Auf die Frage, wie sie ihre Privatsphäre online verwalten, sagen nur 21 % der US-Erwachsenen, dass sie zuversichtlich sind, dass diejenigen, die Zugang zu ihren persönlichen Informationen haben, das Richtige tun werden, laut einer Umfrage des Pew Research Center.

Da Menschen immer mehr ihrer persönlichen Informationen mit Unternehmen teilen, sind sie zunehmend besorgt darüber, was diese Unternehmen mit ihren Daten tun und warum. Regierungen auf der ganzen Welt nehmen dies zur Kenntnis und erlassen Datenschutzgesetze, einschließlich der EU-Datenschutz-Grundverordnung (DSGVO) und des California Consumer Privacy Act (CCPA) in den USA.

Wie wirkt sich die CCPA-Gesetzgebung also auf Unternehmen aus? Dieser Artikel bietet eine verständliche Einführung in die wesentlichen Punkte des CCPA, wie er durch den California Privacy Rights Act geändert wurde. Lesen Sie weiter, um zu erfahren, wer CCPA-konform sein muss, was das Gesetz erfordert, Strafen bei Nichteinhaltung und mehr.

Was ist der California Consumer Privacy Act (CCPA)?

Der California Consumer Privacy Act von 2018 gibt den Einwohnern Kaliforniens mehr Einblick in und Kontrolle darüber, wie Unternehmen ihre persönlichen Informationen sammeln und verwenden.

Das Gesetz verlangt von Unternehmen, eine Reihe von Datenschutzinitiativen zu implementieren, von der Veröffentlichung einer leicht zugänglichen Datenschutzerklärung bis hin zur Ermöglichung eines Opt-outs für Verbraucher bei der Datenerhebung. Der CCPA gibt den Einwohnern Kaliforniens auch spezifische Rechte darüber, wer ihre Daten sammeln oder verarbeiten kann und zu welchem Zweck.

Wer muss CCPA-konform sein?

CCPA gilt für gewinnorientierte Organisationen, die persönliche Informationen von Einwohnern Kaliforniens sammeln. Aber nicht alle Unternehmen unterliegen dem Datenschutzgesetz. Um in den Geltungsbereich des CCPA, wie er durch den CPRA geändert wurde, zu fallen, muss die Organisation auch eine der folgenden drei Schwellenwerte erfüllen:

• Übersteigt 25 Millionen US-Dollar jährlichen Bruttoumsatz
• Kauft, verkauft, empfängt oder teilt zu kommerziellen Zwecken die persönlichen Informationen von 100.000 oder mehr Verbrauchern, Haushalten oder Geräten
• Erzielt 50 % oder mehr seines Jahresumsatzes aus dem Verkauf oder Teilen persönlicher Daten

Definition von persönlichen Informationen im Rahmen des CCPA

Da der CCPA reguliert, was Unternehmen mit persönlichen Informationen tun können und was nicht, ist es wichtig zu verstehen, was als persönliche Daten qualifiziert. Der CCPA-Text definiert persönliche Informationen als alle „Informationen, die eine bestimmte Person oder einen Haushalt identifizieren, sich darauf beziehen, beschreiben, damit in Verbindung gebracht oder direkt oder indirekt damit verknüpft werden können.“

Zur Klarstellung: Persönliche Informationen sind alles, was einer bestimmten Person oder einem bestimmten Haushalt zugeordnet werden kann. Dazu gehören Namen und Adressen, Sozialversicherungsnummern und Gerätekennungen wie IP-Adressen.

Personenbezogene Daten umfassen keine öffentlich zugänglichen Informationen, wie Grundsteueraufzeichnungen. Aggregierte Daten gelten ebenfalls nicht als persönliche Informationen, ebenso wenig wie Gesundheitsinformationen, die durch andere Gesetze wie HIPAA oder das kalifornische Gesetz über die Vertraulichkeit medizinischer Informationen geregelt sind.

CCPA Verbraucherrechte

Unter CCPA sind Organisationen verpflichtet, die Verbraucherrechte in Bezug auf ihre persönlichen Daten zu respektieren. Diese Rechte umfassen:

Recht auf Kenntnis

Verbraucher haben das Recht zu wissen, welche persönlichen Informationen von ihnen verkauft oder weitergegeben werden und an wen. Wenn Sie Informationen über Verbraucher sammeln, die durch CCPA geschützt sind, müssen Sie diese zum Zeitpunkt der Datenerhebung (oder davor) informieren.

Recht auf Zugang

Verbraucher haben das Recht, auf die persönlichen Informationen zuzugreifen, die Sie von ihnen gesammelt haben. Wenn Sie eine Anfrage von einem Verbraucher erhalten, haben Sie 45 Tage Zeit, um ihnen die Informationen in einem leicht verwendbaren Format kostenlos zur Verfügung zu stellen. Verbraucher müssen auch einfachen Zugang zu Ihrer vollständigen Datenschutzerklärung haben.

Recht auf Löschung

Verbraucher können verlangen, dass Sie ihre persönlichen Informationen löschen und Ihre Dienstleister anweisen, dasselbe zu tun. Es gibt Ausnahmen, wie z.B., wenn Ihr Unternehmen gesetzlich verpflichtet ist, die Informationen aufzubewahren.

Recht auf Kontaktinformationen

Organisationen sind verpflichtet, es den Verbrauchern leicht zu machen, weitere Informationen über ihre Datenschutzerklärung und Bemühungen zur Einhaltung der CCPA zu finden. Dies umfasst Kontaktinformationen für die Einreichung von Anfragen im Zusammenhang mit Verbraucherrechten.

Recht auf Abmeldung

Wenn Ihre Organisation persönliche Informationen eines Verbrauchers verkauft oder weitergibt, sind Sie verpflichtet, ihnen die Möglichkeit zu geben, sich abzumelden. Dazu gehört eine Webseite, die klar eine Abmeldemöglichkeit mit einem Link zu Ihrer Datenschutzerklärung bietet. Sie müssen den Verbrauchern auch das Recht einräumen, sich von zukünftigen Marketingbemühungen abzumelden.

Recht auf faire Behandlung

Organisationen ist es untersagt, Verbraucher zu diskriminieren, die ihre Rechte gemäß CCPA ausüben.

Recht auf Berichtigung

Verbraucher haben das Recht, ungenaue persönliche Informationen, die ein Unternehmen über sie hat, zu berichtigen. Dies ist ein neues Recht, das im Rahmen der CPRA gegeben wird.

Recht auf Einschränkung der Nutzung und Offenlegung sensibler persönlicher Informationen

Verbraucher haben auch das Recht, die Nutzung und Offenlegung sensibler persönlicher Informationen, die über sie gesammelt wurden, zu begrenzen. Beispielsweise können sie ein Unternehmen anweisen, ihre genauen Standortdaten nur zur Bereitstellung der von ihnen angeforderten Dienste zu verwenden. Dies ist ein neues Recht, das im Rahmen der CPRA gegeben wird.

CCPA vs CPRA: Vergleich der Datenschutzgesetze

CPRA isteine Abstimmungsinitiative, die im November 2020 verabschiedet wurde. Sie ersetzt nicht CCPA. Es ändert es und umfasst zusätzliche Datenschutzmaßnahmen für Verbraucher.

Die Mehrheit der Bestimmungen der CPRA trat am 1. Januar 2023 in Kraft und ist heute durchsetzbar. Die California Privacy Protection Agency (CPPA) hat jedoch am 29. März 2023 zusätzliche Vorschriften verabschiedet, um die neuen Anforderungen des Gesetzes zu konkretisieren. Die Durchsetzung dieser neuen Vorschriften begann am 29. März 2024.

Um Ihnen zu helfen, die heute durchsetzbaren Anforderungen zu verstehen und zu erfüllen, hier ist eine Übersicht der wichtigsten Änderungen:

• Einrichtung der California Privacy Protection Agency (CPPA): Diese Agentur wurde eingerichtet, um das Gesetz zu implementieren und durchzusetzen. Während die CPPA volle administrative Befugnisse, Autorität und Zuständigkeit dafür hat, behält der kalifornische Generalstaatsanwalt weiterhin die Befugnis zur zivilrechtlichen Durchsetzung.
• Aktualisierung der Qualifizierungskriterien: Zwei der drei Kriterien für die Einhaltung der CPRA wurden geändert. Jetzt gilt es für gewinnorientierte Organisationen, die personenbezogene Daten von 100.000 oder mehr Verbrauchern oder Haushalten kaufen, verkaufen oder teilen (zuvor war „teilen“ nicht enthalten und die Schwelle lag bei 50.000). Es gilt auch für gewinnorientierte Organisationen, deren jährliche Einnahmen zu 50 % oder mehr auf dem Teilen personenbezogener Daten basieren, nicht nur auf dem Verkauf.
• Hinzufügen zweier Verbraucherrechte: Die CPRA fügt den ursprünglichen Rechten der CCPA zwei weitere Verbraucherrechte hinzu. Diese neuen Rechte sind das Recht auf Berichtigung ungenauer personenbezogener Daten und das Recht auf Begrenzung der Nutzung und Offenlegung sensibler personenbezogener Daten. Weitere Details zu allen Verbraucherrechten der CCPA finden Sie unten.
• Definition einer neuen Teilmenge personenbezogener Daten: Die CPRA definiert eine neue Teilmenge personenbezogener Daten, die als „sensible personenbezogene Daten“ bekannt ist. SPI kann die rassische oder ethnische Herkunft einer Person sowie Reisepassnummern, genaue Standortdaten, biometrische Daten, Textnachrichten und mehr offenbaren. Organisationen müssen Verbrauchern die Möglichkeit geben, der Nutzung und Offenlegung ihrer SPI zu widersprechen.

Wie man den Anforderungen des CCPA entspricht

Um den gesetzlichen Anforderungen zu entsprechen, müssen Unternehmen die folgenden wesentlichen Anforderungen erfüllen. Diese umfassen Anforderungen von CCPA und CPRA.

1. Etablierung eines legitimen Zwecks für die Erhebung personenbezogener Daten

CCPA verlangt von betroffenen Unternehmen, dass sie den geschäftlichen oder kommerziellen Zweck für die Erhebung oder den Verkauf personenbezogener Daten zum Zeitpunkt der Erhebung offenlegen.

Um diese Anforderung zu erfüllen, müssen Organisationen diesen Zweck zuerst festlegen.

Geschäftszweck bedeutet, dass personenbezogene Daten für einen geschäftlichen oder betrieblichen Zweck eines Dienstleisters verwendet werden. CCPA definiert 7 Arten von Geschäftszwecken:

• Überprüfung von Interaktionen mit Verbrauchern, wie das Zählen von Anzeigenimpressionen
• Erkennung und Verhinderung von Sicherheitsvorfällen
• Debugging zur Identifizierung und Behebung von Funktionsfehlern
• Kurzfristige Nutzung, die nicht den Aufbau eines Kundenprofils beinhaltet
• Erbringung von Dienstleistungen wie Kundenunterstützung und Auftragsabwicklung
• Durchführen von interner Forschung und Entwicklung
• Überprüfung der Qualität und Sicherheit eines Geräts, wie z.B. Durchführung von Geräteaktualisierungen

Kommerzieller Zweck bedeutet, dass persönliche Informationen verwendet werden, um die kommerziellen oder wirtschaftlichen Interessen einer Person zu fördern. Ein Unternehmen kann beispielsweise personenbezogene Daten verwenden, um Einzelpersonen dazu zu bringen, Immobilien zu kaufen, Dienstleistungen zu abonnieren oder Produkte auszutauschen. Das CCPA bietet keine Liste kommerzieller Zwecke wie bei geschäftlichen Zwecken. 

2. Durchführung einer Dateninventur

Führen Sie als nächstes eine gründliche Bestandsaufnahme aller von Ihrer Organisation gesammelten, verarbeiteten und gespeicherten Daten durch. Identifizieren Sie die Quellen der Daten, wo sie gespeichert sind, wie sie verwendet werden und wer Zugriff darauf hat. Während dieses Prozesses sollten Sie auch verstehen, wie lange Sie diese Daten aufbewahren werden.

Sie können dies in einer Datenaufbewahrungsrichtlinie formalisieren. Diese Richtlinie sollte festlegen, wie lange Verbraucherdaten aufbewahrt werden und die Verfahren zur sicheren Löschung nicht mehr benötigter Daten beschreiben.

3. Hinzufügen einer Opt-Out-Schaltfläche zur Website

Das CCPA verlangt von Organisationen, Verbrauchern die Möglichkeit zu geben, den Verkauf oder die Weitergabe ihrer persönlichen Informationen abzulehnen.

Um diese Anforderung zu erfüllen, müssen Sie einen „Verkaufen oder Teilen meiner persönlichen Informationen nicht“ Opt-out-Link an einer gut sichtbaren Stelle auf Ihrer Website veröffentlichen.

4. Erstellen eines Prozesses zur Beantwortung und Protokollierung von Kundenanfragen

Sie müssen auch Prozesse zur Bearbeitung von Verbraucheranforderungen im Zusammenhang mit ihren Rechten an personenbezogenen Daten entwickeln. Dies kann Anfragen umfassen, um:

• Eine Kopie ihrer persönlichen Daten zu erhalten
• Ungenaue oder unvollständige persönliche Informationen zu aktualisieren
• Den Verkauf oder die Weitergabe ihrer persönlichen Informationen abzulehnen oder einzuschränken
• Ihre persönlichen Informationen löschen zu lassen

Diese Prozesse müssen effizient, transparent und CCPA- und CPRA-konform sein. Die Anforderungen variieren je nach Anfrage. Beispielsweise müssen Organisationen bei Opt-Out-Anfragen einen Opt-Out-Link bereitstellen und so schnell wie möglich, spätestens jedoch innerhalb von 15 Werktagen ab dem Datum des Eingangs der Anfrage, antworten. Bei Anfragen nach Wissen, Löschung und Korrektur müssen Organisationen innerhalb von 45 Kalendertagen oder 90 Tagen antworten, falls sie den Verbraucher benachrichtigen. Sie müssen auch mindestens zwei Methoden für Verbraucher festlegen, um ihre Anfragen einzureichen, wie z. B. eine gebührenfreie Nummer, E-Mail-Adresse, Website-Formular oder Papierformular (es sei denn, sie sind ausschließlich online tätig).

5. Jährliche Erstellung und Aktualisierung einer Datenschutzrichtlinie

Eine Datenschutzrichtlinie muss die Datenschutzpraktiken Ihrer Organisation und die Datenschutzrechte der Verbraucher beschreiben. Dies beinhaltet die Angabe der festgelegten Wege, wie Verbraucher ihre Anfragen zum Wissen, Löschen und Korrigieren einreichen können, mit klaren Anweisungen. 

Diese Richtlinie muss mindestens alle 12 Monate aktualisiert werden, um die aktuellen Prozesse Ihrer Organisation zum Sammeln, Verkaufen, Verarbeiten, Handhaben oder Weitergeben von Verbraucherdaten widerzuspiegeln. 

6. Erstellung einer Datenschutzerklärung bei der Erfassung

Organisationen müssen eine Datenschutzerklärung zum Zeitpunkt der Erfassung oder vorher haben, um den Verbrauchern offenzulegen, welche persönlichen Informationen sie sammeln. Das bedeutet, dass eine Organisation einen Link zur Erklärung auf ihrer Homepage oder auf einer Webseite, auf der Verbraucher eine Bestellung aufgeben oder ihre persönlichen Informationen aus einem anderen Grund angeben, einfügen kann.

Diese Erklärung muss enthalten:

• Die Kategorien persönlicher Informationen, die über diesen Verbraucher gesammelt wurden.
• Die Kategorien von Quellen, aus denen die persönlichen Informationen gesammelt werden.
• Den geschäftlichen oder kommerziellen Zweck für das Sammeln, Verkaufen oder Weitergeben persönlicher Informationen.
• Die Kategorien von Dritten, an die das Unternehmen persönliche Informationen weitergibt.
• Die spezifischen persönlichen Informationen, die über diesen Verbraucher gesammelt wurden.

Wie in einer neuen Bestimmung der CPRA verlangt, muss diese Erklärung auch Folgendes enthalten:

• die Kategorien von gesammelten sensiblen Informationen und ob sie verkauft oder weitergegeben werden.
• die Dauer der Aufbewahrung jeder Kategorie persönlicher Informationen oder die Kriterien, die verwendet werden, um den Aufbewahrungszeitraum zu bestimmen.

Darüber hinaus muss die Erklärung einen Link zur Datenschutzrichtlinie Ihrer Organisation enthalten, damit Verbraucher eine ausführlichere Beschreibung ihrer Datenschutzrechte und der Datenschutzpraktiken der Organisation erhalten können, falls sie dies wünschen. 

7. Datenschutzmaßnahmen umsetzen

Der CCPA verlangt von Organisationen, angemessene Sicherheitsmaßnahmen zu ergreifen, um die gesammelten persönlichen Informationen zu schützen. Diese Maßnahmen können umfassen:

• Beschränkung der Sammlung persönlicher Informationen auf das notwendige Minimum
• Verschlüsselung oder Anonymisierung der gesammelten persönlichen Informationen
• Erstellung einer internen Datenschutzrichtlinie zur Sensibilisierung der Mitarbeiter über deren Rollen und Verantwortlichkeiten
• Durchführung von Datenschutz-Folgenabschätzungen (diese Vorlage kann helfen)
• Einführung von Zugangskontrollen
• Durchführung von Risikoanalysen und Schwachstellenprüfungen zur Identifizierung und Behebung von Risiken

8. Beziehungen zu Dritten verwalten

Das Risikomanagement bei Dritten ist ebenfalls ein wichtiger Bestandteil der CCPA-Compliance. Organisationen müssen eine Datenverarbeitungsvereinbarung mit Dienstleistern, Auftragnehmern und Dritten abschließen, die persönliche Informationen von der Organisation erhalten können. Diese Vereinbarungen sollten Bedingungen enthalten, die den Anforderungen des CCPA und des CPRA entsprechen, einschließlich der Verarbeitung persönlicher Informationen gemäß den Anweisungen Ihrer Organisation und der Unterstützung bei der Erfüllung der Verbraucherrechtsanforderungen.

Organisationen müssen auch Risikobewertungen von Anbietern durchführen, um zusätzliche Sicherheitsrisiken zu identifizieren und zu mindern.

9. Durchführung von CCPA-Schulungen

Mitarbeiterschulungen sind eine weitere Sicherheitsmaßnahme, die Sie zum Schutz der Verbraucherdaten ergreifen können.

CCPA-Schulungen sind für alle Personen erforderlich, die für die Bearbeitung von Verbraucheranfragen zu den Datenschutzpraktiken eines Unternehmens verantwortlich sind. Diese Schulung sollte erklären, welche Rechte Verbraucher nach dem Gesetz haben und wie sie diese Rechte ausüben können.

Alle Mitarbeiter, die mit dem Sammeln, Speichern, Verarbeiten, Verkaufen oder Teilen personenbezogener Daten von Verbrauchern befasst sind, sollten eine Datenschutzschulung erhalten, die ihnen hilft, verschiedene Kategorien personenbezogener Daten sicher zu behandeln.

10. Überwachung der Compliance

Um die laufende Einhaltung der CCPA- und CPRA-Anforderungen sicherzustellen, müssen Sie regelmäßig die Datenpraktiken Ihrer Organisation überwachen und Audits durchführen sowie über alle Aktualisierungen oder Änderungen der CCPA- und CPRA-Vorschriften auf dem Laufenden bleiben. Automatisierung kann dabei helfen, die kontinuierliche Überwachung zu vereinfachen.

CCPA-Compliance-Checkliste

Um Ihnen zu helfen, die CCPA-Compliance-Bereitschaft Ihres Unternehmens zu bewerten, laden Sie die CCPA-Compliance-Checkliste unten herunter.

Strafen für CCPA-Nichtbeachtung

Organisationen müssen Verbraucherwünsche zur Ausübung ihrer Rechte nach dem CCPA innerhalb von 45 Tagen nach Erhalt beantworten. Wenn die Organisation einen Verstoß innerhalb von 30 Tagen nach Benachrichtigung nicht behebt, unterliegt sie einer Strafe von bis zu 7.500 USD pro Verstoß durch den kalifornischen Generalstaatsanwalt. Im Falle einer Datenverletzung können Verbraucher Schadensersatz von bis zu 750 USD pro Verstoß geltend machen.

Während die Bestimmungen der CPRA noch nicht durchgesetzt werden können, müssen Unternehmen, die große Mengen personenbezogener Daten von Einwohnern Kaliforniens verwalten, dennoch mit erheblichen Bußgeldern und Strafen für Verstöße gegen die CCPA-Bestimmungen rechnen, wie die Vergleichszahlung von 1,2 Millionen USD von Sephora.

CCPA und GDPR: Vergleich der Datenschutzgesetze

Sowohl die Allgemeine Datenschutzverordnung (GDPR) als auch der CCPA gelten als einige der strengsten Datenschutzgesetze der Welt, und beide teilen mehrere gemeinsame Grundsätze.

Zum einen verlangen beide Gesetze von Organisationen, den Wunsch eines Kunden zu respektieren, die Verarbeitung seiner personenbezogenen Daten abzulehnen. GDPR und CCPA verlangen auch, dass Organisationen Verbraucher über eine Datenverletzung benachrichtigen. Beide schützen das Recht des Verbrauchers, die Löschung seiner personenbezogenen Daten und die Datenportabilität zu verlangen.

Das heißt jedoch nicht, dass die beiden Gesetze austauschbar sind. Es gibt einige Unterschiede in den Feinheiten der Gesetzgebung. Zum Beispiel hat GDPR Anforderungen im Zusammenhang mit internationalen Datenübertragungen durch Mechanismen wie Standardvertragsklauseln, während CPRA keine spezifischen Bestimmungen für internationale Datenübertragungen hat.

Der Hauptunterschied, den es zu beachten gilt, ist jedoch, dass unter GDPR personenbezogene Informationen Informationen sind, die mit einer bestimmten Person (betroffene Person) in Verbindung gebracht werden können. GDPR hat eine breite Definition von personenbezogenen Daten, die alle Informationen umfasst, die eine Person direkt oder indirekt identifizieren können. CCPA hat ebenfalls eine breite Definition von personenbezogenen Informationen, verlässt sich jedoch nicht ausschließlich auf den Bezug zu einer bestimmten Person. Es umfasst auch Daten, die sich auf Haushalte beziehen.

Vereinfachen Sie die Sicherungs- und Datenschutzkonformität mit Secureframe

Egal, ob Ihre Organisation Gesetzen wie dem CCPA oder dem GDPR entsprechen muss, einen SOC-2-Bericht zur Zufriedenstellung der Kundenanforderungen benötigt oder einfach nur ein reiferes Cybersicherheitsprogramm aufbauen möchte – Secureframe kann Ihrer Organisation dabei helfen, den Aufwand und die Kosten für das Management eines Datenschutz- und Datensicherheitsprogramms zu reduzieren.

Mit Secureframe können Sie:

• Die richtigen Datenschutzrichtlinien und -verfahren einrichten
• Mitarbeiterschulungen durchführen und überwachen
• Die Beweiserfassung für die CCPA-Konformität und andere Rahmenwerke automatisieren
• Immer auf dem neuesten Stand der Datenschutzanforderungen bleiben
• Kontrollen und Tests, die Sie für die CCPA-Konformität implementiert haben, auf andere Rahmenwerke abbilden, um die Zeit bis zur Konformität zu verkürzen und doppelte Arbeit zu reduzieren
• Sich mit unseren über 150 Integrationen verbinden, um Ihr Technologiestack kontinuierlich zu überwachen
• Lieferantenbewertungen, Risikoanalysen und Zugriffsnachverfolgung vereinfachen

Um zu erfahren, warum 97 % der Secureframe-Benutzer angaben, ihre Sicherheits- und Compliance-Position gestärkt zu haben, fordern Sie noch heute eine Demo an.