PiiBlur

Der California Consumer Privacy Act gilt für Fotos und Videos genauso wie für Datenbanken und Tabellenkalkulationen. Wenn Ihr Unternehmen Bilder sammelt, die identifizierbare Informationen über Einwohner Kaliforniens enthalten, schafft der CCPA spezifische Verpflichtungen in Bezug auf Offenlegung, Zugriff, Löschung und Opt-out-Rechte.

Viele Unternehmen verstehen CCPA für strukturierte Daten - Namen, E-Mails, Kaufhistorie - , übersehen jedoch visuelle Inhalte völlig. In diesem Leitfaden erfahren Sie, wie der CCPA auf Fotos und Videos anzuwenden ist, wo er sich von DSGVO unterscheidet und welche Schritte zu unternehmen sind. Hierbei handelt es sich um eine betriebliche Anleitung, nicht um eine Rechtsberatung.

Wie der CCPA personenbezogene Daten in Fotos definiert

Der CCPA definiert personenbezogene Daten weit gefasst: „Informationen, die einen bestimmten Verbraucher oder Haushalt identifizieren, sich auf ihn beziehen, ihn beschreiben, vernünftigerweise mit ihm in Verbindung gebracht werden können oder vernünftigerweise direkt oder indirekt mit ihm in Verbindung gebracht werden könnten.“

Gemäß dieser Definition gilt ein Bild, das ein Gesicht, ein Nummernschild, ein Namensschild oder ein anderes identifizierbares visuelles Element enthält, als personenbezogene Daten. Die CCPA listet auch biometrische Daten - einschließlich „Gesichtsbilder“, die zur Identifizierung verwendet werden - als Kategorie personenbezogener Daten auf.

Wenn der CCPA für Ihre Bilder gilt

Der CCPA gilt für gewinnorientierte Unternehmen, die einen dieser Schwellenwerte erfüllen:

Jährlicher Bruttoumsatz über 25 Millionen US-Dollar
Kaufen, verkaufen oder teilen Sie persönliche Daten von 100.000 oder mehr kalifornischen Verbrauchern, Haushalten oder Geräten pro Jahr
Erzielen Sie 50 % oder mehr des Jahresumsatzes durch den Verkauf oder die Weitergabe personenbezogener Daten

Wenn Ihr Unternehmen eines dieser Kriterien erfüllt und Bilder verarbeitet, die identifizierbare Informationen über Einwohner Kaliforniens enthalten, gilt für diese Bilder der CCPA.

Der CCPA gilt für Einwohner Kaliforniens, unabhängig davon, wo die Verarbeitung stattfindet. Ein in New York ansässiges Unternehmen, das Dashcam-Aufnahmen verarbeitet, die kalifornische Nummernschilder erfassen, unterliegt weiterhin den CCPA-Verpflichtungen.

CCPA vs. DSGVO für Bilder: Hauptunterschiede

Wenn Sie bereits mit DSGVO-Konformität mit Bildern arbeiten, können Sie Lücken vermeiden, wenn Sie wissen, wo die CCPA-Abweichungen auftreten.

Geltungsbereich. Die DSGVO gilt für jede Organisation, die Daten von EU-Bürgern verarbeitet, unabhängig von der Unternehmensgröße. Der CCPA gilt nur für Unternehmen, die die oben genannten Umsatz- oder Datenvolumenschwellenwerte erreichen.Rechtsgrundlage. Die DSGVO erfordert vor der Verarbeitung eine Rechtsgrundlage (Einwilligung, berechtigtes Interesse usw.). Der CCPA schreibt keine vor - stattdessen gewährt er den Verbrauchern das Recht, sie nach der Erhebung zu erfahren, zu löschen und abzumelden.

Einwilligungsmodell. Die DSGVO erfordert im Allgemeinen für viele Verarbeitungsaktivitäten eine Opt-in-Einwilligung. Der CCPA verwendet ein Opt-out-Modell: Sie können standardmäßig personenbezogene Daten sammeln und verarbeiten, Verbraucher können jedoch den Verkauf oder die Weitergabe dieser Daten ablehnen.Recht auf Löschung. Beide Vorschriften beinhalten Löschrechte, die Ausnahmen des CCPA sind jedoch umfassender. Unternehmen können Löschanfragen ablehnen, wenn die Daten zum Abschluss einer Transaktion, zur Erkennung von Sicherheitsvorfällen, zur Einhaltung gesetzlicher Verpflichtungen oder für bestimmte interne Zwecke benötigt werden.Durchsetzung. Die DSGVO wird von Datenschutzbehörden in allen EU-Mitgliedstaaten durchgesetzt. Der CCPA wird vom kalifornischen Generalstaatsanwalt und, gemäß den CPRA-Änderungen, von der California Privacy Protection Agency (CPPA) durchgesetzt. Ein privates Klagerecht besteht nur bei Datenschutzverstößen im Zusammenhang mit unverschlüsselten oder ungeschwärzten personenbezogenen Daten.Strafen. DSGVO-Bußgelder erreichen 4 % des weltweiten Umsatzes. Die CCPA-Strafen betragen 2.500 US-Dollar pro unbeabsichtigtem Verstoß und 7.500 US-Dollar pro vorsätzlichem Verstoß. Klagen wegen Datenschutzverletzungen im Rahmen des privaten Klagerechts können einen gesetzlichen Schadensersatz von 100 bis 750 US-Dollar pro Verbraucher und Vorfall nach sich ziehen.

Praktische Schritte zur Einhaltung der CCPA-Fotokonformität

1. Inventarisieren Sie Ihre visuelle Datensammlung

Identifizieren Sie jede Bild- und Videoquelle in Ihrem Betrieb: Sicherheitskameras, Fahrzeugkameras, Drohnen, Benutzer-Uploads, Mitarbeiterfotos und Immobilienfotografie. Dokumentieren Sie, welche identifizierbaren Informationen jede Quelle erfasst.

2. Aktualisieren Sie Ihre Datenschutzerklärung

Der CCPA verlangt, dass Sie die Kategorien personenbezogener Daten, die Sie erfassen, zum oder vor dem Zeitpunkt der Erfassung offenlegen. Wenn Sie Bilder sammeln, die Gesichter, Kennzeichen oder andere identifizierbare Daten enthalten, muss dies in Ihrer Datenschutzerklärung angegeben sein. Beinhaltet:

Die Kategorien der erfassten personenbezogenen Daten (z. B. biometrische Daten, Geolokalisierung über Straßenschilder, Identifikatoren über Nummernschilder)
Die Zwecke der Erhebung
Ob die Informationen verkauft oder weitergegeben werden

3. Erstellen Sie Arbeitsabläufe für Verbraucherrechte

Verbraucher in Kalifornien haben das Recht:

Wissen, welche persönlichen Daten Sie gesammelt haben, einschließlich Bilder
Löschenihrer persönlichen Daten, mit bestimmten Ausnahmen
DeaktivierenSie den Verkauf oder die Weitergabe Ihrer persönlichen Daten
Nichtdiskriminierung bei der Ausübung ihrer RechteSie benötigen einen Prozess, um diese Anfragen innerhalb von 45 Tagen zu bearbeiten. Bei Bildern bedeutet dies das Auffinden, Abrufen und Löschen spezifischer visueller Daten, die mit einem Verbraucher verknüpft sind.

4. Vor dem Teilen oder Veröffentlichen redigieren

Der effektivste Weg, die CCPA-Gefährdung zu reduzieren, besteht darin, identifizierbare Informationen aus Bildern zu entfernen, bevor sie Ihre Kontrolle verlassen. Sobald Sie ein nicht redigiertes Bild teilen oder veröffentlichen, haben Sie personenbezogene Daten weitergegeben - was zu Offenlegungspflichten und Opt-out-Problemen führt.

PiiBlur erkennt 13 Kategorien personenbezogener Daten in Bildern und Videos, darunter Gesichter, Nummernschilder, Ausweise und Namensschilder. Durch die Schwärzung an der Quelle entfällt die nachgelagerte Verfolgung und Verwaltung dieser personenbezogenen Daten.

5. Gehen Sie das Risiko von Datenschutzverletzungen an

Das private Klagerecht des CCPA gilt insbesondere für Verstöße im Zusammenhang mit „unverschlüsselten und nicht redigierten personenbezogenen Daten“. Wenn Bilder in Ihren Systemen kompromittiert werden und nicht geschwärzte Gesichter, Schilder oder andere Erkennungsmerkmale enthalten, müssen Sie mit einem gesetzlichen Schadensersatz in Höhe von 100 bis 750 US-Dollar pro Verbraucher und Vorfall rechnen.

Durch das Schwärzen von Bildern vor der Speicherung wird diese Belichtung direkt reduziert. Ein verletzter Datensatz geschwärzter Bilder enthält keine identifizierbaren persönlichen Informationen.

6. Implementieren Sie angemessene Sicherheitsmaßnahmen

Der CCPA erwartet von Unternehmen, dass sie „angemessene Sicherheitsverfahren und -praktiken“ einhalten. Für Bilddaten umfasst dies Zugriffskontrollen auf gespeicherte Bilder, Verschlüsselung während der Übertragung und im Ruhezustand sowie Prüfprotokolle dafür, wer auf visuelle Daten zugreift.

Behandeln Sie Bilder vom ersten Tag an als personenbezogene Daten

Der CCPA sieht keine Ausnahme für Fotos und Videos vor. Wenn Ihre Bilder identifizierbare Informationen über Einwohner Kaliforniens enthalten, handelt es sich um personenbezogene Daten im Sinne des Gesetzes, die denselben Offenlegungs-, Zugriffs-, Lösch- und Opt-out-Anforderungen unterliegen wie jede andere Datenkategorie.

Die automatisierte Schwärzung ist der direkteste Weg, Ihre Compliance-Oberfläche zu minimieren. Durch das Entfernen identifizierbarer Elemente vor der Speicherung, Weitergabe oder Veröffentlichung von Bildern wird die Menge der von Ihnen verwalteten persönlichen Daten reduziert und die Haftung für Verstöße begrenzt.

PiiBlur verarbeitet Bilder und Videos über seine API oder sein Dashboard und erkennt und redigiert alle 13 PII-Kategorien automatisch. Das kostenlose Kontingent umfasst 100 Bilder und 5 Minuten Video pro Monat - genug, um den Ansatz anhand Ihrer tatsächlichen Inhalte zu validieren.