DRONELIFE EXKLUSIV: Ein neues kalifornisches Datenschutzgesetz könnte alles für Drohnenbetreiber in den USA ändern

Ein neues kalifornisches Datenschutzgesetz könnte alles für Drohnenbetreiber in den USA ändern – und könnte als Vorbild im ganzen Land dienen.Das Folgende ist ein Gastbeitrag von Anwälten der Anwaltskanzlei Mintz, Levin, Cohn, Ferris, Glovsky und Popeo, P.C. Dieses Stück wurde von Cynthia Larose, Laura Stefani, Jonathan Markman und Elana R. Safner verfasst.

Drohnenbetreiber stehen vor einer neuen Herausforderung: Der CCPA

Es ist 2020, und die Kristallkugel ist nicht das einzige, was gefallen ist. Der 1. Januar läutete ein neues Jahr, ein neues Jahrzehnt und die Umsetzung des California Consumer Privacy Act von 2018 („CCPA“) ein. Während sich Unternehmen, die eher traditionelle Sammler und Verarbeiter personenbezogener Daten („PI“) sind, auf das Implementierungsdatum des CCPA vorbereitet haben, könnten sich viele andere Unternehmen, die PI nur nebenbei sammeln, durch den weitreichenden Umfang des weitreichendsten Datenschutzgesetzes des Landes verstrickt fühlen.

Wo bleiben Unternehmen wie Drohnenbetreiber, die nur nebenbei Kameraaufnahmen mit persönlichen Informationen wie Bildern von Gesichtern im Zuge der Erfüllung ihres Geschäftszwecks erstellen und speichern? Was ist, wenn solche Unternehmen sich niemals bemühen, diese persönlichen Daten zu identifizieren? Wie in diesem Artikel erläutert, sind solche Unternehmen nicht vollständig von der Einhaltung des CCPA befreit und müssen ihre Geschäftspraktiken und nächsten Schritte sorgfältig abwägen, um die Einhaltung zu erreichen.

Dieses Problem entsteht, weil das CCPA „persönliche Informationen“ sehr weit definiert, während Ausnahmen von der Definition – wie öffentlich verfügbare Informationen und anonymisierte Informationen – ziemlich eng definiert sind. Diese bewussten Entscheidungen des kalifornischen Gesetzgebers machen das CCPA zum bisher umfangreichsten US-Datenschutzgesetz. Sie übertragen auch Verpflichtungen an definierte Unternehmen und Dienstleister, die Geschäftspraktiken ausüben – wie die unbeabsichtigte Sammlung von Bildern von Gesichtern –, die im Allgemeinen von anderen Datenschutzgesetzen in den Vereinigten Staaten unberührt geblieben waren. Dieser Artikel enthält zu berücksichtigende Probleme und eine Reihe von Maßnahmen, mit denen solche Unternehmen auf die Einhaltung des CCPA hinarbeiten können.

Warum sollten Drohnenbetreiber besorgt sein?

Das CCPA gilt für ein unerwartet breites Datenspektrum. Ein Missverständnis über das CCPA besteht darin, dass es nur im Zusammenhang mit der direkten Erfassung personenbezogener Daten von Verbrauchern durch Methoden wie Online-Einkäufe, Suchverläufe, Cookies und andere Verhaltenspräferenzen gilt. In Wirklichkeit wirft die CCPA-Definition von PI ein viel breiteres Netz auf. Dies gilt auch für online und offline gesammelte PI.Im Rahmen des CCPA sind „personenbezogene Daten“ definiert als „Informationen, die einen bestimmten Verbraucher oder Haushalt identifizieren, betreffen, beschreiben, vernünftigerweise mit ihm in Verbindung gebracht werden können oder vernünftigerweise direkt oder indirekt mit ihm in Verbindung gebracht werden könnten.“ Dazu gehören unter anderem biometrische Informationen wie Gesichter, die von Drohnen, Überwachungskameras und anderen Videoaufzeichnungsmitteln erfasst werden. „Persönliche Informationen“ schließt ausdrücklich öffentlich verfügbare Informationen aus. Man könnte vernünftigerweise denken, dass die Anwesenheit und das Gesicht einer Person im Freien oder auf öffentlichem Eigentum als öffentlich zugänglich angesehen werden könnten. Das CCPA nimmt jedoch eine andere Position ein. „‚ublicly available’bedeutet nicht, dass biometrische Informationen von einem Unternehmen über einen Verbraucher ohne dessen Wissen gesammelt werden.“ Dies bedeutet, dass Fotos und Videos – und auch Audio–, thermische, olfaktorische und andere Daten – unter die Definition von persönlichen Informationen fallen. Wichtig ist, dass die per Video gesammelten personenbezogenen Daten nicht vom Unternehmen mit dem Verbraucher verknüpft werden müssen, sondern nur „direkt oder indirekt“ verknüpft werden können.

Aber wir identifizieren die Daten nicht!Die Definitionen dieser Begriffe werfen viele Fragen darüber auf, wie das CCPA in bestimmten Kontexten angewendet wird. Obwohl öffentlich zugängliche Informationen von der Definition personenbezogener Daten ausgenommen sind, sehen wir, dass dies Drohnenbetreiber nicht unbedingt von der Einhaltung des CCPA befreit, wie oben beschrieben. Das CCPA befreit auch de-identifizierte Informationen. Sicherlich wird dies Drohnenfirmen und andere Sammler von zufälligem Videomaterial vor CCPA-Verpflichtungen bewahren? Solche Unternehmen verknüpfen die von ihnen gesammelten Gesichter schließlich nicht mit tatsächlichen Personen, geschweige denn versuchen sie, auf der Grundlage dieser Informationen ein Verhaltensprofil zu erstellen.Der kalifornische Gesetzgeber hat eine Änderung (AB–873) in Betracht gezogen – und nicht verabschiedet, die dieses Problem gelöst hätte. Dies liegt wahrscheinlich daran, dass das CCPA zum Teil das Risiko angehen sollte, dass das Unternehmen, das die PI sammelt, nicht versucht, sie zu identifizieren, PI mithilfe eines externen Datensatzes verletzt und erneut identifiziert werden kann. AB-873 hätte die betrieblichen Bedenken von Unternehmen wie Drohnenunternehmen angesprochen, die PI zufällig sammeln, anstatt absichtlich während des normalen Geschäftsablaufs. Anonymisierte Informationen gelten im Rahmen des CCPA nicht als personenbezogene Daten, und AB-873 hätte die Definition von „anonymisiert“ erweitert, um alle Informationen einzuschließen, die einen Verbraucher „nicht identifizieren und nicht vernünftigerweise verknüpfen“ können. Der Gesetzgeber hat schließlich die Definition von „personenbezogenen Daten“ auf nur Informationen beschränkt, die „vernünftigerweise“ mit einem Verbraucher oder Haushalt in Verbindung gebracht werden können, was Drohnenunternehmen und ähnlich gelegenen Unternehmen Anlass zu Optimismus gibt. Sie können möglicherweise argumentieren, dass die Schritte, die sie oder andere Unternehmen unternehmen müssten, um ihre Informationen tatsächlich zu verknüpfen, nicht angemessen sind. Es ist jedoch unklar, welche Gerichte die Auslegung des Gesetzes für „angemessen“ halten.“ Es ist möglich, dass wir uns auf Durchsetzungsmaßnahmen verlassen müssen, um den Umfang der „Angemessenheit “ zu interpretieren.“ Mit robusten Gesichtserkennungsdatenbanken, die jetzt weit verbreitet sind, könnte in beide Richtungen argumentiert werden.

Das CCPA wirft viele andere Fragen auf. Kann beispielsweise eine Drohne, die in der gesetzlich zulässigen Höhe fliegt, tatsächlich einigermaßen identifizierbare Aufnahmen von Gesichtern aufnehmen? Zählt es, wenn das Video vergrößert werden muss, damit die Gesichter einigermaßen mit Personen verknüpft werden können? Hat ein Verbraucher „Kenntnis“ von der Sammlung von Filmmaterial oder biometrischen Informationen – wodurch die Informationen „öffentlich zugänglich“ und außerhalb des CCPA gemacht werden –, wenn ein Unternehmen Schilder veröffentlicht, aus denen hervorgeht, dass Videomaterial und / oder Überwachung in einem Gebiet gesammelt werden? Wenn ja, wie viele Zeichen und wo müssen sie angebracht werden, um Wissen zuzurechnen?

Und was? Das CCPA gewährt Verbrauchern verschiedene Rechte in Bezug auf ihre personenbezogenen Daten, die von Unternehmen gehalten werden, einschließlich eines Rechts, den Verkauf von personenbezogenen Daten abzulehnen, eines Rechts, die über sie gesammelten personenbezogenen Daten zu erfahren, eines Rechts auf Datenübertragbarkeit, eines Rechts auf Löschung personenbezogener Daten und eines Rechts auf Nichtdiskriminierung, weil sie ihre gesetzlichen Rechte ausgeübt haben. Zusätzlich zu den zahlreichen Anforderungen, wie Verbraucher durch Datenschutzhinweise auf diese Rechte aufmerksam gemacht werden müssen, stehen Unternehmen auch vor der Herausforderung, Geschäftsprozesse zu erstellen, um diesen Anfragen nachzukommen, wenn sie sie erhalten.Diese Herausforderungen sind besonders akut für Unternehmen wie Drohnenbetreiber, die nicht die Art von Informationen verarbeiten, die der CCPA für PI hält. Bezeichnenderweise wurde in den jüngsten Verordnungsentwürfen des kalifornischen Generalstaatsanwalts zum CCPA klargestellt, dass „wenn ein Unternehmen Verbraucherinformationen verwaltet, die anonymisiert sind, Ein Unternehmen nicht verpflichtet ist, diese Informationen als Antwort auf eine Verbraucheranfrage bereitzustellen oder zu löschen oder einzelne Daten erneut zu identifizieren, um eine Verbraucheranfrage zu überprüfen.“ Unternehmen sollten es vermeiden, neue persönliche Informationen zu sammeln, es sei denn, dies ist für die Überprüfung von Kundenanfragen erforderlich. Dies könnte Argumente von Drohnen- oder Überwachungsunternehmen stützen, dass sie das Recht der Kunden, Anfragen zu kennen oder zu löschen, einfach nicht erfüllen können, da sie die Identität des Anforderers nicht überprüfen oder ihr Filmmaterial nicht erneut identifizieren können, ohne neue PI zu erhalten. Dies ist ein offenes Problem, für das es derzeit keine klare Antwort unter dem CCPA gibt, und es ist unklar, ob nicht verschwommene Gesichtsdaten als de-identifiziert gelten.Generalstaatsanwalt Xavier Becerra gab einen Einblick in die geplante Durchsetzung des Gesetzes in Kalifornien und sagte: „Wir werden diejenigen, die dies tun, freundlich betrachten . . . zeigen Sie, dass Sie sich bemühen, sich daran zu halten.“ Das bedeutet, auch wenn Unternehmen nicht in der Lage sind, alle Verbraucherwünsche zu erfüllen, sollten sie dennoch alle Anstrengungen unternehmen, um andere Teile des Gesetzes einzuhalten.

Um sich auf die CCPA-Implementierung vorzubereiten, sollten Überwachungs- und Drohnenunternehmen:

• Aktualisieren Sie ihre Datenschutzrichtlinien, um ihre Prozesse, Kundenrechte, die zufällige Erfassung von PI und andere Datennutzungen in „einfachem Englisch“ zu erläutern
• Überarbeiten Sie ihre Datenschutzrichtlinien, damit Kunden wissen, dass sie keine PI verkaufen (wenn sie dies tatsächlich nicht tun)
• Überprüfen Sie die Geschäftszwecke ihrer PI-Sammlung und stellen Sie sicher, dass ihre Aufbewahrungsrichtlinie für einen Zeitraum gilt, der nicht länger als für diese Zwecke erforderlich ist
• Identifizieren Sie so viele Daten, wie es die Geschäftsziele zulassen, und verwischen Sie Gesichter, wann immer.Dies beinhaltet:
  • Implementierung technischer Sicherheitsvorkehrungen, die eine erneute Identifizierung des Verbrauchers, auf den sich die Informationen beziehen können, verbieten,
  • Implementierung von Geschäftsprozessen, die eine erneute Identifizierung der Informationen ausdrücklich verbieten,
  • Implementierung von Geschäftsprozessen, um eine unbeabsichtigte Freigabe von anonymisierten Informationen zu verhindern, und
  • keinen Versuch unternehmen, die Informationen erneut zu identifizieren.
• Wenn sie Dienstleister sind, überprüfen Sie ihre Vereinbarungen mit ihren Geschäftskunden
• Implementieren Sie Prozesse für Kunden, um Anfragen zu stellen und ihre Rechte nach dem Gesetz auszuüben
• Wenn bestimmte Anfragen oder Kategorien von Anfragen aufgrund der Art der Datenerhebung des Unternehmens nicht erfüllt werden können, legen Sie fest, wie diese behandelt werden. Anfragen können nicht einfach ignoriert werden!

Was kommt als nächstes?

Der Übergang scheint nicht glatt zu sein. Aufgrund des weiten Geltungsbereichs des Gesetzes und der vielen Fragen, die es unbeantwortet lässt, wissen viele Unternehmen wahrscheinlich nicht einmal, dass das Gesetz für sie gelten wird. Eine im November veröffentlichte Umfrage von Osterman Research und Egress Software Technologies ergab, dass nur 48 Prozent der Unternehmen angaben, bis Ende 2019 konform zu sein. Aber mit potenziellen Strafen von bis zu $ 2,500 pro Verletzungoder $ 7,500 pro vorsätzlicher Verletzung, unvorbereitete Unternehmen nehmen ein großes Geschäftsrisiko. Generalstaatsanwalt Becerra wird bis zum 1. Juli 2020 keine Strafen nach dem CCPA verhängen und den Unternehmen weitere sechs Monate Zeit geben, sich an die neuen Anforderungen anzupassen. Wenn jedoch während dieses Zeitraums von sechs Monaten erhebliche Verstöße aufgetreten sind, Die AG behält sich das Ermessen vor, „zurückzugreifen.“ Das CCPA bietet Unternehmen einen weiteren kleinen Trost und autorisiert ein privates Klagerecht nur für Verstöße gegen die nicht redigierten und unverschlüsselten PI kalifornischer Verbraucher, nicht für andere CCPA-Verstöße.

Viele Unternehmen nennen die zahlreichen Grauzonen und Unklarheiten als großes Hindernis für die Compliance. Die vom Büro der AG veröffentlichten Vorschriften haben einige Probleme geklärt, aber viele Fragen zur Umsetzung des CCPA sind nach wie vor ungelöst. Das Büro der AG prüft derzeit die öffentlichen Kommentare, die es zu seinem Verordnungsentwurf erhalten hat, aber es scheint wahrscheinlich, dass die unbeantworteten Fragen im Gesetz durch Durchsetzungsmaßnahmen, Rechtsstreitigkeiten oder möglicherweise legislative Klarstellungen weit nach Inkrafttreten des Gesetzes gelöst werden. Das bedeutet, dass Unternehmen eine Sichtlinie finden und durch den Nebel fliegen müssen.

Die folgenden Vertreter von Mintz, Levin, Cohn, Ferris, Glovsky und Popeo, P.C. haben diesen Artikel verfasst.

Cynthia Larose ist Vorsitzende von Mintz’Privacy & Cybersecurity Practice, Certified Information Privacy Professional-US (CIPP-US) und Certified Information Privacy Professional-Europe (CIPP-E). Sie arbeitet mit Kunden in verschiedenen Branchen zusammen, um umfassende Informationssicherheitsprogramme am Frontend zu entwickeln, und berät rechtzeitig, wenn es notwendig wird, auf eine Datenverletzung zu reagieren.

Laura Stefani berät Kunden, die neue drahtlose Technologien in regulatorischen Fragen auf den Markt bringen möchten. Zu ihren Schwerpunkten gehören unlizenzierte und lizenzierte Funktechnologien, unbemannte Flugzeuge, Satelliten, medizinische Geräte und das Internet der Dinge.

Jonathan Markman konzentriert sich auf drahtlose und aufkommende Technologien, mit besonderem Schwerpunkt auf UAS (allgemein bekannt als Drohnen) und Drahtlosspektrum. Er hat Erfahrung mit FCC- und FAA-Verfahren und Regelmachungen, formellen und informellen Beschwerden, und FCC-Untersuchungen, sowie Einreichung und Verfolgung von Anträgen bei der FCC und FAA.

Elana Safner (CIPP-US) berät Mandanten in Fragen der öffentlichen Ordnung, regulatorischer Fragen und Streitigkeiten, die den TechComm-Sektor betreffen, sowie in Fragen des Datenschutzes und der Cybersicherheit. Sie hat auch Erfahrung mit FCC-Verfahren und rulemakings.