Der kalifornische Verbraucherdatenschutzgesetz (CCPA) wurde verabschiedet, um den Datenschutz und die Sicherheit der Daten von Einwohnern Kaliforniens zu schützen.

Unternehmen, die physisch nicht in Kalifornien oder den USA ansässig sind, können dennoch unter den Geltungsbereich des CCPA fallen. Das bedeutet, dass Unternehmen weltweit möglicherweise den CCPA-Anforderungen entsprechen müssen.

Es gibt jedoch Ausnahmen. Lesen Sie weiter, um zu erfahren, welche Organisationen und Datenarten von diesem Datenschutzgesetz befreit sind.

Welche Organisationen müssen den CCPA einhalten?

Jede gewinnorientierte Organisation, die personenbezogene Daten von Einwohnern Kaliforniens sammelt und eine der folgenden Schwellenanforderungen erfüllt, muss den CCPA einhalten:

• Übersteigt jährlich 25 Millionen US-Dollar Bruttoeinnahmen: Alle globalen Einnahmen zählen zu den 25 Millionen US-Dollar, nicht nur die Einnahmen aus Kalifornien. Das bedeutet, dass nationale und multinationale Organisationen, die personenbezogene Daten einer kleinen Anzahl von Einwohnern Kaliforniens verarbeiten, unter das Gesetz fallen könnten.
• Kauft, verkauft, erhält oder teilt zu kommerziellen Zwecken personenbezogene Daten von 50.000 oder mehr Verbrauchern, Haushalten oder Geräten: Diese Gesamtmenge könnte die Anzahl der Datensätze personenbezogener Daten umfassen, die eine Organisation von einem Datenhändler gekauft hat, die Anzahl der Website-Besucher im letzten Jahr und/oder die Anzahl der Kontakte in ihrem CRM.
• Erzielt 50 % oder mehr seiner jährlichen Einnahmen aus dem Verkauf personenbezogener Daten: Einnahmen im Zusammenhang mit interessenbasierter Werbung, wie z. B. Retargeting-Anzeigen, zählen zu diesem Prozentsatz.

Beispiel

Aufgrund des Umfangs des CCPA in Bezug auf personenbezogene Daten von Einwohnern Kaliforniens kann diese Gesetzgebung Unternehmen auf der ganzen Welt betreffen. Viele Unternehmen unterschätzen jedoch seine Reichweite.

Werfen wir einen Blick auf ein Beispiel für ein Unternehmen, das den CCPA einhalten muss. Dies basiert auf einem vom kalifornischen Generalstaatsanwalt veröffentlichten Fallbeispiel zur Durchsetzung des CCPA.

Ein Unternehmen, das eine Online-Dating-Plattform anbietet, hat seinen Sitz in Colorado. Es verkauft personenbezogene Daten von über 50.000 Nutzern, die ein Konto haben. Diese Nutzer leben im ganzen Land, einschließlich Kalifornien. Gilt der CCPA für dieses Unternehmen?

Ja, der CCPA gilt für dieses Unternehmen, weil es personenbezogene Daten von mehr als 50.000 Verbrauchern sammelt und verkauft, von denen einige in Kalifornien leben.

Warum wurden Ausnahmen für den CCPA geschaffen?

Unter dem CCPA sind die Definitionen von personenbezogenen Daten, Unternehmen und Verbraucher weit gefasst. Zum Beispiel bezieht sich der Begriff „Verbraucher“ auf jeden Einwohner Kaliforniens – nicht nur auf Kunden. Dies wirft komplizierte Fragen auf, wie etwa, ob die personenbezogenen Daten von Mitarbeitern und Bewerbern dem CCPA unterliegen. Wäre dies der Fall, würde die Verwaltung dieser personenbezogenen Daten die Compliance-Belastung von Unternehmen, insbesondere von solchen mit begrenzten Ressourcen, erhöhen.

Um diese Komplexitäten anzugehen, fügte die kalifornische Gesetzgebung Ausnahmen zum CCPA hinzu, von denen einige vorübergehend sind.

Im Jahr 2019 wurde der CCPA geändert, um vorübergehende Ausnahmen für personenbezogene Daten von Mitarbeitern und B2B-Kommunikation einzuschließen. Diese vorübergehenden Ausnahmen wurden mit der Verabschiedung des California Privacy Rights Act (CPRA) verlängert und sollen derzeit am 1. Januar 2023 auslaufen. Im Februar 2022 wurden jedoch zwei Gesetzentwürfe eingebracht, um den Zeitraum der Ausnahmen entweder bis zum 1. Januar 2026 oder auf unbestimmte Zeit zu verlängern.

Werfen wir einen genaueren Blick darauf, welche Unternehmen und Kategorien von personenbezogenen Daten vom CCPA ausgenommen sind.

Welche Unternehmen sind vom CCPA ausgenommen?

Es gibt einige Unternehmen, die vollständig vom CCPA ausgenommen sind, wie er derzeit geschrieben ist – selbst wenn sie personenbezogene Daten von Einwohnern Kaliforniens sammeln und eine der oben beschriebenen Schwellenanforderungen erfüllen. Diese Unternehmen sind:

• Nicht-Profitorientierte Organisationen: Nicht-Profitorientierte Organisationen sind ausgenommen, weil sie nicht unter die Definition eines Unternehmens fallen.
• Staatliche Behörden: Staatliche Behörden sind ausgenommen, weil sie möglicherweise personenbezogene Daten für Untersuchungen, Vorladungen und Ladungen; Bundes-, Landes- und Kommunalgesetze; oder andere Angelegenheiten benötigen. Der Begriff staatliche Behörde ist weit gefasst und daher offen für Interpretationen. Es würde wahrscheinlich Bundes-, Landes- und Kommunalbehörden sowie Regierungsstellen auf allen Ebenen, einschließlich öffentlicher Schulen, umfassen.
• Versicherungsinstitutionen, Vertreter und Unterstützungseinrichtungen: Der CCPA nimmt bestimmte Unternehmen aus, die durch andere Gesetze reguliert werden. Dazu gehören Versicherungsinstitutionen, Vertreter und Unterstützungseinrichtungen, die dem kalifornischen Gesetz zum Schutz der Versicherungsinformationen und der Privatsphäre (IIPPA) unterliegen.

Welche Arten von Daten sind vom CCPA ausgenommen?

Zusätzlich zu den ausgenommenen Unternehmen gibt es auch ausgenommene Kategorien personenbezogener Daten. Diese umfassen folgende Kategorien.

Beschäftigungsbezogene Informationen

Der CCPA enthält eine begrenzte Ausnahme für personenbezogene Daten von Mitarbeitern und Bewerbern, die Unternehmen ausschließlich im Kontext der Rolle oder ehemaligen Rolle dieser Person erheben und verwenden. Wenn ein Verbraucher beispielsweise sowohl Mitarbeiter als auch Kunde eines E-Commerce-Unternehmens ist, dann fallen alle personenbezogenen Daten, die im Rahmen seiner Tätigkeit als Kunde erhoben werden, unter den CCPA.

Die Ausnahme des CCPA für Mitarbeiter ist vorübergehend und derzeit so festgelegt, dass sie am 1. Januar 2023 ausläuft. Unternehmen, die sich für die Einhaltung des CCPA auf diese Ausnahme stützen, sollten entsprechend planen.

B2B-Kommunikation

Einige persönliche Informationen, die bei Geschäften mit anderen Unternehmen und Organisationen gesammelt werden, sind teilweise von der CCPA ausgenommen. Dazu gehören B2B-Kontaktinformationen, die ausschließlich im Kontext der Due Diligence oder von Transaktionen verarbeitet werden, bei denen ein Produkt oder eine Dienstleistung bereitgestellt oder empfangen wird.

Die CCPA-B2B-Ausnahme ist eine weitere temporäre Ausnahme, die am 1. Januar 2023 ausläuft. Unternehmen, die sich auf diese Ausnahme für die Einhaltung der CCPA verlassen, sollten entsprechend planen.

Daten, die anderen US-Gesetzen unterliegen

Die folgenden Entitäten sind nicht vollständig von der CCPA ausgenommen, aber einige Arten von Daten, die sie sammeln, sind ausgenommen, weil sie anderen Gesetzen unterliegen.

1. Finanzinformationen

Die CCPA nimmt Informationen aus, die von Finanzinstituten und Finanzdienstleistungsunternehmen gesammelt werden und dem Gramm-Leach-Bliley Act (GLBA) oder dem California Financial Information Privacy Act (CalFIPA) unterliegen.

2. Geschützte Gesundheitsinformationen

Die CCPA nimmt geschützte Gesundheitsinformationen (PHI) aus, die von abgedeckten Entitäten oder Geschäftspartnern gesammelt und dem HIPAA unterliegen. Sie nimmt auch medizinische Informationen aus, die dem entsprechenden Gesetz von Kalifornien, dem Confidentiality of Medical Information Act (CMIA), unterliegen.

3. Informationen über klinische Studien

Die CCPA nimmt Informationen aus, die im Rahmen einer klinischen Studie oder einer anderen biomedizinischen Forschungsstudie gesammelt werden und dem Federal Policy for the Protection of Human Subjects, auch bekannt als Common Rule, unterliegen.

4. Informationen aus Verbraucherberichten

Die CCPA nimmt die Sammlung, Pflege, Offenlegung, den Verkauf, die Kommunikation oder Nutzung von personenbezogenen Informationen aus, die dem Fair Credit Reporting Act (FCRA) unterliegen, solange die Aktivität durch den FCRA autorisiert ist.

5. Fahrerinformations

Die CCPA nimmt Daten aus, die gemäß dem Driver’s Privacy Protection Act von 1994 (DPPA) verarbeitet werden.

Garantie- und Rückrufinformationen

Garantie- und Rückrufinformationen in jeder Branche sind von der CCPA ausgenommen.

Zusätzlich sind Fahrzeug- oder Eigentümerinformationen, die zwischen einem Neuwagenhändler und dem Hersteller aufbewahrt oder geteilt werden, ausgenommen, solange diese Informationen geteilt werden, um eine Reparatur zu veranlassen, die durch eine schriftliche Garantie oder einen Rückruf abgedeckt ist.

Persönliche Informationen, die vollständig außerhalb des Staates Kalifornien gesammelt und verwendet werden

Die CCPA gilt nicht für Aktivitäten, die vollständig außerhalb Kaliforniens stattfinden. Wenn ein Unternehmen also die persönlichen Informationen eines Verbrauchers sammelt, wenn dieser sich außerhalb Kaliforniens befindet, dann unterliegt dies nicht der CCPA. Wenn ihre persönlichen Informationen gesammelt werden, wenn sie sich in Kalifornien befinden, aber nicht verkauft werden, dann unterliegt dies ebenfalls nicht der CCPA. Schließlich, wenn kein Teil des Verkaufs der persönlichen Informationen des Verbrauchers in Kalifornien stattfindet, dann unterliegt dies ebenfalls nicht der CCPA.

Diese Ausnahme ist wahrscheinlich die praktisch am schwierigsten anzuwendende, da die CCPA nicht angibt, wie ein Unternehmen feststellen soll, wann sich ein Verbraucher außerhalb von Kalifornien befindet.

Wie Secureframe die Unsicherheit bei der Einhaltung der CCPA beseitigen kann

Wie GDPR ist die CCPA ein wegweisendes Datenschutzgesetz, das den Verbrauchern mehr Kontrolle über die persönlichen Informationen gibt, die Unternehmen über sie sammeln.

Obwohl es große Auswirkungen darauf hat, wie Unternehmen die persönlichen Daten der Einwohner Kaliforniens handhaben können, gilt es nicht für alle Unternehmen oder für alle Arten von persönlichen Informationen. Diese Ausnahmen können es für Unternehmen schwieriger machen, das Gesetz in die Praxis umzusetzen.

Hier kommt Secureframe ins Spiel. Wir können Ihnen helfen zu verstehen, wie der CCPA Ihr Unternehmen beeinflusst und die Einhaltung zu überprüfen. Wir machen den Compliance-Prozess klar, indem wir Verfahren und Richtlinien bereitstellen, die von CCPA-Experten geprüft wurden, proprietäres CCPA-Training für automatisierte Mitarbeitereinhaltung anbieten, Zugang zu internen Experten gewähren und Updates zu den neuesten CCPA-Anforderungen bereitstellen.

Für völliges Vertrauen in Ihre CCPA-Compliance-Strategie, vereinbaren Sie heute eine Demo unserer Plattform.