CPRA: Kalifornisches Gesetz über die Rechte der Privatsphäre

Abgedeckt durch Termly

von: Masha Komnenic CIPP/E, CIPM, CIPT, FIP Masha Komnenic CIPP/E, CIPM, CIPT, FIP | Aktualisiert am: 22. Februar 2024

Beginnen Sie mit der Umsetzung von Compliance
CPRA-California-Privacy-Rights-Act-01

Im November 2020 stimmten die Einwohner Kaliforniens über den California Privacy Rights Act (CPRA ) ab - eine Änderung und Erweiterung des California Consumer Privacy Act(CCPA) von 2018.

Das CPRA trat am 1. Januar 2023 in Kraft und ist nun vollständig in Kraft.

Unternehmen sollten so schnell wie möglich Änderungen an ihren Datenschutz- und Geschäftspraktiken vornehmen. Andernfalls besteht die Gefahr, dass sie den Anschluss verlieren und sogar in Schwierigkeiten geraten, weil sie nicht die richtigen Änderungen an den Richtlinien vornehmen.

Lesen Sie weiter, um mehr über das CPRA zu erfahren, wie es sich auf Ihr Unternehmen auswirken kann und wie Sie es einhalten können. Sie können auch unseren vollständigen Vergleich zwischen CCPA und CPRA lesen.

Inhaltsübersicht
  1. Was ist das CPRA?
  2. Für welche Organisationen gilt das CPRA?
  3. CPRA-Durchsetzung
  4. Neue und erweiterte Definitionen im CPRA
  5. Erweiterte Verbraucherrechte
  6. Erweiterte Pflichten für Unternehmen
  7. CPRA-Sanktionen und Geldbußen
  8. Allgemeine Tipps zur Einhaltung des CPRA

Was ist das CPRA?

Mit dem CPRA, dem California Privacy Rights Act, wurde das CCPA geändert und eine Reihe von Änderungen an den Datenschutzbestimmungen vorgenommen.

Im Vergleich zu seinem Vorgänger ist dieses Gesetz kleingewerbefreundlicher. Allerdings ist es auch:

  • Mehr Rechte für die Verbraucher
  • Einrichtung einer Agentur zur Umsetzung und Durchsetzung des CPRA
  • Stellt neue Anforderungen an Organisationen

Sie ist derzeit vollständig in Kraft und gilt bis zum 1. Juli 2023, aber das war nicht der ursprüngliche Plan.

Ursprünglich sollten die Änderungen am 1. Januar 2023 in Kraft treten, mit einem Rückblick auf den Januar 2022. Die kalifornische Datenschutzbehörde (CCPA) hat die offiziellen Durchführungsbestimmungen jedoch erst spät fertiggestellt.

Infolgedessen verlängerten die kalifornischen Gerichte die Vollstreckungsfrist bis zum 29. März 2024, und nur die gesetzlichen Bestimmungen wurden als vollstreckbar angesehen.

Die CPPA legte daraufhin Berufung gegen diese Entscheidung ein, und am 9. Februar 2024 gab das kalifornische Berufungsgericht (Third District Court of Appeal) der CPPA Recht und setzte das Vollzugsdatum auf den 1. Juli 2023 zurück.

Für welche Organisationen gilt das CPRA?

Das CPRA gilt für gewinnorientierte Organisationen, die im Bundesstaat Kalifornien tätig sind und eines oder mehrere der folgenden Kriterien erfüllen:

  • zum 1. Januar des vorangegangenen Kalenderjahres einen jährlichen Bruttoumsatz von 25 Millionen Dollar erzielt haben
  • Verkauf, Kauf oder Weitergabe der persönlichen Daten von 100.000 kalifornischen Haushalten oder Verbrauchern
  • 50 % oder mehr ihrer Einnahmen aus der Weitergabe (ein neu definierter Begriff) oder dem Verkauf von persönlichen Daten erzielen

Diese neuen Schwellenwerte befreien einige kleine Unternehmen von den Bestimmungen des CPRA. Sie erweitern jedoch auch den Anwendungsbereich, da Unternehmen, die 50 % oder mehr ihrer Einnahmen mit der Weitergabe personenbezogener Daten erzielen, ebenfalls unter das Gesetz fallen.

Die folgenden Arten von Einrichtungen fallen ebenfalls unter das CPRA:

  • Joint Ventures oder Partnerschaften, an denen jedes Unternehmen mit mindestens 40 % beteiligt ist - jedes Unternehmen in dieser Beziehung wird als ein einzelnes separates Unternehmen betrachtet
  • Gemeinsam kontrollierte Unternehmendie Entitäten sind, die:

    • Kontrollierte oder kontrolliert ein erfasstes Unternehmen
    • Gemeinsames Branding mit dem Unternehmen
    • Zugang zu den persönlichen Daten der Verbraucher des betroffenen Unternehmens haben
  • Jedes Unternehmen, das das CPRA einhalten will, auch wenn es nicht unter die oben genannten Schwellenwerte fällt

CPRA-Befreiungen

Die personenbezogenen Daten der folgenden Personen sind nun von den Bestimmungen des CPRA ausgenommen:

Das CPRA verlängerte auch die Ausnahmeregelungen für Business-to-Business (B2B)- und Beschäftigungsdaten bis zum 1. Januar 2023.

CPRA-Durchsetzung

Eine der wichtigsten Änderungen, die das CPRA mit sich bringt, ist die Einrichtung der California Privacy Protection Agency (CPPA).

Die Behörde erhebt über das Verwaltungsgericht Klagen zur Durchsetzung, Regulierung und Umsetzung des CPRA. Im Gegensatz zu den staatlichen Gerichten, die früher das CCPA durchsetzten, bietet das Verwaltungsgericht unabhängige, neutrale Anhörungen, die weniger formal und transparenter sind.

Durch diese Änderung wird die Zuständigkeit für die Durchsetzung des CPRA vom Büro des Generalstaatsanwalts auf das CPPA übertragen. Sie ist auch für die Aufklärung der Öffentlichkeit über Verbraucher- und Datenschutzrechte zuständig.

Das CPPA wurde im März 2021 gegründet und besteht aus einem fünfköpfigen Gremium von Experten für Verbraucherrechte, Technologie und Datenschutz.

Neue und erweiterte Definitionen im CPRA

Das CPRA fügt den kalifornischen Datenschutzgesetzen neue und erweiterte Definitionen und Konzepte hinzu.

Teilen

Das CPRA definiert die Weitergabe von personenbezogenen Daten an Dritte für kontextübergreifende verhaltensorientierte Werbung. Dies schließt die kostenlose Weitergabe, die Weitergabe gegen Geld oder jede andere Gegenleistung von Wert ein.

Unternehmen, die personenbezogene Daten weitergeben, müssen den Verbrauchern einen offensichtlichen Link "Meine persönlichen Daten nicht weitergeben" und die Möglichkeit geben, die Weitergabe zu untersagen. Ein "Nicht weitergeben"-Link kann mit einem "Nicht verkaufen"-Link kombiniert werden.

Sensible persönliche Informationen (SPI)

Das CPRA hat die Definition personenbezogener Daten seines Vorgängers beibehalten, aber eine neue Kategorie namens sensible personenbezogene Daten (SPI) hinzugefügt, die höhere Anforderungen an die Einhaltung der Vorschriften stellt und Folgendes umfasst:

  • Nummern der Führerscheine
  • Sozialversicherungsnummern (SSN)
  • Staatliche ID-Nummern
  • Mitgliedschaft in der Gewerkschaft
  • Reisepassnummern
  • Benutzeranmeldeinformationen wie Benutzernamen und Passwörter
  • Biometrische Daten und Genetik
  • Ethnische oder rassische Zugehörigkeit
  • Präzise Geolokalisierung
  • Religiöse oder philosophische Überzeugungen
  • Informationen über die sexuelle Orientierung, das Sexualleben oder die Gesundheit eines Verbrauchers
  • Inhalt von SMS, Post und E-Mail eines Verbrauchers

Wenn Sie in Ihrem Unternehmen mit personenbezogenen Daten zu tun haben, sollten Sie darauf achten, wo Sie diese Daten speichern und was Sie damit tun. Nach den Änderungen des CPRA haben die Verbraucher das Recht, Ihre Verwendung und Weitergabe von SPI einzuschränken - sie können Sie auffordern, sie nur im Bedarfsfall zu verwenden.

Bauunternehmer

Das CPRA definiert einen Auftragnehmer als eine Person, der eine Organisation die persönlichen Daten eines Verbrauchers für einen durch einen schriftlichen Vertrag festgelegten Geschäftszweck zur Verfügung gestellt hat.

Die Auftragnehmer müssen bestätigen, dass sie die Anforderungen des CPRA verstehen und einhalten werden. Sie müssen dem Unternehmen mitteilen, wenn sie die Anforderungen nicht erfüllen können.

Profilierung

Profiling ist jede automatisierte Verarbeitung personenbezogener Daten, die ein Unternehmen vornimmt, um Vorhersagen über die wirtschaftliche Lage, die Vorlieben, die Gesundheit, die Zuverlässigkeit, den Standort, das Verhalten, die Bewegungen und die Arbeitsleistung einer Person zu treffen.

Ein Unternehmen erstellt beispielsweise ein Profil, wenn es eine KI-Interviewsoftware einsetzt, um die persönlichen Eigenschaften und das Verhalten eines Bewerbers zu beobachten und vorherzusagen, wie er sich am Arbeitsplatz verhalten wird.

Öffentlich zugängliche Informationen

Das CPRA hat die Definition von "öffentlich zugänglichen" Informationen erweitert. Sie umfasst nun auch:

  • Informationen, von denen ein Unternehmen vernünftigerweise annimmt, dass sie der breiten Öffentlichkeit rechtmäßig durch weit verbreitete Medien oder durch den Verbraucher zugänglich gemacht wurden
  • Informationen, die von einer Person erteilt werden, der der Verbraucher die Informationen offengelegt hat - wenn der Verbraucher die Informationen nicht auf einen bestimmten Personenkreis beschränkt hat

Diese Aktualisierung erleichtert die Einhaltung der Vorschriften für Unternehmen, die Daten aus Quellen sammeln, bei denen die Nutzer den Zugriff auf ihre Inhalte nicht einschränken.

Beispiele hierfür sind soziale Medienplattformen wie Instagram, Facebook und YouTube.

Erweiterte Verbraucherrechte

Darüber hinaus räumt das CPRA den Verbrauchern einige neue und erweiterte Rechte ein, unter anderem:

Die Möglichkeit, die Weitergabe persönlicher Informationen abzulehnen

Die Verbraucher haben jetzt das Recht, sowohl den Verkauf als auch die Weitergabe von personenbezogenen Daten abzulehnen. Dieses Recht steht ihnen unabhängig davon zu, ob für die Weitergabe personenbezogener Daten Geld - oder eine andere wertvolle Gegenleistung - gezahlt wird oder nicht.

Das Recht auf Berichtigung und Löschung ungenauer persönlicher Daten

Das CPRA gibt Verbrauchern das Recht, unrichtige personenbezogene Daten zu korrigieren und zu löschen. Die betroffenen Unternehmen müssen die Verbraucher auch über dieses Recht informieren und sich in angemessener Weise bemühen, Fehler zu korrigieren oder zu löschen, nachdem sie eine verifizierte Anfrage des Verbrauchers erhalten haben.

Das Recht auf Datenzugang

Im Gegensatz zu den derzeitigen Rechtsvorschriften können die Verbraucher nach dem CPRA Informationen anfordern, die über einen Zeitraum von 12 Monaten hinaus gesammelt wurden. Die einzige Ausnahme von dieser Regel ist, wenn dies unmöglich ist oder einen "unverhältnismäßigen Aufwand" erfordert. Was "unverhältnismäßiger Aufwand" bedeutet, wird das CPPA im Rahmen seiner Regelsetzung festlegen.

Das Recht, der automatisierten Entscheidungsfindung und dem Profiling zu widersprechen

Die Verbraucher haben das Recht, über jede Art der automatisierten Entscheidungsfindung informiert zu werden und sich dagegen zu entscheiden. Daher müssen die Unternehmen die Öffentlichkeit angemessen darüber informieren, wie die automatisierte Entscheidungsfindung funktioniert und was dabei wahrscheinlich herauskommt.

Ein erweitertes privates Klagerecht

Verbraucher haben nun ein privates Klagerecht gegen Unternehmen , wenn es zu Datenschutzverletzungen kommt und ihre Daten offengelegt oder kompromittiert werden:

  • E-Mail-Adresse in Kombination mit einem Passwort oder einer Sicherheitsfrage und -antwort, die den Zugang zum Konto ermöglichen
  • Unverschlüsselte und unredigierte personenbezogene Daten aufgrund der Nachlässigkeit eines Unternehmens bei der Einführung und Aufrechterhaltung angemessener Sicherheitsverfahren

Erweiterte Rechte für minderjährige Verbraucher

Diese Gesetzgebung stärkt auch die Verbraucherrechte für Minderjährige. So müssen Unternehmen beispielsweise die ausdrückliche Zustimmung einholen, bevor sie personenbezogene Daten von Verbrauchern unter 16 Jahren weitergeben oder verkaufen.

Die Unternehmen müssen auch eine Möglichkeit für minderjährige Verbraucher oder deren Eltern einrichten, um anzugeben, dass der Verbraucher zwischen 13 und 16 Jahren oder weniger als 13 Jahre alt ist.

Erweiterte Pflichten für Unternehmen

Um die Rechte der Verbraucher zu schützen, hat das CPRA auch die Pflichten der Unternehmen erweitert:

Anforderungen an die Sicherheitsimplementierung

Das CPRA verlangt von Unternehmen, dass sie aktiv "angemessene Sicherheitsverfahren und -praktiken" zum Schutz personenbezogener Daten anwenden. Wenn davon auszugehen ist, dass Ihr Unternehmen ein erhebliches Risiko für die Privatsphäre der Verbraucher darstellt, müssen Sie jährliche Cybersicherheitsüberprüfungen durchführen und die Ergebnisse dem CPPA vorlegen.

Ein Entwurf dieser Anforderungen an die Cybersicherheitsprüfung wurde von der CPPA im Dezember 2023 veröffentlicht.

Neue vertragliche Verpflichtungen

Zum weiteren Schutz der Verbraucherrechte sieht das CPRA weitergehende Verpflichtungen für Unternehmen vor, die personenbezogene Daten an Auftragnehmer, Dritte und Dienstleister weitergeben, verkaufen oder offenlegen.

Wenn Sie mit einer dieser Parteien zusammenarbeiten, müssen Sie in Ihren schriftlichen Verträgen mit diesen Parteien Folgendes beachten:

  • Geben Sie an, dass die von Ihrem Unternehmen weitergegebenen oder verkauften Informationen nur für bestimmte und begrenzte Zwecke bestimmt sind.
  • Sie müssen das CPRA einhalten und "das gleiche Maß an Schutz der Privatsphäre bieten".
  • Sie müssen das Unternehmen benachrichtigen, wenn sie ihren CPRA-Verpflichtungen nicht mehr nachkommen können.
  • Teilen Sie ihnen mit, dass Sie das Recht haben, geeignete und angemessene Maßnahmen zu ergreifen, um die unbefugte Nutzung personenbezogener Daten zu unterbinden

Begrenzte Verteidigungsmöglichkeiten nach Datenschutzverletzungen

Das CPRA schränkt auch die Möglichkeiten der Unternehmen ein, bestimmte Einreden gegen private Klagen zu erheben.

Insbesondere wird die Beibehaltung und Umsetzung angemessener Sicherheitspraktiken und -verfahren nach einer Datenverletzung nicht als angemessene Verteidigung oder "Heilung" für diese Datenverletzung angesehen.

Speicherbegrenzung und Datenminimierung

Nicht zuletzt werden in diesem Gesetz die Konzepte der Speicherbegrenzung und der Datenminimierung festgelegt.

Wie die Allgemeine Datenschutzverordnung der Europäischen Union (DSGVO) sieht auch das CPRA vor, dass Unternehmen nur dann personenbezogene Daten erheben dürfen, wenn dies für den Zweck, für den sie erhoben werden, erforderlich oder "vernünftigerweise notwendig" ist.

Außerdem dürfen Unternehmen personenbezogene Daten nicht länger aufbewahren, als für den Zweck, für den sie erhoben wurden, erforderlich ist.

CPRA-Sanktionen und Geldbußen

Das CPRA hat eine neue Strafe eingeführt: Bei vorsätzlichen Verstößen oder Verstößen, die personenbezogene Daten von Personen unter 16 Jahren betreffen, können Sie nun mit einer Geldstrafe von bis zu 7.500 US-Dollar belegt werden.

Mit dem CPRA wird auch die 30-tägige Frist zur Behebung von Mängeln abgeschafft, die automatisch beginnt, wenn man wegen eines angeblichen Verstoßes angeklagt wird. Stattdessen entscheidet das CPPA, wie viel Zeit Sie haben, um Ihre Fehler zu korrigieren. Dabei werden die folgenden Faktoren berücksichtigt:

  • Ob Sie gegen das CPRA verstoßen wollten
  • ob Sie Anstrengungen unternommen haben, den mutmaßlichen Verstoß zu beheben

Allgemeine Tipps zur Einhaltung des CPRA

Alles in allem hat das CPRA viele Änderungen und Ergänzungen am aktuellen kalifornischen Datenschutzgesetz vorgenommen und ist nun vollständig durchsetzbar.

Da das CPRA für alle personenbezogenen Daten gilt, die ab dem 1. Juli 2023 erhoben werden, sollten Sie die folgenden Tipps beachten, um sicherzustellen, dass Ihr Unternehmen die Vorschriften einhält:

1. Prüfen Sie, ob das CPRA auf Ihr Unternehmen anwendbar ist.

Da sich die Schwellenwerte geändert haben, fallen einige Unternehmen nicht mehr unter das geänderte Gesetz.

Denken Sie auch daran, dass die Einhaltung des CPRA auch außerhalb Kaliforniens gilt. Solange also Einwohner Kaliforniens auf Ihre Website zugreifen können und Sie die CPRA-Kriterien erfüllen, müssen Sie das CPRA einhalten.

2. Aktualisieren Sie Ihre Datenschutzrichtlinie.

Vergewissern Sie sich, dass Ihre Datenschutzrichtlinie dem CPRA entspricht. Denken Sie daran, Abschnitte über Folgendes aufzunehmen:

  • Rechte der Verbraucher
  • Wie Verbraucher Zugang zu personenbezogenen Daten beantragen, diese löschen oder ändern können
  • Wie Minderjährige und ihre Eltern der Weitergabe oder dem Verkauf von personenbezogenen Daten minderjähriger Verbraucher mit einer Einverständniserklärung zustimmen können

Seien Sie so detailliert wie möglich, damit die Verbraucher ihre Rechte kennen, bevor sie Ihnen persönliche Informationen geben. Wenn Sie zu viele Änderungen vornehmen müssen, sollten Sie Ihre Datenschutzrichtlinien neu schreiben oder ein Datenschutzerklärung Generator

3. Aktualisieren Sie Ihre Verträge.

Lesen Sie die Vertragsbestimmungen im CPRA durch und beginnen Sie mit der Änderung der Verträge und Vertragsvorlagen für Dritte, Auftragnehmer und Dienstleister. Prüfen Sie dann, ob sie diese neuen Anforderungen erfüllen können. Falls nicht, müssen Sie möglicherweise neue Anbieter finden, die das CPRA einhalten können.

4. Aktualisieren Sie Ihre Website.

Um dem erweiterten Recht des CPRA zu entsprechen, die Weitergabe persönlicher Daten an Dritte zu Werbezwecken abzulehnen, müssen Sie auf Ihrer Homepage einen Link "Meine persönlichen Daten nicht verkaufen" einfügen.

Sie müssen auch einen Link "Limit the Use of My Sensitive Personal Information" (Beschränkung der Verwendung meiner sensiblen persönlichen Daten) hinzufügen, um die vom CPRA vorgeschriebene Beschränkung der Verwendung sensibler Verbraucherdaten zu erfüllen.

Für beide Links müssen Sie eine große, gut lesbare Schriftart verwenden, die sowohl auf mobilen als auch auf Desktop-Versionen Ihrer Website gut lesbar ist.

Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Mehr über die Autorin

Geschrieben von Masha Komnenic CIPP/E, CIPM, CIPT, FIP

Masha ist Spezialistin für Informationssicherheit und Datenschutz und zertifizierte Datenschutzbeauftragte. In den letzten sechs Jahren war sie als Datenschutzbeauftragte tätig und half kleinen und mittleren Unternehmen bei der Einhaltung von Rechtsvorschriften. Außerdem war sie Mentorin für die Einhaltung von Datenschutzbestimmungen bei vielen internationalen Business Accelerators. Sie ist spezialisiert auf die Umsetzung, Überwachung und Prüfung der Einhaltung von Datenschutzvorschriften (HIPAA, PIPEDA, ePrivacy-Richtlinie, DSGVO, CCPA, POPIA, LGPD). Masha hat an der Universität Belgrad Jura studiert und 2016 die Anwaltsprüfung abgelegt. Mehr über die Autorin

Verwandte Artikel

Weitere Artikel ansehen