CCPA & CPRA: worauf Unternehmen jetzt achten müssen
Im Jahr 2020 wurde der California Consumer Protection Act (CCPA) in Kraft gesetzt, um den zunehmenden Bedenken bezüglich des Verkaufs und der Erhebung personenbezogener Daten in Kalifornien Abhilfe zu verschaffen: Seitdem gewährt er den Einwohnern von Kalifornien verschiedene Rechte und setzt Regeln für Unternehmen, die personenbezogene Daten verkaufen oder sammeln. Allerdings ließ er zunächst die Konsequenzen der Verarbeitung von Verbraucherdaten durch Dritte offen für Interpretationen, was zu seiner Änderung bzw. Erneuerung führte, die seit 2023 als California Privacy Rights Act (CPRA) bekannt ist.
In diesem Artikel berichten wir über diese Neuerungen, welche Auswirkungen sie auf Unternehmen in und außerhalb Kaliforniens haben, wer betroffen ist und worauf geachtet werden muss. Falls Sie eine kostenlose Erstberatung wünschen, dann klicken Sie bitte hier.
Was beinhalten die Gesetze CCPA & CPRA und was ist der Unterschied zwischen beiden?
Der California Consumer Privacy Act (CCPA) trat am 1. Januar 2020 in Kraft und ist das erste umfassende Datenschutzgesetz in den USA, das speziell für den Bundesstaat Kalifornien gilt. Dieses Gesetz legte erstmals die Verbraucherschutzrechte der Bürger Kaliforniens fest und setzte erste Standards im Umgang mit personenbezogenen Daten.
Eine wichtige Erweiterung dieses Gesetzes ist der California Privacy Rights Act (CPRA), der am 1. Juli 2023 in Kraft trat, mit einer Rückwirkung, die bis zum 1. Januar 2022 reicht. Der CPRA verschärft die Anforderungen an Unternehmen bezüglich der Verwendung personenbezogener Daten (PI) und stellt sicher, dass diese Daten ab dem genannten Datum verantwortungsvoll und gesetzeskonform behandelt werden. Wichtig ist, zu verstehen, dass der CPRA eine Ergänzung zum CCPA ist, da er sich durchweg auf den CCPA-Gesetzestext bezieht, seine Regelungen erweitert, komplettiert und neue Bestimmungen hinzufügt.
Neben den genannten Neuerungen wurde mit dem CPRA die California Privacy Protection Agency (CPPA) ins Leben gerufen, eine neue Regierungsbehörde, die die Einhaltung des Datenschutzes landesweit überwacht und durchsetzt. Die Einführung einer eigenständigen Datenschutzbehörde ist für die Durchsetzung der Rechte der Betroffenen und als Gegenpol zu den IT-Giganten im Silikon Valley als dringend notwendig angesehen worden.
So kann man zusammenfassen, dass es in Kalifornien nicht wirklich zwei getrennte Datenschutzgesetze gibt, sondern ein Datenschutzregime, das aus dem CCPA/CPRA-Setup besteht.
Welche Neuerungen bringt der CPRA?
1. Die wesentlichen Neuerungen: Ein Überblick
Die wesentlichen Neuerungen, die der CPRA am CCPA vornimmt, sind:
-
Änderung der CCPA-Definitionen von PI (engl. personal information)
-
Änderung des Opt-Out-Rechts, um speziell die kontextübergreifende verhaltensbezogene Werbung und deren Verwendung von persönlichen Daten zu regeln.
-
Schaffung einer neuen Kategorie namens sensibler persönlicher Daten (engl. sensitive personal information, SPI).
-
Änderung der CCPA-Rechte für Einwohner Kaliforniens und Hinzufügen neuer Rechte
-
Erweiterung der Zustimmungserfordernis, um mehr Szenarien abzudecken.
-
Hinzufügen von DSGVO-ähnlichen Anforderungen an Unternehmen.
Darüber hinaus sichert der CPRA (anders als zuvor der CCPA) das Datenschutzrecht in Kalifornien insofern ab, dass er vorschreibt, dass alle Änderungen des Gesetzes mit seinem Zweck und seiner Absicht übereinstimmen müssen, was eine Verwässerung rechtlich nahezu unmöglich macht.
Dies ist eine der bedeutendsten Änderungen, da sie das Gesetz praktisch wasserdicht gegen alle Versuche macht, den Schutz der Privatsphäre zu schwächen oder die Vorschriften für Unternehmen durch den Druck der Industrie oder spezieller Interessen zu lockern.
2. Welche neuen Anforderungen stellt der CPRA an Unternehmen?
Als allgemeine Neuerung für Kalifornien führt der CPRA drei neue Anforderungen für Unternehmen ein, die sich eng an die DSGVO-Regelung der EU anlehnen:
A. Datenminimierung
Nach der durch den CPRA geänderten Datenschutzregelung in Kalifornien darf eine Website oder ein Unternehmen personenbezogene Daten von Kaliforniern nur dann erfassen, verwenden und weitergeben, wenn dies im Einklang mit dem Erhebungszweck steht und angemessen ist. Anders ausgedrückt: Sie dürfen nicht mehr Daten sammeln oder weitergeben, als für den angegebenen Zweck der Sammlung unbedingt notwendig sind.
B. Zweckbindung
Ebenso ist es einer Website oder einem Unternehmen nicht erlaubt, die PI von Kaliforniern für einen neuen Zweck zu sammeln, zu verwenden oder weiterzugeben, ohne dies vorher anzugeben, genauso wie es nicht erlaubt ist, Daten ohne jeglichen angegebenen Zweck zu sammeln oder weiterzugeben.
C. Speicherbegrenzung
Der CPRA ändert den CCPA auch dahingehend, dass eine Website oder ein Unternehmen verpflichtet ist, die Einwohner Kaliforniens (zum Zeitpunkt der Erfassung) über die Speicherdauer jeder erfassten Kategorie personenbezogener Daten zu informieren, was bedeutet, dass die Nutzer ein Recht darauf haben zu erfahren, wie lange ihre Daten nach der Erfassung gespeichert werden.
2. Welche neuen Rechte definiert der CPRA?
Der CPRA gibt den Einwohnern Kaliforniens neue Rechte und fünf modifizierte Rechte an die Hand. Die für Unternehmen relevantesten sind:
-
Recht auf Untersagung der Datenweitergabe: Verbraucher können von Unternehmen fordern, ihre personenbezogenen Daten nicht zu verkaufen oder weiterzugeben (“Do not share or sell my personal information” ). Für sensible personenbezogene Daten ist zudem eine ausdrückliche Zustimmung erforderlich (“Limit the use of my sensitive personal information”).
-
Recht auf Korrektur und Löschung: Bürger haben das Recht, die Korrektur oder Löschung ihrer Daten zu verlangen. Unternehmen sind dabei verpflichtet, auch Drittparteien, die diese Daten besitzen, zur Aktualisierung oder Löschung aufzufordern.
-
Recht auf Einsicht: Verbraucher können Einsicht fordern, welche personenbezogenen Daten gespeichert sind, und Informationen darüber erhalten, wie lange diese Daten aufbewahrt werden (Data Subject Access Requests = DSAR).
3. Neue Kategorie: sensible persönliche Informationen (SPI)
Der CPRA schafft eine neue Kategorie von persönlichen Daten – die sogenannten sensiblen persönlichen Daten (engl. sensitive personal information, SPI). Dazu gehören:
-
Daten zu ethnischer Zugehörigkeit und Herkunft
-
Religiöser Glaube, politische und philosophische Überzeugungen
-
Daten zum Sexualleben oder zur sexuellen Orientierung
-
Genetische und biometrische Daten
-
Gesundheitliche Daten
-
Geolokalisierung
-
Sozialversicherungsnummer und Führerschein
-
Finanzielle Informationen
SPI werden getrennt von normalen persönlichen Daten reguliert, wobei die Benutzer erweiterte Rechte über die Verwendung ihrer SPI haben, einschließlich des Rechts, gesammelte SPI offenlegen zu lassen, die Verwendung von SPI abzulehnen und eine nachträgliche Zustimmung zur Verwendung von SPI zu erteilen, wenn die Benutzer diese zuvor abgelehnt haben. Der CPRA setzt also besondere Standards und Grenzen für SPI und gibt den Verbrauchern mehr Kontrolle darüber, wie Organisationen ihre personenbezogenen Daten verwenden.
Zum Schutz der SPI wurden durch den CPRA zwei neue Schaltflächen eingeführt, die Websites nun – deutlich sichtbar – aufweisen müssen: “Do Not Sell Or Share My Personal Information” und “Limit The Use Of My Sensitive Personal Information”. Mehr hierzu erfahren Sie weiter unten, unter Punkt V.
4. Änderung des Opt-Out-Rechts: neue Regulierung verhaltensbezogener Werbung
Während der CCPA das Recht auf Opt-out als Einschränkung der Nutzung, des Verkaufs und der Weitergabe von persönlichen Daten für Werbezwecke im Austausch gegen Geld definierte, schafft der CPRA zwei getrennte Arten von Werbung:
-
kontextübergreifende verhaltensbezogene Werbung und
-
nicht-personalisierte Werbung
Erstere ist durch das Recht auf Opt-out geregelt, letztere nicht.
Kontextübergreifende verhaltensbezogene Werbung: Das Recht, verhaltensbasierte Werbung abzulehnen, bedeutet, dass Einwohner Kaliforniens Unternehmen auffordern können, ihre persönlichen Daten nicht mehr an Dritte weiterzugeben, um zu verhindern, dass sie mit Werbung angesprochen werden, die auf verhaltensbasierten Daten basiert – von ihrer Such-, Browser- und Kaufhistorie, Online-Präferenzen, Geräteeinstellungen, Geolokalisierung bis hin zu der Art und Weise, wie sie auf einer Website scrollen und klicken.
Nicht-personalisierte Werbung: Hier hingegen wird von der CPRA als Geschäftszweck definiert und ist daher von jeglichen Anforderungen für ein Opt-out ausgenommen.
Anstelle des CCPA-Opt-out-Rechts für persönliche Daten im Allgemeinen, das die Einwohner Kaliforniens heute genießen, spezifiziert der CPRA seine Regelungen nun so, dass sie nur PI betreffen, die für verhaltensbezogene Werbung verwendet werden. Der CPRA ändert den CCPA also dahingehend, speziell verhaltensbasierte Werbung zu regulieren, die persönliche Daten verwendet, um die Einwohner Kaliforniens mit Marketing auf der Basis von Profiling anzusprechen.
5. Die neuen Einwilligungsregelungen des CPRA
Der CPRA erweitert außerdem die aktuellen Einwilligungsanforderungen des CCPA, die vielleicht das DSGVO-ähnlichste Merkmal des kalifornischen Datenschutzgesetzes sind, um folgende Punkte:
-
Zustimmung erforderlich für den Verkauf oder die Weitergabe von persönlichen Informationen, nachdem ein Benutzer dies bereits abgelehnt hat
-
Zustimmung erforderlich für den Verkauf oder die Weitergabe von personenbezogenen Daten von Minderjährigen
-
Zustimmung erforderlich für die sekundäre Nutzung, den Verkauf oder die Weitergabe von sensiblen persönlichen Daten, nachdem ein Benutzer sich dagegen entschieden hat
-
Zustimmung erforderlich für Ausnahmen im Rahmen der Forschung
-
Zustimmung zum Opt-In für finanzielle Anreize erforderlich
Ein schneller Vergleich zur DSGVO
Das Konzept der SPI ist ähnlich wie Artikel 9 der Datenschutz-Grundverordnung (DSGVO), in dem ein höheres Datenschutzniveau für sensible personenbezogene Daten gefordert wird.
Dennoch wird schnell ersichtlich, dass die Gesetzesinitiative sehr unternehmensfreundlich gestaltet ist. Denn es bleibt vieles hinter der DSGVO zurück, wie z.B. der Datenschutzbeauftragte oder der Drittstaaten-Transfer, den es in dieser Form noch nicht gibt.
Den Verbrauchern wird zwar eine „Opt-Out“ Möglichkeit für den Verkauf und der Weitergabe ihrer Daten ermöglicht, allerdings wird diese nicht vom Recht auf Nutzung eines Dienstes entkoppelt. Im Ergebnis können Anbieter eines Dienstes daher regeln, dass Nutzer von ihrem Dienst ausgeschlossen werden, wenn sie die Datenweitergabe ablehnen.
Weiterhin fehlt es an einer Regelung für die Weitergabe der Daten außerhalb Kaliforniens. Im Ergebnis wird der Datentransfer außerhalb Kaliforniens durch die neuen Gesetzesregelungen nicht erfasst, sodass Unternehmen durch Einbindung von nicht-kalifornischen Dienstleistern leicht den Regularien entgehen können.
Wer ist von den Datenschutzgesetzen CCPA & CPRA betroffen?
Wichtig ist, dass sich der CCPA & CPRA nicht nur an Unternehmen mit Sitz in Kalifornien richtet. Er richtet sich an alle Unternehmen, die personenbezogene Daten von Verbrauchern in Kalifornien verarbeiten.
Mit dem CPRA ändert sich die Definition des Begriffs “Unternehmen”, um kleinere Unternehmen auszuschließen und größere Unternehmen einzubeziehen, die ein großes Einkommen aus der Sammlung, der Weitergabe und/oder dem Verkauf von persönlichen Daten (engl. personal information, PI) der Kalifornier erzielen.
Der CCPA & CPRA gelten folglich speziell für gewinnorientierte Unternehmen, die personenbezogene Daten von Kaliforniens Einwohnern sammeln und verwalten. Folgende Unternehmen müssen sich an diese Gesetze halten:
-
Unternehmen mit einem Bruttojahresumsatz von mehr als 25 Millionen US-Dollar.
-
Unternehmen, bei denen 50 % oder mehr des Jahresumsatzes aus dem Verkauf personenbezogener Daten von Einwohnern Kaliforniens stammen.
-
Unternehmen, die jährlich personenbezogene Daten von mehr als 100.000 (ehemals 50.000) Einwohnern, Haushalten oder Geräten in Kalifornien erwerben, erhalten oder verkaufen.
Diese Änderungen führen erwartungsgemäß dazu, dass die Einhaltung der Vorschriften von kleineren Unternehmen auf größere Unternehmen verlagert wird, deren Geschäfte stärker auf die Erfassung und Weitergabe von persönlichen Daten angewiesen sind, und zwar sowohl im Hinblick auf den Umfang als auch auf die Methode (von ausschließlicher Erfassung des Verkaufs zur Weitergabe).
Ausgenommen sind Unternehmen, die nicht diesen Kriterien entsprechen, wie gemeinnützige Organisationen, kleinere Unternehmen, die die genannten Umsatzschwellen nicht erreichen, und solche, die keine großen Mengen an personenbezogenen Daten verarbeiten.
Welche Verpflichtungen ergeben sich für Unternehmen?
Der CPRA schreibt neu vor, wie Ihre Website es Verbrauchern ermöglicht, dem Verkauf oder der Weitergabe ihrer PI zu widersprechen, und fügt eine Anforderung hinzu, wie Ihre Website es Nutzern ermöglicht, ihr Recht auf Einschränkung der Nutzung ihrer PI auszuüben:
-
Opt-out-Rechte für Verbraucher: Auf Ihrer Website oder App müssen Sie den Verbrauchern die Möglichkeit gewährleisten, die Nutzung oder den Verkauf ihrer personenbezogenen Daten durch eine „Opt-out“-Option zu untersagen.
-
Implementierung erforderlicher Schaltflächen: Der CPRA ändert die “Do Not Sell”-Schaltfläche des CCPA, so dass Ihre Website einen Link mit der Überschrift “Do Not Sell Or Share My Personal Information” (dt. Meine persönlichen Daten nicht verkaufen oder weitergeben) enthalten muss.
Der CPRA schafft auch eine neue, ähnliche Anforderung für Ihre Website, einen Link mit dem Titel “Limit The Use Of My Sensitive Personal Information” (dt. Die Verwendung meiner sensiblen persönlichen Daten einschränken) bereitzustellen, der es den Einwohnern Kaliforniens ermöglicht, die Verwendung und Offenlegung ihrer SPI einzuschränken.
-
Einhaltung des Rechts auf Einsicht: Sie müssen sicherstellen, dass Verbraucher das Recht haben, Einsicht in die Datenerhebung und alle damit verbundenen Prozesse zu verlangen. Es wird empfohlen, Verfahren für Data Subject Access Requests (DSARs) zu implementieren. Ein DSAR ist der Antrag eines Bürgers auf Einsicht in die über ihn gespeicherten Daten eines Unternehmens. Es handelt sich um ein gesetzlich verankertes Recht auf Schutz der Privatsphäre und die Antwort eines Unternehmens innerhalb eines bestimmten Zeitraums ist hier obligatorisch.
-
Add on: Darüber hinaus ermutigt der CPRA Unternehmen dazu, einen einzigen, deutlich gekennzeichneten Link einzurichten, der es einem Verbraucher leicht ermöglicht, gleichzeitig dem Verkauf oder der Weitergabe von PI zu widersprechen und die Nutzung oder Offenlegung der SPI des Verbrauchers einzuschränken.
Wie erreiche ich CCPA/CPRA Compliance?
Nach den neuesten CCPA/CPRA-Bestimmungen muss jedes Unternehmen über eine aktualisierte und transparente Datenschutzrichtlinie verfügen, die als eine vollständige Offenlegung der Website verstanden werden kann. Da es sich um eines der wichtigsten Dokumente auf jeder Website handelt, ist es von entscheidender Bedeutung, dass Sie wissen, wie Sie eine ordnungsgemäße Datenschutzrichtlinie auf Ihrer Website implementieren.
Konformität kann durch folgende Schritte ermöglicht werden, um die Besucher der Website auf transparente und rechtssichere Weise informiert zu halten:
-
Klären Sie die Website-Besucher über Ihre Rechte auf.
-
Implementieren Sie eine Consent Management Platform (CMP), um es Nutzern auf einfache Weise zu ermöglichen, ein Opt-Out für Cookies und Tracking zu erteilen
-
Erteilen Sie den deutlich sichtbaren Zugang zu allen gesammelten Informationen über den jeweiligen Nutzer.
-
Verweisen Sie aktiv auf das „Recht auf Löschung“.
-
Verweisen Sie auf das Recht auf Nicht-Diskriminierung, wenn ein Website-Besucher beschlossen hat, seine Rechte gemäß CCPA auszuüben.
-
Geben Sie eine Telefonnummer oder eine Kontaktmöglichkeit für Website-Besucher an, damit Nutzer Zugang und Löschung von Daten beantragen können.
-
Führen Sie alle Arten von Informationen auf, die Sie als Website-Anbieter sammeln.
-
Führen Sie alle Kategorien von personenbezogenen Daten auf, die Ihr Unternehmen in den letzten 12 Monaten „verkauft“ hat.
-
Führen Sie alle Kategorien personenbezogener Daten auf, die Ihr Unternehmen in den letzten 12 Monaten „für geschäftliche Zwecke weitergegeben“ hat.
-
Ein Link zu Ihrer „Do Not Sell My Personal Information“-Seite muss in die Datenschutzrichtlinie aufgenommen werden.
Welche Konsequenzen drohen Unternehmen bei Nichteinhaltung des CCPA/CPRA?
Wer sich nicht rechtzeitig um die Einhaltung der Datenschutzgesetze kümmert, muss mit den folgenden Konsequenzen rechnen:
-
Bußgelder und Strafen: Unternehmen, die vorsätzlich gegen die Bestimmungen verstoßen, können mit Bußgeldern von bis zu 7.500 USD pro Verstoß konfrontiert werden. Bei fahrlässigen Verstößen können die Bußgelder bis zu 2.500 USD pro Verstoß betragen. Zudem haben betroffene Verbraucher das Recht, Zivilklagen zu erheben, die zu Strafen zwischen 100 und 750 USD pro Vorfall führen können.
-
Reputationsschaden und Vertrauensverlust: Datenschutzverletzungen und die Nichteinhaltung gesetzlicher Anforderungen können das Ansehen eines Unternehmens erheblich schädigen. Ein solcher Vertrauensverlust bei Verbrauchern und anderen Stakeholdern kann nachhaltige negative Auswirkungen auf das Geschäft und die Kundenbeziehungen haben.
-
Regulatorische Eingriffe: Die California Privacy Protection Agency (CPPA) hat die Befugnis, Untersuchungen gegen Unternehmen einzuleiten und weitere regulatorische Maßnahmen zu ergreifen, um die Einhaltung der gesetzlichen Vorschriften sicherzustellen. In schwerwiegenden Fällen kann sogar die Verarbeitung personenbezogener Daten untersagt werden.
Es lohnt sich also, rechtzeitig in Datenschutzmaßnahmen zu investieren, denn in Zukunft könnte das Gesetz um weitere Anforderungen ergänzt werden.
CCPA & CPRA-Konformität durch eine Consent Management Platform (CMP)
Um die Anforderungen von CCPA und CPRA zu erfüllen, ist eine effektive Verwaltung der Einwilligungen unerlässlich. Eine zentrale Lösung, wie eine Consent Management Platform (CMP), erleichtert diesen Prozess erheblich. Eine CMP, auch bekannt als Cookie-Banner, hilft nicht nur, den gesetzlichen Vorgaben zu entsprechen, sondern stärkt auch das Vertrauen Ihrer Kunden durch transparente und leicht zugängliche Datenschutzpraktiken.
Ihre Vorteile durch eine Consent Management Platform (CMP):
-
Zentrale Einwilligungsverwaltung: Die Verwendung einer CMP ermöglicht es, alle Datenschutzanforderungen übersichtlich an einem Ort zu verwalten. Dies hilft, den Überblick zu bewahren und sicherzustellen, dass alle Prozesse den Vorgaben entsprechen.
-
Automatisierte Bearbeitung von Datenschutzanfragen: Mit einer CMP können Sie Datenschutzanfragen Ihrer Kunden effizient bearbeiten. Die Automatisierung dieses Prozesses macht die Erfüllung von Data Subject Access Requests (DSARs) einfacher und weniger fehleranfällig.
-
Analyse von Verbraucherverhalten und Verbesserung der Einwilligungsrate: Eine CMP bietet die Möglichkeit, Verbraucheranfragen und -verhalten zu überwachen und zu analysieren. Basierend auf diesen Erkenntnissen können Sie gezielte Verbesserungen vornehmen, um die Opt-In-Rate zu erhöhen. Dies ist entscheidend, um weiterhin wertvolle Daten für Marketingzwecke und Datenanalyse sammeln zu können.
Wählen Sie DWC für Ihre CCPA/CPRA-Compliance und generieren Sie wertvolle Insights trotz strenger Datenschutzanforderungen
Mit den Neuerungen des CCPA/CPRA müssen Unternehmen sicherstellen, dass sie auf die Einhaltung der neuen und erweiterten Datenschutzrechte der Verbraucher, die im CPRA enthalten sind, vorbereitet sind. Sie müssen solide Systeme und Kontrollen einrichten, um sicherzustellen, dass sie in der Lage und bereit sind, schnell auf Kundenanfragen zu reagieren. Um sich auf die Einhaltung des CPRA vorzubereiten, müssen viele Unternehmen möglicherweise größere Änderungen an ihren bestehenden Sicherheits- und Datenschutzmaßnahmen vornehmen, zusätzliche Mitarbeiter einstellen oder Drittanbieterdienste beauftragen.
Gerne helfen wir Ihnen dabei, CCPA/CPRA-Compliance zu erreichen. Hierfür bieten wir Ihnen eine kostenlose Erstberatung an und prüfen, welche Schritte dafür notwendig sind.
Unser Unternehmen ist auf den Bereich Datenschutz spezialisiert, insbesondere auf Consent Management, und unterstützt seit der Einführung der ersten Datenschutzgesetze wie der DSGVO Unternehmen weltweit bei der Umsetzung verschiedener Datenschutzgesetze, einschließlich des CCPA. Unsere Expertise erstreckt sich jedoch weit über die bloße Einhaltung von Compliance hinaus.
Wir sind auch Pioniere in der Optimierung von Tracking-Systemen durch Server-Side-Tagging, eine Technik, die besonders wichtig wird, da durch strengere Datenschutzgesetze oft weniger Daten verfügbar sind und die Consent-Raten sinken können. Fragen Sie einfach eine unverbindliche Erstberatung an.
Unverbindliche Erstberatung anfragen
Das könnte Ihnen auch gefallen
Weitere Artikel