Wenn Sie dem California Consumer Privacy Act (CCPA) in der durch den California Privacy Right Act (CPRA) geänderten Fassung unterliegen, müssen Sie eine Datenschutzrichtlinie veröffentlichen, die bestimmte Anforderungen erfüllt.
Im Folgenden erkläre ich, was eine CCPA-Datenschutzrichtlinie enthalten muss, und stelle Ihnen eine CCPA Datenschutzerklärung vorlage zur Verfügung, die Sie verwenden können.
- Das CCPA erklärt
- Anforderungen der CCPA-Datenschutzrichtlinie
- CCPA-Anforderungen an die Verbraucher
- Wer braucht eine CCPA-konforme Datenschutzrichtlinie?
- CCPA-Datenschutzerklärung im Vergleich zu anderen datenschutzrechtlichen Anforderungen
- CCPA-Checkliste für Datenschutzrichtlinien
- Beispiele für CCPA-Datenschutzrichtlinien
- CCPA-Datenschutzrichtlinie FAQ
- Muster CCPA-konform Datenschutzerklärung vorlage [Kostenloser Download]
- Zusammenfassung
Das CCPA erklärt
Das CCPA ist das kalifornische Datenschutzgesetz und hat seit seinem Inkrafttreten im Januar 2020 die Art und Weise verändert, wie Unternehmen die Daten ihrer Website-Nutzer erfassen.
Im Jahr 2023 wurden mit dem California Privacy Rights Act(CPRA) einige Aspekte des CCPA offiziell geändert, darunter die Festlegung neuer Schwellenwerte für Unternehmen und zusätzlicher Verbraucherschutzmaßnahmen.
Unternehmen, die Dienstleistungen für in Kalifornien ansässige Personen erbringen, müssen die vorgeschriebenen Datenschutzbestimmungen des CCPA einhalten oder bei Nichteinhaltung harte Strafen zahlen.
Anforderungen der CCPA-Datenschutzrichtlinie
Eine allgemeine Datenschutzrichtlinie beschreibt den Verbrauchern, wie und warum ihre persönlichen Daten erfasst, gespeichert und weitergegeben werden, aber das CCPA hat spezifische Anforderungen, die enthalten sein müssen.
Im nächsten Abschnitt fasse ich die wichtigsten Klauseln zusammen, die Sie in Ihre CCPA-konforme Datenschutzrichtlinie aufnehmen müssen.
1. Verbraucherrechte
Der CCPA hat den Verbrauchern besondere Rechte eingeräumt. Diese Rechte betreffen die Kontrolle, die die Verbraucher über ihre personenbezogenen Daten haben, und umfassen Folgendes:
Recht auf Wissen
Ein Verbraucher hat das Recht zu verlangen, dass das Unternehmen ihm mitteilt, welche personenbezogenen Daten es über ihn gesammelt, verwendet, weitergegeben oder verkauft hat. Außerdem muss der Grund angegeben werden, warum das Unternehmen personenbezogene Daten verwendet hat.
Auf Anfrage müssen die Unternehmen dem Verbraucher diese Informationen für den vorangegangenen 12-Monats-Zeitraum zur Verfügung stellen.
Recht auf Löschen
Ein Verbraucher hat das Recht, ein Unternehmen aufzufordern, alle von ihm erhobenen personenbezogenen Daten (mit wenigen Ausnahmen) zu löschen. Nach der Benachrichtigung hat das Unternehmen 45 Tage Zeit, um zu antworten. Unter bestimmten Bedingungen kann die Antwortfrist auf bis zu 90 Tage verlängert werden.
Recht auf Opt-Out
Ein Verbraucher hat das Recht, von einem Unternehmen zu verlangen, dass es den Verkauf seiner personenbezogenen Daten einstellt. Dies wird auch als das Recht auf "Opt-out" bezeichnet. Nach Erhalt dieser Aufforderung darf das Unternehmen die personenbezogenen Daten des Verbrauchers nicht mehr verkaufen, ohne die Zustimmung zu erhalten.
Die Opt-out-Anfrage hat eine Lebensdauer von 12 Monaten. Nach Ablauf dieses Zeitraums kann ein Unternehmen den Verbraucher erneut um ein Opt-in bitten.
Wie es sich auf Minderjährige auswirkt
Ein Unternehmen darf die persönlichen Daten eines Verbrauchers nicht verkaufen, wenn das Unternehmen "tatsächliche Kenntnis" davon hat, dass der Verbraucher unter 16 Jahre alt ist. Ein Unternehmen darf diese Informationen nur dann verkaufen, wenn der Verbraucher "zugestimmt" hat.
Nach dem CCPA können Verbraucher zwischen 13 und 16 Jahren dem Verkauf personenbezogener Daten zustimmen, während Eltern oder Erziehungsberechtigte für ein Kind unter 13 Jahren zustimmen müssen.
Recht auf Nicht-Diskriminierung
Ein Unternehmen darf einen Verbraucher nicht diskriminieren, weil dieser ein ihm nach dem CCPA zustehendes Recht ausgeübt hat.
Macht ein Verbraucher beispielsweise von seinem Recht Gebrauch, dem Verkauf seiner persönlichen Daten zu widersprechen, darf das Unternehmen dem Verbraucher keinen minderwertigen Service oder minderwertige Produkte anbieten. Auch darf ein Unternehmen keine anderen Preise verlangen oder Dienstleistungen verweigern, weil ein Verbraucher dieses Recht ausgeübt hat.
2. Link "Meine persönlichen Daten nicht verkaufen oder weitergeben".
Das CCPA räumt den Verbrauchern das Recht auf ein Opt-out ein. Ein Verbraucher kann verlangen, dass ein Unternehmen seine personenbezogenen Daten nicht an Dritte verkauft.
Das Unternehmen muss einen Link "Meine persönlichen Daten nicht verkaufen oder weitergeben" einfügen, um den Verbrauchern die Möglichkeit zu geben, dieses Recht auf Ihrer Website und als Teil der CCPA-Datenschutzrichtlinie auszuüben.
Der Link muss den folgenden Richtlinien entsprechen:
- Seien Sie "klar und auffällig".
- auf der Website oder App des Unternehmens leicht zugänglich sein
- den Verbraucher zu einer Webseite führen, auf der er dem Verkauf oder der Weitergabe seiner persönlichen Daten widersprechen kann
3. Sammlung persönlicher Informationen
Sie müssen in Ihrer Datenschutzrichtlinie angeben, welche persönlichen oder sensiblen Daten Sie sammeln.
Nach dem CCPA werden personenbezogene Daten als Informationen definiert, die einen Verbraucher oder einen Haushalt identifizieren, sich auf ihn beziehen, ihn beschreiben oder mit ihm in Verbindung gebracht werden können, und können Folgendes umfassen
- Name, Adresse und persönliche oder Online-Kennungen
- Informationen zur Beschäftigung
- Informationen zur Bildung
- IP-Adresse
- Verlauf des Browsing
- Suchverlauf
Sensible Daten unterliegen nach dem CCPA strengeren Anforderungen, und Sie müssen die aktive Zustimmung der Verbraucher zur Erfassung und Verwendung dieser Daten einholen.
4. Weitergabe und Verkauf von persönlichen Informationen
Um den Verbrauchern die Möglichkeit zu geben, aktiv auf ihre persönlichen Daten Einfluss zu nehmen, müssen die Unternehmen gemäß der CCPA-Meldepflicht offenlegen, welche Kategorien von persönlichen Daten sie an Dritte weitergeben oder verkaufen und warum.
CCPA-Anforderungen an die Verbraucher
Das CCPA verpflichtet Sie, den Verbrauchern eine Mitteilung über die Datenerhebung zukommen zu lassen, in der Sie erklären, welche personenbezogenen Daten Sie in den letzten 12 Monaten von ihnen erhoben haben.
Die Unternehmen müssen für die vorangegangenen 12 Monate die folgenden Angaben machen:
Kategorien von persönlichen Informationen
Die Unternehmen müssen die Kategorien personenbezogener Daten offenlegen, die sie über den Verbraucher gesammelt haben. Zu den Kategorien gehören die folgenden:
Kategorie | Beispiele |
Identifikatoren | Namen, persönliche Identifikatoren, Online-Identifikatoren, staatliche oder staatliche Identifikationsnummern usw. |
Kategorien von persönlichen Informationen, die in Unterabschnitt (e) von Abschnitt 1798.80 beschrieben sind | Sozialversicherungsnummer, körperliche Merkmale oder Beschreibung, Reisepassnummer, Führerschein- oder Personalausweisnummer, Nummer der Versicherungspolice, Bankkontonummer |
Merkmale von Klassifizierungen, die nach kalifornischem Recht oder US-Bundesrecht geschützt sind | Rasse, Hautfarbe, nationale Herkunft, Religion, Geschlecht, Alter, Behinderung, Staatsangehörigkeit, genetische Informationen, Familienstand, Gesundheitszustand oder sexuelle Orientierung |
Alle erworbenen, erhaltenen oder in Betracht gezogenen kommerziellen Informationen | Historie der vergangenen Transaktionen |
Biometrische Informationen | Physiologische, biologische oder verhaltensbezogene Merkmale einer Person, wie z. B. DNA, Fingerabdrücke oder Netzhautscans |
Informationen über Internet-Aktivitäten | Browserverlauf, Suchverlauf und Informationen über die Interaktion des Nutzers mit der Website, App oder Werbung |
Geolokalisierungsdaten | IP-Adresse |
Sensorische Informationen | Akustische, elektronische, visuelle, thermische und geruchliche Informationen |
Informationen zu Beruf oder Beschäftigung | Beschäftigung und beruflicher Werdegang |
Bildungsinformationen, die nicht öffentlich zugänglich sind | Informationen zu Anwesenheit und Prüfungen |
Rückschlüsse, die aus den oben genannten Informationen gezogen werden, um ein Verbraucherprofil zu erstellen | Vorlieben, Eigenschaften, psychologische Tendenzen, Prädispositionen, Verhalten, Einstellungen, Intelligenz, Fähigkeiten und Neigungen |
Wenn personenbezogene Daten gesammelt werden, die in keine Kategorie zu passen scheinen, müssen sie dennoch offengelegt werden, um die Vorschriften vollständig zu erfüllen.
Quellen für persönliche Informationen
Die Unternehmen müssen auch die Quellen offenlegen, aus denen personenbezogene Daten gesammelt werden. Beispiele für gängige Quellen sind:
- Verbraucher
- Cookies
- Soziale Medien
- Inserate
- Dritte Parteien
Geschäftszweck
Unternehmen müssen den Geschäftszweck der Erhebung oder des Verkaufs personenbezogener Daten von Einwohnern Kaliforniens offenlegen.
Kategorien von Drittparteien
Schließlich müssen die Unternehmen die Kategorien von Dritten offenlegen, mit denen die personenbezogenen Daten ausgetauscht werden. Einige Beispiele für Dritte sind:
- Bildungseinrichtungen
- Dienstleistungen für Verbraucher
- Versicherungsdienstleistungen
- Dienstleistungen für Unternehmen
All diese Informationen müssen einem Verbraucher innerhalb von 12 Monaten nicht mehr als zweimal erteilt werden.
Aktualisierung der Politik
Der CCPA schreibt vor, dass Ihre Datenschutzpolitik alle 12 Monate aktualisiert werden muss.
Wer braucht eine CCPA-konforme Datenschutzrichtlinie?
Gewerbliche Unternehmen, die Dienstleistungen für Einwohner Kaliforniens erbringen und eines der folgenden Kriterien erfüllen, benötigen eine CCPA-konforme Datenschutzrichtlinie:
- hat einen Bruttoumsatz von über 25 Millionen Dollar jährlich
- Persönliche Daten von 100.000 oder mehr kalifornischen Einwohnern, Haushalten oder Geräten kauft, erhält oder verkauft
- Mehr als die Hälfte seiner jährlichen Einnahmen stammen aus dem Verkauf oder der Weitergabe persönlicher Daten von Einwohnern Kaliforniens
Brauchen Unternehmen außerhalb von Kalifornien eine CCPA-Datenschutzrichtlinie?
Ja, auch Unternehmen außerhalb Kaliforniens müssen unter Umständen eine CCPA-konforme Datenschutzrichtlinie haben.
Der Schwerpunkt des CCPA liegt nicht auf kalifornischen Unternehmen, sondern auf dem Schutz der Einwohner Kaliforniens. Daher fällt jedes Unternehmen, das personenbezogene Daten von Einwohnern Kaliforniens sammelt und verarbeitet, in den Geltungsbereich des CCPA.
Das bedeutet, dass ein Unternehmen in Asien oder Europa dem CCPA unterliegen könnte, wenn es personenbezogene Daten von Kaliforniern sammelt.
CCPA-Sanktionen bei Nichteinhaltung der Vorschriften
Das CCPA sieht zwei Mechanismen zur Ahndung von Verstößen vor: private und staatliche.
Private Sanktionen
Das CCPA (Abschnitt 1798.150) gewährt den in Kalifornien ansässigen Personen und Verbrauchern ein privates Klagerecht.
Dieses private Klagerecht gibt dem Verbraucher das Recht, zivilrechtlich gegen ein Unternehmen vorzugehen, das es versäumt hat, "angemessene Sicherheitsverfahren und -praktiken einzuführen und aufrechtzuerhalten", wodurch dem Verbraucher ein Schaden entstanden ist.
Der Schadenersatz beträgt mindestens 100 $ und höchstens 750 $ pro Verbraucher und Vorfall oder den tatsächlichen Schaden, je nachdem, welcher Betrag höher ist.
Staatliche Bußgelder
Ein Unternehmen kann auch vom Staat haftbar gemacht werden (Abschnitt 1798.155).
Der Generalstaatsanwalt von Kalifornien kann ein Unternehmen zivilrechtlich bis zu 2.500 Dollar pro Verstoß oder 7.500 Dollar für jeden vorsätzlichen Verstoß haftbar machen.
Diese Strafen können sich schnell summieren.
Wenn ein Unternehmen beispielsweise die Rechte von 10.000 Verbrauchern verletzt hat und die geschädigten Verbraucher eine Zivilklage einreichen, könnte es für 7.500.000 $ haftbar gemacht werden. Wenn der kalifornische Staatsanwalt Klage erhebt, könnte das Unternehmen mit Strafen in Höhe von 25.000.000 $ oder 75.000.000 $ belegt werden.
CCPA-Datenschutzerklärung im Vergleich zu anderen datenschutzrechtlichen Anforderungen
Der CCPA ist im Bereich des Datenschutzes nicht allein. Andere Länder haben ähnliche Gesetze erlassen, um die personenbezogenen Daten ihrer Einwohner zu schützen.
In diesem Abschnitt werden das CCPA und andere Datenschutzgesetze behandelt und einige wichtige Unterschiede und Ähnlichkeiten zwischen ihnen hervorgehoben.
Zu den anderen wichtigen Datenschutzgesetzen gehören die folgenden:
Datenschutzgesetz | Jahr | Region/Land | Zustimmung | Sektor |
Allgemeine Datenschutzverordnung (DSGVO) | Mai 2018 | Europäische Union | Ja | Öffentlich und privat |
Lei Geral de Proteção de Dados Pessoais (LGPD) | August 2020 | Brasilien | Ja | Öffentlich und privat |
Gesetz über den Schutz personenbezogener Daten (POPIA) | Juni 2021 | Südafrika | Ja | Öffentlich und privat |
Gesetz zum Schutz personenbezogener Daten (PIPL) | November 2021 | China | Ja | Privat |
Gesetz zum Schutz persönlicher Daten und elektronischer Dokumente (PIPEDA) | April 2000 | Kanada | Ja | Privat |
Zustimmung
Einer der Hauptunterschiede zwischen dem CCPA und den anderen Datenschutzgesetzen - wie dem DSGVO - ist die Zustimmung der Nutzer.
Die meisten anderen Datenschutzgesetze schreiben vor, dass Sie die Zustimmung der Nutzer einholen müssen, bevor Sie deren Daten erfassen.
Der CCPA hingegen schreibt keine Zustimmung vor der Datenerhebung vor, es sei denn, es handelt sich um sensible Daten oder um Daten von Kindern.
Ansonsten gibt der CCPA den Verbrauchern das Recht, der Datenerhebung zu widersprechen.
Wer ist geschützt?
Nach dem CCPA sind nur in Kalifornien ansässige Personen geschützt. Ein Einwohner Kaliforniens ist jemand, der dauerhaft in Kalifornien lebt und sich nicht nur vorübergehend dort aufhält.
Die Website DSGVO schützt dagegen alle Personen mit Wohnsitz in der Europäischen Union, Island, Norwegen, Liechtenstein oder der Schweiz.
Ein Student, der zum Beispiel ein Semester im Ausland studiert, hält sich vorübergehend in der EU auf und ist somit durch die DSGVO abgedeckt. Der Wohnsitz spielt keine Rolle - es reicht aus, sich innerhalb der EU zu befinden, um durch die DSGVO abgedeckt zu sein.
Die anderen Datenschutzgesetze ähneln eher dem DSGVO. So schützt das LGPD beispielsweise Personen, die sich in Brasilien aufhalten, und unterscheidet nicht zwischen dauerhaft und vorübergehend ansässigen Personen.
Das CCPA schützt also eine viel engere Gruppe von Personen.
Welche Unternehmen sind davon betroffen?
Jedes Unternehmen - unabhängig von seinem Standort - kann dem CCPA unterliegen, wenn es ein gewinnorientiertes Unternehmen ist, das Daten von Einwohnern Kaliforniens verarbeitet und die Kriterien erfüllt, die ich in einem früheren Abschnitt dargelegt habe.
Die Website DSGVO hingegen gilt für jede Einrichtung, die personenbezogene Daten verarbeitet. Dazu gehören alle gewinnorientierten Unternehmen, Unternehmen ohne Erwerbszweck und sogar staatliche Stellen, wenn sie Daten von Personen in der EU verarbeiten.
Die POPIA- und LGPD-Richtlinien gelten sowohl für den privaten als auch für den öffentlichen Sektor.
Andererseits gelten PIPL und PIPEDA wie das CCPA nur für den privaten Sektor.
CCPA-Checkliste für Datenschutzrichtlinien
Hier finden Sie eine Checkliste, mit der Sie Ihre neue Datenschutzrichtlinie vergleichen oder Ihre alte aktualisieren können, um sicherzustellen, dass Sie den CCPA einhalten.
☐ | Ein Programm zur Einhaltung der Vorschriften, um sicherzustellen, dass Ihre Datenschutzpolitik den Anforderungen des CCPA entspricht |
☐ | Kennzeichnen Sie Ihre Datenschutzrichtlinie deutlich und platzieren Sie sie gut sichtbar auf Ihrer Website. |
☐ | einen Abschnitt, in dem die Rechte der Verbraucher im Rahmen des CCPA erläutert werden |
☐ | Einen Abschnitt über die Abholung haben |
☐ | Haben Sie den Link "Meine persönlichen Daten nicht verkaufen". |
☐ | Ein System zur Aktualisierung Ihrer Datenschutzpolitik alle 12 Monate einrichten |
Beispiele für CCPA-Datenschutzrichtlinien
In diesem Abschnitt finden Sie Beispiele für Abschnitte von CCPA-Datenschutzrichtlinien, die Ihnen helfen sollen, die CCPA-Vorschriften besser einzuhalten.
Chase Bank
Chase Bank Online-Datenschutzrichtlinie: Rechte von Verbrauchern mit Wohnsitz in Kalifornien
Amazon
Amazon Datenschutzrichtlinie: CCPA Offenlegung von persönlichen Informationen
Spotify
Spotify-Datenschutzrichtlinie: Datenerhebung aus Drittquellen
Ziel
Target-Datenschutzrichtlinie: Geschäftszweck für Datenerhebung und -verkauf
CVS
CVS-Datenschutzrichtlinie: "Meine persönlichen Daten nicht verkaufen" Link
CCPA-Datenschutzrichtlinie FAQ
Im Folgenden finden Sie häufig gestellte Fragen zur Einhaltung der CCPA-Datenschutzrichtlinien.
Für wen gilt das CCPA?
Der CCPA gilt für Unternehmen, die personenbezogene Daten von Einwohnern Kaliforniens sammeln und die CCPA-Definition eines Unternehmens erfüllen. Das CCPA gilt nicht für Regierungsbehörden und auch nicht für Wohltätigkeitsorganisationen oder andere gemeinnützige Einrichtungen.
Muss ich eine CCPA-konforme Datenschutzrichtlinie haben?
Wenn Ihr Unternehmen der Definition eines "Unternehmens" entspricht und Daten von in Kalifornien ansässigen Personen sammelt und verarbeitet, dann fallen Sie wahrscheinlich unter das CCPA. Um die im Gesetz aufgeführten harten Strafen zu vermeiden, sollten Sie eine CCPA-konforme Datenschutzrichtlinie erstellen oder Ihre Datenschutzrichtlinie aktualisieren, um die CCPA-Richtlinien und -Anforderungen zu berücksichtigen.
Wie viele Kategorien von personenbezogenen Daten fallen unter den CCPA?
Nach dem CCPA gibt es 11 Kategorien von personenbezogenen Daten. Sie umfassen:
- Identifikatoren
- Kategorien von persönlichen Informationen, die in Unterabschnitt (e) von Abschnitt 1798.80 beschrieben sind
- Merkmale von Klassifizierungen, die nach kalifornischem Recht oder US-Bundesrecht geschützt sind
- Gewerbliche Informationen, die gekauft, erhalten oder in Betracht gezogen werden
- Biometrische Informationen
- Informationen über Internet-Aktivitäten
- Geolokalisierungsdaten
- Sensorische Informationen
- Informationen zu Beruf oder Beschäftigung
- Bildungsinformationen (nicht öffentlich)
- Rückschlüsse aus allen Informationen zur Erstellung eines Verbraucherprofils
Hinweis: Zu den persönlichen Daten gehören keine öffentlich zugänglichen Informationen, d. h. Informationen, die rechtmäßig aus Aufzeichnungen von Bundes-, Landes- oder Kommunalbehörden verfügbar sind.
Wie aktualisiere ich meine aktuelle Datenschutzrichtlinie, damit sie CCPA-konform ist?
Sie können Ihre aktuellen Datenschutzrichtlinien aktualisieren, um sie CCPA-konform zu machen, indem Sie die CCPA-Checkliste für Datenschutzrichtlinien von Termlybefolgen, um sicherzustellen, dass Sie keine wichtigen Anforderungen übersehen.
Wo muss ich meine vom CCPA geforderte Datenschutzrichtlinie aushängen?
Ihre Datenschutzpolitik muss klar und umfassend sein. In der Regel befindet sich dies am unteren Ende einer Webseite. Der Abschnitt trägt in der Regel die Überschrift "Datenschutz" oder "Online-Datenschutzrichtlinie". Die Datenschutzrichtlinie ist in der Regel ein Link oder ein PDF-Dokument. Vergewissern Sie sich, dass Ihre Datenschutzrichtlinie gut sichtbar auf Ihrer Website angebracht ist, damit Sie nicht beschuldigt werden, keine Datenschutzrichtlinie zur Verfügung gestellt zu haben.
Muster CCPA-konform Datenschutzerklärung vorlage [Kostenloser Download]
Erweitern Sie das Feld unten, um den Mustertext für eine CCPA-konforme Datenschutzrichtlinie anzuzeigen. Kopieren Sie den Text und fügen Sie ihn auf Ihrer Website ein, oder laden Sie das Word-Dokument Datenschutzerklärung vorlage herunter.
Datenschutzerklärung vorlage HTML
Sie können unseren Datenschutzerklärung vorlage HTML-Code kopieren oder ihn mit den unten stehenden Optionen herunterladen.
Zusätzliche Optionen zum Herunterladen von Vorlagen
Zusammenfassung
Das CCPA und andere Datenschutzgesetze haben die Art und Weise, wie Unternehmen personenbezogene Daten von Verbrauchern verarbeiten, völlig verändert.
Damit haben Ihre kalifornischen Nutzer mehr Rechte in Bezug auf den Schutz der Privatsphäre, und Transparenz ist unerlässlich, damit sie ihren rechtlichen Verpflichtungen nachkommen und verstehen können, wie Sie ihre personenbezogenen Daten erfassen und verwenden.
Verwenden Sie unser CCPA-Muster Datenschutzerklärung vorlage , damit Sie bei der Bearbeitung und Erstellung Ihrer eigenen CCPA-konformen Datenschutzrichtlinie Zeit und Ressourcen sparen können.