Im sich ständig weiterentwickelnden Bereich des digitalen Datenschutzes markiert der California Privacy Rights Act (CPRA) einen bedeutenden Meilenstein für Unternehmen und Verbraucher im Goldenen Staat. Der CPRA, der zur Verbesserung und Erweiterung der Grundlagen des California Consumer Privacy Act (CCPA) verabschiedet wurde, leitet eine neue Ära strenger Datenschutzstandards und Verbraucherrechte ein.

Da Unternehmen die Komplexität der Compliance bewältigen, wird das Verständnis der Anforderungen des CPRA nicht nur zu einer rechtlichen Verpflichtung, sondern zu einem entscheidenden Element beim Aufbau von Vertrauen und Transparenz mit den Kunden.

Im Folgenden erklären wir die wesentlichen Punkte der CPRA-Compliance und bieten einen umfassenden Leitfaden, der Organisationen hilft, ihre Praktiken mit den Bestimmungen des Gesetzes in Einklang zu bringen. Wir werden die wichtigsten Aspekte der CPRA-Compliance behandeln, von der Wahrung der Verbraucherrechte bis hin zur Umsetzung robuster Datenschutzmaßnahmen, um Ihrem Unternehmen zu helfen, rechtliche Verpflichtungen zu erfüllen und Datenschutz als Kernwert zu verankern.

Der California Privacy Rights Act erklärt

Der CPRA ist eine neue Gesetzgebung, die den bestehenden CCPA ändert und auf ihm aufbaut, um kalifornischen Verbrauchern stärkeren Datenschutz zu bieten. Er wurde am 3. November 2020 nach der Genehmigung durch die kalifornischen Wähler im Rahmen einer Volksabstimmung während der allgemeinen Wahlen verabschiedet.

CPRA erweitert die Definition der im CCPA festgelegten personenbezogenen Daten und schafft neue Verbraucherrechte, darunter das Recht auf:

• Berichtigung ungenauer personenbezogener Daten
• Löschung personenbezogener Daten
• Kenntnis darüber, welche personenbezogenen Daten gesammelt werden und wie sie verwendet werden
• Opt-out vom Verkauf ihrer personenbezogenen Daten

Wenn der CCPA kalifornischen Einwohnern bereits Datenschutzrechte gewährte, warum ist der CPRA notwendig und was ist sein Zweck? Der CPRA wurde aus mehreren Gründen verabschiedet:

1. Stärkung der Verbraucherrechte: Der CPRA gibt den Einwohnern Kaliforniens noch mehr Kontrolle über ihre personenbezogenen Daten, wie das Recht, ungenaue Informationen zu berichtigen und das Recht, die Verwendung sensibler personenbezogener Daten einzuschränken.
2. Bewältigung neuer Datenschutzherausforderungen: Da sich Technologie und Datenpraktiken weiterentwickeln, entstehen neue Datenschutzherausforderungen. Der CPRA wurde entwickelt, um diese Herausforderungen anzugehen, indem der regulatorische Rahmen aktualisiert und erweitert wird, um Verbraucher in einem sich schnell verändernden digitalen Umfeld besser zu schützen.
3. Stärkung der Durchsetzung: Der CPRA gründete die California Privacy Protection Agency (CPPA), eine neue Regulierungsbehörde, die sich der Durchsetzung der Datenschutzgesetze des Staates widmet. Dieser Schritt zielte darauf ab, die Durchsetzung der Datenschutzrechte zu stärken und sicherzustellen, dass Unternehmen das Gesetz einhalten.
4. Klarstellung und Erweiterung der Vorschriften: Der CPRA versuchte auch, bestimmte Aspekte des CCPA zu klären, die mehrdeutig waren oder unterschiedlich interpretiert wurden. Er schließt auch Lücken in der Gesetzgebung, die zum Nachteil des Datenschutzes der Verbraucher hätten ausgenutzt werden können.
5. Anpassung an globale Datenschutzstandards: Mit dem globalen Trend zu strengeren Datenschutzbestimmungen, wie der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union, zielte der CPRA darauf ab, die Datenschutzgesetze Kaliforniens näher an internationale Standards heranzuführen.

Welche Unternehmen müssen den Vorschriften der CPRA entsprechen?

Wie die CCPA gilt die CPRA für jedes gewinnorientierte Unternehmen, das persönliche Informationen kalifornischer Verbraucher sammelt oder verarbeitet. Dazu gehören:

• Technologieunternehmen wie soziale Medien, Werbetechnologie, Bildungstechnologie und Cloud-Dienste
• E-Commerce-Unternehmen und Online-Händler
• Fintech- und Finanzinstitute wie Banken und Kreditgenossenschaften
• Reise- und Gastgewerbeunternehmen einschließlich Hotels, Fluggesellschaften und Reisebüros
• Abonnementdienste wie Streaming-Anbieter, Online-Publikationen und Mitgliedschaftsprogramme
• Immobilienunternehmen und Online-Plattformen
• Datenbroker und Marketingfirmen , die persönliche Informationen kaufen, verkaufen oder teilen

Es gibt bestimmte Ausnahmen für kleine Unternehmen, die:

• Einen jährlichen Bruttoumsatz von weniger als 25 Mio. USD haben
• Kaufen, verkaufen oder verarbeiten jährlich die persönlichen Informationen von weniger als 100.000 Verbrauchern oder Haushalten
• Weniger als 50 % ihres Jahresumsatzes aus dem Verkauf oder der Weitergabe von persönlichen Informationen von Verbrauchern erzielen 

CPRA vs CCPA vs DSGVO: Vergleich von Datenschutzbestimmungen

Welche Arten von personenbezogenen Daten werden durch die CPRA geschützt?

Wie die CCPA definiert die CPRA "persönliche Informationen" ziemlich breit. Sie umfasst mehrere Arten von Daten, die direkt oder indirekt mit einem bestimmten Verbraucher oder Haushalt verknüpft werden könnten. Persönliche Informationen unter der CPRA umfassen:

Identifikatoren:

• Name oder Alias
• Postanschrift
• Einzigartiger persönlicher Identifikator oder Online-Identifikator
• IP-Adresse
• E-Mail-Adresse
• Kontoname
• Sozialversicherungsnummer
• Führerscheinnummer
• Reisepassnummer

Kundenaufzeichnungen:

• Name
• Unterschrift
• Sozialversicherungsnummer
• Physikalische Merkmale oder Beschreibung
• Postanschrift
• Telefonnummer
• Reisepassnummer
• Führerschein- oder staatliche ID-Nummer
• Versicherungsscheinnummer
• Bildungs- oder Beschäftigungshistorie
• Bankkonto-, Kreditkarten- und Debitkartennummern oder sonstige finanzielle Informationen
• Medizinische oder Krankenversicherungsinformationen

Geschützte Klassifikationen:

• Rasse
• Religion
• Sexuelle Orientierung
• Geschlechtsidentität oder -ausdruck
• Alter
• Behinderung

Kommerzielle Informationen:

• Aufzeichnungen über persönliches Eigentum
• Kaufte, erworbene oder in Betracht gezogene Produkte oder Dienstleistungen
• Kauf- oder Verbrauchsgeschichten oder -tendenzen

Internet- oder andere elektronische Netzwerkaktivitätsinformationen:

• Browsing- und Suchverlauf
• Informationen zu Interaktionen mit einer Website, Anwendung oder Online-Werbung

Biometrische und sensorische Informationen:

• Fingerabdrücke, Gesichtsabdrücke und Stimmabdrücke
• Iris- oder Netzhautscans
• Tastaturanschlag, Gang oder andere physische Muster
• Schlaf-, Gesundheits- oder Fitnessdaten, die identifizierende Informationen enthalten
• Audio-, elektronische, visuelle, thermische, olfaktorische oder ähnliche Informationen

Geolokalisierungsdaten:

• Präzise geografische Standortinformationen über eine bestimmte Person oder ein bestimmtes Gerät

Beschäftigungs- oder Ausbildungsinformationen:

• Berufserfahrung und Leistungsbeurteilungen
• Informationen, die gemäß dem Family Educational Rights and Privacy Act (FERPA) als nicht öffentlich zugängliche personenbezogene Informationen definiert sind

Gezogene Schlüsse:

• Verbraucherprofile, die erstellt werden, um die Vorlieben, Eigenschaften, psychologischen Trends, Neigungen, Verhaltensweisen, Einstellungen, Intelligenz, Fähigkeiten und Begabungen des Verbrauchers zu reflektieren

Diese umfassende Definition personenbezogener Daten nach dem CPRA unterstreicht den weiten Ansatz des Gesetzes in Bezug auf Datenschutz und Schutz, was von Unternehmen verlangt, die von ihnen gesammelten, genutzten und geteilten Verbraucherdaten sorgfältig zu prüfen, um die Einhaltung der Gesetze sicherzustellen.

Jedoch werden nicht alle Verbraucherinformationen als personenbezogene Informationen betrachtet, die unter CPRA und CCPA geschützt sind. Kategorien von Daten, die nicht als personenbezogene Informationen gelten, umfassen:

• Öffentlich zugängliche Informationen: Informationen, die rechtmäßig aus den Aufzeichnungen von Bundes-, Landes- oder lokalen Behörden verfügbar gemacht werden.
• Deidentifizierte, aggregierte oder anonymisierte Informationen: Daten, die nicht vernünftigerweise verwendet werden können, um Informationen über einen bestimmten Verbraucher oder Haushalt abzuleiten oder anderweitig zu verknüpfen.
• Nach anderen Gesetzen ausgeschlossene Informationen: Bestimmte personenbezogene Informationen werden durch sektorspezifische Datenschutzgesetze abgedeckt und gelten daher nicht als personenbezogene Informationen gemäß CPRA. Beispiele beinhalten:
• - Gesundheits- oder medizinische Informationen, die durch den Health Insurance Portability and Accountability Act (HIPAA) und das California Confidentiality of Medical Information Act (CMIA) abgedeckt sind
• - Personenbezogene Informationen, die gemäß dem Gramm-Leach-Bliley Act (GLBA) in Bezug auf Finanzinstitute und -dienstleistungen gesammelt, verarbeitet, verkauft oder offengelegt werden
• - Personenbezogene Informationen, die durch den Fair Credit Reporting Act (FCRA) abgedeckt sind
• - Personenbezogene Informationen, die gemäß dem Driver's Privacy Protection Act von 1994 gesammelt, verarbeitet, verkauft oder offengelegt werden

Was gilt als sensible personenbezogene Informationen unter dem CPRA?

Das CPRA führt das Konzept der „sensiblen personenbezogenen Informationen“ ein, die als privatere Informationen gelten und ein höheres Risiko für Schäden darstellen, wenn sie missbraucht oder offengelegt werden. Diese neue Kategorie personenbezogener Informationen umfasst:

• Führerschein, Staatliche ID, Pass oder Sozialversicherungsnummer
• Finanzkonto-, Debitkarten- oder Kreditkartennummer in Kombination mit einem erforderlichen Sicherheits- oder Zugangscode, Passwort oder Anmeldeinformationen
• Präzise Geolokation
• Rassische oder ethnische Herkunft
• Religiöse oder philosophische Überzeugungen
• Gewerkschaftsmitgliedschaft
• Der Inhalt der Post, E-Mails und Textnachrichten eines Verbrauchers, es sei denn, das Unternehmen ist der beabsichtigte Empfänger der Kommunikation
• Genetische Daten
• Biometrische Informationen, die einen Verbraucher eindeutig identifizieren können
• Personenbezogene Informationen, die im Zusammenhang mit der Gesundheit, dem Sexualleben oder der sexuellen Orientierung eines Verbrauchers gesammelt und analysiert werden

Das CPRA bietet Verbrauchern neue Rechte, die sich speziell auf sensible personenbezogene Informationen beziehen, sowie strengere Verpflichtungen für Unternehmen, die mit diesen Daten umgehen.

Recht auf Einschränkung der Nutzung und Offenlegung: Verbraucher haben das Recht, Unternehmen anzuweisen, die Verwendung ihrer sensiblen personenbezogenen Informationen auf nur die Zwecke zu beschränken, die zur Erfüllung der vom Verbraucher angeforderten Dienstleistungen oder zur Bereitstellung der angeforderten Waren notwendig sind. Beispielsweise zur Durchführung einer Transaktion, zur Bereitstellung angeforderter Waren oder Dienstleistungen, zur Gewährleistung von Sicherheit und Integrität sowie zur Durchführung von Aktivitäten zur Überprüfung oder Aufrechterhaltung der Qualität oder Sicherheit einer Dienstleistung oder eines Geräts.

Transparenzanforderungen: Unternehmen sind verpflichtet, den Verbrauchern klare Informationen über ihre Rechte in Bezug auf sensible personenbezogene Informationen bereitzustellen, einschließlich des Rechts auf Einschränkung der Nutzung.

Zweckbindung: Unternehmen müssen die Verwendung sensibler personenbezogener Informationen auf nur die Zwecke beschränken, die zur Erfüllung der vereinbarten Dienstleistungen oder zur Bereitstellung der vereinbarten Waren notwendig sind, es sei denn, sie erhalten eine ausdrückliche Zustimmung des Verbrauchers für zusätzliche Verwendungen.

Verbraucherrechte laut CPRA

Die CPRA gewährt Verbrauchern bedeutende Rechte in Bezug auf ihre persönlichen Daten. Diese Rechte bauen auf denjenigen auf, die durch den CCPA etabliert wurden, und führen neue Bestimmungen ein, um die Privatsphäre der Verbraucher zu verbessern.

Hier ist ein Überblick über die Verbraucherrechte gemäß CPRA und CCPA:

Recht auf Auskunft: Verbraucher haben das Recht zu erfahren: 

• Welche persönlichen Informationen über sie gesammelt werden
• Die Quellen der gesammelten Informationen
• Den Zweck der Sammlung oder des Verkaufs der Informationen
• Die Kategorien von Dritten, mit denen die Informationen geteilt werden

Recht auf Zugang: Verbraucher können Zugriff auf spezifische persönliche Informationen verlangen, die ein Unternehmen über sie gesammelt hat.

Recht auf Löschung: Verbraucher haben das Recht, die Löschung ihrer persönlichen Daten zu verlangen, die von einem Unternehmen und damit auch von den Dienstleistern des Unternehmens gehalten werden.

Recht auf Korrektur: Ein neues Recht gemäß der CPRA erlaubt es Verbrauchern, ungenaue persönliche Informationen, die ein Unternehmen über sie hat, zu korrigieren.

Recht auf Widerspruch gegen den Verkauf oder die Weitergabe: Verbraucher können dem Verkauf oder der Weitergabe ihrer persönlichen Informationen widersprechen. Die CPRA erweitert dieses Recht um die Weitergabe personenbezogener Daten für kontextübergreifende Verhaltenswerbung.

Recht auf Einschränkung der Nutzung und Offenlegung sensibler persönlicher Informationen: Verbraucher können Unternehmen anweisen, die Nutzung ihrer sensiblen persönlichen Informationen auf das Notwendige zu beschränken, um die vom Verbraucher angeforderten Dienstleistungen zu erbringen oder die angeforderten Waren bereitzustellen.

Recht auf Datenübertragbarkeit: Auf Anfrage haben Verbraucher das Recht, eine Kopie ihrer persönlichen Informationen in einem portablen und leicht nutzbaren Format zu erhalten, das es ihnen ermöglicht, die Informationen an eine andere Stelle zu übertragen.

Recht auf Gleichbehandlung: Unternehmen dürfen Verbraucher nicht dafür diskriminieren, dass sie ihre CPRA-Rechte ausgeübt haben, einschließlich durch die Verweigerung von Waren oder Dienstleistungen, die Berechnung unterschiedlicher Preise oder Raten oder die Bereitstellung einer anderen Ebene oder Qualität von Waren oder Dienstleistungen.

Recht auf Widerspruch gegen automatisierte Entscheidungsfindung: Die CPRA führt ein Recht für Verbraucher ein, gegen automatisierte Entscheidungsfindung, einschließlich Profilerstellung in bestimmten Kontexten, zu widersprechen.

Recht auf Einschränkung personenbezogener Daten: Verbraucher haben das Recht, die Nutzung ihrer sensiblen persönlichen Daten für andere als die ausdrücklich durch die CPRA erlaubten Zwecke, wie die Erbringung der angeforderten Dienstleistungen oder die Bereitstellung der angeforderten Waren, einzuschränken.

Strafen bei Nichteinhaltung der kalifornischen Datenschutzgesetze

Die CPPA ist in erster Linie für die Durchsetzung der CPRA verantwortlich. Sie hat die Befugnis, Unternehmen auf Einhaltung zu prüfen, mögliche Verstöße zu untersuchen und Bußgelder und Strafen bei Nichteinhaltung zu verhängen. Die Schaffung der CPPA ist eine bedeutende Entwicklung in der Datenschutzgesetzgebung, da es die erste Behörde in den Vereinigten Staaten ist, die sich ausschließlich dem Datenschutz der Verbraucher widmet.

Während die CPPA die primäre Vollzugsbehörde ist, behält sich der kalifornische Generalstaatsanwalt ebenfalls das Recht vor, die CPRA durchzusetzen, insbesondere in Fällen, in denen zivilrechtliche Strafen in Betracht kommen.

Je nach Schwere des Verstoßes kann die Nichteinhaltung der CPRA folgende Strafen nach sich ziehen:

• Verwaltungsstrafen: Die CPPA kann Verwaltungsstrafen von bis zu 2.500 US-Dollar für jede Verletzung und bis zu 7.500 US-Dollar für jede absichtliche Verletzung oder Verletzungen, die die persönlichen Informationen von Minderjährigen betreffen, verhängen. Diese Strafen werden pro Verletzung verhängt, was zu erheblichen Strafen für weitverbreitete oder systematische Probleme führen kann.
• Zivilstrafen: Zusätzlich zu Verwaltungsstrafen können Unternehmen zivilrechtlichen Strafen ausgesetzt sein, die durch rechtliche Schritte des Generalstaatsanwalts von Kalifornien durchgesetzt werden. Das Potenzial für zivilrechtliche Strafen stellt für nicht konforme Unternehmen ein weiteres finanzielles Risiko dar.
• Privates Klagerecht: Im Falle eines Datenverstoßes, der auf das Versäumnis eines Unternehmens zurückzuführen ist, angemessene Sicherheitsverfahren und -praktiken zu implementieren und aufrechtzuerhalten, können Verbraucher gesetzliche Schadenersatzansprüche zwischen 100 und 750 US-Dollar pro Verbraucher und Vorfall oder tatsächliche Schäden geltend machen, je nachdem, welcher Betrag höher ist. Diese Bestimmung ermöglicht es Einzelpersonen, rechtliche Schritte unabhängig von den Durchsetzungsmaßnahmen der CPPA oder des Generalstaatsanwalts zu ergreifen.

Was CCPA-konforme Organisationen tun müssen, um den Anforderungen der CPRA gerecht zu werden

Wenn Ihre Organisation bereits CCPA-konform ist, haben Sie ein solides Fundament für Datenschutzpraktiken geschaffen. Angesichts des umfangreicheren Geltungsbereichs der CPRA und der Durchsetzungsbefugnisse der CPPA ist es jedoch wichtig, proaktiv neue Anforderungen zu adressieren. Um die volle CPRA-Compliance zu gewährleisten, müssen Sie die folgenden Schritte unternehmen:

1. Verstehen der CPRA-Verbesserungen: Machen Sie sich mit den erweiterten Definitionen und Konzepten der CPRA vertraut, wie z. B. sensiblen persönlichen Informationen, dem Austausch persönlicher Informationen und neuen Verbraucherrechten.
2. Schulung der Mitarbeiter: Bieten Sie aktualisierte Schulungen zum Datenschutz für Mitarbeiter an, die mit persönlichen Informationen oder Verbraucherfragen zu den Datenschutzpraktiken Ihrer Organisation umgehen, und stellen Sie sicher, dass sie sich der Anforderungen der CPRA und deren Einhaltung bewusst sind.
3. Überprüfung und Aktualisierung des Datenbestands: Führen Sie eine umfassende Überprüfung der persönlichen Informationen durch, die Ihre Organisation sammelt, verarbeitet, speichert und weitergibt. Achten Sie besonders auf sensible persönliche Informationen und stellen Sie sicher, dass die Datenverarbeitung die neuen strengeren Anforderungen erfüllt.
4. Aktualisierung von Datenschutzrichtlinien und -hinweisen: Überarbeiten Sie Ihre Datenschutzrichtlinien und Verbraucherhinweise, um die zusätzlichen Rechte und Schutzmaßnahmen gemäß der CPRA zu umfassen, wie z. B. das Recht auf Berichtigung von Ungenauigkeiten und das Recht, die Verwendung sensibler persönlicher Informationen zu beschränken. Stellen Sie sicher, dass Ihre Richtlinien klar kommunizieren, wie Verbraucher ihre Rechte ausüben können.
5. Bewertung und Stärkung der Datensicherheit: Angesichts des erweiterten privaten Klagerechts bei Datenverstößen ist es wichtig, Ihre aktuellen Sicherheitsmaßnahmen zu bewerten, um Schwachstellen zu identifizieren und zu schließen, um unbefugten Zugriff, Offenlegung und Nutzung persönlicher Informationen zu verhindern.
6. Überprüfung von Verträgen mit Anbietern und Dritten: Überprüfen Sie Vereinbarungen mit Dienstleistern, Auftragnehmern und Dritten, um sicherzustellen, dass sie Bedingungen enthalten, die den CPRA-Anforderungen entsprechen. Dazu gehören Verpflichtungen zur Einhaltung der CPRA-Bestimmungen, zur Verarbeitung persönlicher Informationen gemäß den Anweisungen Ihrer Organisation und zur Unterstützung bei der Erfüllung von Verbraucherrechten.
7. Implementierung von Prozessen für neue Verbraucherrechte: Entwickeln und implementieren Sie Prozesse, um den Rechten der Verbraucher auf Berichtigung ihrer persönlichen Informationen und zur Einschränkung der Verwendung und Weitergabe ihrer sensiblen persönlichen Informationen gerecht zu werden. Dies kann die Anpassung Ihrer bestehenden Systeme zur Abwicklung von Verbraucheranfragen nach dem CCPA umfassen.
8. Regelmäßige interne Compliance-Audits durchführen: Führen Sie regelmäßig Audits Ihrer CPRA-Compliance durch, um Lücken oder Schwachstellen zu identifizieren und zu beheben und sicherzustellen, dass die Einhaltung des Gesetzes fortlaufend gewährleistet ist.
9. Dokumentationsbemühungen zur Einhaltung der Vorschriften: Führen Sie detaillierte Aufzeichnungen über Ihre Compliance-Aktivitäten, einschließlich Datenmapping, Risikobewertungen, Policy-Updates, Mitarbeiterschulungen und Bearbeitung von Anfragen zu Verbraucherrechten. Diese Dokumentation kann entscheidend sein, um im Falle behördlicher Anfragen oder Prüfungen die Einhaltung der Vorschriften nachzuweisen.

Datenschutzkonformität mit Secureframes GRC-Automatisierung sicherstellen

Automatisierung verändert grundlegend die Landschaft von Sicherheit, Datenschutz und Compliance, indem sie den Aufbau und die Aufrechterhaltung Ihres Datenschutzprogramms schneller und einfacher macht und die Einhaltung einer sich entwickelnden regulatorischen Landschaft gewährleistet.

Mit Secureframe können Sie: 

• Die richtigen Datenschutzrichtlinien und -verfahren einrichten
• Mitarbeiterschulungen durchführen und nachverfolgen
• Automatisierte Beweiserhebung zur Einhaltung der CPRA durchführen
• Auf dem neuesten Stand der Datenschutzanforderungen bleiben

Eine Automatisierungsplattform erleichtert es auch, die Einhaltung mehrerer Datenschutzvorschriften, einschließlich DSGVO, zu erreichen und nachzuweisen. Anstatt bei Null anzufangen, kann Compliance-Software dabei helfen, das, was Sie bereits für die CPRA und CCPA getan haben, auf andere Vorschriften und Informationssicherheitsrahmen zu übertragen.

Um mehr über die Fähigkeiten von Secureframe zu erfahren, vereinbaren Sie noch heute eine Demo mit einem Produktexperten.