74% der Verbraucher weltweit haben laut einer Studie des Ponemon Institute das Gefühl, wenig bis keine Kontrolle über ihre persönlichen Daten zu haben. Noch mehr Amerikaner (81%) haben das Gefühl, dass sie wenig bis keine Kontrolle über ihre persönlichen Daten haben, sobald diese mit Unternehmen geteilt werden, so eine Studie von Wakefield Research.

Regierungen auf der ganzen Welt haben bedeutende Datenschutzgesetze eingeführt, um auf die wachsenden Bedenken der Verbraucher hinsichtlich der Weitergabe ihrer persönlichen Daten zu reagieren. Am bemerkenswertesten sind die Datenschutz-Grundverordnung (DSGVO) in der Europäischen Union und der California Consumer Privacy Act, geändert durch den California Privacy Rights Act (CPRA), in den Vereinigten Staaten.

Es ist entscheidend für wachsende Organisationen, zu verstehen, wie diese Gesetze im Hinblick darauf, für wen sie gelten, welche Informationen sie schützen und welche Anforderungen sie stellen, im Vergleich stehen. Im Folgenden werden wir alles Wichtige zu CCPA vs. GDPR erläutern.

CCPA vs GDPR

Der California Consumer Privacy Act (CCPA) ist ein Datenschutzgesetz, das 2018 verabschiedet wurde, um den Einwohnern Kaliforniens mehr Einblick und Kontrolle darüber zu geben, wie Unternehmen ihre persönlichen Daten sammeln und verwenden. Die Datenschutz-Grundverordnung (DSGVO) ist ein Gesetz, das 2016 von der Europäischen Union verabschiedet wurde, um Daten sicher zu halten und den Verbrauchern mehr Einblick und Kontrolle darüber zu geben, wer ihre persönlichen Daten verarbeiten kann und warum.

Sowohl der CCPA als auch die DSGVO gelten als einige der strengsten Datenschutzgesetze der Welt und teilen mehrere Gemeinsamkeiten. Allerdings sind sie nicht austauschbar.

Nachfolgend sind wichtige Gemeinsamkeiten und Unterschiede aufgeführt.

Wirksamkeitsdatum

Der CCPA trat am 1. Januar 2020 in Kraft. Er wurde durch den CPRA geändert, eine Abstimmungsinitiative, die im November 2020 verabschiedet wurde. Der CPRA änderte den CCPA, indem er die Qualifikationskriterien aktualisierte und zusätzliche Verbraucherrechte hinzufügte, neben anderen Änderungen. Die Bestimmungen des CPRA, die in der Abstimmungsinitiative enthalten waren, traten am 1. Januar 2023 in Kraft. Seitdem hat die California Privacy Protection Agency am 29. März 2023 weitere Vorschriften erlassen, um die neuen Anforderungen des Gesetzes zu konkretisieren. Die Durchsetzung dieser neuen Vorschriften beginnt erst am 29. März 2024.

Die DSGVO trat am 25. Mai 2018 in Kraft.

Wer ist von der Gesetzgebung betroffen

Der CCPA gilt für jedes gewinnorientierte Unternehmen, das persönliche Informationen von Einwohnern Kaliforniens sammelt und auch eines der drei unten aufgeführten Kriterien erfüllt, sowie für deren Dienstleister.

• Übersteigt einen jährlichen Bruttoumsatz von 25 Millionen Dollar
• Kauft, verkauft, erhält oder teilt persönliche Informationen von 100.000 oder mehr Verbrauchern, Haushalten oder Geräten zu kommerziellen Zwecken
• Erzielt 50% oder mehr seines jährlichen Umsatzes durch den Verkauf oder das Teilen persönlicher Daten.

DSGVO gelten für Datenverantwortliche und Auftragsverarbeiter, die personenbezogene Daten von EU-Bürgern verarbeiten. Datenverantwortliche sind Organisationen, die entscheiden, wie und warum personenbezogene Daten verarbeitet werden. Auftragsverarbeiter sind Organisationen, die personenbezogene Daten im Auftrag der Datenverantwortlichen verarbeiten.

Geltungsbereich

Beide Gesetze gelten für Unternehmen, die sich außerhalb ihrer Grenzen befinden. Jede Organisation, die entweder EU-Bürger oder Kalifornier bedient, muss ihre Verpflichtungen gemäß diesen Datenschutzgesetzen verstehen.

Was als personenbezogene Daten gilt

DSGVO definiert personenbezogene Daten als alle Informationen, die sich auf eine identifizierbare Person beziehen, entweder direkt oder indirekt. Beispiele sind Namen, Geburtsdaten, Telefonnummern, Kundennummern, IP-Adressen, Telefon- oder Kreditkartennummern, Standort- oder biometrische Daten.

CCPA verfolgt einen breiteren Ansatz zum Datenschutz, indem er personenbezogene Daten als alle Informationen definiert, die entweder direkt oder indirekt mit einem bestimmten Verbraucher, Haushalt oder Gerät verknüpft werden können. Beispiele sind Namen und Adressen, Sozialversicherungsnummern, Kaufhistorien und Gerätekennungen wie IP-Adressen.

Sensible Daten

DSGVO definiert eine spezielle Kategorie personenbezogener Daten, die besonderen Verarbeitungsbedingungen unterliegt. Diese “sensiblen” personenbezogenen Daten können beispielsweise die rassische oder ethnische Herkunft einer Person, politische Meinungen oder sexuelle Orientierung offenbaren und dürfen nur aus sehr bestimmten Gründen verarbeitet werden, wie zum Beispiel zur Durchsetzung rechtlicher Ansprüche.

Unter CCPA, geändert durch CPRA, gibt es keine separate spezielle Kategorie von Daten. Es gibt jedoch Typen von Daten, die unter die Definition von personenbezogenen Informationen gemäß CCPA fallen und als spezielle Kategorien unter DSGVO angesehen werden. Dazu gehören die rassische oder ethnische Herkunft einer Person sowie Passnummern, genaue Standortdaten, biometrische Daten, Textnachrichten und mehr. Organisationen müssen Verbrauchern die Möglichkeit geben, der Nutzung und Offenlegung ihrer sensiblen personenbezogenen Daten zu widersprechen.

Rechte der betroffenen Personen

Sowohl CCPA, geändert durch CPRA, als auch DSGVO gewähren den betroffenen Personen ähnliche Rechte, darunter:

• Recht zu wissen, welche personenbezogenen Daten gesammelt werden
• Recht auf Zugang zu personenbezogenen Daten
• Recht, die Löschung personenbezogener Daten zu verlangen
• Recht auf Berichtigung ungenauer personenbezogener Daten, die ein Unternehmen über sie besitzt
• Recht auf Datenübertragbarkeit

Einige davon sind nur grob ähnlich, haben aber einige Unterschiede. Zum Beispiel beschränkt sich das Auskunftsrecht einer betroffenen Person gemäß CCPA auf den Erhalt einer schriftlichen Offenlegung ihrer personenbezogenen Daten. Dieses Recht nach der DSGVO ermöglicht einen breiteren Zugriff.

Andere Rechte der betroffenen Personen unterscheiden sich wesentlich zwischen den beiden Gesetzen. Zum Beispiel haben betroffene Personen nur gemäß CCPA das:

• Recht, dem Verkauf personenbezogener Daten zu widersprechen
• Recht auf Einschränkung der Nutzung und Offenlegung sensibler personenbezogener Daten
• Recht auf Kontaktdaten für das Einreichen von Anfragen im Zusammenhang mit Verbraucherrechten
• Recht auf Nichtdiskriminierung bei der Ausübung von Rechten betroffener Personen (obwohl dies in der DSGVO impliziert ist)

Nur unter der DSGVO haben betroffene Personen das:

• Recht, die Verarbeitung personenbezogener Daten unter bestimmten Umständen einzuschränken
• Recht, der Verarbeitung personenbezogener Daten für bestimmte Zwecke, einschließlich automatisierter Verarbeitung und Profiling, zu widersprechen

Was erforderlich ist

Zusätzlich zur Achtung der Verbraucherrechte in Bezug auf ihre personenbezogenen Daten haben Organisationen unter CCPA und DSGVO zusätzliche Verantwortlichkeiten.

Tatsächlich verlangen beide Gesetze, dass Organisationen einen legitimen Grund für die Erhebung und Verarbeitung personenbezogener Daten haben. Gemäß CCPA müssen Organisationen einen gültigen geschäftlichen Zweck für die Erhebung und / oder Verarbeitung personenbezogener Daten festlegen. Gemäß DSGVO müssen Organisationen eine rechtliche Grundlage für die Verarbeitung der Daten festlegen und die ausdrückliche Zustimmung der Verbraucher einholen.

Beide Gesetze verlangen von Organisationen, dass sie angemessene Sicherheitspraktiken und -verfahren implementieren und aufrechterhalten, um sicherzustellen, dass alle gesammelten personenbezogenen Daten vor einer Datenverletzung geschützt sind. Obwohl keines der Gesetze angibt, was angemessene Sicherheitsmaßnahmen sind, gehören zu den Beispielen Datenverschlüsselung, Firewalls, Zugangskontrollen, Mitarbeiterschulungen zur Sicherheit und die Aufrechterhaltung einer aktuellen Datenschutzrichtlinie.

Opt-in und Cookies

CCPA hat weniger strenge Anforderungen an Opt-in als die DSGVO. Gemäß CCPA müssen Unternehmen nur die ausdrückliche Zustimmung von Benutzern unter 16 Jahren einholen. Opt-in ist nicht erforderlich, es sei denn, die Benutzer sind unter 16 Jahren. Unternehmen müssen auch keine ausdrückliche Zustimmung für Cookies einholen, die personenbezogene Daten verfolgen. Sie müssen lediglich auf ihrer Website eine Option bereitstellen, mit der Benutzer Cookies, die ihre personenbezogenen Daten verkaufen, ablehnen können.

Gemäß DSGVO müssen Verbraucher eine klare, informierte Entscheidung treffen, um in die Datenverarbeitung einzuwilligen. Unternehmen dürfen Verbraucher nicht dazu zwingen, der Datenfreigabe zuzustimmen, indem sie ihnen den Zugang zu Produkten oder Dienstleistungen verweigern, und sie dürfen Verbraucher nicht durch versteckte Opt-in oder verwirrende Sprache täuschen.

Unternehmen müssen auch die ausdrückliche Zustimmung für Cookies einholen, die personenbezogene Daten verfolgen, und eine klare Option für Benutzer bereitstellen, um sich abzumelden, um die DSGVO einzuhalten.

Datenübertragungsbeschränkungen

Die DSGVO enthält spezifische Bestimmungen für die Übermittlung personenbezogener Daten außerhalb der EU oder des Europäischen Wirtschaftsraums (EWR). In Fällen, in denen Datenübermittlungen vorgenommen werden, gelten strenge Bedingungen, um einen angemessenen Datenschutz zu gewährleisten.

Der CCPA regelt hingegen nicht die Übermittlung personenbezogener Daten über internationale Grenzen hinweg.

Wer setzt das Gesetz durch

Die Einhaltung des CCPA wird vom Generalstaatsanwalt von Kalifornien durchgesetzt. Die Einhaltung der DSGVO wird von Datenschutzbehörden in den EU-Mitgliedstaaten durchgesetzt.

Strafen für Nichteinhaltung

Die DSGVO und der CCPA sind beide strenge Datenschutzgesetze, die bei Nichteinhaltung erhebliche Geldstrafen vorsehen können.

Unternehmen, die gegen die Anforderungen des CCPA verstoßen, können vom Generalstaatsanwalt von Kalifornien mit Geldstrafen von bis zu 7.500 USD pro Verstoß belegt werden. Sephora wurde im Jahr 2022 mit einer Geldstrafe von 1,2 Millionen USD belegt , weil es den Verbrauchern nicht mitteilte, dass es ihre persönlichen Daten verkauft. Es war das erste Unternehmen, das unter dem CCPA bestraft wurde.

Organisationen, die gegen die DSGVO verstoßen, können einen viel höheren Preis zahlen, insbesondere bei absichtlichen Verstößen.

Die Nichteinhaltung der DSGVO kann erhebliche finanzielle Strafen bedeuten — Geldbußen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes eines Unternehmens aus dem vorangegangenen Geschäftsjahr, je nachdem, welcher Betrag höher ist. Amazon wurde berüchtigterweise im Jahr 2021 mit einer Strafe von 888 Millionen Euro belegt , weil es Kundendaten ohne ordnungsgemäße Zustimmung verfolgte, und Google hat mehrere Verstoßstrafen in Höhe von insgesamt über 200 Millionen Euro gezahlt.

Werden Sie DSGVO- und CCPA-konform mit Secureframe

Unsere Plattform für Sicherheits- und Compliance-Automatisierung macht es schnell und einfach, sicherzustellen, dass Sie den Datenschutzbestimmungen, einschließlich DSGVO und CCPA, entsprechen. Erhalten Sie Zugriff auf von DSGVO- und CCPA-Experten überprüfte Verfahren und Richtlinien, proprietäre Schulungen zur automatischen Mitarbeiterkonformität, Zugang zu internen Experten und alles, was Sie benötigen, um konform zu werden und zu bleiben. Wir bleiben auch für Sie über die neuesten Datenschutzbestimmungen auf dem Laufenden, sodass Sie sich auf das Wesentliche konzentrieren können — Ihre Kunden zu bedienen und Ihr Geschäft auszubauen.

Um mehr über unsere DSGVO- und CCPA-Angebote zu erfahren, vereinbaren Sie eine Demo mit einem unserer Produktexperten.