Der California Consumer Privacy Act (CCPA) zielt darauf ab, den Verbrauchern mehr Kontrolle über die über sie gesammelten personenbezogenen Daten zu geben. Ein wichtiger Teil davon ist die Möglichkeit, die Verwendung personenbezogener Daten auf bestimmte Weise abzulehnen oder deren Zustimmung zu verweigern.
Welche Widerspruchsrechte sollten Verbrauchern im Rahmen des CCPA eingeräumt werden, und was müssen Sie tun, um sicherzustellen, dass Sie die Rechtsvorschriften einhalten?
Schlüsselkomponenten der CCPA-Opt-out-Anforderungen
Der CCPA besagt, dass Verbraucher „jederzeit das Recht haben, ein Unternehmen, das personenbezogene Daten über den Verbraucher an Dritte verkauft oder weitergibt, anzuweisen, die personenbezogenen Daten des Verbrauchers nicht zu verkaufen oder weiterzugeben“.
Die Regeln gelten für gewinnorientierte Unternehmen, die personenbezogene Daten von in Kalifornien ansässigen Personen verarbeiten (hier finden Sie weitere Informationen darüber, für welche Organisationen der CCPA gilt und welche Art von Daten er abdeckt).
Unternehmen sind verpflichtet, auf ihrer Homepage und jeder anderen Webseite, die Daten sammelt, einen Link „Meine personenbezogenen Daten nicht verkaufen“ anzugeben. Der Opt-out-Link muss vollständige Informationen über die Rechte der Verbraucher enthalten und es ihnen ermöglichen, den Verkauf ihrer Informationen abzulehnen. Die Möglichkeit, den Verkauf ihrer personenbezogenen Daten abzulehnen, ist ein grundlegendes CCPA-Recht.
Zusätzlich zu diesem Opt-out-Link verlangt der CCPA von Unternehmen, mindestens zwei weitere Opt-out-Antragsmethoden anzubieten. Dies kann eine kostenlose Telefonleitung, ein Präferenzzentrum mit Datenschutzeinstellungen, ein Online-Formular oder eine dedizierte E-Mail-Adresse umfassen.
Der California Privacy Rights Act (CPRA) hat die Opt-out-Rechte weiterentwickelt und sie auf die Weitergabe und den Verkauf personenbezogener Daten ausgeweitet. CPRA ist am 1. Januar 2023 in Kraft getreten.
CPRA gibt den Verbrauchern auch das Recht, die Verwendung sensibler personenbezogener Daten einzuschränken – z. B. Sozialversicherungsnummern, Zahlungskartendaten, genaue Geolokalisierung, rassische Herkunft, Religionszugehörigkeit, Gewerkschaftszugehörigkeit, genetische Daten oder biometrische Informationen.
Verbraucher dürfen nicht benachteiligt oder anders behandelt werden, weil sie von ihrem Recht Gebrauch machen, den Verkauf ihrer personenbezogenen Daten abzulehnen.
CPRA verlangt:
– Kunden müssen darüber informiert werden, dass ein Unternehmen personenbezogene Daten an Dritte verkauft, und sie haben das Recht, sich abzumelden
– Auf der Homepage und jeder anderen Seite, die personenbezogene Daten sammelt, muss ein Link „Meine personenbezogenen Daten nicht verkaufen oder weitergeben“ hinzugefügt werden – es sollte auch einen Link „Beschränken Sie die Verwendung sensibler personenbezogener Daten“ vorhanden sein
– Verbraucher müssen die Möglichkeit haben, den Verkauf oder die Weitergabe personenbezogener Daten abzulehnen oder die Verwendung sensibler personenbezogener Daten einzuschränken, ohne ein Konto erstellen zu müssen
– Eine Online-Datenschutzrichtlinie muss die Rechte zum Nicht-Verkauf/Teilen und das Recht zur Einschränkung der Verwendung sensibler personenbezogener Daten festlegen
– Wenn ein Verbraucher den Verkauf oder die Weitergabe von Informationen oder die Verwendung sensibler personenbezogener Daten ablehnt, sollte diese Entscheidung mindestens 12 Monate lang gelten, bevor er erneut gefragt wird
– Es muss eine angemessene Schulung der Mitarbeiter geben, die sich mit Anfragen zu Verbraucherschutzrechten und Opt-out-Anträgen befassen, um die Einhaltung der Rechtsvorschriften zu gewährleisten.
Umsetzung der CCPA-Opt-out-Anforderung
Was ist der beste Weg, um die Anforderungen an CCPA-Cookie-Banner umzusetzen? Dies ist nur ein Element des Datenschutzansatzes Ihres Unternehmens. Ein starkes System für die Verwaltung von Daten ist von entscheidender Bedeutung. Zum Beispiel ein Datenbestand, der die Entscheidungen der Verbraucher und die Datenschutzrichtlinie aufzeichnet, die zum Zeitpunkt der Wahl in Kraft war.
Es gibt verschiedene Ansätze, um die Cookie-Einwilligung auf Ihrer Website zu implementieren – CookieHub kann Sie bei allem unterstützen, was Sie wählen. Die Entscheidung zwischen verschiedenen Ansätzen hängt wirklich davon ab, wie viel Zeit und Fachwissen Sie haben, um das System zu verwalten.
Eine Möglichkeit besteht darin, den Google Tag Manager zu verwenden, um Daten zu verfolgen und Einwilligungen zu verwalten. Sie können dies tun, ohne selbst Code schreiben oder ändern zu müssen. Der Nachteil ist, dass das Einrichten Ihrer Tags, Trigger und Variablen komplex sein kann – CookieHub kann Ihnen dabei helfen, den Prozess zu durchlaufen.
Wenn Sie sich ein wenig mit Code auskennen, können Sie Ihr System manuell verwalten. Dies erspart die Belastung, Google Tag Manager im Hintergrund laufen zu lassen. Sie fügen einfach Code in Ihren Website-Code ein. CookieHub kann Ihnen dabei helfen, den Code bereitzustellen, den Sie benötigen.
Der Scanner von CookieHub kann Ihre Website lesen und die von Ihnen verwendeten Cookies automatisch analysieren, kategorisieren und eine Erklärung erstellen, die angibt, was ein Cookie tut. Dies hilft dabei, Kunden Informationen darüber zu geben, welche Daten zu welchen Zwecken erhoben werden, und gibt Ihnen einen Überblick darüber, wie Ihre Website funktioniert.
Schritte zur Sicherstellung der Einhaltung der Opt-out-Anforderungen
Obwohl sich die CCPA-Opt-Out-Anforderungen in erster Linie darauf konzentrieren, den Verbrauchern die Möglichkeit zu geben, den Verkauf ihrer personenbezogenen Daten abzulehnen. Befolgen Sie diese Schritte, um Ihr Unternehmen bei der Einhaltung dieser Anforderungen zu unterstützen:
1. Überprüfen Sie, ob Ihr Unternehmen unter den CCPA fällt.
2. Aktualisieren Sie Ihre Datenschutzerklärung, um Opt-out-Informationen aufzunehmen.
3. Implementieren Sie einen Link oder Mechanismus „Meine personenbezogenen Daten nicht verkaufen“ auf Ihrer Website.
4. Richten Sie einen Prozess ein, um Opt-out-Anfragen zu erhalten und zu beantworten.
5. Bieten Sie Verbrauchern mehrere Methoden an, um Opt-out-Anträge einzureichen.
6. Bieten Sie ein Opt-out für Minderjährige an und holen Sie eine Opt-in-Zustimmung für den Verkauf ihrer Daten ein.
7. Bewahren Sie Aufzeichnungen über Opt-out-Anträge mindestens 24 Monate lang auf.
8. Gewährleistung der Nichtdiskriminierung von Verbrauchern, die sich dagegen entscheiden.
Sehen Sie sich unsere detaillierte Checkliste zur Einhaltung des CCPA an, die Ihnen helfen kann, sicherzustellen, dass Sie alles abdecken.
Mögliche Strafen bei Nichteinhaltung
Es ist wichtig, sich daran zu erinnern, warum die Einhaltung des CCPA wichtig ist. Erstens ist der sorgfältige Umgang mit Ihren Kundendaten ein wesentlicher Bestandteil Ihrer Beziehung zu ihnen, und jeder Verstoß könnte dazu führen, dass Ihr Ruf leidet – was zu einer schnellen Reduzierung des Kundenstamms führt.
Ein Verstoß gegen die CCPA-Opt-out-Anforderungen kann zu einer erheblichen Strafe führen. Ihnen können 2.500 US-Dollar für unbeabsichtigte Verstöße oder 7.500 US-Dollar für vorsätzliche Verstöße pro Verstoß in Rechnung gestellt werden – ohne Obergrenze für den Höchstbetrag, zu dessen Zahlung Sie aufgefordert werden können. In einigen Fällen können Verbraucher auch Schadenersatz für Verstöße verlangen.
Warum setzen Sie sich nicht mit CookieHub in Verbindung, um sicherzustellen, dass Ihre Website den Best Practices für die Einhaltung des CCPA entspricht?