Wie man den CCPA einhält

Table of Contents

Der California Consumer Privacy Act (CCPA) gilt für gewinnorientierte Unternehmen, die die Daten von Einwohnern Kaliforniens sammeln oder verarbeiten – auch wenn sie sich außerhalb des Bundesstaates befinden. Da Kalifornien die größte Volkswirtschaft der USA ist, hat sich die Gesetzgebung seit ihrem Inkrafttreten am 1. Januar 2020 auf Unternehmen im ganzen Land und darüber hinaus ausgewirkt.

CCPA-Compliance-Anforderungen

Die CCPA-Anforderungen zielen darauf ab, kalifornischen Verbrauchern mehr Kontrolle darüber zu geben, wie ihre Daten verwendet werden, z. B. indem sie das Recht haben, zu erfahren, wann ihre personenbezogenen Daten erhoben werden, auf ihre Daten zuzugreifen, sie zu korrigieren, ihre Löschung zu verlangen und den Verkauf von Daten an Dritte abzulehnen.

Was sollten Sie tun, um sicherzustellen, dass Sie den CCPA einhalten? Hier finden Sie eine praktische Schritt-für-Schritt-Anleitung zur Compliance.

So halten Sie den CCPA ein - Schritt für Schritt

1. Prüfen Sie, ob der CCPA für Ihr Unternehmen gilt

Der CCPA gilt für jeden, der Daten über kalifornische Bürger sammelt, vorbehaltlich einiger Kriterien. Die Aktivität muss gewinnorientiert durchgeführt werden (obwohl gemeinnützige Organisationen von den Regeln erfasst werden können, wenn sie sich im Besitz oder unter der Kontrolle eines gewinnorientierten Unternehmens befinden).

Auch wenn Sie eine gewinnorientierte Organisation sind, sind Sie vom Gesetz befreit, wenn Sie drei Kriterien erfüllen:

  • Jährlicher Bruttoumsatz von über 35 Millionen US-Dollar
  • Empfangen oder Offenlegen von Daten über 50.000 Einwohner Kaliforniens pro Jahr
  • Generieren Sie 50 % oder mehr Jahreseinnahmen aus dem Verkauf von Daten über Einwohner Kaliforniens

2. Verstehen Sie die Definition von personenbezogenen Daten

„Personenbezogene Daten“ sind gesetzlich definiert, und es ist wichtig, dass Sie wissen, welche Informationen unter die gesetzliche Definition fallen.

Die Definition besagt, dass personenbezogene Daten diejenigen sind, die: „einen bestimmten Verbraucher oder ein bestimmtes Haus identifizieren, sich auf ihn beziehen, ihn beschreiben, mit ihm in Verbindung gebracht werden können oder vernünftigerweise direkt oder indirekt mit ihm in Verbindung gebracht werden könnten“.

Zu den erfassten personenbezogenen Daten gehören offensichtliche Daten wie Name, Adresse und Sozialversicherungsnummer, aber auch weniger offensichtliche Datenkategorien wie Benutzernamen, IP-Adresse und Browser- oder Kaufhistorie.

3. Prüfen Sie Ihre Datensysteme

Ihre Systeme müssen in der Lage sein, Einwohner Kaliforniens zu identifizieren, ihre Daten in Übereinstimmung mit dem Gesetz zu verwalten und ihre Daten so zu speichern, dass sie abgerufen werden können, wenn sie ihre Offenlegung, Löschung oder Änderung in Übereinstimmung mit dem Gesetz beantragen.

Ihr Dateninventarsystem muss Daten korrekt identifizieren und klassifizieren, den Nachweis der Zustimmung des Benutzers zu Cookies und zur Datenerfassung führen. In den meisten Fällen benötigen Sie eine Cookie-Richtlinie auf Ihrer Website.

Sie benötigen auch ein System zur Nachverfolgung von Datenschutzrichtlinien, um anzuzeigen, welche Version zum Zeitpunkt der Zustimmung vorhanden war. Es sollte auch die Arten von Daten aufzeichnen, die verkauft, an Dritte weitergegeben oder für Marketingzwecke verwendet werden.

4. Verstehen Sie, welche Verpflichtungen Sie im Rahmen des CCPA haben

Es gibt fünf wichtige Verbraucherrechte im Rahmen des CCPA:

  • Das Recht zu erfahren, wie ein Unternehmen Ihre Daten sammelt und verkauft
  • Das Recht auf Zugang zu den Daten, die über Sie gespeichert sind, und wie diese verwendet werden
  • Das Recht , Ihre personenbezogenen Daten zu löschen, vorbehaltlich einiger Ausnahmen
  • Das Recht, den Verkauf personenbezogener Daten abzulehnen
  • Das Recht, bei der Ausübung von CCPA-Rechten nicht diskriminiert zu werden

Sobald Sie diese Rechte verstanden haben, können Sie ein System zur Einhaltung des Gesetzes aufbauen. Unsere praktische Checkliste zur Einhaltung des CCPA kann Ihnen helfen zu verstehen, was Sie tun müssen.

5. Aktualisieren Sie Ihre Datenschutzerklärung

Der CCPA verlangt von Unternehmen, dass sie über eine Datenschutzrichtlinie verfügen, in der die Rechte der Verbraucher, die Art und Weise, wie Datenzugriffsanfragen eingereicht werden können, und die Kategorien personenbezogener Daten, die das Unternehmen in den letzten 12 Monaten gesammelt hat, festgelegt sind.

Neben einer strengen Datenschutzrichtlinie müssen Sie auch sicherstellen, dass alle Personen, die in Ihrem Unternehmen mit Verbraucherdaten umgehen, umfassend geschult sind, damit sie dies sicher und geschützt tun können. Diese sollte etwa einmal im Jahr aufgefrischt werden. Die Sicherstellung, dass Ihre Cybersicherheit robust ist, ist ebenfalls ein wichtiger Schutz.

6. Implementieren Sie Berechtigungs- und Zugriffskontrollen

Ihre Website sollte so konfiguriert sein, dass kalifornische Bürger ihre CCPA-Rechte ausüben können, z. B. darüber informiert zu werden, welche Daten gesammelt und verarbeitet werden, die Erfassung und den Verkauf von Daten abzulehnen und darüber informiert zu werden, wie Daten verwendet werden. Stellen Sie sicher, dass Sie die CCPA-Opt-out-Anforderungen für Ihre Website auf der Grundlage von Verbraucheranfragen erfüllen.

7. Erstellen Sie ein Verfahren zur Erfüllung von Verbraucherrechtsanfragen

Wie würde ein Verbraucher vorgehen, um seine Daten von Ihnen im Rahmen des CCPA anzufordern? Sie benötigen ein System zur Erfüllung von Verbraucherrechtsanfragen:

  • Wie stellen Verbraucher einen Antrag? Geschieht dies über eine spezielle E-Mail, Telefonleitung oder ein Online-Formular? Sie müssen zwei oder mehr Anforderungsmechanismen anbieten. Geben Ihre Website und andere Materialien klare Informationen darüber, wie Sie dies finden können?
  • Wie werden Sie Anfragen verifizieren? Sie können nicht einfach Daten an jeden weitergeben, der danach fragt – Sie müssen in der Lage sein, die Identität der Person zu bestätigen, die die Anfrage stellt. Möglicherweise müssen Sie einen Verifizierungsdienst eines Drittanbieters oder eine andere sichere Verifizierungsmethode verwenden.
  • Bereitstellung von Datensätzen – diese sollten die 12 Monate vor der Anfrage abdecken und die Informationen sollten in einem geeigneten Format, kostenlos und innerhalb von 45 Tagen nach Stellung der Anfrage zur Verfügung gestellt werden.
  • Speicherung von Anforderungsdatensätzen – Details zu Datenanfragen sollten 24 Monate lang gespeichert werden, um die Einhaltung der Vorschriften nachzuweisen und im Streitfall zu helfen. Verbraucher können in einem Zeitraum von 12 Monaten nur zwei Anträge stellen, sodass Aufzeichnungen dazu beitragen können, die Zählung zu führen und zu vermeiden, dass Anfragen, die darüber hinausgehen, erfüllt werden.

8. Wartung und Compliance

Die Einrichtung eines CCPA-konformen Systems ist nicht das Ende der Geschichte – Sie sollten regelmäßige Überprüfungen Ihres Ansatzes planen, um sicherzustellen, dass Sie die Best Practices befolgen. Dazu gehören regelmäßige Mitarbeiterschulungen, die jährliche Überprüfung Ihrer Datenschutzerklärung, die Überprüfung, ob Sie Daten unnötig aufbewahren, und die Beobachtung rechtlicher Änderungen oder Präzedenzfälle.

CCPA und DSGVO ähnlich?

Der California Consumer Privacy Act (CCPA) und dieDatenschutz-Grundverordnung (DSGVO)  der Europäischen Union  stellen zwei der umfassendsten und einflussreichsten Datenschutzbestimmungen in der heutigen digitalen Landschaft dar. 

Beide haben das gemeinsame Ziel, Einzelpersonen mehr Kontrolle über ihre personenbezogenen Daten zu geben und gleichzeitig Organisationen, die solche Informationen sammeln, verarbeiten und speichern, strenge Verpflichtungen aufzuerlegen.

Der CCPA, der sich in erster Linie mit den Rechten von Einwohnern Kaliforniens befasst, weist mehrere Ähnlichkeiten mit der DSGVO auf, z. B. die Gewährung des Rechts von Einzelpersonen auf Zugang, Löschung und Ablehnung des Verkaufs ihrer personenbezogenen Daten. Die DSGVO geht jedoch noch weiter und führt zusätzliche Rechte wie Datenübertragbarkeit und das „Recht auf Vergessenwerden“ ein. 

Obwohl sich der CCPA und die DSGVO in Umfang und Gerichtsbarkeit unterscheiden, spiegeln beide ein wachsendes globales Bewusstsein für die Bedeutung des Datenschutzes und die Notwendigkeit robuster regulatorischer Rahmenbedingungen zum Schutz der Rechte des Einzelnen im digitalen Zeitalter wider. Erfahren Sie mehr über CCPA in unserem ultimativen Leitfaden.

Lassen Sie sich von CookieHub helfen

Wenn Sie Hilfe benötigen, um sicherzustellen, dass Ihre Website-Cookies CCPA-konform sind, wenden Sie sich an CookieHub. Wir können Ihnen helfen, Ihre Cookies innerhalb der CCPA-Compliance-Anforderungen zu verwalten und gleichzeitig Ihren Kunden ein reibungsloses und nahtloses Erlebnis zu bieten.

Sales & Support