Detailansicht
Protecting consumers from data breaches
regulatory approaches in the European Union, United States, and India
Emily Pehrsson
Art der Arbeit
Master-Thesis (ULG)
Universität
Universität Wien
Fakultät
Postgraduate Center
Studiumsbezeichnung bzw. Universitätlehrgang (ULG)
Universitätslehrgang Europäisches u. Intern. Wirtschaftsrecht
Betreuer*in
Siegfried Fina
DOI
10.25365/thesis.57714
URN
urn:nbn:at:at-ubw:1-10770.85693.330665-8
Link zu u:search
(Print-Exemplar eventuell in Bibliothek verfügbar)
Abstracts
Abstract
(Deutsch)
In dieser Arbeit werden die geforderten Sicherheitsanforderungen in drei Datenschutzgesetzen in der Europäischen Union, den USA und Indien analysiert: der Datenschutz-Grundverordnung (DSGVO), dem kalifornischen Verbraucherschutzgesetz (CCPA) bzw. dem Gesetz zum Schutz personenbezogener Daten (PDPB). Die Arbeit vergleicht ihre Ansätze zur Definition eines Verstoßes, umreißt das Sicherheitsniveau, das zur Vermeidung von Haftung erforderlich ist, und setzt sich mit den geforderten Meldungen von Aufsichtsbehörden und Verbrauchern und den allenfalls zu verhängenden Sanktionen auseinander. Auf der Grundlage dieser Analyse werden allgemeine Grundsätze für die künftige Gesetzgebung empfohlen.
In Zusammenhang mit der Definition von Datenschutzverletzungen wird insbesondere Indien und die umfassendere Definition durch die EU beleuchtet, die den Verlust des Zugriffs auf Daten einschließt. In dieser Arbeit wird empfohlen, dass die USA Zugriffsverweigerungen ausdrücklich in ihre Datenschutzgesetze aufnehmen, anstatt sich auf Ad-hoc-Interpretationsrichtlinien zu stützen. Alle drei Rechtsordnungen stützen sich auf einen „Angemessenheits-“ oder „Vernünftigkeits-“ Standard für Sicherheitsmaßnahmen. Sie variieren in Bezug auf spezifische Anforderungen, z. B. hinsichtlich der Möglichkeit eines Unternehmens, Kosten bei der Bewertung seiner Sicherheitspflichten zu berücksichtigen. In dieser Arbeit wird empfohlen, Kostenüberlegungen zuzulassen und Vorgaben festzulegen, dass Sicherheitsstandards regelmäßig überprüft werden, sofern diese fehlen. In Indien und den USA basieren die Notifizierungszeitpläne auf Standards, in der DSGVO hat die EU jedoch einen strengen 72-Stunden-Zeitplan festgelegt. In dieser Arbeit wird empfohlen, die Notifizierungszeitpläne der DSGVO zu streichen und den Umfang der zu meldenden Verstöße zu begrenzen, um das Risiko eines Rückstands bei den Aufsichtsbehörden zu verringern.
Abstract
(Englisch)
This paper analyzes the security requirements in three pieces of data protection legislation in the European Union, the United States, and India—the General Data Protection Regulation (GDPR), the California Consumer Privacy Act (CCPA), and the Personal Data Protection Bill (PDPB), respectively. It compares their approaches to defining a breach, outlining the level of security needed to avoid liability, requiring regulator and consumer notifications, and imposing penalties. Based on this analysis, it recommends general principles to include in future legislation.
The breach definition highlights India and the EU’s broader definition of a data breach, which includes loss of access to data. This piece recommends that the United States explicitly incorporate access denials into its data protection laws, rather than relying on ad hoc interpretive guidelines. All three jurisdictions rely on an “appropriateness” or “reasonability” standard for security safeguards. They vary in more specific requirements, such as the ability of a company to consider cost when evaluating its security obligations. This paper recommends permitting cost considerations and adopting requirements to periodically reevaluate security standards, where they are absent. Notification timetables are standards-based in India and the United States, but the EU adopted a strict 72-hour timetable in the GDPR. This paper recommends eliminating GDPR-style timetables and limiting the scope of breaches requiring notification to mitigate the risk of regulator backlog. Finally, this paper recommends calculating penalties based on company revenue, but lowering them from the GDPR and PDPB levels.
Schlagwörter
Schlagwörter
(Deutsch)
Data Protection
Autor*innen
Emily Pehrsson
Haupttitel (Englisch)
Protecting consumers from data breaches
Hauptuntertitel (Englisch)
regulatory approaches in the European Union, United States, and India
Paralleltitel (Deutsch)
Schutz der Verbraucher vor Datenverletzungen : Regulierungsansätze in der Europäischen Union, den USA und Indien
Publikationsjahr
2019
Umfangsangabe
58 Seiten
Sprache
Englisch
Beurteiler*in
Siegfried Fina
Klassifikation
70 Sozialwissenschaften allgemein > 70.99 Sozialwissenschaften allgemein: Sonstiges
AC Nummer
AC15647313
Utheses ID
50966
Studienkennzahl
UA | 992 | 548 | |