Das 2018 verabschiedete kalifornische Gesetz zum Schutz der Privatsphäre von Verbrauchern war das erste umfassende Verbraucherdatenschutzgesetz auf Bundesstaatsebene in den USA und inspirierte mehr als fünfundzwanzig andere Bundesstaaten zur Verabschiedung ähnlicher Gesetze - Tendenz steigend.
Das CCPA enthält eine Reihe von Richtlinien, die Unternehmen bei der Erhebung, Verarbeitung und Nutzung personenbezogener Daten von Einwohnern und Haushalten in Kalifornien beachten müssen.
Im Folgenden beschreibe ich die im CCPA festgelegten Verpflichtungen für Unternehmen, einschließlich der Frage, wer sie einhalten muss, welche Informationen sie schützt und welche Auswirkungen sie auf Unternehmen und Verbraucher hat.
Was ist der California Consumer Privacy Act (CCPA)?
Das CCPA ist das ursprüngliche und strengste Datenschutzgesetz auf Bundesstaatsebene in den Vereinigten Staaten.
Sie enthält Anforderungen und Richtlinien für die Erhebung, Verwendung und Verarbeitung personenbezogener Daten von Personen in Kalifornien.
Dieses Gesetz, das manchmal auch als "California DSGVO" bezeichnet wird, weist einige Ähnlichkeiten mit der europäischen Datenschutzverordnung auf und gewährt den Verbrauchern ähnliche Rechte.
Der Geltungsbereich ist jedoch nicht so weit gefasst wie bei DSGVO, und die Leitlinien sind unternehmensfreundlicher.
CCPA Schlüsselbegriffe und Definitionen
Um Ihnen das Verständnis des CCPA zu erleichtern, habe ich im Folgenden einige Schlüsselbegriffe und ihre Definitionen aus dem Gesetzestext aufgeführt.
Wann immer diese Begriffe in diesem Leitfaden verwendet werden, sind die oben genannten Definitionen zu beachten.
Wichtige Termine
Das CCPA trat am 1. Januar 2020 in Kraft.
Es wurde am 1. Januar 2023 offiziell durch den California Privacy Rights Act (CPRA) geändert.
Mit den Änderungen des CPRA wurden neue Rechte für Nutzer in Bezug auf ihre sensiblen personenbezogenen Daten eingeführt und die Schwellenwerte für die Datenerhebung im Gesetz erhöht.
Außerdem wurde das Konzept der gemeinsamen Nutzung von Daten eingeführt, dem die Nutzer widersprechen können.
Wen schützt das CCPA?
Das CCPA schützt die personenbezogenen Daten natürlicher Personen, die in Kalifornien ansässig sind, wie in Abschnitt 17014 des Titels 18 des kalifornischen Gesetzbuchs definiert.
Wer muss sich an das CCPA halten?
Jedes gewinnorientierte Unternehmen, das in Kalifornien tätig ist und einen der folgenden Schwellenwerte erfüllt, muss das CCPA einhalten:
- Im vorangegangenen Kalenderjahr einen Jahresbruttoumsatz von 25.000.000 $ erzielt haben,
- Persönliche Daten von 100.000 oder mehr kalifornischen Verbrauchern oder Haushalten kauft, verkauft oder weitergibt,
- 50 % oder mehr der jährlichen Einnahmen aus dem Verkauf oder der Weitergabe von persönlichen Daten kalifornischer Verbraucher erzielt.
Rechte der Verbraucher auf Datenschutz
Der CCPA gibt kalifornischen Verbrauchern die folgenden Rechte in Bezug auf ihre persönlichen Daten:
- Antrag auf Zugang zu allen Daten, die ein Unternehmen über sie sammelt
- Antrag auf Berichtigung von Ungenauigkeiten in den Daten
- Antrag auf Löschung ihrer Daten
- dem Verkauf oder der Weitergabe ihrer Daten widersprechen
- der Verarbeitung von Daten für gezielte Werbungwidersprechen
- Abmeldung vom Profiling
- Nichtdiskriminierung bei der Wahrnehmung ihrer Datenschutzrechte
Sie haben auch das Recht, zivilrechtlich gegen ein Unternehmen vorzugehen, das ihre persönlichen Daten sammelt und diese Daten durchsickern lässt oder unrechtmäßig darauf zugreift.
CCPA Geschäftsanforderungen
Im Folgenden beschreibe ich die wichtigsten geschäftlichen Anforderungen, die von der CCPA formuliert wurden.
Richtlinien zur Datenschutzpolitik
Nach dem CCPA müssen die betroffenen Unternehmen den Verbrauchern eine Datenschutzerklärung vorlegen, die die folgenden Informationen enthält:
- Eine Beschreibung der Rechte des Verbrauchers auf Datenschutz,
- Zwei oder mehr Möglichkeiten für die Verbraucher, ihre Rechte geltend zu machen,
- Eine Liste der Kategorien von personenbezogenen Daten, die Sie sammeln,
- Ihr Zweck für das Sammeln, den Verkauf oder die Weitergabe der Verbraucherdaten,
- Die Kategorien von Dritten, an die die Daten weitergegeben werden.
- Das Datum, an dem die Datenschutzerklärung zuletzt aktualisiert wurde
Sie müssen die Police mindestens alle 12 Monate aktualisieren, also geben Sie das Datum der letzten Aktualisierung an.
Ihr Unternehmen muss die Datenschutzrichtlinie über einen Link veröffentlichen und pflegen, der das Wort "Datenschutz" enthält, z. B. "Datenschutzrichtlinie".
Bewahren Sie alte Versionen für den Fall einer Datenschutzprüfung in einem Archiv auf.
Verwaltung von Einwilligungen
Nach dem CCPA müssen Unternehmen bei bestimmten Arten der Datenverarbeitung die Einwilligungen der Nutzer rechtskonform verwalten.
Das Gesetz gibt den Verbrauchern zum Beispiel das Recht auf:
- dem Verkauf oder der Weitergabe ihrer Daten widersprechen
- Abmeldung von gezielter Werbung
- Beschränkung der Verwendung ihrer sensiblen persönlichen Daten
Sie sollten den Benutzern ein konformes Banner cookie consent mit einer Cookie-Richtlinie präsentieren, damit sie sich über die von Ihrer Website verwendeten Cookies informieren und entscheiden können, ob sie deren Verwendung zustimmen oder nicht.
Das Gesetz verlangt außerdem, dass Sie die folgenden Links in der Fußzeile Ihrer Website angeben, die zu bestimmten Seiten führen, auf denen Kalifornier ihre Rechte wahrnehmen können:
- "Meine persönlichen Daten NICHT verkaufen oder weitergeben"
- "Beschränkung der Verwendung meiner sensiblen persönlichen Daten"
Sie dürfen einen einzigen Link verwenden, der zu einem Formular führt, in dem die Nutzer beide Opt-out-Rechte wahrnehmen können.
Vertragliche Verpflichtungen
Unternehmen müssen nach dem CCPA konforme Vereinbarungen verwenden, wenn sie einen Vertrag mit einem Dritten für die Zwecke der Datenverarbeitung abschließen.
Der Vertrag muss von beiden Parteien unterzeichnet werden und die folgenden Bestimmungen enthalten:
- Geben Sie an, dass die personenbezogenen Daten nur für einen begrenzten, spezifischen Zweck verkauft/weitergegeben werden,
- den Dritten zu verpflichten, die im CCPA festgelegten Verpflichtungen und Sicherheitsanforderungen einzuhalten,
- dem Unternehmen das Recht einzuräumen, angemessene Maßnahmen zu ergreifen, um sicherzustellen, dass der Dritte die personenbezogenen Daten in einer Weise verwendet, die den Anforderungen des CCPA entspricht,
- Verpflichten Sie den Dritten, das Unternehmen zu benachrichtigen, wenn er feststellt, dass er die Anforderungen des CCPA nicht mehr erfüllen kann,
- dem Unternehmen das Recht einräumen, Maßnahmen zu ergreifen, um die unbefugte Nutzung der personenbezogenen Daten zu unterbinden und zu beheben,
- von dem Dritten verlangen, dass er angemessene Sicherheitsverfahren zum Schutz der Informationen vor unbefugtem Zugriff einführt.
Überprüfbare Verbraucheranfragen
Die Unternehmen müssen über ein Verfahren verfügen, mit dem sie die Anträge der Verbraucher auf Wahrung ihrer Datenschutzrechte überprüfen können.
Technisch gesehen können die Verbraucher diese Anträge über jeden beliebigen Kanal einreichen, einschließlich:
- Ein Online-Webformular
- Soziale Medien
- Telefon
Um ihre Identität zu überprüfen, vergleichen Sie die Informationen, die sie Ihnen geben, mit den Informationen, die Sie bereits über sie gesammelt haben.
Sie sollten nur dann nach zusätzlichen Informationen fragen, wenn dies unbedingt erforderlich ist.
Am besten richten Sie einen Workflow für die Entgegennahme dieser Anfragen ein, denn Ihr Unternehmen muss den Überblick über die bearbeiteten Anfragen behalten.
Außerdem wird der Prozess für Ihre Verbraucher einfacher.
Benutzeraktivierte globale Datenschutzkontrollen
Nach dem CCPA ist es den Verbrauchern gestattet, ihre Opt-out-Rechte über nutzeraktivierte globale Datenschutzkontrollen wahrzunehmen, und die Unternehmen müssen diesen Wünschen nachkommen.
So können sie z. B. mit Hilfe von Global Privacy Controls (GPC ) in ihren Browsern angeben, dass sie gezielte Werbung ablehnen wollen.
Es sendet dann die Präferenz für die Zustimmung an die Website consent management platform, respektiert automatisch die Entscheidung des Nutzers und verhindert, dass die damit verbundenen Cookies eingesetzt werden.
Weitere Informationen finden Sie in den CCPA-Leitlinien der kalifornischen Generalstaatsanwaltschaft.
Richtlinien zur Datensicherheit
Der CCPA verpflichtet die Unternehmen, alle gesammelten personenbezogenen Daten vor illegalem, unbefugtem Zugriff, Lecks, Verstößen oder anderen Arten von Verlusten zu schützen.
Kalifornische Nutzer können zivilrechtlich gegen Ihr Unternehmen vorgehen, wenn ihre Daten in Ihrem Besitz verletzt werden.
Das Gesetz schreibt nicht vor, wie Sie die Daten schützen müssen, aber zu den üblichen Methoden gehören:
- Verschlüsselung der Daten
- Firewalls
- Beschränkung des Zugangs
- Sicherstellen, dass die Daten durch ein Passwort geschützt sind und eine mehrstufige Authentifizierung erfolgt
Strafen für Verstöße gegen das CCPA
Ein Verstoß gegen den CCPA kann zu den folgenden Geldbußen führen:
- 2.500 Dollar pro betroffenem Einwohner Kaliforniens für unbeabsichtigte Verstöße
- 7.500 Dollar pro betroffenem Einwohner Kaliforniens für vorsätzliche Verstöße
Sie wird von der California Privacy Protection Agency (CPPA) und dem Büro des kalifornischen Generalstaatsanwalts durchgesetzt.
Die Verbraucher haben auch ein privates Klagerecht nach dem kalifornischen Datenschutzgesetz.
Sie können zivilrechtlich gegen Sie vorgehen, wenn auf bestimmte Informationen über sie unbefugt zugegriffen wird.
Verwendung von Termly für die CCPA-Konformität
Termly bietet Lösungen zur Einhaltung der Vorschriften an, die es Unternehmen erleichtern, die Anforderungen des CCPA zu erfüllen.
Unser Datenschutzerklärung Generator enthält alle notwendigen Angaben, die das Gesetz vorschreibt. Alles, was Sie tun müssen, ist, einfache Fragen zu Ihrem Unternehmen zu beantworten, anzugeben, dass Sie möchten, dass Ihre Police CCPA-konform ist, und Fragen ehrlich zu beantworten.
Auf der Grundlage Ihrer Antwort wird dann eine eindeutige Richtlinie erstellt, die Sie auf Ihrer Website einbetten können.
Wir bieten auch eine Consent Management Platform die so konfiguriert werden kann, dass sie alle von der CCPA festgelegten Zustimmungsanforderungen erfüllt. Es bietet sogar regionale Support-Einstellungen speziell für Ihre kalifornischen Nutzer.
Im Lieferumfang enthalten ist auch ein kostenloses DSAR-Formular, das Sie auf Ihrer Website einbetten können, damit Ihre Nutzer leichter überprüfbare Anfragen zur Durchsetzung ihrer Datenschutzrechte stellen können.
Zusammenfassung
Der CCPA ist eines der strengsten Gesetze zum Schutz der Verbraucherdaten in den Vereinigten Staaten.
Unternehmen, die unter dieses Gesetz fallen, müssen sicherstellen, dass sie über eine konforme Datenschutzpolitik und consent management platform verfügen, die so konfiguriert sind, dass sie die im Gesetz beschriebenen Opt-out-Anforderungen erfüllen.
Es ist auch eine bewährte Praxis, ein DSAR-Formular in Ihre Website einzufügen, damit die Nutzer ihre Datenschutzrechte leichter wahrnehmen können.
Um die Einhaltung des CCPA zu vereinfachen, melden Sie sich für die umfassende Suite von Datenschutzlösungen von Termlyan.
Mehr über die Autorin
Geschrieben von Josh Langeland, CIPM
Hallo, ich bin Josh! Ich bin ein Privacy Engineer, der sich leidenschaftlich für den Einsatz von Technologie zur Wahrung der Privatsphäre der Nutzer einsetzt. Ich fühle mich an der Schnittstelle zwischen komplexer Technologie und sich ständig änderndem Datenschutzrecht wohl. Wenn ich nicht gerade eine Entwurfsprüfung durchführe oder ein System neu architektiere, lese ich vielleicht eine Biografie oder gehe im nächstgelegenen Nationalpark wandern. Mehr über die Autorin
