Was ist der CCPA? (Und wie man konform wird)

Table of Contents

Während die meisten Menschen, die im Datenschutz arbeiten, von der DSGVO gehört haben, erhält der CCPA viel weniger Aufmerksamkeit. Der CCPA wurde von der kalifornischen Legislative verabschiedet und versucht, den Verbrauchern mehr Kontrolle über ihre persönlichen Daten zu geben.

Der CCPA und die DSGVO haben viele Gemeinsamkeiten, da beide Rechtsvorschriften darauf abzielen, die gleichen Probleme anzugehen. Nämlich die zahlreichen Datenschutzverletzungen bei personenbezogenen Daten von Großkonzernen und die heimliche Sammlung personenbezogener Daten ohne behördliche Aufsicht.

In diesem Artikel untersuchen wir, was der CCPA ist, wen er reguliert und wie man konform wird. Wenn Sie also ein Unternehmen mit Verbindungen nach Kalifornien sind, müssen Sie weiterlesen.

Was ist der CCPA?

Der California Consumer Privacy Act (CCPA) wurde am 28. Juni 2018 von der kalifornischen Legislative ausgearbeitet und in Kraft gesetzt. Dieses wegweisende Gesetz verleiht den kalifornischen Verbrauchern viele neue Datenschutzrechte, darunter:

  • Das Recht zu erfahren , wann ihre personenbezogenen Daten erhoben werden.
  • Das Recht auf Löschung der erhobenen personenbezogenen Daten.
  • Das Recht, dem Verkauf ihrer personenbezogenen Daten zu widersprechen.
  • Das Recht auf Nichtdiskriminierung bei der Ausübung ihrer Rechte nach dem CCPA.

Darüber hinaus haben kalifornische Verbraucher auch das Recht zu erfahren, wann und an wen ihre personenbezogenen Daten verkauft werden, und können auf Anfrage auf ihre personenbezogenen Daten zugreifen.

Für diejenigen, die mit den Grundlagen der DSGVO vertraut sind, wird vieles davon vertraut sein. Der Rahmen der beiden Verordnungen ist in der Tat ähnlich.

Was sind die Unterschiede zwischen dem CCPA und der DSGVO?

Im Gegensatz zur DSGVO besteht der Hauptunterschied darin, dass die DSGVO zwar auch für vorübergehende Einwohner gilt, dies jedoch nicht für den CCPA. Um sich als „kalifornischer Verbraucher“ zu qualifizieren, muss eine Person lange genug im Bundesstaat gelebt haben, um sich zur Zahlung von Steuern registrieren zu lassen.

Andernfalls fallen sie nicht unter diesen gesetzlichen Schutz.

Wer ist verpflichtet, den CCPA einzuhalten?

Auch hier gilt, im Gegensatz zur DSGVO gilt der CCPA ausschließlich für ein gewinnorientiertes Unternehmen, das personenbezogene Daten kalifornischer Verbraucher sammelt und verwendet. Um diese Definition zu erfüllen, muss ein Unternehmen mindestens einen der folgenden Schwellenwerte erfüllen:

  1. Jährlicher Bruttoumsatz von mehr als 25 Millionen US-Dollar
  2. Empfangen oder offenlegen Sie die personenbezogenen Daten von 50.000 oder mehr kalifornischen Verbrauchern, Haushalten oder Geräten pro Jahr
  3. Verdienen Sie 50 % oder mehr Jahresumsatz aus dem Verkauf personenbezogener Daten von Einwohnern Kaliforniens

Da gemeinnützige Organisationen und kleinere Unternehmen diese Schwellenwerte nicht erreichen, müssen sie den CCPA oft nicht einhalten. Dies ist das genaue Gegenteil der EU, wo gemäß der DSGVO alle Organisationen, die Daten von EU-Bürgern verwenden, diese einhalten müssen (mit einigen Ausnahmen für Unternehmen mit weniger als 250 Mitarbeitern).

Müssen Unternehmen mit Sitz außerhalb Kaliforniens die Vorschriften einhalten?

Ein großer Streitpunkt mit der DSGVO der EU und des Vereinigten Königreichs sind die „extraterritorialen Auswirkungen“. Das bedeutet, dass Unternehmen mit Sitz außerhalb der EU oder des Vereinigten Königreichs weiterhin der DSGVO zustimmen müssen, solange sie sich an EU-Bürger richten. Zum Beispiel muss ein Online-Anbieter in Kalifornien die DSGVO befolgen, wenn er Daten von EU-Kunden sammelt und verwendet.

Umgekehrt ist dies jedoch nicht der Fall.

Derzeit gilt der CCPA nur für gewinnorientierte Unternehmen, die in Kalifornien ansässig sind oder sich indirekt qualifizieren (z. B. Mutter- und Tochtergesellschaften von in Kalifornien ansässigen Unternehmen). Daher müssen Organisationen, die außerhalb des Staates ansässig sind, nicht mit dem CCPA übereinstimmen.

Wie definiert der CCPA personenbezogene Daten?

Im Rahmen des CCPA werden personenbezogene Daten allgemein definiert als:

„… Informationen, die einen bestimmten Verbraucher oder Haushalt identifizieren, sich auf ihn beziehen, ihn beschreiben, mit ihm in Verbindung gebracht werden können oder vernünftigerweise direkt oder indirekt mit ihm in Verbindung gebracht werden könnten.“

Dazu gehören Sozialversicherungsnummern, Führerscheinnummern, Kaufhistorie, eindeutige persönliche Kennungen, Name, Adresse, Telefonnummern und mehr.

Es handelt sich um eine deutlich weiter gefasste Definition, die in der Regel in Datenschutzgesetzen zu finden ist – sogar in der EU-DSGVO.

So werden Sie CCPA-konform

Der CCPA ist ein komplexes Gesetz mit vielen Facetten. Es ist daher verständlich, dass viele kalifornische Unternehmen die Einhaltung von Vorschriften als verwirrend und problematisch empfinden.

Das sollte jedoch nicht so sein.

Bei Nichteinhaltung drohen Geldstrafen von bis zu 2.500 US-Dollar pro Verstoß. Und vorsätzliche Verstöße können zu Geldstrafen von bis zu 7.500 US-Dollar pro Verstoß führen. Verbraucher können Unternehmen auch wegen Verstößen verklagen und Schadensersatz in Höhe von 100 bis 750 US-Dollar pro Vorfall oder tatsächlichen Schaden geltend machen – je nachdem, welcher Betrag höher ist. Ganz zu schweigen von den indirekten Kosten für den Ruf und das Ansehen einer Marke.

Daher ist Compliance unerlässlich. Hier sind die besten Möglichkeiten, um CCPA-konform zu werden:

  • Informiert die Verbraucher stets darüber, wie und wann ihre personenbezogenen Daten verarbeitet, verwendet oder weitergegeben werden.
  • Holen Sie immer die Erlaubnis der Verbraucher ein, bevor Sie ihre Daten sammeln.
  • Pflegen Sie eine aktuelle Datenschutzrichtlinie, die jährlich überprüft wird.
  • Erlauben Sie den Verbrauchern den Zugriff auf ihre Daten.
  • Ermöglichen Sie es den Verbrauchern, die Löschung ihrer personenbezogenen Daten zu verlangen.
  • Geben Sie einem Verbraucher eine vollständige Erklärung zum CCPA und wie er seine Datenschutzrechte regelt.
  • Unternehmen, die personenbezogene Daten verkaufen, müssen eine Seite „Meine personenbezogenen Daten nicht verkaufen“ einrichten.

Dies ist eine umfassende Checkliste, die Ihnen hilft, Ihre Compliance-Bemühungen in Gang zu bringen. Sie erhebt jedoch keinen Anspruch auf Vollständigkeit. Es gibt auch Softwarepakete, die die CCPA-Konformität unterstützen.

Und auch auf die Gesetzgebung selbst können Sie sich hier beziehen.

Schlussfolgerung

Wie andere Datenschutzgesetze, wie z.B. die DSGVO, regelt auch der CCPA die Erhebung und Verwendung personenbezogener Daten. Sie ist derzeit nur auf Einwohner Kaliforniens beschränkt und gilt nicht für Unternehmen außerhalb Kaliforniens.

Für solche Unternehmen ist die Sicherstellung der CCPA-Konformität von entscheidender Bedeutung, um Bußgelder und Reputationsschäden eines Unternehmens zu vermeiden.

Quellen:

https://www.truevault.com/ccpa-guide/ccpa-enforcement-and-penalties
https://www.pacificdataintegrators.com/insights/ccpa-compliance
https://contractbook.com/blog/what-is-ccpa-and-how-do-you-become-compliant
https://www.oag.ca.gov/privacy/ccpa
https://en.wikipedia.org/wiki/California_Consumer_Privacy_Act
https://www2.deloitte.com/us/en/pages/advisory/articles/ccpa-compliance-readiness.html
https://www.cpomagazine.com/data-protection/ccpa-vs-gdpr-spot-the-difference/
https://www.oag.ca.gov/privacy/ccpa
https://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?division=3.&part=4.&lawCode=CIV&title=1.81.5

Sales & Support