Das sind 425 Millionen US-Dollar: Amazon droht möglicherweise eine massive DSGVO-Strafe

Veröffentlicht: 2021-06-11

Monate, nachdem drei Amazon-Führungskräfte sagen, dass sie aus ihren Positionen gedrängt wurden, weil sie Bedenken hinsichtlich der Datenschutzrichtlinien und der Einhaltung von Vorschriften innerhalb des globalen E-Commerce-Giganten geäußert haben, droht Amazon eine massive potenzielle DSGVO-Geldstrafe.

Es sind nur wenige Details des Verstoßes bekannt, aber Amazon ist Berichten zufolge wegen seiner „Erhebung und Verwendung personenbezogener Daten“ in Schwierigkeiten. Da die Entscheidung noch nicht rechtskräftig ist, kann sich die Strafe erhöhen, verringern oder ganz entfallen.

Laut dem Wall Street Journal hat die luxemburgische Datenschutzkommission, die CNPD, eine Entscheidung gegen den Technologieriesen ausgearbeitet, in der es heißt, dass eine DSGVO-Strafe in Höhe von 425 Millionen US-Dollar verhängt wird.

Unabhängig vom Ergebnis ist so viel klar: DSGVO-Bußgelder sind ein wachsendes Risiko für Unternehmen.

CDPA vs. CCPA vs. DSGVO: Unterschiede in den regionalen Datenschutzgesetzen bei steigenden Strafen

Am 2. März 2021 verabschiedete Virginia als zweiter Bundesstaat ein umfassendes Verbraucherdatenschutzgesetz. Der Consumer Data Protection Act (CDPA) von Virginia lehnt sich stark an den vorgeschlagenen Washington Privacy Act an und weist Ähnlichkeiten mit dem California Consumer Privacy Act (CCPA) und dem ergänzenden California Privacy Rights Act (CPRA) auf.

Habe es? Es ist keine Schande, wenn die Antwort „nein“ lautet.

Kurz gesagt, staatliche Datenschutzgesetze werden zu einer Ansammlung von zungenverdrehenden Akronymen, die sich von Staat zu Staat ausbreiten. Und Unternehmen, die in Virginia Geschäfte tätigen oder Produkte oder Dienstleistungen für Verbraucher in Virginia herstellen, sollten sich bemühen, die wichtigsten Unterschiede zwischen dem CCPA und dem CDPA jetzt zu verstehen, bevor letzterer am 1. Januar 2023 vollständig in Kraft tritt.

In Kombination mit dem wachsenden Risiko von DSGVO-Strafen bringt die Ausweitung der US-Vorschriften den Datenschutz an die Spitze der Prioritätenliste für Unternehmen auf der ganzen Welt. Schauen wir uns also an, wie sich diese Situation entwickelt, welche Herausforderungen die aktuelle Landschaft darstellt und was Sie tun können, um das Gelände erfolgreich zu navigieren.

Was ist die DSGVO und wie wirkt sie sich auf Ihr Unternehmen aus?

Eine schwarze Frau erwägt den Einsatz einer Einwilligungsverwaltungsplattform über die Customer Data Platform (CDP), um den Datenschutz gemäß DSGVO zu gewährleisten Das Verständnis der Nuancen von Kundeneinwilligung und berechtigtem Interesse ist der Schlüssel zur Einhaltung der DSGVO. Die Einwilligung des Kunden gilt als Goldstandard der Datenerhebung – aus gutem Grund. Eine Consent-Management-Plattform unterstützt die Compliance.

Vergleich von Virginias CDPA mit den kalifornischen Datenschutzgesetzen

Wie der CCPA schafft der CDPA mehrere Datenschutzverpflichtungen für Unternehmen und gibt den Verbrauchern mehr Kontrolle über ihre Daten. Die CDPA erlegt jedoch mehr Datenbewertungsanforderungen für Unternehmen auf, die in Virginia Geschäfte tätigen. Nach dem Vorbild der EU-Datenschutz-Grundverordnung (DSGVO) für Datenschutz-Folgenabschätzungen (DPIAs) verlangt die Virginia-Verordnung, dass Unternehmen Datenschutzbewertungen (DPA) durchführen.

Was bedeuten diese Einschätzungen? Im Wesentlichen fallen sie unter die übergeordnete Kategorie der Datenschutzrisikobewertungen (PRA). Ihr Zweck ist es, Unternehmen die Möglichkeit zu geben, Datenschutzprobleme frühzeitig zu erkennen, um kostspielige Compliance-Fehler zu vermeiden.

Derzeit verlangt die kalifornische Regulierung nichts Ähnliches. Wenn das CPRA im Jahr 2023 in Kraft tritt, müssen Unternehmen jedoch eine regulatorische Risikobewertung (RRA) in Bezug auf ihre Verarbeitung personenbezogener Daten vorlegen.

Und dann Heureka! Wir haben einen weiteren Zungenbrecher – DPIA vs. DPA vs. RRA.

Was ist CPRA? California Privacy Rights Act: Grundlagen und Überblick

Skyline von Kalifornien bei Sonnenuntergang. CPRA hat Datenschutzstandards festgelegt, die verlangen, dass wir unseren Prozess ändern. Da CPRA und das datenschutzorientierte Web weiterhin an Bedeutung gewinnen, müssen sich Unternehmen anpassen. Kunden verlangen Transparenz über die Erfassung und Verwendung ihrer persönlichen Daten. Wenn Sie jetzt planen, ersparen Sie sich in Zukunft Bußgelder und Kopfschmerzen.

Vergleich der Anforderungen für die Kontrolle personenbezogener Daten

Die CDPA-Opt-in- und Opt-out-Rechte für Verbraucher haben das Potenzial, Vermarkter weiter zu verunsichern, die Zungenbrecher (wie mich) verachten. Die Opt-out-Rechte in der Virginia-Verordnung beinhalten das Recht, nicht nur den Verkauf personenbezogener Daten (wie der CCPA), sondern auch gezielte Werbung und bestimmte Profiling-Aktivitäten von Verbrauchern abzulehnen. Die Opt-in-Bestimmungen des CDPA zur Zustimmung des Verbrauchers sind im Vergleich zum CCPA ebenfalls umfassender.

Die CPRA wird jedoch ihre Reichweite im Jahr 2023 erweitern, damit die Kalifornier ab 2023 der Weitergabe und Verwendung sensibler personenbezogener Daten widersprechen können.

Und machen Sie sich keine Sorgen, wenn dies alles zu viel ist, um damit fertig zu werden. Google hat bereits festgestellt, dass es im Opt-out-Spiel der staatlichen Datenschutzgesetze keine Zungenbrecher mehr geben wird. Sehen Sie sich an, wie gut die Anti-Cookie-Tracking-Maßnahme von Google für die Privatsphäre der Verbraucher und noch besser für Google ist.

IT-Prioritäten: Datenschutz, Cloud, digitale Transformation

Transformation erfordert, dass wir über das Morgen hinausblicken und den Wert des Einzelnen mit der Vision des Fortschritts kombinieren, um uns zu leiten. Die Updates von SAPPHIRE NOW 2021 können Ihnen dabei helfen, dorthin zu gelangen. Bei SAPPHIRE NOW befasste sich der IT-Track mit den aktuell heißesten Themen für IT-Organisationen und der wachsenden Rolle des CIO.

Generalstaatsanwälte oder Generalstaatsanwälte?

Die Antwort auf diese Frage hängt davon ab, ob Sie sich in den USA oder im Vereinigten Königreich befinden. Im amerikanischen Englisch ist Attorneys General die korrekte Pluralform. Die Briten bevorzugen Generalstaatsanwälte .

Glücklicherweise sind die Unterschiede zwischen dem CDPA und dem CCPA nicht so kompliziert, wenn es um Strafverstöße geht.

Im Allgemeinen sehen der CCPA und der CDPA eine Höchststrafe von 7.500 $ pro Verstoß vor. Und beide Gesetze führen die Vollstreckung durch die jeweilige Generalstaatsanwaltschaft durch. Ein wesentlicher Unterschied besteht jedoch darin, dass das CDPA kein privates Klagerecht enthält, was bedeutet, dass Einwohner von Virginia Unternehmen nicht wegen CDPA-Verstößen verklagen können.

Wie viel kostet die Implementierung der erforderlichen Datenverwaltungstechnologie-Tools zur Einhaltung der CDPA- und CCPA-Standards? Die IAPP schätzt 100.000 $.

Angesichts knapper Budgets und begrenzter Ressourcen zur vollständigen Umsetzung aller erforderlichen Datenschutzanforderungen entscheiden sich einige Unternehmen möglicherweise dafür, auf Geschäfte in Virginia und Kalifornien zu verzichten, um diese kostspielige Compliance-Herausforderung zu vermeiden. Darüber hinaus steigt mit jedem Verstoß die Möglichkeit, das Kundenvertrauen zu verlieren.

Angesichts allgegenwärtiger Datenschutzverletzungen wird das Kundendatenmanagement zu einem entscheidenden Faktor

Bild einer Collage verschiedener Kundenidentifikationsquellen: ID, Kreditkarte, Smartphone, Standortverfolgung. Best Practices für das Kundendatenmanagement Best Practices für das Kundendatenmanagement ermöglichen es Unternehmen, ihr Engagement für positive Beziehungen zu stärken. Das Wachstumspotenzial in Handel und Vertrauen ist enorm.

Wie geht es nach dem CDPA weiter?

Das Datum des Inkrafttretens von CDPA und CPRA ist nur noch zwei Jahre entfernt. Unternehmen sollten jetzt damit beginnen, ihre aktuellen Datenschutzaktivitäten zu bewerten, potenzielle Lücken zu identifizieren und an der Einhaltung der Vorschriften zu arbeiten.

Auch für Unternehmen ist es wichtig, den Horizont im Auge zu behalten. Neben Virginia und Kalifornien arbeiten derzeit 15 Regierungen der Bundesstaaten an Entwürfen für Datenschutzgesetze.

Unternehmen, die bereits den CCPA einhalten, sind gut positioniert, um die Einhaltung des CDPA und die zungenverzerrte Welt der zunehmenden staatlichen Datenschutzgesetze anzugehen.

Die globale Sichtweise: Die DSGVO-Risiken steigen mit der Ausweitung der US-Datenschutzgesetze

Die EU hat vor drei Jahren mit der Durchsetzung der DSGVO begonnen. Damals fragte sich die Geschäftswelt: Würden die Vollzugsbehörden die in der Verordnung vorgesehenen harten Strafen verhängen?

Die Antwort hat sich als ein inkrementeller Aufbau von Strenge entfaltet. Die Geldbußen stiegen von den ersten 20 Monaten der Vollstreckung auf die zweiten 20 Monate um 40 %. Und bis Januar 2021 hatten die DSGVO-Bußgelder insgesamt 245 Millionen Pfund (332 Millionen Dollar) erreicht.

GDPR, CCPA und LGPD: Zeit für eine globale Datenschutzstrategie für Verbraucher

DSGVO CCPA LGPD Unternehmen können mehr tun, um die Privatsphäre der Verbraucher zu schützen, und es liegt in ihrem besten Interesse, dies zu tun. Lernen Sie die Anforderungen von GDPR, CCPA und LGPD kennen.

Fokussierung auf die Verwaltung von Zustimmungs- und Präferenzdaten

All diese regulatorischen Aktivitäten unterstreichen den geschäftlichen Bedarf an einer flexiblen, skalierbaren Einwilligungs- und Präferenzverwaltungslösung.

Mit der richtigen Technologie können sich Unternehmen schnell an neue Vorschriften anpassen. Dies trägt nicht nur dazu bei, das Compliance-Risiko zu reduzieren, sondern stärkt auch das Kundenvertrauen und kann den Ruf der Marke schützen.

Schließlich mögen Führungskräfte unterschiedliche Meinungen über Zungenbrecher haben, aber sie sind sich alle einig, dass es schlecht fürs Geschäft ist, Nachrichten wegen Verstoßes gegen eine Datenschutzverordnung zu verbreiten.