung der DSGVO sind Datenschutzbehörden in den EU-Mitgliedsstaaten beteiligt, die eine einheitliche Anwendung der Verordnung gewährleisten. Die CCPA ist für die Durchsetzung durch den kalifornischen Generalstaatsanwalt zuständig. Verbraucher haben bei bestimmten Datenschutzverletzungen ein privates Klagerecht.

5. Benachrichtigung bei Datenschutzverletzungen

Gemäß DSGVO müssen Datenschutzverletzungen, die ein Risiko für die Rechte des Einzelnen darstellen, innerhalb von 72 Stunden der zuständigen Behörde gemeldet werden. Betroffene Personen müssen ebenfalls unverzüglich benachrichtigt werden. Der CCPA verlangt, betroffene Verbraucher so schnell wie möglich zu benachrichtigen, schreibt jedoch keinen bestimmten Zeitrahmen vor.

Beide Verordnungen verlangen detaillierte Meldungen von Datenschutzverletzungen, einschließlich der Art der Verletzung, der betroffenen Datenkategorien und der Maßnahmen zur Schadensbegrenzung. Unternehmen sind außerdem verpflichtet, Aufzeichnungen über Datenschutzverletzungen zu führen und Präventivmaßnahmen zu ergreifen.

6. Sicherheitstools und Prozessanforderungen

Die DSGVO schreibt Sicherheitstools und -prozesse zum Schutz personenbezogener Daten vor, beispielsweise Verschlüsselung und Pseudonymisierung. Unternehmen müssen technische und organisatorische Kontrollen implementieren, die der Sensibilität der Daten und den durch die Verarbeitungsaktivitäten entstehenden Risiken angemessen sind. Der CCPA legt keine Sicherheitsmaßnahmen fest, verpflichtet Unternehmen jedoch zur Implementierung von Sicherheitspraktiken zum Schutz von Verbraucherdaten.

Sicherheit im Rahmen der DSGVO ist ein fortlaufender Prozess, der regelmäßige Bewertungen und Aktualisierungen der Sicherheitsprotokolle umfasst. Der Ansatz des CCPA ist weniger präskriptiv und gibt Unternehmen Flexibilität bei der Festlegung von Sicherheitsmaßnahmen. Beide Verordnungen unterstreichen jedoch die Bedeutung des Schutzes personenbezogener Daten und der Wahrung des Verbrauchervertrauens durch wirksame Sicherheitspraktiken.

DSGVO-Konformität mit Exabeam

Exabeam unterstützt Unternehmen dabei, sowohl die technologischen als auch die betrieblichen Anforderungen der DSGVO zu erfüllen, darunter:

• Reduzierung externer Bedrohungen: Exabeam arbeitet mit bestehenden Sicherheitslösungen zusammen und nutzt maschinelles Lernen und Verhaltensanalysen, um ungewöhnliche Aktivitäten zu identifizieren, die auf den Versuch eines Angreifers hindeuten könnten, Daten zu finden und darauf zuzugreifen. Die Bedrohungszeitleisten Exabeam kombinieren Ereignisse aus Anomalien und Korrelationsregeln, um Ereignisse nach Benutzer oder Gerät zu gruppieren.
• Reduzierung interner Bedrohungen: Exabeam arbeitet mit Identitäts- und Zugriffsverwaltungslösungen zusammen, um Sicherheitsvorfälle zu verhindern, die durch versehentlichen oder böswilligen Missbrauch zugewiesener Berechtigungen entstehen. Durch die Kennzeichnung von Aktivitäten, die für einen bestimmten Benutzer nicht der Norm entsprechen, hilft Exabeam potenzielle Vorfälle zu erkennen, die zu Datendiebstahl führen könnten. Ideale Protokollquellen, die Anwendungsfällen zugeordnet sind, und das MITRE ATT&CK ^Ⓡ-Framework zeigen, welche Tools im Sicherheitsarsenal kombiniert werden können, um ein klares Bild der Ereignisse zu zeichnen.

Visualisierung und Dashboards: Exabeam bietet klare, Compliance-basierte DSGVO-Dashboards zum einfachen Herunterladen, Exportieren oder regelmäßigen Versenden per E-Mail zur Unterstützung der DSGVO-Vorgaben und der Anforderungen des Datenschutzbeauftragten.