Der California Privacy Rights Act (CPRA) ändert offiziell Teile des California Consumer Privacy Act (CCPA) und tritt am 1. Januar 2023 in Kraft.
Im Folgenden werde ich alle Unklarheiten darüber beseitigen, wie das CCPA und das CPRA zusammenwirken und sich auf die Pflichten der Unternehmen und die Rechte der Verbraucher auswirken, und erläutern, was sich geändert hat.
Die wichtigsten Änderungen, die das CPRA am CCPA vorgenommen hat:
- Mit den Änderungen des CPRA wurde ein neuer gesetzlicher Schwellenwert eingeführt.
- Sie führte das Konzept der gemeinsamen Nutzung personenbezogener Daten und die Kategorie der sensiblen personenbezogenen Daten ein .
- Darin werden neue Verbraucherrechte und veränderte Geschäftsanforderungen dargelegt.
- Kurze Zusammenfassung des CCPA vs. CPRA
- Das CCPA und CPRA erklärt
- Hat das CPRA das CCPA abgelöst?
- Welche Änderungen hat das CPRA gebracht?
- Die Unterschiede zwischen dem CPRA und dem CCPA
- Wer muss sich an das CPRA und CCPA halten?
- Wie Sie sicherstellen, dass Ihr Unternehmen beide Gesetze ordnungsgemäß einhält
- Wie Termly helfen kann
- CPRA vs. CCPA FAQs
- Zusammenfassung
Kurze Zusammenfassung des CCPA vs. CPRA
Hier eine kurze Zusammenfassung, wie die Änderungen des CPRA die ursprüngliche Fassung des CCPA verändert und beeinflusst haben:
- Das CPRA erhöht den gesetzlichen Schwellenwert, der für Unternehmen gilt, die personenbezogene Daten kaufen, verkaufen oder weitergeben, auf 100.000 Verbraucher oder Haushalte (vorher 50.000 unter dem ursprünglichen CCPA)
- Mit dem CPRA wird eine neue Kategorie personenbezogener Daten eingeführt, die sensiblen personenbezogenen Daten, für die strengere Richtlinien gelten.
- Die Verbraucher erhalten durch das CPRA neue und erweiterte Rechte, wie z. B. das Recht auf Ablehnung, einen besseren Zugang zu persönlichen Daten und das Recht, die Weitergabe sensibler persönlicher Daten einzuschränken.
- Das CPRA führt neue rechtliche Verpflichtungen in Bezug auf die gemeinsame Nutzung personenbezogener Daten ein, d.h. den Austausch von Daten zu anderen Zwecken als der Gewinnerzielung
Lesen Sie weiter, um zu erfahren, wie das CPRA das CCPA abändert.
Das CCPA und CPRA erklärt
Das CPRA trat am 1. Januar 2023 in Kraft und änderte Teile des CCPA, das seit dem 1. Januar 2020 in Kraft ist, und alle Teile des CCPA, die nicht von den CPRA-Überarbeitungen betroffen sind, gelten weiterhin.
Technisch gesehen handelt es sich nicht um zwei verschiedene Gesetze, sondern um ein einziges Gesetz, das CCPA, mit einer Reihe von Änderungen, die durch das CPRA eingeführt wurden. Aus diesem Grund bezeichnen viele kalifornische Regierungsstellen und unabhängige Behörden beide Gesetze nur als CCPA oder CCPA in der geänderten Fassung.
In den folgenden Abschnitten gehe ich auf die Datenschutzrichtlinien des ursprünglichen CCPA ein und erkläre dann, wie das CPRA diese Anforderungen mit seinem Inkrafttreten geändert hat.
CCPA
Am 1. Januar 2020 trat mit dem California Consumer Protection Act(CCPA) eines der ersten Datenschutzgesetze in den USA in Kraft. Es führte einige der strengsten Datenschutzanforderungen und Verbraucherschutzbestimmungen in den USA ein.
Dieses Gesetz enthält Standards für die Datenerfassung, Konsequenzen für Unternehmen, die ihre Nutzerdaten nicht angemessen schützen, und neue Rechte, die Kalifornier über ihre persönlichen Daten ausüben können.
CCPA Rechtlicher Schwellenwert
Das CPRA änderte zwar die gesetzlichen Schwellenwerte für das CCPA, doch galt es zunächst für jedes gewinnorientierte Unternehmen, das Daten von Einwohnern Kaliforniens sammelte und eine der folgenden Bedingungen erfüllte:
- Erwirtschaftete 25 Millionen Dollar Bruttojahresumsatz
- Jährlich die persönlichen Daten von 50.000 oder mehr Verbrauchern oder Haushalten gekauft, erhalten, verkauft oder weitergegeben hat
- 50 % oder mehr seiner jährlichen Bruttoeinnahmen aus dem Verkauf personenbezogener Verbraucherdaten erzielt hat
Verbraucherrechte nach dem CCPA
Der CCPA räumt den kalifornischen Verbrauchern außerdem die folgenden Rechte ein:
- Zu wissen, welche Informationen über sie gesammelt werden
- zu wissen, ob ihre persönlichen Daten verkauft oder weitergegeben werden und an welche Dritten
- Ablehnung des Verkaufs von personenbezogenen Daten
- Im Alter zwischen 13 und 16 Jahren dem Verkauf von persönlichen Informationen zuzustimmen
- Zugriff auf ihre persönlichen Daten und deren Löschung
- auf gleichen Service und gleichen Preis, auch wenn sie von ihrem Recht auf Privatsphäre Gebrauch machen
Um diesen Rechten gerecht zu werden, müssen Unternehmen nach dem CCPA jedem Verbraucher, der einen "überprüfbaren Antrag" auf Zugang zu seinen Daten stellt, ein Protokoll der gesammelten Informationen zur Verfügung stellen.
Ein "überprüfbares Ersuchen" bedeutet, dass es von einer Person gestellt wurde:
- Ein Verbraucher
- Ein Verbraucher im Namen eines Minderjährigen
- Eine Person, die rechtlich befugt ist, im Namen eines Verbrauchers zu handeln, indem sie sich an Unterlagen wendet, die nachweislich von oder über die betreffende Person gesammelt wurden
Die Unternehmen müssen den Verbrauchern innerhalb von 45 Tagen nach der Anfrage Auskunft über die Datenerfassung der letzten 12 Monate geben, einschließlich der Weitergabe, der Nutzung und des Verkaufs personenbezogener Daten.
CCPA-Anforderungen für Unternehmen
Das CCPA enthielt die folgenden Anforderungen für Unternehmen, von denen viele immer noch gelten oder durch die Änderungen des CPRA erweitert wurden:
- Verbraucher darüber informieren, dass personenbezogene Daten gesammelt werden
- den Verbrauchern die Möglichkeit zu geben, die Datenerfassung durch sichtbare Datenschutzeinstellungen abzulehnen
- rechtzeitige Beantwortung von Verbraucheranfragen
- Doppelte Überprüfung der Identität von Verbrauchern, die ihre persönlichen Daten überprüfen oder löschen wollen
- Informieren Sie die Verbraucher darüber, wie viel Geld Sie mit Daten verdienen und was sie wert sind
- Aufzeichnungen mindestens zwei Jahre lang aufbewahren
Um diese Anforderungen zu erfüllen, sollten Sie eine kalifornienkonforme Datenschutz- und Cookie-Richtlinie veröffentlichen, in der Sie erklären, welche personenbezogenen Daten Sie erheben, und die auch nach dem CPRA anwendbar ist.
Sie können den Anträgen von Verbrauchern auf Zugang zu ihren Daten und auf Löschung ihrer Daten mit Hilfe eines DSAR-Formulars (Data Subject Access Request) nachkommen, das Sie auf Ihrer Website verlinken können.
Gemäß Abschnitt 1798.120(a) des Gesetzes müssen Sie außerdem auf der Startseite Ihrer Website einen sichtbaren Link "Do Not Sell My Personal Information" (Meine persönlichen Daten nicht verkaufen) einfügen, der es den Nutzern ermöglicht, dem Verkauf ihrer Daten zu widersprechen.
Das CPRA änderte diese Leitlinien jedoch durch die Einführung des Konzepts der gemeinsamen Nutzung personenbezogener Daten, auf das ich später in diesem Artikel näher eingehe.
Sanktionen nach dem CCPA
Wenn Sie gegen das CCPA verstoßen, drohen Ihnen unter anderem folgende Strafen:
- 2.500 Dollar für jeden Verstoß
- 7.500 $ für jeden vorsätzlichen Verstoß
Ursprünglich hatten die Unternehmen eine 30-tägige Frist zur Behebung der Verstöße, d. h. sie hatten 30 Tage Zeit, um schriftlich zu erklären, dass sie alle Verstöße behoben haben und dass die Verstöße nicht mehr vorkommen werden. Diese Frist gilt jedoch nicht mehr unter dem CPRA.
Die kalifornische Generalstaatsanwaltschaft setzte diese Strafen durch, aber nach dem CPRA geht die Befugnis zur Durchsetzung auf eine neue Gruppe mit der Bezeichnung California Privacy Protection Agency (CPPA) über.
Verbraucher haben auch das Recht, Unternehmen wegen des Verlusts ihrer Privatsphäre infolge einer Datenschutzverletzung zu verklagen, so dass es möglich ist, durch private Klagen zusätzliche Strafen zu verhängen.
Mit den Änderungen des CPRA haben sich die Gründe für eine private Klage gegen ein Unternehmen noch weiter ausgeweitet, was den Unternehmen noch mehr Verantwortung für den Schutz der Nutzerdaten auferlegt.
CPRA
Am 1. Januar 2023 traten die gesetzlichen Bestimmungen des California Privacy Rights Act(CPRA) in Kraft und änderten Teile des CCPA.
Der Zeitpunkt des Inkrafttretens der Durchführungsbestimmungen hat sich jedoch mehrfach geändert:
- Ursprünglich sollten die Vorschriften am 1. Januar 2023 in Kraft treten, mit einem Rückblick auf den 1. Januar 2022.
- Da das CPPA jedoch verspätet Durchsetzungsregeln festlegte, verlängerten die kalifornischen Gerichte die Durchsetzungsfrist bis zum 29. März 2024.
- Die CPPA legte gegen diese Entscheidung Berufung ein, und am 9. Februar 2024 wurde bekannt gegeben, dass das kalifornische Berufungsgericht des dritten Bezirks sich auf die Seite der CPPA stellte.
- Heute sind alle CPRA-Änderungen offiziell in Kraft get reten, mit einem Rückblick auf den 1. Juli 2023.
Mit diesem Gesetz werden neue Datenkategorien eingeführt, die gesetzlichen Schwellenwerte aktualisiert, den Verbrauchern mehr Rechte eingeräumt und die Verpflichtungen der Unternehmen, die zuvor im CCPA festgelegt waren, erweitert.
CPRA Gesetzlicher Schwellenwert
Mit dem CPRA wurde ein neuer gesetzlicher Schwellenwert eingeführt, der nun auch für das CCPA gilt, so dass Ihr Unternehmen in den Geltungsbereich beider Gesetze fällt, wenn Sie in Kalifornien tätig sind und einen der folgenden Punkte erfüllen:
- Zum 1. Januar des vorangegangenen Kalenderjahres einen Bruttojahresumsatz von 25 Millionen US-Dollar erzielt haben
- Jährlich die persönlichen Daten von 100.000 oder mehr kalifornischen Verbrauchern oder Haushalten kauft, verkauft oder weitergibt
- 50 % oder mehr Ihrer jährlichen Bruttoeinnahmen aus dem Verkauf oder der Weitergabe von persönlichen Daten erzielt haben
Der Begriff der gemeinsamen Nutzung von Daten wurde von der CPRA neu eingeführt und bezieht sich auf alle folgenden Punkte:
- Vermietung von personenbezogenen Daten
- Weitergabe von personenbezogenen Daten
- Verbreitung von Persona-Daten
- Bereitstellung von personenbezogenen Daten
- Übermittlung personenbezogener Daten
- Mündliche oder schriftliche Weitergabe von Informationen über persönliche Daten
- Übermittlung von Informationen über personenbezogene Daten auf elektronischem Wege oder mit anderen Mitteln
Wie ich bereits erwähnt habe, muss Ihr Unternehmen aufgrund des extraterritorialen Geltungsbereichs dieser Gesetze nicht in Kalifornien ansässig sein, um unter deren Rechtsprechung zu fallen.
Verbraucherrechte nach dem CPRA
Mit dem CPRA wurden auch einige vom CCPA festgelegte Verbraucherrechte erweitert und einige neue eingeführt.
Nach diesem Gesetz haben die Verbraucher nun das Recht auf:
- Ablehnung des Verkaufs oder der Weitergabe ihrer persönlichen Daten über einen Link "Meine persönlichen Daten nicht verkaufen oder weitergeben " oder durch Berücksichtigung der von den Verbrauchern in ihrem Browser eingestellten Opt-out-Einstellungen
- die Nutzung und Offenlegung ihrer sensiblen persönlichen Daten einschränken
- Berichtigung und Löschung unzutreffender personenbezogener Daten nach Einreichung eines verifizierten Verbraucherantrags
- Antrag auf Zugang zu den über sie gesammelten Daten nach dem 12-monatigen Rückblickszeitraum - es sei denn, dies ist unmöglich oder erfordert einen unverhältnismäßigen Aufwand
- Verzicht auf automatisierte Entscheidungsfindung und Profiling
Sensible personenbezogene Daten sind eine neue Kategorie personenbezogener Daten, die durch das CPRA definiert wird und eine der folgenden Angaben umfasst:
- Nummern der Führerscheine
- Sozialversicherungsnummern (SSN)
- Staatliche ID-Nummern
- Mitgliedschaft in der Gewerkschaft
- Reisepassnummern
- Benutzeranmeldeinformationen wie Benutzernamen und Passwörter
- Biometrische Daten und Genetik
- Ethnische oder rassische Zugehörigkeit
- Präzise Geolokalisierung
- Religiöse oder philosophische Überzeugungen
- Informationen über die sexuelle Orientierung, das Sexualleben oder die Gesundheit eines Verbrauchers
- Inhalt von SMS, Post und E-Mail eines Verbrauchers
Unternehmen müssen nun auf ihrer Website einen Link "Beschränkung der Verwendung meiner sensiblen persönlichen Daten" einfügen, der für die Nutzer leicht zu finden ist, damit sie dieses neue Recht auf Datenschutz wahrnehmen können. Das Gesetz räumt Ihnen jedoch die Möglichkeit ein, anstelle des Links die von den Verbrauchern vorgenommenen Einstellungen für die Abmeldung im Browser zu berücksichtigen.
Das CPRA änderte auch das Recht auf Privatklage und erweiterte die ursprünglich durch das CCPA festgelegten Leitlinien. Verbraucher können nun Unternehmen verklagen, wenn:
- E-Mail-Adressen in Kombination mit einem Passwort oder anderen Sicherheitsfragen werden geknackt und ermöglichen den Zugriff auf ein Konto.
- Unverschlüsselte und nicht redigierte persönliche Daten werden kompromittiert, weil ein Unternehmen es versäumt hat, angemessene Sicherheitsmaßnahmen einzuführen und aufrechtzuerhalten
Mit diesen Änderungen wurden auch die Rechte von minderjährigen Verbrauchern erweitert, und die Unternehmen müssen nun auch diese Rechte einhalten:
- Einholung der ausdrücklichen Zustimmung, bevor die personenbezogenen Daten eines Verbrauchers unter 16 Jahren weitergegeben oder verkauft werden
- Schaffung einer Möglichkeit für Minderjährige oder deren Eltern/Erziehungsberechtigte, anzugeben, dass der Verbraucher zwischen 13 und 16 Jahre alt oder unter 13 Jahre alt ist
CPRA-Anforderungen für Unternehmen
Das CPRA sieht auch neue und erweiterte Verpflichtungen für Unternehmen vor, darunter Sicherheitsanforderungen und vertragliche Verpflichtungen.
Die Unternehmen müssen aktiv "angemessene Sicherheitsverfahren und -praktiken" zum Schutz personenbezogener Daten anwenden.
Wenn davon auszugehen ist, dass von einem Unternehmen ein erhebliches Datenschutzrisiko ausgeht, müssen Sie jährliche Cybersicherheitsüberprüfungen durchführen und die Ergebnisse an die California Privacy Protection Agency (CPPA) übermitteln, eine neue Behörde, die zur Umsetzung der beiden Datenschutzgesetze eingerichtet wurde.
Was die neuen vertraglichen Verpflichtungen anbelangt, so müssen Sie, wenn Sie personenbezogene Daten an Auftragnehmer, Dritte oder Dienstleister weitergeben, verkaufen oder offenlegen, einen Vertrag erstellen, in dem alle folgenden Punkte aufgeführt sind:
- Geben Sie an, zu welchen Zwecken diese Informationen weitergegeben, verkauft und mit der anderen Einrichtung geteilt werden
- es für die andere Partei erforderlich machen, ebenfalls das CPRA einzuhalten und das gleiche Maß an Datenschutz zu bieten, wie es das Gesetz verlangt
- Die andere Partei muss verpflichtet werden, Sie zu benachrichtigen, wenn sie ihren Verpflichtungen aus dem CPRA nicht mehr nachkommen kann
- Sie müssen die andere Partei darüber informieren, dass Sie das Recht haben, geeignete und angemessene Maßnahmen zu ergreifen, um eine unbefugte Nutzung der personenbezogenen Daten zu verhindern.
Es gibt auch neue Richtlinien für die Aufbewahrung von Daten und die Datenminimierung, die von der CPRA festgelegt wurden und oft mit den Richtlinien des Datenschutzgesetzes der Europäischen Union (EU), der General Data Protection Regulation (DSGVO).
Sie besagt, dass Sie nur:
- Persönliche Daten zu sammeln, wenn es erforderlich oder vernünftigerweise notwendig ist
- Persönliche Daten so lange speichern und aufbewahren, wie es für den Zweck, für den sie erhoben wurden, erforderlich ist
Das CPRA schränkt auch die Möglichkeiten der Unternehmen ein, bestimmte Verteidigungsmaßnahmen zu ergreifen, wenn es zu einer Datenschutzverletzung kommt und private Maßnahmen gegen sie ergriffen werden. Insbesondere wird nun festgelegt, dass die Umsetzung angemessener Sicherheitsmaßnahmen nach einer Datenschutzverletzung nicht mehr als angemessene Verteidigung gilt.
Sanktionen nach dem CPRA
Die Sanktionen wurden im Rahmen des CPRA aktualisiert und umfassen folgende Punkte:
- $2.500 pro nicht vorsätzlichem Verstoß
- 7.500 Dollar für jeden vorsätzlichen Verstoß oder für Straftaten im Zusammenhang mit persönlichen Daten von Minderjährigen unter 16 Jahren
Die 30-tägige Frist zur Korrektur von Verstößen gilt jedoch nicht mehr. Stattdessen entscheidet die CPPA, wie viel Zeit jedes Unternehmen hat, um seine Fehler zu korrigieren, und berücksichtigt dabei die folgenden Faktoren:
- Ob das Unternehmen das CPRA verletzen wollte
- ob das Unternehmen Anstrengungen unternommen hat, den angeblichen Verstoß zu beheben
Außerdem können die Verbraucher, wie ich bereits erwähnt habe, jetzt aus den folgenden beiden Gründen privatrechtlich gegen ein Unternehmen vorgehen:
- Unverschlüsselte und nicht zensierte persönliche Daten werden kompromittiert
- E-Mail-Adressen in Kombination mit einem Passwort oder anderen Details, die den Zugang zu einem Konto ermöglichen, werden missbraucht
Hat das CPRA das CCPA abgelöst?
Nein, das CPRA hat das CCPA nicht ersetzt, sondern es ändert Teile des CCPA, und jeder Teil, der unverändert bleibt, gilt weiterhin für Unternehmen und Verbraucher.
Aus diesem Grund bezeichnen Stellen wie das CPPA, die für die Durchsetzung des CPRA zuständige Behörde, die Gesetze als CCPA, CCPA in der geänderten Fassung oder CCPA-Verordnungen.
Welche Änderungen hat das CPRA gebracht?
Das CPRA brachte mehrere Änderungen des CCPA mit sich, vor allem erweiterte es die Nutzerrechte, führte neue Konzepte ein und sah zusätzliche Verpflichtungen für Unternehmen vor.
Einige der wichtigsten Änderungen, die durch das CPRA eingeführt wurden, sind:
- Neue gesetzliche Schwellenwerte - Einige Unternehmen, die die CCPA-Kriterien für den Kauf, den Verkauf oder die Weitergabe von Daten von 50.000 Verbrauchern erfüllten, fallen möglicherweise nicht mehr unter diese Gesetze, wenn sie die aktualisierte Anforderung von 100.000 Verbrauchern nicht erfüllen
- Neue Datenkategorie - Das neue Gesetz erkennt die Kategorie sensibler personenbezogener Daten an, die in hohem Maße geschützt werden müssen, und die Verbraucher können beantragen, den Verkauf, die Weitergabe oder die Verarbeitung dieser sensiblen Daten einzuschränken oder abzulehnen.
- Neue und erweiterte Verbraucherrechte - Das CPRA erweitert einige Verbraucherrechte, die im CCPA festgelegt sind, und räumt ihnen das Recht ein, ihre Daten zu korrigieren, die Verwendung sensibler Daten einzuschränken, Informationen über automatisierte Entscheidungsprozesse zu erhalten und sich gegen automatisierte Entscheidungsprozesse zu entscheiden.
- Neue Konzepte - Mit diesem Gesetz wurde das Konzept der gemeinsamen Nutzung personenbezogener Daten eingeführt, das sich darauf bezieht, dass Unternehmen und Dritte Daten austauschen, aber nicht unbedingt zu finanziellen Zwecken
- Neuaufnahme der Grundsätze von DSGVO - Wie DSGVO übernimmt das CPRA ähnliche Grundsätze zur Datenminimierung, Zweckbindung und Speicherbegrenzung.
- Neue private Kl agerechte - Verbraucher können nun privatrechtliche Schritte gegen Unternehmen einleiten, die ihre Anmeldedaten im Rahmen einer Datenschutzverletzung offenlegen
- Neueinrichtung einer Behörde zur Durchsetzung des Datenschutzes - Die California Privacy Protection Agency (CPPA) wurde eingerichtet, um die neuen Datenschutzgesetze durchzusetzen, eine Aufgabe, für die zuvor das Büro des Generalstaatsanwalts von Kalifornien zuständig war.
Die Unterschiede zwischen dem CPRA und dem CCPA
Es gibt einige nuancierte Unterschiede zwischen der ursprünglichen Fassung des CCPA und den aktuellen Vorschriften, die jetzt gelten, nachdem das CPRA offiziell in Kraft getreten ist. Daher habe ich für Sie einige Diagramme zum Vergleich zwischen CCPA und CPRA erstellt.
CPRA vs. CCPA: Begriffsbestimmungen
Eine wesentliche Auswirkung des CPRA auf das CCPA ist die Änderung, Aktualisierung und Einführung neuer Rechtsbegriffe und Definitionen, die in Abschnitt 1798.40 des Gesetzes zu finden sind.
In der nachstehenden Tabelle können Sie einige neue und erweiterte rechtliche Definitionen, die durch das CPRA eingeführt wurden, mit den ursprünglichen Definitionen des CCPA vergleichen.
| Begriff | CPRA | CCPA |
| Sensible persönliche Informationen | Besonders schutzbedürftige personenbezogene Daten, für die erhöhte Anforderungen an die Einhaltung von Vorschriften gelten, wie z. B:
|
In der ursprünglichen Fassung des CCPA gab es keine Kategorie für sensible personenbezogene Daten |
| Teilen | Die Weitergabe personenbezogener Daten an Dritte im Zusammenhang mit verhaltensbezogener Werbung, einschließlich der Weitergabe gegen Entgelt, finanziellem Gewinn oder sonstigem Wert | Die ursprüngliche Fassung des CCPA enthielt keinen Hinweis auf die Weitergabe personenbezogener Daten |
| Auftragnehmer | Eine Person, der ein Unternehmen die persönlichen Daten eines Verbrauchers für geschäftliche Zwecke zur Verfügung gestellt hat, die durch einen schriftlichen Vertrag festgelegt wurden. | Die ursprüngliche Fassung des CCPA enthielt keine Definition des Auftragnehmers |
| Öffentlich zugängliche Informationen | Alle Informationen, die rechtmäßig von Bundes-, Landes- oder Kommunalbehörden zur Verfügung gestellt werden
Alle Informationen, von denen ein Unternehmen vernünftigerweise annimmt, dass sie der breiten Öffentlichkeit rechtmäßig durch weit verbreitete Medien oder durch den Verbraucher zugänglich gemacht wurden Und alle Informationen, die von einer Person gegeben werden, der der Verbraucher die Informationen mitgeteilt hat, solange der Verbraucher die Informationen nicht auf eine bestimmte Gruppe oder Personen beschränkt hat |
Die ursprüngliche Fassung des CCPA definierte öffentlich zugängliche Informationen nur als alles, was rechtmäßig aus Aufzeichnungen von Bundes-, Landes- oder Kommunalbehörden zugänglich gemacht wurde |
| Link zum Original-Rechtstext | 1798.40 mit CPRA-Änderungen | 1798,40 aus dem ursprünglichen CCPA-Text |
* Alle anderen Rechtsbegriffe, die von den CPRA-Änderungen nicht betroffen sind, werden so ausgelegt, wie sie ursprünglich im CCPA definiert waren.
CPRA vs. CCPA: Rechtliche Schwellenwerte
Aufgrund der durch das CPRA eingeführten Änderungen haben sich die gesetzlichen Schwellenwerte gegenüber dem CCPA geändert, was sich darauf auswirkt, welche Unternehmen in den Geltungsbereich dieser Gesetze fallen.
In der nachstehenden Tabelle finden Sie einen Vergleich zwischen den neuen Anforderungen des CPRA und den ursprünglich im CCPA festgelegten Schwellenwerten, die in Abschnitt 1798.140 der Gesetze zu finden sind.
| CPRA | CCPA |
Jede gewinnorientierte Einrichtung, die in Kalifornien geschäftlich tätig ist und eine der folgenden Bestimmungen erfüllt:
|
Jedes gewinnorientierte Unternehmen, das in Kalifornien geschäftlich tätig ist, Daten von in Kalifornien ansässigen Personen sammelt und eine der folgenden Bedingungen erfüllt:
|
| 1798.140 mit CPRA-Änderungen | 1798.140 aus dem ursprünglichen CCPA-Text |
Denken Sie daran, dass derzeit nur die von der CPRA festgelegten gesetzlichen Schwellenwerte gelten. Wenn Sie diese Bedingungen erfüllen, muss Ihr Unternehmen sowohl den CCPA als auch die CPRA-Datenschutzrichtlinien einhalten.
CPRA vs. CCPA: Rechte der Verbraucher
Einige der Datenschutzrechte, die den Verbrauchern ursprünglich durch den CCPA eingeräumt wurden, sind durch die CPRA-Änderungen erweitert worden, und es wurden einige neue Freiheiten eingeführt.
Die nachstehende Tabelle verdeutlicht die Unterschiede zwischen den neuen und erweiterten Rechten, die sich aus dem CPRA ergeben, und den ursprünglichen Verbraucherrechten aus dem CCPA, die in den Abschnitten 1798.100 bis 1798.125 der Gesetze zu finden sind.
| CPRA | CCPA |
| Die Verbraucher haben das Recht zu erfahren, welche persönlichen Daten über sie gesammelt werden, wie sie verwendet werden und ob sie an Dritte verkauft oder weitergegeben werden. | Auch nach der ursprünglichen Fassung des CCPA hatten die Verbraucher das Recht zu erfahren, welche personenbezogenen Daten über sie gesammelt werden, wie sie verwendet werden und ob sie an Dritte verkauft oder weitergegeben werden. |
| Die Verbraucher haben das Recht, den Zugang zu den über sie gesammelten Daten über den 12-monatigen Rückblick hinaus zu beantragen, und die Unternehmen können diesen Antrag nur ablehnen, wenn dies unmöglich ist oder einen unverhältnismäßigen Aufwand erfordert. | Nach der ursprünglichen Fassung des CCPA hatten die Verbraucher nur das Recht, Zugang zu ihren personenbezogenen Daten der letzten 12 Monate zu verlangen. |
| Die Verbraucher haben das Recht, dem Verkauf oder der Weitergabe ihrer persönlichen Daten zu widersprechen. | Die Verbraucher hatten nur in der ursprünglichen Fassung des CCPA das Recht, dem Verkauf ihrer persönlichen Daten zu widersprechen. |
| Verbraucher haben das Recht auf Nichtdiskriminierung bei Dienstleistungen und können sich gegen eineautomatisierte Entscheidungsfindung und Profiling im Beschäftigungskontext entscheiden | Nach der ursprünglichen Fassung des CCPA hatten die Verbraucher nur das Recht auf Nichtdiskriminierung bei Dienstleistungen und Preisen |
| Die Verbraucher haben das Recht auf Berichtigung und können Zugang zu ihren personenbezogenen Daten sowie deren Änderung, Berichtigung oder Löschung verlangen. | Nach der ursprünglichen Fassung des CCPA hatten die Verbraucher lediglich das Recht, den Zugang zu ihren Daten oder deren Löschung zu beantragen, dem sie nicht nachkommen mussten, während die Unternehmen rechtzeitig reagieren mussten. |
| Die Verbraucher haben das Recht, die Verwendung und Weitergabe ihrer sensiblen persönlichen Daten einzuschränken | Früher hatten die Verbraucher dieses Recht nicht, und in der ursprünglichen Fassung des CCPA gab es keine Kategorie sensibler personenbezogener Daten |
| 1798.100 mit CPRA-Änderungen | 1798.100 aus dem ursprünglichen CCPA-Text |
* Alle anderen im CCPA genannten Verbraucherrechte, die nicht von den Änderungen des CPRA betroffen sind, bleiben bestehen und gelten weiterhin.
CPRA vs. CCPA: Verpflichtungen für Unternehmen
Aufgrund der Änderungen des CPRA müssen Unternehmen, die unter diese Gesetze fallen, neue Anforderungen erfüllen, um personenbezogene Daten rechtmäßig zu erfassen, zu speichern, zu verarbeiten und zu nutzen.
Da es sich technisch gesehen nicht um zwei getrennte Gesetze mit völlig unterschiedlichen Richtlinien handelt, unterscheidet sich die folgende Tabelle von den anderen. Sie gibt einen Überblick über die wichtigsten geschäftlichen Verpflichtungen, die jetzt, da das CPRA in Kraft ist, offiziell gelten, und enthält Vorschläge, wie die Anforderungen erfüllt werden können.
| Verpflichtungen von Unternehmen nach dem CPRA und CCPA | Wie man die Anforderungen erfüllt |
| die Verbraucher darüber zu informieren, dass personenbezogene Daten gesammelt werden, wie und warum und an wen sie weitergegeben oder verkauft werden |
|
| Wahrung der Verbraucherrechte und Erleichterung von Anfragen, indem den Verbrauchern die Möglichkeit gegeben wird, die Datenerfassung durch sichtbare Datenschutzeinstellungen zu deaktivieren, einschließlich des Rechts, die Verwendung ihrer sensiblen persönlichen Daten einzuschränken |
|
| Erstellen Sie einen Vertrag nach bestimmten Richtlinien, wenn Sie persönliche Daten an Auftragnehmer, Dritte oder Dienstleister weitergeben, verkaufen oder offenlegen. | In den Verträgen müssen alle folgenden Punkte aufgeführt sein:
|
| Umsetzung angemessener Sicherheitsverfahren und -praktiken zum Schutz personenbezogener Daten |
|
| Erfüllung der neuen Offenlegungs- und Aufbewahrungspflichten |
|
| Hinweis auf Verbraucherrechte |
|
Wir haben es schon ein paar Mal gesagt, aber zur Erinnerung: Alle anderen Richtlinien, Anforderungen oder Bestimmungen des CCPA, die von den CPRA-Änderungen nicht betroffen sind, bleiben in Kraft.
Wenn Sie also in den Geltungsbereich dieser Gesetze fallen, müssen Sie auch alle gesetzlichen Normen befolgen.
CPRA vs. CCPA: Sanktionen bei Nichteinhaltung
Die Nichteinhaltung der Datenschutzrichtlinien des CPRA und des CCPA hat Konsequenzen, und die CPRA-Änderungen haben geändert, wofür Unternehmen vor Gericht zur Rechenschaft gezogen werden können.
In der nachstehenden Tabelle werden die neuen CPRA-Sanktionen für Verstöße mit den ursprünglichen Sanktionen des CCPA verglichen, die in Abschnitt 1798.150 der Gesetze aufgeführt sind.
| CPRA | CCPA |
|
|
Verbraucher können ein Unternehmen im Rahmen einer Datenschutzklage verklagen, wenn:
Verbraucher können Schadensersatz in Höhe von 100 bis 750 Dollar pro Vorfall oder den tatsächlichen Schaden geltend machen, je nachdem, welcher Betrag höher ist. |
Verbraucher können ein Unternehmen im Rahmen einer Privatklage verklagen, wenn:
|
| 1798.150 mit CPRA-Änderungen | 1798.150 aus dem ursprünglichen CCPA-Text |
Letztendlich werden die Unternehmen durch die CPRA-Änderungen stärker in die Verantwortung genommen, persönliche Nutzerdaten - und deren Anmeldedaten - vor Aufdeckung, Lecks und Datenschutzverletzungen zu schützen.
Wer muss sich an das CPRA und CCPA halten?
Ab dem 1. Januar 2023 muss Ihr Unternehmen sowohl das CCPA als auch das CPRA einhalten, wenn Sie in Kalifornien tätig sind und eine der folgenden Bedingungen erfüllen:
- Zum 1. Januar des vorangegangenen Kalenderjahres einen Bruttojahresumsatz von 25 Millionen US-Dollar erzielt haben
- Jährlich die persönlichen Daten von 100.000 oder mehr kalifornischen Verbrauchern oder Haushalten kauft, verkauft oder weitergibt
- 50 % oder mehr Ihrer jährlichen Bruttoeinnahmen aus dem Verkauf oder der Weitergabe von persönlichen Daten erzielt haben
Alle CPPA-Durchsetzungsvorschriften sind nun offiziell vollstreckbar, mit einer Rückschau bis Juli 2023.
Wie Sie sicherstellen, dass Ihr Unternehmen beide Gesetze ordnungsgemäß einhält
Um sicherzustellen, dass Ihr Unternehmen sowohl das CPRA als auch das CCPA ordnungsgemäß einhält, sollten Sie die folgenden Punkte beachten:
- Veröffentlichen Sie eine CCPA-konforme Datenschutzrichtlinie auf Ihrer Website
- Stellen Sie außerdem eine gut formulierte Cookie-Richtlinie auf Ihre Website, in der Sie darlegen, wie diese Tracker personenbezogene Daten erfassen, speichern und verwenden.
- Setzen Sie einen Link "Meine persönlichen Daten nicht verkaufen oder weitergeben" in die Fußzeile Ihrer Website
- Setzen Sie außerdem einen Link "Beschränkung der Verwendung meiner persönlichen Daten" in die Fußzeile Ihrer Website.
- Oder berücksichtigen Sie anstelle von Links die Opt-out-Einstellungen, die Verbraucher in ihren Browsern vornehmen
- Angemessene Sicherheitsvorkehrungen treffen, um personenbezogene Verbraucherdaten vor Verstößen oder Hacks zu schützen
- Erleichtern Sie Nutzeranfragen, indem Sie ein DSAR-Formular (Data Subject Access Request) auf Ihrer Website veröffentlichen.
- Hinweis auf Verbraucherrechte durch Hinzufügen einer Klausel zu Ihrer konformen Datenschutzrichtlinie
- Persönliche Daten von Verbrauchern nur so lange aufbewahren, wie dies vernünftigerweise erforderlich ist
- Geben Sie personenbezogene Verbraucherdaten nur bei Bedarf an Dritte weiter und erstellen Sie jedes Mal rechtskonforme Verträge.
Es mag wie eine lange Checkliste aussehen, aber die Einhaltung von Vorschriften muss nicht kompliziert sein, vor allem nicht mit der richtigen Hilfe. Im nächsten Abschnitt erfahren Sie, wie Sie die Einhaltung der Datenschutzbestimmungen vereinfachen können.
Wie Termly helfen kann
Die Einhaltung der CCPA- und CPRA-Änderungen mag zunächst einschüchternd wirken, aber Termly kann Ihnen diese Last abnehmen.
Wir bieten Richtliniengeneratoren und eine Einwilligungslösung an, die den Standards des CCPA und der CPRA-Änderungen entspricht:
- Datenschutzerklärung Generator
- Generator für Cookie-Richtlinien
- Cookie Consent Manager
- DSAR-Formulare
Unsere Generatoren führen Sie durch den gesamten Prozess der Erstellung einer Police, indem sie Sie bitten, einfache Fragen zu Ihrem Unternehmen zu beantworten, wie in der folgenden Abbildung dargestellt.
Es gibt sogar hilfreiche Tipps und Antworten auf häufig gestellte Fragen direkt auf jeder Seite, wie auf dem Screenshot unten zu sehen ist. Außerdem erhalten Sie Zugang zu unserem Support-Team, wenn Sie nicht weiterkommen oder Hilfe benötigen.
Wir bei Termly sind stolz darauf, immer auf dem neuesten Stand zu sein. Deshalb haben unser Rechtsteam und unsere Datenschutzexperten gemeinsam mit unseren Produktingenieuren unsere Tools so aktualisiert, dass sie alle Richtlinien und Anforderungen der beiden kalifornischen Gesetze und mehr als 20 weiterer Gesetze aus anderen Teilen der Welt erfüllen.
Betrachten Sie uns einfach als Ihren Partner für die Einhaltung der Datenschutzbestimmungen, der Ihnen jederzeit bei allen Fragen zum Datenschutz zur Seite steht.
CPRA vs. CCPA FAQs
Sind Sie immer noch etwas verwirrt über diese kalifornischen Datenschutzgesetze? Lesen Sie die am häufigsten gestellten Fragen zum CPRA und CCPA, um noch mehr Klarheit zu erhalten.
Wann ist das CPRA in Kraft getreten?
Die gesetzlichen Bestimmungen des CPRA traten am 1. Januar 2023 in Kraft. Die Durchsetzungsvorschriften des CPPA traten am 1. Juli 2023 in Kraft.
Ersetzt das CPRA das CCPA?
Das CPRA ersetzt nicht das CCPA, sondern es ändert Teile des CCPA. Alle Aspekte des CCPA, die nicht von den Änderungen des CPRA betroffen sind, bleiben unverändert und gelten weiterhin für Unternehmen.
Aus diesem Grund bezeichnen einige Regierungsbehörden und andere Stellen, darunter auch die CPPA, beide Gesetze als CCPA, CCPA in der geänderten Fassung oder CCPA-Verordnungen.
Muss ich sowohl das CCPA als auch das CPRA einhalten?
Ja, Sie müssen sowohl das CCPA als auch das CPRA einhalten, wenn Sie ein gewinnorientiertes Unternehmen betreiben, das in Kalifornien tätig ist und eines oder mehrere der folgenden Kriterien erfüllt:
- Jährliche Bruttoeinnahmen in Höhe von 25 Millionen Dollar zum 1. Januar des vorangegangenen Kalenderjahres
- Verkauft, kauft oder teilt die persönlichen Daten von 100.000 kalifornischen Verbrauchern oder Haushalten
- 50 % oder mehr des Jahresumsatzes mit dem Verkauf oder der Weitergabe von persönlichen Daten erwirtschaftet
Wer setzt das CCPA und das CPRA durch?
Eine neue Behörde, die California Privacy Protection Agency (CPPA), wurde eingerichtet, um das CCPA mit den CPRA-Änderungen durchzusetzen. Zuvor war die Generalstaatsanwaltschaft von Kalifornien für die Durchsetzung zuständig.
Zusammenfassung
Das CPRA erweiterte bei seinem Inkrafttreten das CCPA, indem es den Verbrauchern mehr Rechte einräumte und die Anforderungen an die Unternehmen erhöhte, die sie bei der rechtmäßigen Erhebung, Verarbeitung und Nutzung personenbezogener Daten beachten müssen.
Zur Einhaltung der CPRA-Änderungen des CCPA müssen Sie Ihre Datenschutzrichtlinien aktualisieren, relevante Links für die Nutzer bereitstellen, damit diese ihre Datenschutzrechte wahrnehmen können, und angemessene Sicherheitsprotokolle einführen, um die persönlichen Daten der Verbraucher zu schützen.
Mehr über die Autorin
Geschrieben von Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Masha ist Spezialistin für Informationssicherheit und Datenschutz und zertifizierte Datenschutzbeauftragte. In den letzten sechs Jahren war sie als Datenschutzbeauftragte tätig und half kleinen und mittleren Unternehmen bei der Einhaltung von Rechtsvorschriften. Außerdem war sie Mentorin für die Einhaltung von Datenschutzbestimmungen bei vielen internationalen Business Accelerators. Sie ist spezialisiert auf die Umsetzung, Überwachung und Prüfung der Einhaltung von Datenschutzvorschriften (HIPAA, PIPEDA, ePrivacy-Richtlinie, DSGVO, CCPA, POPIA, LGPD). Masha hat an der Universität Belgrad Jura studiert und 2016 die Anwaltsprüfung abgelegt. Mehr über die Autorin
