Iubenda logo
Generator starten

Anleitungen

INHALTSÜBERSICHT

Was ist das CCPA? Eine umfassende Anleitung über alle Aspekte, die Sie zur Erfüllung der Anforderungen benötigen

❗️ Wichtig

Bitte beachten Sie, dass das CCPA durch das California Privacy Rights Act (CPRA) ergänzt wurde, welcher jetzt in Kraft ist. Sehen Sie sich dazu bitte diesen Leitfaden an: CPRA: Einführung in das CCPA 2.0 und wie es Sie betrifft. Dort finden Sie Informationen dazu, was dies für Sie bedeutet und was Sie tun müssen.

Die unten aufgeführten Informationen beziehen sich auf das CCPA und sind nicht mehr vollständig aktuell.

Update

Das California Privacy Rights Act (CPRA) stärkt durch zusätzlichen Schutz der Privatsphäre von Verbrauchern den bestehenden California Consumer Privacy Act (CCPA). Das CPRA stellt eine Ergänzung des CCPA dar und das durch den CCPA vorgesehene Rahmenwerk wird dadurch weder ersetzt noch aufgehoben.

Das CCPA gewährt den Einwohnern Kaliforniens verschiedene Rechte und regelt die Maßnahmen von Unternehmen, die personenbezogene Informationen erfassen oder verkaufen. Hinsichtlich der Folgen der Verarbeitung von Verbraucherdaten ist darin jedoch ein gewisser Interpretationsspielraum gegeben. Aus diesem Grund wurde durch das California Privacy Rights Act (CPRA) eine Ergänzung zum CCPA geschaffen.

Das CPRA trat im Januar 2023 in Kraft und kann durch die Erweiterung einiger Hauptelemente des CCPA als eine umfassendere Version des Gesetzes verstanden werden.

💡 Wir haben unsere Produkte auf den neuesten Stand gebracht, um sie an die jüngsten CPRA-Änderungen anzupassen. Nähere Einzelheiten dazu, was Sie tun müssen, um diesen Vorschriften zu entsprechen, finden Sie hier.

Für wen gilt das CCPA?

Im Allgemeinen findet das CCPA Anwendung, wenn BEIDE der folgenden Bedingungen zutreffen:

  • Sie haben ein Unternehmen; und
  • Sie haben kalifornische Verbraucher als Zielgruppe.

Wichtige Definitionen

Verbraucher

Nach dem CCPA ist ein „Verbraucher“ definiert als eine natürliche Person, die in Kalifornien ansässig ist.

Unternnehmen

Im Rahmen des Geltungsbereichs des CCPA’s wird ein „Unternehmen“ als eine gewinnorientierte Gesellschaft definiert, die personenbezogene Daten von Verbrauchern sammelt – den Zweck und die Methode der Verarbeitung bestimmt, sich an in Kalifornien ansässige Personen richtet (unabhängig davon, ob das Unternehmen tatsächlich in Kalifornien ansässig ist oder nicht) und mindestens eine der folgenden Voraussetzungen erfüllt:

  • ein jährlicher Bruttojahresumsatz von mehr als fünfundzwanzig Millionen Dollar (25.000.000 $); oder
  • 50 % oder mehr des Jahresumsatzes durch den Verkauf personenbezogener Informationen von Verbrauchern erzielt werden; oder
  • kauft, empfängt, verkauft oder teilt die personenbezogene Daten von 50.000 oder mehr Verbrauchern jährlich für kommerzielle Zwecke des Unternehmens. Da IP-Adressen unter personenbezogene Daten fallen – und „kommerzielle Zwecke“ einfach bedeutet, kommerzielle oder wirtschaftliche Interessen zu fördern – ist es wahrscheinlich, dass jede Website, mit mindestens 50.000 einmaligen Besuchen pro Jahr aus Kalifornien, in diesen Geltungsbereich fallen.

Personenbezogene Informationen

Im Rahmen des Geltungsbereichs des CCPA’s wird „personenbezogene Informationen“ definiert als „Informationen, die einen bestimmten Verbraucher oder Haushalt identifizieren, sich auf ihn beziehen, ihn beschreiben, mit ihm in Verbindung gebracht werden können oder berechtigterweise direkt, oder indirekt mit ihm in Verbindung gebracht werden könnten“.

Das CCPA gibt weiter an (auf Englisch), dass personenbezogene Daten enthalten sein können, aber nicht darauf beschränkt sein müssen:

  • Identifikatoren, wie z.B. der reale Name, Alias, Postanschrift, eindeutige personenbezogene Kennung, Online-Identifikations-IP-Adresse, E-Mail-Adresse, Kontoname, Sozialversicherungsnummer, Führerscheinnummer, Reisepassnummer oder andere ähnliche Identifikatoren;
  • kommerzielle Informationen, einschließlich Verzeichnisse über personenbezogenen Eigentum, gekaufte, erhaltene oder in Betracht gezogene Produkte oder Dienstleistungen oder andere Kauf- oder Verbrauchsgeschichten oder -tendenzen;
  • biometrische Informationen;
  • Browserverlauf, Suchverlauf und Informationen über die Interaktion mit Websites, Anwendungen oder Anzeigen;
  • Daten aus Geolokalisierung;
  • Audio-, elektronische, visuelle, thermische, olfaktorische oder ähnliche Informationen;
  • berufliche oder beschäftigungsbezogene Informationen;
  • pädagogische Informationen – andere als die hier (auf Englisch) definierten, öffentlich verfügbaren Informationen; oder
  • alle Informationen, aus den oben genannten gezogenen Schlüsse, die zur Erstellung eines Verbraucherprofils verwendet werden, das die Präferenzen, Merkmale, psychologischen Trends, Veranlagungen, Verhalten, Einstellungen, Intelligenz, Fähigkeiten und Begabungen des Verbrauchers widerspiegelt.

Verkauf

Verkauf ist im Rahmen des CCPA definiert als: „Verkauf, Vermietung, Freigabe, Offenlegung, Verbreitung, Zurverfügungstellung, Übertragung oder sonstige mündliche, schriftliche, elektronische oder sonstige Übermittlung der personenbezogenen Daten eines Verbrauchers durch das Unternehmen an ein anderes Unternehmen oder einen Dritten gegen Entgelt oder eine andere wertorientierte Vergütung“ (aus dem Englischen übersetzt).

Wertorientierte Vergütung


Das CCPA definiert derzeit zwar nicht explizit die „wertorientierte Vergütung“, im kalifornischen Vertragsrecht wird dieser jedoch als „Vorteil, der dem Versprechensgeber von einer anderen Person gewährt wird oder zu gewähren vereinbart wurde und auf den der Versprechensgeber keinen rechtmäßigen Anspruch hat, oder jeder Nachteil, den eine solche Person erlitten hat oder zu erleiden vereinbart hat, außer dem, den sie zum Zeitpunkt der Einwilligung rechtmäßig zu erleiden hat, als Anreiz für den Versprechensgeber, ist eine gute Gegenleistung für ein Versprechen“ definiert (aus dem Englischen übersetzt).

In diesem Zusammenhang kann eine „wertorientierte Vergütung“ weit ausgelegt werden, d. h. alle Vereinbarungen beinhalten, bei denen personenbezogenen Informationen ausgetauscht werden – wobei der übertragende Rechtsträger jeden Vorteil erhält, auf die er ohne die Vereinbarung keinen Rechtsanspruch hätte.

WICHTIG

Der CalOPPA ist vom CCPA nicht aufgehoben worden und gilt weiterhin. Dies sollten Sie zur Kenntnis nehmen, denn auch wenn die obige Definition von „Unternehmen“ nicht auf Sie zutrifft, kann es möglicherweise dennoch sein, dass Sie den CalOPPA einhalten müssen oder beide Gesetze auf Sie anwendbar sind. Lesen Sie hier mehr über CalOPPA

Rechte des Verbrauchers nach dem CCPA

Was genau verlangt das CCPA?

Das Recht, informiert zu werden

Nach dem CCPA haben Verbraucher das Recht, über die Verarbeitung ihrer Daten am oder vor dem Zeitpunkt der Erhebung informiert zu werden.

Gemäß des CCPA’s müssen Sie offenlegen, welche:

  • Kategorien personenbezogenen Daten, die das Unternehmen sammelt, verkauft oder geteilt werden;
  • Kategorien von Drittparteien, mit denen das Unternehmen personenbezogenen Daten geteilt werden;
  • Kategorien von Quellen gibt es, aus denen diese Informationen gesammelt wurden;
  • geschäftliche/kommerzielle Zwecke es für die Erhebung der Daten oder den Verkauf der personenbezogenen Daten der Verbraucher gibt;
  • Rechte der Verbraucher hat und wie sie ausgeübt werden; und
  • wie der Verbraucher dem Verkauf seiner Daten widersprechen kann – über einen Link „Meine personenbezogenen Informationen nicht verkaufen“ (im Falle das Daten verkauft werden).

Das Recht auf Auskunft

Nach dem CCPA haben Verbraucher das Recht, auf ihre personenbezogene Daten zuzugreifen, wenn sie nachweislich darum gebeten haben *.

Insbesondere haben Verbraucher das Recht auf Auskunft in:

  • die Kategorien der personenbezogenen Daten des Verbrauchers, die in den letzten 12 Monaten gesammelt wurden;
  • spezifische Informationen, die über sie gesammelt wurden;
  • die Kategorien der Quellen, aus denen das Unternehmen die Informationen gesammelt hat;
  • die Zwecke der Datenerhebung oder des Verkaufs der Informationen;
  • die Kategorien von Dritten, an die die personenbezogenen Daten weitergegeben werden;
  • die Kategorien der verkauften personenbezogenen Daten und die Kategorien der Dritten, an die die personenbezogenen Daten verkauft wurden;
  • die Kategorien der personenbezogenen Daten, die für Geschäftszwecke weitergegeben wurden.

* Nachprüfbar angefordert oder eine „nachprüfbare Verbraucheranfrage“ bedeutet eine Anfrage, die von einem Verbraucher, von einem Verbraucher im Namen des minderjährigen Kindes oder von einer natürlichen Person oder einer beim „Secretary of State“ registrierten Person gestellt wird, die vom Verbraucher bevollmächtigt wurde, im Namen des Verbrauchers zu handeln, und die das Unternehmen in angemessener Weise überprüfen kann . . . um der Verbraucher zu sein, über den das Unternehmen personenbezogene Daten gesammelt hat. Cal. Civ. Code § 1798.140(y) (aus dem Englischen übersetzt: https://www.iubenda.com/en/help/19133-ccpa-guide).

Sie müssen Verbrauchern zwei oder mehrere Methoden zur Einreichung von Zugangsanfragen zur Verfügung stellen, darunter mindestens eine gebührenfreie Telefonnummer und, sofern das Unternehmen eine Internet-Website betreibt, eine Website-Adresse. Darüber hinaus müssen Sie angemessene Anstrengungen unternehmen, um zu überprüfen, ob die Person, die die Anfrage stellt, entweder der Verbraucher ist, über den die Informationen gesammelt wurden, oder, wie oben beschrieben, berechtigt ist, diese Informationen im Namen des Verbrauchers anzufordern.

Das Recht auf Übertragbarkeit von Daten

Im Rahmen des CCPA’s ist das Recht auf Datenportabilität mit dem Recht auf Auskunft gemäß Abschnitt 1798.100 (d) zusammengefasst.

Wenn Unternehmen Zugangsanfragen „elektronisch“ beantworten, ist es auch erforderlich, dass die Informationen dem Verbraucher „in einem tragbaren und, soweit technisch durchführbar, in einem leicht verwendbaren Format zur Verfügung gestellt werden, welches es dem Verbraucher erlaubt, diese Informationen ungehindert an eine andere Entität zu übermitteln“ (aus dem Englischen übersetzt).

Informationsanfragen müssen innerhalb von 45 Tagen nach der überprüfbaren Anfrage des Verbrauchers kostenlos erfüllt werden. Diese Frist kann einmal um weitere 45 Tage verlängert werden, wenn dies vernünftigerweise erforderlich ist und vorausgesetzt, dass der Verbraucher innerhalb der ersten 45-Tage-Frist von der Verlängerung in Kenntnis gesetzt wird.

Die Offenlegungen, die bei der Erfüllung des Antrags erfolgen, sollten sich auf den 12-Monatszeitraum vor dem Eingang des Antrags beziehen.

Format der Übermittlung

Unternehmen müssen entweder per Post oder in einem elektronischen Format (z.B. E-Mail, Datei-Download usw.) antworten. Bei einer elektronischen Zustellung schreibt das Gesetz vor, dass die Informationen „übertragbar“ sein müssen, d. h. in einem Format geliefert werden müssen, das einfach zu benutzen ist und die Übertragung der Informationen an eine andere Entität ungehindert ermöglicht.

Ausnahmen und Einschränkungen

  • Verbrauchern sind maximal 2 Anfragen über einen Zeitraum von 12 Monaten erlaubt.
  • Einzelne einmalige Verarbeitungen sind ausgeschlossen, wenn die Informationen weder verkauft, noch vom Unternehmen gespeichert, oder zur anderweitigen Re-Identifikation der Person, verwendet werden.
  • Eine Antwort ist nicht erforderlich, wenn das Unternehmen tatsächlich keine Informationen über den betreffenden Verbraucher gesammelt hat.

Das Recht, gelöscht zu werden

Das CCPA räumt Verbrauchern das Recht ein, die Löschung aller personenbezogenen Daten zu verlangen, die über sie gesammelt wurden. Wenn ein nachprüfbarer Antrag auf Löschung von einem Verbraucher eingeht, müssen Sie die personenbezogenen Daten des Verbrauchers aus Ihren Verzeichnisse löschen und alle verbundenen Dienste anweisen, Ihnen dies gleich zu tun.

Sie müssen den Verbrauchern zwei oder mehrere Verfahren zur Einreichung von Anfragen zur Verfügung stellen, darunter mindestens eine gebührenfreie Telefonnummer und, insofern Ihr Unternehmen eine Internet-Website unterhält, eine Website-Adresse. Außerdem müssen Sie angemessene Anstrengungen unternehmen, um zu überprüfen, ob die Person, die die Anfrage stellt, entweder der Verbraucher ist, über den die Informationen gesammelt wurden, oder, wie oben beschrieben, befugt ist, diese Informationen im Namen des Verbrauchers anzufordern.

Dieser Aufforderung muss innerhalb von 45 Tagen nach dem prüfbaren Antrag des Verbrauchers kostenlos nachgekommen werden. Diese Frist kann einmal um weitere 45 Tage verlängert werden, wenn dies vernünftigerweise erforderlich ist und vorausgesetzt, dass der Verbraucher innerhalb der ersten 45-Tage-Frist von der Verlängerung in Kenntnis gesetzt wird.

Ausnahmen und Einschränkungen

Unternehmen sind nicht verpflichtet, dem Antrag auf Löschung nachzukommen, wenn Informationen notwendig sind:

  • um Transaktionen abzuschließen, für die die personenbezogenen Daten gesammelt wurden;
  • um die Bereitstellung einer Ware oder einer Dienstleistung zu gewährleisten, die vom Verbraucher angefordert wurde, oder eine Anderweitige Vereinbarung zwischen dem Unternehmen und dem Verbraucher;
  • für die Aufdeckung von Sicherheitsvorfällen, zum Schutz vor böswilligen, betrügerischen, oder illegalen Aktivitäten oder zur strafrechtlichen Verfolgung, der für diese Aktivitäten Verantwortlichen;
  • zur Fehlerbeseitigung um auftretende Störungen zu erkennen und zu beheben;
  • zur Ausübung der Redefreiheit oder zur Ausübung des Rechts eines anderen Verbrauchers auf freie Meinungsäußerung;
  • zur Einhaltung des kalifornischen Electronic Communications Privacy Act (CalECPA);
  • für Öffentliche oder zu begutachteten wissenschaftlichen Veröffentlichungen überprüfte wissenschaftliche, historische oder statistische Forschung im öffentlichen Interesse;
  • um einer gesetzlichen Verpflichtung nachzukommen;
  • zur Ermöglichung ausschließlich interner Verwendungen, die in angemessener Weise mit den Erwartungen des Verbrauchers auf der Grundlage der Beziehung des Verbrauchers zum Unternehmen übereinstimmen;
  • für ausschließlich interne Zwecke in einer rechtmäßigen Weise, die mit dem Kontext vereinbar ist, in dem der Verbraucher die Informationen zur Verfügung gestellt hat.

Das Recht auf Opt-Out (das Recht, den Verkauf der Daten zu verweigern)

Gemäß dem CCPA hat ein Verbraucher jederzeit das Recht, einem Unternehmen, das seine personenbezogene Daten an Dritte verkauft, mitzuteilen, dass es den Verkauf dieser personenbezogenen Daten einstellen muss.

WAS VERSTEHT MAN UNTER EINEM VERKAUF IM RAHMEN DES CCPA UND WIE “VERKAUFEN” SIE PERSONENBEZOGENE DATEN?

Wie oben erwähnt, bedeutet „veräußern“, „Verkauf“, „Kauf“ oder „absetzten“ nach dem CCPA den Verkauf, die Vermietung, die Freigabe, die Offenlegung, die Verbreitung, die Bereitstellung, die Nutzbarmachung, die Übertragung oder sonstige mündliche, schriftliche oder elektronische Kommunikation der personenbezogenen Daten eines Verbrauchers durch das Unternehmen an ein anderes Unternehmen oder einen Dritten gegen eine finanzielle oder andere wertorientierte Vergütung.

Zwei weniger offenkundige Beispiele dafür, was im Rahmen des CCPA als „Verkauf“ angesehen werden könnte* , sind

  • die gemeinsame Nutzung von Nutzerdaten mit Werbenetzwerken und anderen Drittparteien, um gezielte Werbung für einen Nutzen, einschließlich Einnahmen, anzuzeigen; oder gar
  • Verwendung eines Analyseprogramms von Drittanbietern für die Neuausrichtung oder anderweitige Erstellung eines Nutzerprofils für den Verkauf an den Verbraucher.

*Denken Sie daran, dass sich in dieser Phase der Implementierung einige Faktoren im Zuge der weiteren Verfeinerung des Gesetzes ändern können.

Wenn Sie die personenbezogenen Daten von Verbrauchern an Dritte „verkaufen“, müssen Sie diese Tatsache den Verbrauchern mitteilen und sie darüber hinaus informieren, dass sie das Recht haben, den Verkauf ihrer personenbezogenen Daten abzulehnen (wie oben unter „Das Recht auf Auskunft“ aufgeführt).

Ein Verbraucher kann nicht aufgefordert werden, ein Konto einzurichten, um sich abzumelden. Stattdessen sollte dieser Vorgang über einen Link „Meine personenbezogenen Informationen nicht verkaufen“ (DNSMPI) auf Ihrer Website oder über einen Datenschutzhinweis erleichtert werden.

Wenn ein Unternehmen von einem Verbraucher die Anweisung erhält, die personenbezogenen Daten des Verbrauchers nicht zu verkaufen, ist es verboten, die personenbezogenen Daten dieses Verbrauchers zu verkaufen, es sei denn, der Verbraucher erteilt anschließend eine ausdrückliche Genehmigung für den Verkauf seiner personenbezogenen Daten (Opt-In).

Unternehmen dürfen die Genehmigung eines Verbrauchers nur ein einziges Mal und nur 12 Monate nach dessen Opt-Out beantragen.

Das Recht auf Opt-In (vorherige Einwilligung für Minderjährige)

Unternehmen ist es untersagt, die personenbezogenen Daten von Verbrauchern zu verkaufen, wenn das Unternehmen tatsächlich Kenntnis davon hat, dass der Verbraucher unter 16 Jahre alt ist. In solchen Fällen dürfen Unternehmen die Informationen nur dann verkaufen, wenn sie wissen, dass der Verbraucher unter 16 Jahre alt ist:

  • der Verbraucher ist zwischen 13 und 16 Jahren alt und sich dafür entschieden hat; oder
  • der Verbraucher ist jünger als 13 Jahre alt und ein Elternteil oder ein Erziehungsberechtigte Person des Verbrauchers, willigt im Namen des Verbrauchers ein.

Das Recht, nicht diskriminiert zu werden (selbst wenn der Verbraucher sein Recht auf Privatsphäre ausübt)

Nach dem CCPA ist es Unternehmen untersagt, Verbraucher bei der Ausübung ihrer gesetzlich gewährten Rechte, zu diskriminieren. Zu den verbotenen Formen der Diskriminierung gehören:

  • Verweigerung von Waren oder Dienstleistungen für den Verbraucher.
  • Erhebung unterschiedlicher Preise oder Tarife für Waren oder Dienstleistungen, auch durch die Inanspruchnahme von Rabatten, bzw. anderen Vergünstigungen, oder die Auferlegung von Strafen.
  • Bereitstellung eines anderen Niveaus oder einer anderen Qualität von Waren/ Dienstleistungen für den Verbraucher, wenn dieser die Rechte des Verbrauchers nach genanntem Titel ausübt.
  • Vorschläge, dass der Verbraucher einen anderen Preis oder Satz für Waren/Dienstleistungen, oder ein anderes Niveau bzw. eine andere Qualität von Waren oder Dienstleistungen erhält.

Ausnahmen und Beschränkungen

  • Ein Unternehmen darf nur dann unterschiedliche Preise, Tarife, Qualität von Waren oder Dienstleistungen berechnen oder anbieten, wenn dieser Unterschied in einem angemessenen Verhältnis zu dem Wert steht, der dem Verbraucher durch die Daten des Verbrauchers, geboten wird.

    Beispielsweise bietet ein Unternehmen einen Standardrabatt von 30% auf ein Produkt als Anreiz zum Wiederkauf an, und zwar einen Monat nach dem ersten Kauf desselben Produkts durch den Verbraucher. Während dieser Zeit übt der Verbraucher sein Recht auf Löschung aus und beantragt, dass seine personenbezogenen Daten gelöscht werden. Da das Unternehmen in diesem Fall nicht mehr über die Verbraucherdaten verfügt, aus denen hervorgeht, dass der Verbraucher das Produkt zuvor gekauft hat, kann das Unternehmen dem betreffenden Verbraucher den Standardrabatt von 30% realistischerweise nicht anbieten.

  • Ein Unternehmen kann finanzielle Anreize, einschließlich Zahlungen an Verbraucher als Entschädigung, für die Erhebung personenbezogener Daten, den Verkauf personenbezogener Daten oder die Löschung personenbezogener Daten anbieten. In solchen Fällen müssen solche finanziellen Anreize den Nutzern über die Homepage Ihrer Website und im Rahmen Ihrer Datenschutzerklärung offengelegt werden.

    Unternehmen ist es untersagt, finanzielle Anreize zu verwenden, die „ungerechter, unangemessener, zwingender oder wuchernder Natur“ sind.

CCPA vs. DSGVO (auf einen Blick)

CCPA DSGVO
Zuständige Behörde? Der Generalstaatsanwalt des Staates Kalifornien, USA. Nationale (EU-Mitgliedsstaat) Datenschutzbehörden.
Wer muss sich daranhalten? Jedes gewinnorientierte Unternehmen, das sich an kalifornische Verbraucher wendet, und entweder:
  • die personenbezogenen Daten von mindestens 50.000 kalifornischen Verbrauchern verarbeitet (IP-Adressen gelten als personenbezogene Daten, sodass dies für jede Website mit mindestens 50.000 Besuchen von kalifornischen Verbrauchern gelten würde); oder
  • mindestens 50 % seiner Einnahmen aus der gemeinsamen Nutzung kalifornischer Verbraucherdaten für jeglichen Gewinn – finanziell oder anderweitig – erzielt; oder
  • ein Jahreseinkommen von 25 Millionen oder mehr erwirtschaftet.
Alle Einrichtungen (gemeinnützig oder nicht – einschließlich NGOs, Einzelpersonen und öffentliche Einrichtungen), die sich an EU-Verbraucher wenden oder in der EU ansässig sind.
Welche Arten von Daten sind geschützt? Alle Daten, die sich auf einen bestimmten Verbraucher oder Haushalt beziehen oder mit ihm in Verbindung gebracht werden können, mit Ausnahme öffentlicher Regierungsverzeichnissen. Alle Daten, die zur Identifizierung einer Person führen können.
Werden IP-Adressen als personenbezogene Daten betrachtet?
Ist vor der Datenverarbeitung eine Einwilligung erforderlich? Nur im Falle von Minderjährigen und in Fällen von vorheriger Opt-Out-Möglichkeit. Ja, es sei denn, eine andere gesetzliche Grundlage ist legitimerweise anwendbar.
Müssen Unternehmen den Verbrauchern die Möglichkeit geben, die Einwilligung abzulehnen oder widerrufen zu können? Ja, sie müssen einen „Meine personenbezogenen Informationen nicht verkaufen“-Link zur Verfügung stellen und Opt-Out-Anfragen erfüllen. Nutzer haben sowohl das Recht, ihre Einwilligung zurückzuziehen, als auch das Recht, der Datenverarbeitung zu widersprechen (dies gilt möglicherweise sogar in Fällen, in denen die Datenverarbeitung durch eine andere Rechtsgrundlage, als die Einwilligung, gerechtfertigt ist).
Gilt dieser Schutz auch für Business-to-Business (B2B) Interaktionen? Nein, der CCPA-Schutz gilt nur für Verbraucher. Die DSGVO unterscheidet nicht zwischen Schutzmaßnahmen, die auf B2B- und B2C-Interaktionen (Business-to-Consumer) angewendet werden, sondern wendet ihre Schutzmaßnahmen lediglich auf „betroffene Personen“, an, die als „identifizierbare natürliche Personen“ mit Wohnsitz in der EU definiert sind.
Welche Sicherheitsanforderungen gibt es? Das CCPA führt keine spezifischen Sicherheitsanforderungen auf, gibt aber Verbrauchern das ausdrückliche Recht, Klage auf Schadenersatz zu erheben, wenn ein Unternehmen es versäumt hat, angemessene Sicherheitspraktiken umzusetzen. Die DSGVO verlangt, sowohl von den für die Datenverarbeitung Verantwortlichen als auch von den Auftragsverarbeitern, Sicherheitsmethoden zu implementieren, die dem jeweiligen Risiko angemessen sind. Die Sicherheitsmethoden sollten dem „Stand der Technik“ entsprechen, was impliziert, dass die Sicherheitsmethoden den neuesten Standards entsprechen sollten.
Strafen bei Nichteinhaltung? Bußgelder von bis zu $7500 pro individuellen Verstoß. Das CCPA gibt Verbrauchern auch das Recht, Schadenersatzklage zu erheben. Bußgelder von bis zu 20€ Mio. ($22 Mio.) oder 4 % der jährlichen Gesamteinnahmen – je nachdem, welcher Betrag höher ist, mögliche Prüfungen und Sanktionen. Der DSGVO gibt betroffenen Personen auch das Recht, bei Verletzung ihrer Rechte zu klagen.
Die anwendbaren Nutzerrechte im Überblick
Recht auf Information
Das Recht auf Zugang
Das Recht auf Berichtigung der Daten
Das Recht auf Richtigstellung ×
Das Recht, gelöscht zu werden
Das Recht auf Einspruch Vom Recht auf Opt-Out teilweise abgedeckt

Folgen der Nichteinhaltung

Verbraucher haben das Recht, Unternehmen zu verklagen* , die gegen dieses Gesetz verstoßen. Die damit verbundenen Geldstrafen betragen zwischen $100 und $750 oder jeder höherer Betrag, der sich auf den tatsächlichen Schaden bezieht (wenn ein höherer Schaden nachgewiesen werden kann).
*Dies gilt nur für die eigentlichen Unternehmen selbst und nicht für „Dienstleister“, die im Namen des Unternehmens handeln.

Der Staat kann Unternehmen, die unbeabsichtigt gegen den CCPA verstoßen, mit einer Anklage von bis zu $2,500 pro Verstoß belasten, und Unternehmen, die vorsätzlich gegen den CCPA verstoßen, mit einer Geldstrafe von bis zu $7,500 pro Verstoß belegen.

Auch wenn diese Bußgelder im Vergleich zu anderen Datenschutzgesetzen nicht besonders hoch erscheinen mögen, sollten Sie bedenken, dass diese Strafen pro individuellen Verstoß und pro Verbraucher gelten. Für ein Unternehmen mit nur wenigen Kunden könnten sich diese Geldbußen zu einer beträchtlichen Summe addieren.

Wie Sie das CCPA einhalten

Die Einhaltung des CCPA’s ist, ähnlich wie die Einhaltung anderer Datenschutzgesetze, ein vielschichtiger Prozess, der eine gewissenhafte Überprüfung, Planung sowie technische und rechtliche Umsetzung beinhaltet. In den meisten Fällen ist es jedoch die Umsetzung, mit dem größten Aufwand verbunden.

Hier kommt iubenda ins Spiel: Die Umsetzung kann kompliziert sein. Wir nehmen Ihnen diese Belastung ab, indem wir – unterstützt durch unser internationales Rechtsteam – eine leistungsstarke Softwarelösungen anbieten, mit denen Sie selbst die komplexesten Situationen mit wenigen Klicks bewältigen und bei Bedarf vollständig anpassen können. (Mehr über unsere Softwarelösungen und wie diese Ihnen helfen können, finden Sie hier).

Unabhängig davon, wie Sie sich für den Implementierungsprozess entscheiden, gibt es einige grundlegende Schritte, die Sie im Vorhinein unternehmen müssen, um mit der Umsetzung beginnen zu können. Schauen wir uns im Folgenden diesen sowie den weiteren Verlauf des Implementierungsprozesses, an.

Bewertung und Überprüfung

Einer der vielleicht wichtigsten Schritte ist die sorgfältige Überprüfung und Bewertung der eigenen Prozesse und Systeme.
Hier sind einige Fragen, die Sie sich stellen sollten:

  • Welche Kategorien personenbezogener Daten erfassen Sie und an welche Kategorien von Dritten geben Sie diese Daten weiter?
  • Aus welchen Quellen beziehen Sie diese Informationen und welche Kategorien von Daten gehören dazu (z.B. Analytik)?
  • Welche Gründe oder Zwecke gibt es für Ihre Erhebungen?
  • Welche CCPA-Verbraucherrechte gelten für die Verarbeitungsaktivitäten, die Sie durchführen?
  • Sind Sie technisch dazu in der Lage, verbraucherrechtsbezogene Anträge wie Löschungs- und Zugriffsanträge, zu erfüllen?
    • Wie können Sie nachvollziehen, wann solche Anträge erfüllt wurden?
    • Behalten Sie den Überblick über alle Dienstanbieter, die in Ihrem Namen auf die personenbezogenen Daten der Verbraucher zugreifen?
    • Können Sie diese Parteien zuverlässig kontaktieren, um beispielsweise Löschungsanträge zu erfüllen?
    • Führen Sie zuverlässige Verzeichnisse über die Informationen und die Kategorien personenbezogener Daten, die Sie über jeden Verbraucher sammeln?
  • Haben Sie die Dokumente, die für die gesetzlich vorgeschriebenen Offenlegungen erforderlich sind, verfügbar?
  • Welche Ausnahmen gelten sinnvollerweise und aufrichtiger weise für Ihr Szenario?

Notwendige Angaben

Basierend auf den Antworten, die im genannten Schritt bestimmt wurden, strukturieren Sie die relevanten Aussagen und nehmen Sie sie in Ihre Datenschutzerklärung auf, ggf. auch bei der Datenerfassung (z.B. ein Kontaktformular).

Berücksichtigen Sie unbedingt:

  • die Kategorien personenbezogener Daten, die Sie in den letzten 12 Monaten gesammelt, verkauft oder weitergegeben haben;
  • die Kategorien von Dritten, mit denen Sie personenbezogene Daten besitzen und/oder teilen können;
  • die Kategorien von Quellen, aus denen Sie die personenbezogenen Daten von Verbrauchern, sammeln;
  • der geschäftliche/kommerzielle Zweck für die Erfassung oder den Verkauf der personenbezogenen Daten von Verbrauchern;
  • die anwendbaren Verbraucherrechte und ihre Ausübung

Ehrenvolle Ausübung der Verbraucherrechte

Zugangs-, Übertragbarkeits- und Löschungsrechte müssen, innerhalb von 45 Tagen nach Erhalt eines überprüfbaren Antrags, kostenlos für den Verbraucher respektiert werden. Die Erfüllungsfrist kann bei Bedarf (nur einmal) um weitere 45 Tage verlängert werden, vorausgesetzt, der Verbraucher wird über diese Tatsache informiert.

Bei der Erfüllung von Anträgen auf Zugang und Übertragbarkeit der Daten müssen die Informationen, die an den Verbraucher zurückgegeben werden, in einem leicht zu verwendenden und einfach zu übertragenden Format gegeben werden.

Wenn ein Verbraucher sein Opt-Out-Recht (das Recht, den Verkauf der Daten zu verweigern) ausübt, müssen Sie bei der Übermittlung der Anfrage nachkommen. In Fällen, in denen Ihnen bekannt ist, dass der Verbraucher ein Minderjähriger unter 16 Jahren ist, dürfen Sie seine Daten nur mit ausdrücklicher Genehmigung eines Elternteils oder Erziehungsberechtigten (bei Minderjährigen unter 13 Jahren) oder mit ausdrücklicher Genehmigung des minderjährigen Verbrauchers in Fällen, in denen der Minderjährige zwischen 13 und 16 Jahren alt ist, verkaufen.

Verkaufshinweis und „Meine personenbezogenen Informationen nicht verkaufen“-Link zu Ihrer Website hinzufügen

Als Voraussetzung für das Recht des Verbrauchers auf Opt-Out müssen Sie einen leicht zugänglichen, klaren und auffälligen Link „Meine personenbezogenen Informationen nicht verkaufen“ (DNSMPI) auf der Homepage Ihrer Website und innerhalb Ihrer Datenschutzerklärung (mit der entsprechenden Offenlegung des damit verbundenen Verbraucherrechts) angeben.

Der Link muss den Verbraucher auf eine Seite weiterleiten, auf der er sich gegen den Verkauf seiner personenbezogenen Daten entscheiden kann.

Soweit technisch durchführbar, ist es Ihnen gestattet, kalifornische Staatsbürger zu hosten und auf eine separate Homepage mit dem sichtbaren „DNSMPI“-Link umzuleiten.

Diskriminieren Sie keine Verbraucher bei der Ausübung ihrer Rechte

Der Dienst, die Qualität, das Niveau und/oder die Preise, die Sie den Verbrauchern in Rechnung stellen bzw. anbieten, dürfen nicht davon beeinflusst werden oder davon abhängen, ob sich die Verbraucher entschieden haben, ihre Rechte auszuüben oder nicht. Die einzigen Ausnahmen von dieser Regel sind Fälle, in denen der Wert der Dienste oder der angebotenen Ware von den über den Verbraucher gesammelten Daten abhängt (siehe dem Beispiel oben)

Sie dürfen Verbrauchern finanzielle Anreize (einschließlich Zahlungen) als Gegenleistung für den Zugang zu ihren personenbezogenen Daten anbieten. Allerdings dürfen Sie nur finanzielle Anreize verwenden, die fair, angemessen, nicht zwanghaft und nicht erpresserisch sind. In all diesen Fällen müssen die Verbraucher zunächst über die Homepage Ihrer Website über solche Anreize informiert werden.

Regelmäßige Überprüfung Ihrer Prozesse

Gesetze sind – wie Menschen, Bedürfnisse und Ideen, denen sie dienen – oft dynamische „sich wandelnde“ Elemente. Auf ähnliche Art und Weise können sich Ihre eigenen Geschäftszwecke, Partner und Prozesse mit der Zeit verändern. Aus diesem Grund ist es wichtig, dass Sie Ihre internen Prozesse, technischen Fähigkeiten und Dokumente regelmäßig überprüfen und bewerten, damit Sie immer auf dem neuesten Stand der rechtlichen Anforderungen sind.

Wie iubenda helfen kann

Die Einhaltung aller Anforderungen kann im Allgemeinen kompliziert sein – es kann eine unglaubliche Herausforderung sein, herauszufinden, wie man die Gesetzgebung richtig anwendet und die technischen Spezifikationen für Ihre Website und Ihr Unternehmen umsetzt.

Wir nehmen Ihnen ein solches Rätselraten, über die schweren technischen und rechtlichen Fragen, mit unseren Lösungen ab, damit Sie sich auf das Wachstum Ihres Unternehmens konzentrieren können.

CCPA Generator

Alle Datenschutzrichtlinien, die mit iubenda erstellt werden, ermöglichen Ihnen die Einhaltung des CCPA, da diese die Möglichkeit enthalten, die vom CCPA definierten rechtlichen Standards problemlos auf kalifornische Nutzer anzuwenden.

Unsere Lösung macht es Ihnen leicht, auch weitergehende Anforderungen zu erfüllen:

  • Anzeige der CCPA-bezogenen Sprache, Offenlegungen und Anweisungen gemäß den gesetzlichen Anforderungen;
  • Angabe der auf Ihrer Website aktiven Dienste, die einen Verkauf, im Sinne der CCPA-Definition, begründen könnten (wie gesetzlich vorgeschrieben); und
  • Automatische Aktualisierung Ihrer integrierten Datenschutzerklärung nach Aktivierung des CCPA-Textes innerhalb des Generators – es ist nicht notwendig, den Code auf Ihrer Website erneut zu integrieren!

Erfahren Sie hier mehr über unseren Generator für Datenschutz- und Cookie-Richtlinien

Die Privacy Controls and Cookie Solution für das CCPA: Benachrichtigung über die Datenerfassung und des „Meine personenbezogenen Informationen nicht verkaufen“-Links anzeigen

Unsere Softwarelösung hilft Ihnen bei der Erfüllung der CCPA-Anforderung, kalifornische Nutzer bei einem Besuch der Website über jegliche Verkaufsaktivitäten zu informieren, und ermöglicht den Nutzern außerdem, sich (wie gesetzlich vorgeschrieben) abzumelden.

Im Einzelnen ermöglicht Ihnen die Privacy Controls and Cookie Solution Folgendes:

  • Anzeigen einer CCPA-Einholungsbenachrichtigung;
  • Anzeige eines Links „Meine personenbezogenen Daten nicht verkaufen“ (DNSMPI) innerhalb der Einholungsmitteilung (wie gesetzlich vorgeschrieben) und ermöglicht es Ihnen auch, den Link zu Ihrer Website hinzuzufügen, um den Nutzern den Zugang zu erleichtern (wie gesetzlich vorgeschrieben), wodurch die Ablehnung des Verkaufs der Daten unterstützt wird;
  • Automatische Erkennung und Anwendung der korrekten Standards (einschließlich Mehrfach-Standards) basierend auf dem Standort. Unsere Lösung ermöglicht es Ihnen, sowohl den CCPA- als auch der DSGVO-Standards auf die gleichen Nutzer anzuwenden, wenn dies gesetzlich erforderlich ist.
  • Unterstützt das US-Privacy-Framework von IAB (Interactive Advertising Bureau), welches einen Prozess für Anbieter und ihre Partner einführt um die neuen Anforderungen, bezüglich des Verkaufs von Verbraucherdaten an Technologieunternehmen, einzuhalten.
  • Manuelle Blockierung von Skripten, die sich nicht an das IAB U.S. Privacy Framework halten. Unsere Lösung blockiert (manuell) gekennzeichnete Skripte automatisch, wenn ein Nutzer sich dagegen entscheidet.

Erfahren Sie hier (auf Englisch) mehr darüber, wie Sie diese Funktionen aktivieren können.

Die Consent Database und Verzeichnis von Datenverarbeitungstätigkeiten für eine Up-To-Date Verzeichnisse

Wie bereits erwähnt, gewährt das CCPA den Verbrauchern das Recht auf Opt-Out. In Fällen, in denen die Verarbeitung in gewisser Weise manuell erfolgt (d.h. nicht in Verbindung mit Skripten vor Ort, wie z.B. im Fall von direktem E-Mail-Marketing), müssen Unternehmen die Opt-Out-Anforderung möglicherweise manuell umsetzen.

Darüber hinaus schreibt das CCPA vor, dass nicht zugelassene Nutzer für einen Zeitraum von mindestens 12 Monaten nach der Anfrage nicht kontaktiert werden dürfen. Aus diesem Grund ist es ratsam, Verzeichnisse über Opt-Out-Details wie den jeweiligen Nutzer, das Datum und die Unterauftragnehmer, die im Falle von Anfragen zu benachrichtigen sind, aufzubewahren.

Consent Database

Unsere Consent Database hängt sich an Ihre Web-Formulare an, sodass Sie automatisch Details zu Verbraucherpräferenzen wie Opt-Out über API an ein zentral verwaltetes visuelles Dashboard weiterleiten können. Sie können alle relevanten Details aufzeichnen, einschließlich Datum und Uhrzeit des Opt-Out, Version der Datenschutzerklärung, die dem Nutzer zum Zeitpunkt des Opt-Out zur Verfügung steht, Nutzer-ID, E-Mail und sogar IP-Adresse, um die Überprüfung der Anfrage zu erleichtern.

Lesen Sie hier mehr über die Consent Database.

Verzeichnis von Datenverarbeitungstätigkeiten

Mit unserer Verzeichnis von Datenverarbeitungstätigkeiten können Sie relevante Details, die für die präzise Erfüllung von Verbraucheranfragen erforderlich sind, genau aufzeichnen.

Die Lösung erfasst:

  • Sicherheitsdetails, z.B. welche Mitglieder Ihrer Organisation Zugang zu Nutzerdaten haben;
  • alle registrierten Unterauftragnehmer, die in Ihrem Namen Daten verarbeiten;
  • manuell hinzugefügte Zwecke für die Verarbeitung;
  • Datenerfassungsmethoden und mehr.

Lesen Sie mehr über das Verzeichnis von Datenverarbeitungstätigkeiten.

Sehen Sie auch