Der California Consumer Privacy Act 2018 (CCPA) hat Auswirkungen weit über die Grenzen Kaliforniens hinaus. Der US-Bundesstaat hat eine Wirtschaft von 4 Billionen US-Dollar; Wenn Kalifornien ein Land wäre, wäre es die viertgrößte Volkswirtschaft der Welt.
All dieser Handel verleiht Kalifornien eine sehr große Reichweite in anderen Volkswirtschaften auf der ganzen Welt, was bedeutet, dass Unternehmen weltweit verstehen müssen, wie CCPA für ihre Tätigkeiten gilt.
Für wen gilt der CCPA?
Der CCPA gilt für alle Unternehmen, die Transaktionen mit Kaliforniern zum Zwecke des finanziellen Gewinns tätigen – zum Beispiel zur Bereitstellung von Waren und Dienstleistungen. Eine physische Anwesenheit im Staat ist nicht erforderlich.
Wenn Sie als gewinnorientiertes Unternehmen tätig sind und Daten von Einwohnern Kaliforniens sammeln, müssen Sie wahrscheinlich wissen, wie Sie den CCPA einhalten können. Das Gesetz ist seit dem 1. Januar 2020 in Kraft und weist viele Ähnlichkeiten mit der DSGVO auf, obwohl es auch wichtige Unterschiede gibt.
Welche Rechte ergeben sich aus dem CCPA?
Der CCPA gibt den Einwohnern Kaliforniens die Kontrolle darüber, wie ihre personenbezogenen Daten online behandelt werden. Es basiert auf fünf Schlüsselrechten:
- Das Recht auf Auskunft – Einzelpersonen sollten darüber informiert werden, wann ihre Daten erhoben und verarbeitet werden
- Das Recht auf Löschung – Einzelpersonen können die Löschung personenbezogener Daten verlangen
- Das Recht auf Opt-out – Einzelpersonen sollten in der Lage sein, Unternehmen die Erlaubnis zu verweigern, ihre personenbezogenen Daten zu verkaufen
- Das Recht auf Berichtigung – Einzelpersonen sollten in der Lage sein, Kopien der über sie gespeicherten Daten zu erhalten und unrichtige Informationen zu korrigieren
- Das Recht, die Nutzung einzuschränken – Einzelpersonen sollten in der Lage sein, anzugeben, dass personenbezogene Daten nur für begrenzte Zwecke verwendet werden können
Personen, die Rechte im Rahmen des CCPA ausüben, sollten dadurch keiner Diskriminierung ausgesetzt sein.
Was sind die Strafen für Verstöße gegen den CCPA?
Der CCPA wird vom kalifornischen Generalstaatsanwalt durchgesetzt. Unternehmen erhalten ein Schreiben, in dem sie über einen möglichen Verstoß informiert werden, und haben danach 30 Tage Zeit, um das Problem zu beheben und die Vorschriften einzuhalten. Danach können Strafen in Höhe von 2.500 US-Dollar pro Verstoß (7.500 US-Dollar für vorsätzliche Verstöße) verhängt werden.
Privatpersonen können ein Unternehmen nicht wegen CCPA-Verstößen verklagen, obwohl sie im Falle einer Datenschutzverletzung andere Klagerechte haben und für jede Datenschutzverletzung im Rahmen des CCPA zivilrechtliche Schadensersatzansprüche in Höhe von 750 US-Dollar erhalten könnten. Umfangreiche Datenschutzverletzungen können zu Sammelklagen führen.
Gilt der CCPA auch für andere Staaten?
In den USA gibt es kein Bundesdatenschutzgesetz, das für alle Bundesstaaten gilt. Als kalifornisches Gesetz gilt der CCPA nur für Einwohner Kaliforniens, obwohl er weiterhin gilt, wenn sie außerhalb des Bundesstaates reisen.
Gilt der CCPA für gemeinnützige Organisationen?
Die Grundregel ist, dass der CCPA nur für gewinnorientierte Unternehmen gilt. Dabei handelt es sich um juristische Personen (z. B. Einzelunternehmen, LLC oder Kapitalgesellschaft), die zum Gewinn und zum finanziellen Vorteil von Aktionären und Eigentümern betrieben werden.
In einigen Situationen sind gemeinnützige Organisationen jedoch möglicherweise nicht vom CCPA ausgenommen. Dies gilt auch, wenn eine gemeinnützige Organisation von einer gewinnorientierten Einrichtung kontrolliert wird und ein gemeinsames Branding mit dem Mutterunternehmen teilt. Eine gemeinnützige Organisation kann auch unter das Gesetz fallen, wenn sie personenbezogene Daten durch einen „Verkauf“ im Sinne des CCPA erhält.
Für wen gilt der CCPA nicht?
Die Regeln gelten für Unternehmen außerhalb Kaliforniens, die eines oder mehrere der folgenden Kriterien erfüllen:
- Jährlicher Bruttoumsatz von über 25 Millionen US-Dollar
- Verarbeitet (kauft, verkauft, erhält oder teilt) personenbezogene Daten von 50.000 oder mehr Einwohnern Kaliforniens zu kommerziellen Zwecken
- Mehr als 50 % des Jahresumsatzes stammen aus dem Verkauf personenbezogener Daten
Wie halte ich mich daran?
Es gibt einige wichtige Punkte, die Sie verstehen sollten, um sicherzustellen, dass Sie den CCPA einhalten:
CCPA-Definition von personenbezogenen Daten
Die Gesetzgebung definiert personenbezogene Daten als „Informationen, die einen bestimmten Verbraucher oder Haushalt identifizieren, sich auf ihn beziehen, ihn beschreiben, vernünftigerweise mit ihm in Verbindung gebracht werden können oder vernünftigerweise direkt oder indirekt mit ihm in Verbindung gebracht werden könnten“.
Personenbezogene Daten können auf unterschiedliche Weise kategorisiert werden:
Direkte Identifikatoren – Name, Postanschrift, Sozialversicherungsnummer
Eindeutige Identifikatoren – Cookies, IP-Adressen, Benutzernamen
Biometrische Daten – Fingerabdrücke, Gesichts- und Videoaufzeichnungen
Geolokalisierungsdaten – Standortinformationen und Historie
Internetaktivität – Browser- und Suchverlauf
Sensible Informationen – Gesundheitsdaten, persönliche Merkmale, sexuelle Vorlieben, religiöser Glaube, Beschäftigungsdaten.
Daten, die verwendet werden können, um auf eine Identität zu schließen – Informationen, die verwendet werden könnten, um eine Person oder einen Haushalt zu lokalisieren
Website-Steuerelemente
Sie müssen die Nutzer vor dem Zeitpunkt der Datenerhebung darüber informieren, was und zu welchen Zwecken Sie erheben
Sie müssen über einen Link „Meine personenbezogenen Daten nicht verkaufen“ verfügen, der es den Benutzern ermöglicht, den Verkauf von Daten an Dritte abzulehnen
Opt-ins sind für Website-Benutzer unter 16 Jahren erforderlich (und die Zustimmung der Eltern für Benutzer unter 13 Jahren)
Die Verbraucherrechte müssen in der Datenschutzerklärung Ihrer Website dargelegt werden
Die Datenschutzrichtlinie muss jährlich aktualisiert werden, um sicherzustellen, dass die Kategorien der erfassten personenbezogenen Daten auf dem neuesten Stand bleiben
Sie sollten darauf vorbereitet sein, Aufforderungen von Verbrauchern zur Offenlegung personenbezogener Daten, die Sie in den letzten 12 Monaten über sie gesammelt haben, kostenlos nachzukommen.
Sie sollten sicherstellen, dass Sie einen Verbraucher nicht diskriminieren, weil er das Recht ausübt, Offenlegung zu verlangen, sich für den Verkauf zu entscheiden, Informationen zu korrigieren oder zu löschen.
Stellen Sie sicher, dass Ihre Cookie-Richtlinien CCPA-konform sind
Cookies sammeln Informationen über Website-Benutzer, einschließlich Informationen, die der CCPA-Definition von personenbezogenen Daten entsprechen könnten. Auch wenn Informationen an sich nicht identifizierend sind, können sie in Kombination mit anderen Daten persönlich werden.
Cookie-Banner werden häufig verwendet, um den Nutzern die erforderlichen Informationen zu geben und die Zustimmung zur Datenerhebung zu bestätigen. Wenn Sie sich einige Beispiele für CCPA-Cookie-Banner ansehen, können Sie sich ein Bild davon machen, wie ein Banner auf Ihrer Website funktionieren könnte.
Denken Sie daran, dass der CCPA nicht die einzige Gesetzgebung ist, die für den Datenschutz für in Kalifornien ansässige Personen gilt, der California Privacy Rights Act (CPRA) ist ebenfalls relevant. Erfahren Sie mehr über die Unterschiede zwischen dem CCPA und CPRA.
Die Erarbeitung der gesetzlichen Anforderungen verschiedener Vorschriften kann Kopfschmerzen bereiten. Lassen Sie sich von CookieHub entlasten – wir können Ihnen dabei helfen, sicherzustellen, dass Ihre Cookies dem CCPA und anderen Datenschutzbestimmungen entsprechen, damit Sie sich keine Sorgen machen müssen.