Die kalifornische Datenschutzbehörde “California Privacy Protection Agency” treibt die KI-Regulierung weiter voran. Sie hat beschlossen, den California Consumer Privacy Act (CCPA) zu aktualisieren. Der CCPA ist insbesondere darauf ausgerichtet, den kalifornischen Verbrauchern mehr Kontrolle über ihre persönlichen Daten zu geben. In Anbetracht der zunehmenden Bedeutung und des Einsatzes von KI-Systemen in verschiedensten Bereichen wird der CCPA um die entsprechenden Regelungen erweitert. Welche Auswirkungen die KI-Regulierungen auf Unternehmen haben.
Wichtige Bestimmungen des CCPA
Der CCPA regelt detailliert, wie Unternehmen mit persönlichen Daten umgehen müssen. Zu den wichtigsten Bestimmungen gehören:
- Informationspflichten und Transparenz:
Unternehmen müssen Verbraucher beim Sammeln von Daten klar darüber informieren, welche Daten gesammelt werden und zu welchem Zweck. - Opt-out- und Opt-in-Rechte:
Verbraucher haben das Recht, dem Verkauf oder der Weitergabe ihrer Daten zu widersprechen (Opt-out). Unternehmen müssen auf ihren Webseiten einen klar sichtbaren “Do Not Sell or Share My Personal Information”-Link anbieten, der den Verbrauchern den sofortigen Widerspruch ermöglicht. - Recht auf Löschung und Korrektur:
Verbraucher können die Löschung oder Korrektur ihrer Daten verlangen, sofern diese unrichtig oder unvollständig sind. - Schutz sensibler persönlicher Daten:
Unternehmen dürfen sensible Daten nur in dem Maße verwenden, wie dies für die Erfüllung von Dienstleistungen notwendig ist, und müssen eine Zustimmung einholen, falls diese für andere Zwecke verwendet werden sollen.
Neu hinzugekommen sollen Artikel 9 (Cybersicherheitsprüfungen), Artikel 10 (Risikobewertungen),
Artikel 11 (Automatisierte Entscheidungsfindungstechnologie) und Artikel 12 (Versicherungsunternehmen). Die California Privacy Protection Agency will die neuen Artikel sobald wie möglich in den California Consumer Privacy Act übernehmen.
Neu: KI-Regulierung mit Schwerpunkt ADMT
Im Rahmen des Datenschutzes wurde speziell für die Nutzung von ADMT klare Regelungen entwickelt. Die CPPA definiert ADMT als jede Technologie, die persönliche Informationen verarbeitet und mittels Berechnungen eine Entscheidung trifft oder die Entscheidungsfindung erheblich erleichtert. Das reicht von Empfehlungsalgorithmen über das Scoring in der Kreditvergabe bis hin zur Überwachung und Analyse von großen Datenmengen in Echtzeit.
Eine der größten Herausforderungen beim Einsatz von KI in Entscheidungssystemen ist die Transparenz. Es muss klar sein, welche Entscheidungen automatisiert getroffen werden und auf welcher Basis. Dazu gehört die Offenlegung der Algorithmen und die Überprüfung auf Bias oder Diskriminierung, um sicherzustellen, dass Entscheidungen fair und objektiv sind.
Mit dem Einsatz von KI in Entscheidungssystemen entstehen auch neue Sicherheits- und Datenschutzherausforderungen. Der CPPA betont die Wichtigkeit von Cybersecurity-Audits und Risikobewertungen, um sicherzustellen, dass persönliche Daten bei der Nutzung solcher Technologien geschützt sind. Zudem sieht die Gesetzgebung vor, dass Verbraucher das Recht haben, bestimmte automatisierte Entscheidungsprozesse zu hinterfragen oder abzulehnen.
Lese-Tipp: Texas will neue Maßstäbe in der KI-Regulierung setzen – Innovation trifft auf Verantwortung
Auswirkungen des CCPA auf Unternehmen
Der CCPA fordert Unternehmen auf, Prozesse zu etablieren, die den gesetzlichen Anforderungen entsprechen. Die potenziellen Konsequenzen sind vielfältig:
- Veränderungen in der Datenverarbeitung und -speicherung: Unternehmen müssen sicherstellen, dass nur die notwendigen Daten gesammelt und genutzt werden. Überflüssige Datenspeicherung und -verarbeitung kann gegen das Gesetz verstoßen.
- Erhöhte Sicherheitsanforderungen: Unternehmen müssen Maßnahmen zum Schutz der personenbezogenen Daten ergreifen, einschließlich Sicherheits- und Datenschutzprogramme. Besonders sensible Informationen wie biometrische oder gesundheitsbezogene Daten bedürfen besonderer Sicherheitsvorkehrungen.
- Technische Implementierung von Opt-out-Funktionen: Der CCPA verlangt von Unternehmen, dass sie technische Lösungen zur Verfügung stellen, die Verbrauchern ermöglichen, ihre Privatsphäre einfach und effektiv zu schützen. Dazu gehören die Implementierung eines „Do Not Sell or Share“-Links sowie die Möglichkeit für Verbraucher, ihre Daten direkt auf der Website des Unternehmens zu verwalten.
- Überarbeitung der Datenschutzrichtlinien: Unternehmen müssen ihre Datenschutzrichtlinien anpassen, um den Anforderungen des CCPA gerecht zu werden und die Verbraucherrechte transparent darzustellen. Die Datenschutzrichtlinie muss einfach zugänglich sein und in klarer Sprache verfasst sein.
- Strenge Regeln für Drittanbieter und Partnerunternehmen: Unternehmen sind verpflichtet sicherzustellen, dass ihre Dienstleister und Partner ebenfalls die CCPA-Anforderungen erfüllen. Das bedeutet, dass Unternehmen neue vertragliche Vereinbarungen und Prüfungen vornehmen müssen, um die Einhaltung sicherzustellen.
Die Nichteinhaltung des CCPA kann für Unternehmen erhebliche finanzielle und rechtliche Folgen haben. Die kalifornische Datenschutzbehörde kann Bußgelder verhängen, wenn Unternehmen gegen die Anforderungen des Gesetzes verstoßen. Diese Bußgelder können hoch sein und sind an die Anzahl der betroffenen Verbraucher sowie die Schwere der Datenschutzverstöße gekoppelt.
Quelle: California Consumer Privacy Act (Vorlage Oktober 2024)