Title (eng)
Protecting consumers from data breaches
regulatory approaches in the European Union, United States, and India
Parallel title (deu)
Schutz der Verbraucher vor Datenverletzungen : Regulierungsansätze in der Europäischen Union, den USA und Indien
Author
Emily Pehrsson
Advisor
Siegfried Fina
Assessor
Siegfried Fina
Abstract (deu)
In dieser Arbeit werden die geforderten Sicherheitsanforderungen in drei Datenschutzgesetzen in der Europäischen Union, den USA und Indien analysiert: der Datenschutz-Grundverordnung (DSGVO), dem kalifornischen Verbraucherschutzgesetz (CCPA) bzw. dem Gesetz zum Schutz personenbezogener Daten (PDPB). Die Arbeit vergleicht ihre Ansätze zur Definition eines Verstoßes, umreißt das Sicherheitsniveau, das zur Vermeidung von Haftung erforderlich ist, und setzt sich mit den geforderten Meldungen von Aufsichtsbehörden und Verbrauchern und den allenfalls zu verhängenden Sanktionen auseinander. Auf der Grundlage dieser Analyse werden allgemeine Grundsätze für die künftige Gesetzgebung empfohlen.
In Zusammenhang mit der Definition von Datenschutzverletzungen wird insbesondere Indien und die umfassendere Definition durch die EU beleuchtet, die den Verlust des Zugriffs auf Daten einschließt. In dieser Arbeit wird empfohlen, dass die USA Zugriffsverweigerungen ausdrücklich in ihre Datenschutzgesetze aufnehmen, anstatt sich auf Ad-hoc-Interpretationsrichtlinien zu stützen. Alle drei Rechtsordnungen stützen sich auf einen „Angemessenheits-“ oder „Vernünftigkeits-“ Standard für Sicherheitsmaßnahmen. Sie variieren in Bezug auf spezifische Anforderungen, z. B. hinsichtlich der Möglichkeit eines Unternehmens, Kosten bei der Bewertung seiner Sicherheitspflichten zu berücksichtigen. In dieser Arbeit wird empfohlen, Kostenüberlegungen zuzulassen und Vorgaben festzulegen, dass Sicherheitsstandards regelmäßig überprüft werden, sofern diese fehlen. In Indien und den USA basieren die Notifizierungszeitpläne auf Standards, in der DSGVO hat die EU jedoch einen strengen 72-Stunden-Zeitplan festgelegt. In dieser Arbeit wird empfohlen, die Notifizierungszeitpläne der DSGVO zu streichen und den Umfang der zu meldenden Verstöße zu begrenzen, um das Risiko eines Rückstands bei den Aufsichtsbehörden zu verringern.
Abstract (eng)
This paper analyzes the security requirements in three pieces of data protection legislation in the European Union, the United States, and India—the General Data Protection Regulation (GDPR), the California Consumer Privacy Act (CCPA), and the Personal Data Protection Bill (PDPB), respectively. It compares their approaches to defining a breach, outlining the level of security needed to avoid liability, requiring regulator and consumer notifications, and imposing penalties. Based on this analysis, it recommends general principles to include in future legislation.
The breach definition highlights India and the EU’s broader definition of a data breach, which includes loss of access to data. This piece recommends that the United States explicitly incorporate access denials into its data protection laws, rather than relying on ad hoc interpretive guidelines. All three jurisdictions rely on an “appropriateness” or “reasonability” standard for security safeguards. They vary in more specific requirements, such as the ability of a company to consider cost when evaluating its security obligations. This paper recommends permitting cost considerations and adopting requirements to periodically reevaluate security standards, where they are absent. Notification timetables are standards-based in India and the United States, but the EU adopted a strict 72-hour timetable in the GDPR. This paper recommends eliminating GDPR-style timetables and limiting the scope of breaches requiring notification to mitigate the risk of regulator backlog. Finally, this paper recommends calculating penalties based on company revenue, but lowering them from the GDPR and PDPB levels.
Keywords (deu)
Data Protection
Subject (deu)
Type (deu)
Persistent identifier
https://phaidra.univie.ac.at/o:1353804
rdau:P60550 (deu)
58 Seiten
Number of pages
58
Association (deu)
Title (eng)
Protecting consumers from data breaches
regulatory approaches in the European Union, United States, and India
Parallel title (deu)
Schutz der Verbraucher vor Datenverletzungen : Regulierungsansätze in der Europäischen Union, den USA und Indien
Author
Emily Pehrsson
Abstract (deu)
In dieser Arbeit werden die geforderten Sicherheitsanforderungen in drei Datenschutzgesetzen in der Europäischen Union, den USA und Indien analysiert: der Datenschutz-Grundverordnung (DSGVO), dem kalifornischen Verbraucherschutzgesetz (CCPA) bzw. dem Gesetz zum Schutz personenbezogener Daten (PDPB). Die Arbeit vergleicht ihre Ansätze zur Definition eines Verstoßes, umreißt das Sicherheitsniveau, das zur Vermeidung von Haftung erforderlich ist, und setzt sich mit den geforderten Meldungen von Aufsichtsbehörden und Verbrauchern und den allenfalls zu verhängenden Sanktionen auseinander. Auf der Grundlage dieser Analyse werden allgemeine Grundsätze für die künftige Gesetzgebung empfohlen.
In Zusammenhang mit der Definition von Datenschutzverletzungen wird insbesondere Indien und die umfassendere Definition durch die EU beleuchtet, die den Verlust des Zugriffs auf Daten einschließt. In dieser Arbeit wird empfohlen, dass die USA Zugriffsverweigerungen ausdrücklich in ihre Datenschutzgesetze aufnehmen, anstatt sich auf Ad-hoc-Interpretationsrichtlinien zu stützen. Alle drei Rechtsordnungen stützen sich auf einen „Angemessenheits-“ oder „Vernünftigkeits-“ Standard für Sicherheitsmaßnahmen. Sie variieren in Bezug auf spezifische Anforderungen, z. B. hinsichtlich der Möglichkeit eines Unternehmens, Kosten bei der Bewertung seiner Sicherheitspflichten zu berücksichtigen. In dieser Arbeit wird empfohlen, Kostenüberlegungen zuzulassen und Vorgaben festzulegen, dass Sicherheitsstandards regelmäßig überprüft werden, sofern diese fehlen. In Indien und den USA basieren die Notifizierungszeitpläne auf Standards, in der DSGVO hat die EU jedoch einen strengen 72-Stunden-Zeitplan festgelegt. In dieser Arbeit wird empfohlen, die Notifizierungszeitpläne der DSGVO zu streichen und den Umfang der zu meldenden Verstöße zu begrenzen, um das Risiko eines Rückstands bei den Aufsichtsbehörden zu verringern.
Abstract (eng)
This paper analyzes the security requirements in three pieces of data protection legislation in the European Union, the United States, and India—the General Data Protection Regulation (GDPR), the California Consumer Privacy Act (CCPA), and the Personal Data Protection Bill (PDPB), respectively. It compares their approaches to defining a breach, outlining the level of security needed to avoid liability, requiring regulator and consumer notifications, and imposing penalties. Based on this analysis, it recommends general principles to include in future legislation.
The breach definition highlights India and the EU’s broader definition of a data breach, which includes loss of access to data. This piece recommends that the United States explicitly incorporate access denials into its data protection laws, rather than relying on ad hoc interpretive guidelines. All three jurisdictions rely on an “appropriateness” or “reasonability” standard for security safeguards. They vary in more specific requirements, such as the ability of a company to consider cost when evaluating its security obligations. This paper recommends permitting cost considerations and adopting requirements to periodically reevaluate security standards, where they are absent. Notification timetables are standards-based in India and the United States, but the EU adopted a strict 72-hour timetable in the GDPR. This paper recommends eliminating GDPR-style timetables and limiting the scope of breaches requiring notification to mitigate the risk of regulator backlog. Finally, this paper recommends calculating penalties based on company revenue, but lowering them from the GDPR and PDPB levels.
Keywords (deu)
Data Protection
Subject (deu)
Type (deu)
Persistent identifier
https://phaidra.univie.ac.at/o:1353805
Number of pages
58
Association (deu)
License
Citable links
Other links
Managed by
Details
Metadata
Export formats
Universitätsring 1, 1010 Wien | T
T +43-1-4277-0