CPRA: Einführung in das CCPA 2.0 und wie es Sie betrifft
CPRA: Einführung in das CCPA 2.0 und wie es Sie betrifft. Im Jahr 2020 wurde das California Consumer Protection Act (CCPA) in Kraft gesetzt, um den zunehmenden Bedenken bezüglich des Verkaufs und der Erhebung personenbezogene Daten in Kalifornien zu tragen.
Das derzeitige CCPA gewährt den Einwohnern von Kalifornien verschiedene Rechte und regelt die Handlungen von Unternehmen, die personenbezogene Daten verkaufen oder sammeln. Allerdings lässt sie die Konsequenzen der Verarbeitung von Verbraucherdaten durch Dritte offen für Interpretationen. Dies führte zu einer Änderung des CCPA, das als California Privacy Rights Act (CPRA) mittlerweile bekannt ist.
💡 Das CPRA baut auf den bestehenden Bestimmungen des CCPA auf, schafft neue Verbraucherrechte und fügt neue Anforderungen für Unternehmen hinzu, die personenbezogene Daten von Einwohnern in Kalifornien sammeln.
📌 Aktualisierungen der Definition eines Unternehmens im Rahmen des CPRA
Die Kriterien für die Qualifizierung als Unternehmen wurden aktualisiert; finden Sie heraus, ob Sie als Unternehmen klassifiziert sind, indem Sie die folgenden Fragen beantworten:
Sind Sie eine juristische Person, die mit Gewinnabsicht arbeitet?
Sammeln Sie personenbezogene Daten (PI) von Verbrauchern in Kalifornien?
Bestimmen Sie die Zwecke und Mittel der Verarbeitung personenbezogener Daten?
Erfüllt Ihr Unternehmen eine oder mehrere der folgenden Bedingungen:
(A) Ein Bruttoumsatz von mehr als 25 Millionen US-Dollar im vorangegangenen Kalenderjahr.
(B) Personenbezogene Daten von 100.000 oder mehr Kunden oder Haushalten pro Jahr kauft, verkauft oder weitergibt, entweder allein oder in Kombination.
(C) 50 % oder mehr seines Jahresumsatzes aus dem Verkauf oder der Weitergabe von personenbezogenen Informationen über Kunden erhält?
Wenn Sie mit „Ja“ geantwortet haben, dann könnte Ihre Organisation nach dem CPRA als Unternehmen klassifiziert werden.
Was bedeutet das für mein Unternehmen?
Aufgrund einiger Änderungen der Kriterien können sich die Unternehmen, die unter das CPRA fallen, unterscheiden von denen, die unter die Kriterien des CCPA fallen.
📌 Sensible personenbezogene Daten nach dem CPRA
Mit dem CPRA wurde eine weitere Kategorie von geschützten Daten aufgenommen: Sensitive Personal Information (SPI). Dieses Konzept ist ähnlich wie Artikel 9 der Datenschutz-Grundverordnung (DSGVO), in dem ein höheres Datenschutzniveau für sensible personenbezogene Daten gefordert wird.
Was gilt nach dem CPRA als sensible personenbezogene Daten? Siehe hier für eine vollständige Checkliste (klicken Sie auf „as amended November 3, 2020“ und scrollen Sie nach unten zur Definition). SPI, die „öffentlich zugänglich“ ist, kann nicht als sensible personenbezogene oder persönliche Daten betrachtet werden.
Das CPRA setzt besondere Standards und Grenzen für SPI und gibt den Verbrauchern mehr Kontrolle darüber, wie Organisationen ihre personenbezogenen Daten verwenden.
Zu den neuen Anforderungen gehören:
Aktualisierte Angaben zur Offenlegung – Ihr Unternehmen muss den Verbrauchern in der Datenschutzerklärung die folgenden Informationen über SPI zur Verfügung stellen: ob die Informationen verkauft oder weitergegeben werden, und die Dauer der Aufbewahrung.
Zweckbindung – Sie müssen den zusätzlichen und spezifischen Zweck angeben, für den die sensiblen personenbezogenen Daten verwendet oder an Dritte weitergegeben werden dürfen.
Ablehnung der Nutzung und Offenlegung – Stellen Sie einen klaren und sichtbaren Link, „Verwendung meiner personenbezogenen Daten einschränken“, auf Ihrer Homepage zur Verfügung und einen Hinweis auf das Recht, die Verwendung/Weitergabe von personenbezogenen Daten einzuschränken. Es gibt jedoch Fälle, in denen ein Unternehmen nicht verpflichtet ist, Verbrauchern das Recht anzubieten, die Verwendung/Weitergabe von SPI einzuschränken und einen entsprechenden Hinweis anzuzeigen, nämlich immer dann, wenn sensible personenbezogene Daten verarbeitet werden:
um Dienstleistungen zu erbringen oder Waren zu liefern (nur für den Gebrauch, den ein normaler Verbraucher erwartet);
um Sicherheitsvorfälle zu verhindern, zu erkennen und zu untersuchen, die die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von gespeicherten oder übermittelten personenbezogenen Daten beeinträchtigen;
sich gegen böswillige, irreführende, betrügerische oder illegale Handlungen zu wehren, die sich gegen das Unternehmen richten, und die Verantwortlichen für diese Handlungen strafrechtlich zu verfolgen;
die physische Sicherheit von natürlichen Personen zu gewährleisten;
zur kurzfristigen, vorübergehenden Anwendung, einschließlich, aber nicht beschränkt auf nicht personalisierte Werbung, die im Rahmen der aktuellen Interaktion eines Verbrauchers mit dem Unternehmen angezeigt wird, vorausgesetzt, die personenbezogenen Daten werden nicht an Dritte weitergegeben und werden nicht verwendet, um ein Profil über den Verbraucher zu erstellen oder die Erfahrung des Verbrauchers außerhalb der aktuellen Interaktion mit dem Unternehmen zu verändern;
um Dienstleistungen im Namen des Unternehmens zu erbringen (z. B. Kundendienst, Bearbeitung oder Ausführung von Bestellungen und Transaktionen, Zahlungsbearbeitung usw.);
zur Überprüfung oder Aufrechterhaltung der Qualität oder Sicherheit eines Produkts, einer Dienstleistung oder eines Geräts, das dem Unternehmen gehört, von ihm hergestellt, für ihn hergestellt oder von ihm kontrolliert wird, und zur Verbesserung, Aktualisierung oder Erweiterung der Dienstleistung oder des Geräts, das dem Unternehmen gehört, von ihm hergestellt, für ihn hergestellt oder von ihm kontrolliert wird; und
für Zwecke, die keine Rückschlüsse auf die Eigenschaften des Verbrauchers zulassen.
Bitte prüfen Sie, ob Ihre Verarbeitungsaktivitäten von sensiblen personenbezogenen Daten in den Anwendungsbereich solcher Ausnahmen fallen.
Aktualisierte Angaben zur Offenlegung – Ihr Unternehmen muss den Verbrauchern in der Datenschutzerklärung die folgenden Informationen über SPI zur Verfügung stellen:
ob die Informationen verkauft oder weitergegeben werden; und
die Dauer der Aufbewahrung.
Zweckbindung – Sie müssen den zusätzlichen und spezifischen Zweck angeben, für den die sensiblen personenbezogenen Daten verwendet oder an Dritte weitergegeben werden dürfen.
Ablehnung der Nutzung und Offenlegung – Stellen Sie einen klaren und sichtbaren Link „Verwendung meiner personenbezogenen Daten einschränken“ auf Ihrer Homepage zur Verfügung und und einen Hinweis auf das Recht, die Verwendung/Weitergabe von personenbezogenen Daten einzuschränken. Es gibt jedoch Fälle, in denen ein Unternehmen nicht verpflichtet ist, Verbrauchern das Recht anzubieten, die Verwendung von personenbezogenen Daten einzuschränken (z. B. um die physische Sicherheit der betroffenen Person zu gewährleisten).
Was bedeutet das für mein Unternehmen?
Mit der Einführung von SPI müssen die Unternehmen, wie im oben genannten CPRA festgelegt, besonders sorgfältig auf den Schutz dieser Art von Daten achten und angemessen reagieren, wenn ein Kunde das Opt-out wünscht. Zusätzliche Standards müssen festgelegt werden, wenn ein Unternehmen die SPI der Verbraucher behandeln will. Unternehmen, die beispielsweise SPI aufbewahren, müssen auf ihren Websites einen deutlich sichtbaren Link mit der Bezeichnung „Verwendung meiner sensiblen personenbezogenen Daten einschränken“ bereitstellen, über den die Kunden die Verarbeitung ihrer SPI einschränken können.
📌 Die Datenschutzrechte der Verbraucher wurden verbreitet
Im Folgenden sind fünf Datenschutzrechte der Verbraucher aus dem CCPA aufgelistet, die durch das CPRA aktualisiert wurden.
Recht auf Opt-out von Verkäufen und Weitergabe an Dritte:
CCPA – Nach dem CCPA haben Kunden die Möglichkeit, sich gegen den Verkauf personenbezogener Daten durch Unternehmen zu entscheiden.
CPRA – Neben dem Verkauf erweitert das CPRA dieses Recht auch auf die Weitergabe personenbezogener Daten.
Recht auf Auskunft
CCPA – Nach dem CCPA müssen Unternehmen Anfragen von Verbrauchern nach personenbezogenen Daten beantworten, die in den letzten 12 Monaten erhoben wurden.
CPRA – Unter bestimmten Bedingungen verlängert das CPRA diese Frist und ermöglicht es Verbrauchern, personenbezogene Daten anzufordern, die nach der vorherigen 12-Monats-Frist gesammelt wurden. Unternehmen müssen die Verbraucher über ihr Recht informieren, Auskunft darüber zu verlangen, welche persönlichen Daten verkauft oder weitergegeben werden und an wen;
Recht auf Löschung
CCPA – Einwohner von Kalifornien können unter dem CCPA verlangen, dass ein Unternehmen ihre personenbezogenen Daten löscht, wenn diese nicht mehr benötigt werden, um eines der Ziele zu erreichen, genannt in Cal Civ. Code Sec. 1798.105
CPRA – Unternehmen müssen Verbraucher über ihr Recht informieren, die Löschung ihrer personenbezogenen Daten zu verlangen, und solchen Anträgen zustimmen, es sei denn, die Daten sind für das Unternehmen notwendig, um die Transaktion abzuschließen, eine Garantie zu erfüllen, ein Produkt zurückzurufen oder Sicherheit und Integrität zu gewährleisten.
Recht auf Datenübermittlung
CCPA – Enthält ein „Recht auf Auskunft“, was bedeutet, dass Kunden das Recht haben, eine Kopie ihrer personenbezogenen Daten per Post oder online zu erhalten.
CPRA – Ein Kunde kann nun verlangen, dass ein Unternehmen bestimmte personenbezogene Daten an eine andere Organisation weitergibt.
Jetzt, da wir die vier Änderungen bei den Datenschutzrechten der Verbraucher im CCPA durchgegangen sind, wollen wir uns im Folgenden die vier zusätzlichen Datenschutzrechte der Verbraucher durchgehen, die durch das CPRA hinzugefügt wurden: (die im CCPA nicht enthalten sind)
Recht auf Berichtigung von Informationen: Ein Verbraucher hat das Recht, von einem Unternehmen zu verlangen, dass fehlerhafte personenbezogene Daten berichtigt werden.
Recht auf Einschränkung der Nutzung sensibler personenbezogene Daten: Ein Verbraucher hat das Recht, die Verwendung und Weitergabe seiner SPI auf „die Verwendung zu beschränken, die notwendig ist, um die Dienstleistungen auszuführen oder die Produkte zu liefern, die ein normaler Verbraucher, der solche Waren und Dienstleistungen anfordert, angemessenerweise erwartet“.
Zugang zu Informationen über automatisierte Entscheidungsfindung: Ein Verbraucher hat das Recht „sinnvolle Informationen über die Logik dieser Entscheidungsprozesse sowie eine Beschreibung des erwarteten Ergebnisses des Prozesses in Bezug auf den Verbraucher“ zu erhalten.
Recht auf Widerspruch gegen automatisierte Entscheidungstechnologie: Ein Verbraucher hat das Recht, automatisierte Entscheidungstechnologie abzulehnen.
Was bedeutet das für mein Unternehmen?
Unternehmen müssen sicherstellen, dass sie auf die Einhaltung der neuen und erweiterten Datenschutzrechte der Verbraucher, die im CPRA enthalten sind, vorbereitet sind.
Sie müssen solide Systeme und Kontrollen einrichten, um sicherzustellen, dass sie in der Lage und bereit sind, schnell auf Kundenanfragen zu reagieren. Um sich auf die Einhaltung des CPRA vorzubereiten, müssen viele Unternehmen möglicherweise größere Änderungen an ihren bestehenden Sicherheits- und Datenschutzmaßnahmen vornehmen, zusätzliche Mitarbeiter einstellen oder Drittanbieterdiensten beauftragen.
👉 Bitte beachten Sie, dass Unternehmen nach dem CPRA verpflichtet sind, 12 Monate zu warten, nachdem ein Verbraucher dem Verkauf oder der Weitergabe seiner personenbezogenen Daten widersprochen hat, bevor sie eine erneute Einwilligung einholen können.
👉 Außerdem müssen Sie als Unternehmen den Verbrauchern zwei oder mehr Methoden zur Verfügung stellen, um ihre Anfragen einzureichen. Diese Methoden können von Unternehmen zu Unternehmen variieren, müssen aber mindestens eine gebührenfreie Nummer und, falls das Unternehmen eine Website hat, die Website-Adresse anbieten. Ein Unternehmen kann jedoch auf die Bereitstellung einer gebührenfreien Nummer verzichten, wenn es „ausschließlich online tätig ist“; und wenn es eine „direkte Beziehung zu einem Verbraucher hat, von dem es personenbezogene Daten erfasst“.
📌 Rechte für Minderjährige
Das CPRA verlangt von Ihnen die Einhaltung des COPPA, das die Datenschutzrechte von Kindern regelt, insbesondere in Bezug auf den Verkauf und die Weitergabe von personenbezogenen Daten von Kindern.
Wenn Ihr Unternehmen daher personenbezogene Daten von Verbrauchern verkauft oder weitergibt:
unter 13 Jahren, dann muss Ihr Unternehmen Verzeichnisse darüber führen, dass die Einwilligung zum Verkauf oder zur Weitergabe der personenbezogenen Daten der Kinder von deren Eltern oder Vormündern eingeholt wurde.
im Alter von 13 bis 16 Jahren, dann muss Ihr Unternehmen den Nutzern die Möglichkeit geben, dem Verkauf oder der Weitergabe ihrer personenbezogenen Daten zuzustimmen, und Verzeichnisse über diese Zustimmung führen. Wenn Ihr Unternehmen eine Opt-in-Anfrage erhält, müssen Sie den Nutzer über sein Recht auf Opt-out informieren.
📌 Einbeziehung von DSGVO-Prinzipien
Die folgenden Konzepte sind nicht Teil des CCPA, sondern werden nun im Rahmen des CPRA kodifiziert:
Datenminimalisierung
Zweckbindung
Speicherbegrenzung
Was bedeutet das für mein Unternehmen?
Durch die ausdrückliche Kodifizierung dieser Prinzipien im CPRA hat Kalifornien die staatliche Aufsichtsbehörde ermächtigt, die Einhaltung dieser Grundsätze durchzusetzen und Unternehmen, die sich nicht daran halten, möglicherweise zu bestrafen:
Die Erhebung personenbezogener Daten auf das Maß zu beschränken, das für den Zweck, für den sie erhoben wurden, erforderlich ist, und;
Die Aufbewahrung personenbezogener Daten auf die kürzeste Zeitspanne zu beschränken, die zur Erfüllung des Zwecks, für den sie erhoben wurden, erforderlich ist.
Als Konsequenz aus diesen Grundsätzen enthält das CPRA eine neue Anforderung. Eine Opt-in-Erlaubnis ist erforderlich, nachdem zuvor ein Opt-out beschlossen wurde. Ihre Unternehmen müssen den Verbrauchern Folgendes erlauben:
Das Opt-in für den Verkauf/die Weitergabe ihrer persönlichen Daten nach dem Opt-out; und
die Verbraucher, die sich für das Opt-out des Verkaufs/der Weitergabe von persönlichen Daten entschieden haben, zu benachrichtigen, wenn sie eine Transaktion einleiten/versuchen, ein Produkt zu nutzen, das den Verkauf/die Weitergabe von personenbezogenen Daten impliziert, dass die Aktion den Verkauf/die Weitergabe von personenbezogenen Daten erfordert, und ihnen Anweisungen zu geben, wie sie sich für das Opt-in entscheiden können.
📌 Erweiterung der rechtlich einklagbaren Daten bei einer Sicherheitsverletzung
CCPA – Im Falle einer Datenschutzverletzung haben Verbraucher das Recht, privat zu klagen, wenn ihre nicht verschlüsselten oder nicht zensierten personenbezogene Daten offengelegt werden, weil ein Unternehmen es nicht schaffte, angemessene Sicherheitsmaßnahmen und -praktiken einzuführen, die der Art der verarbeiteten Daten entsprechen.
CPRA – Das „Recht“ ändert nicht die Richtung; allerdings werden die Login-Passwörter der Verbraucher in die Liste der Kategorie von personenbezogenen Daten aufgenommen, die nach dem Gesetz einklagbar sein können.
Was bedeutet das für mein Unternehmen?
Die Ausweitung des Anwendungsbereichs des CPRA auf Anmeldedaten als rechtlich einklagbare Verletzung der Sicherheit personenbezogene Daten könnte eine Reaktion auf den momentanen Anstieg von Authentifizierungsangriffen auf Verbraucher sein. Viele Unternehmen werden sich dafür entscheiden, neben einer fortgeschrittenen Datenverschlüsselung auch eine Multi-Faktor-Authentifizierung als zusätzliche Sicherheitsstufe einzusetzen.
📌 Opt-out Anforderungen
Im Rahmen des CPRA ist zu beachten, dass Unternehmen auch die Opt-out-Präferenzsignale der Verbraucher zulassen und verarbeiten müssen.
💡 Opt-out-Präferenzsignal bedeutet ein Signal, das von einer Plattform, einer Technologie oder einem Mechanismus im Namen des Verbrauchers verschickt wird, der seine Entscheidung für ein Opt-out des Verkaufs und der Weitergabe von persönlichen Daten mitteilt. Das Signal wird automatisch für alle Websites, die der Nutzer besucht, deaktiviert, ohne dass er eine individuelle Anfrage stellen muss.
📌 Datenschutzerklärung
Das CPRA ergänzt die Anforderungen des CCPA. Hier finden Sie die komplette Checkliste der Informationen, die Sie in Ihre Datenschutzerklärung aufnehmen müssen.
Checkliste für die Datenschutzerklärung 👇
Geben Sie die Kategorien der personenbezogenen Daten an, die Ihr Unternehmen in den letzten 12 Monaten an Dritte verkauft oder weitergegeben hat, eine Liste der relevanten Dritten und den Zweck Ihres Unternehmens. Sie müssen auch angeben, ob Sie die personenbezogenen Daten der Nutzer in den letzten 12 Monaten nicht verkauft oder weitergegeben haben.
Fügen Sie eine Erklärung darüber hinzu, ob Ihr Unternehmen weiß, dass es die persönlichen Daten von Nutzern unter 16 Jahren verkauft oder weitergibt.
Geben Sie die Kategorien der personenbezogenen Daten an, die Ihr Unternehmen in den letzten 12 Monaten (zu Geschäftszwecken) an Dritte offengelegt hat, eine Liste der relevanten Dritten und den Zweck Ihres Unternehmens. Sie müssen auch offenlegen, wenn Sie in den letzten 12 Monaten keine personenbezogenen Daten von Verbrauchern weitergegeben haben.
Geben Sie an, ob Ihr Unternehmen sensible personenbezogene Daten für andere als die im Gesetz genannten Zwecke verwendet oder offenlegt.
Stellen Sie Links zu Online-Anfrageformularen oder Portalen zur Verfügung, damit Ihre Nutzer Anfragen bezüglich der Erfassung, Weitergabe oder des Verkaufs ihrer personenbezogenen Daten stellen können.
Stellen Sie den Nutzern die Möglichkeit zur Verfügung, Korrekturen von ungenauen personenbezogenen Daten zu verlangen.
Fügen Sie, falls Ihr Unternehmen personenbezogene Daten aus anderen als den im Gesetz genannten Gründen verwendet oder offenlegt, Informationen über das Recht der Verbraucher auf Einschränkung der Verwendung oder Offenlegung ihrer personenbezogenen Daten und darüber, wie sie dieses Recht ausüben können, bei.
Informieren Sie die Nutzer über ihr Recht auf Diskriminierungsverbot bei der Ausübung ihrer Datenschutzrechte.
Fügen Sie eine allgemeine Beschreibung des Prozesses hinzu, den Ihr Unternehmen einsetzt, um die Anfragen von Nutzern zur Kenntnisnahme, Löschung und ggf. Korrektur zu überprüfen, einschließlich aller Informationen, die der Nutzer angeben muss.
Erklären Sie, wie ein Opt-Out-Signal für den Nutzer verarbeitet wird (d.h. ob das Signal für das Gerät, den Browser, das Verbraucherkonto und/oder den Offline-Verkauf gilt und unter welchen Umständen) und wie der Nutzer ein Opt-Out-Signal verwenden kann.
Stellen Sie zusätzliche Berichtsanforderungen (Abschnitt 7102 der Vorschriften), wenn Ihr Unternehmen große Mengen an personenbezogenen Daten sammelt.
Wie bereitet man sich auf das CPRA vor?
Das CPRA tritt am 1. Januar 2023 in Kraft und wird ab dem 1. Juli 2023 durchgesetzt.
iubenda verfolgt wie immer die neuesten Updates und sorgt dafür, dass alle unsere Dokumente und Produkte rechtzeitig angepasst werden, um Ihnen zu helfen, gesetzeskonform zu bleiben.
Wenn Sie bereits CCPA-Prozesse eingerichtet haben, sollten Sie damit beginnen, Ihre Prozesse zu überprüfen und einige Punkte zu beachten:
Geben Sie alle von Ihnen verarbeiteten Daten an, die unter die Definition des CPRA für personenbezogene Daten fallen.
Überprüfen Sie Ihr Verfahren für die Mitteilung von Änderungen an Ihren Datenschutzrichtlinien an die Nutzer; stellen Sie sicher, dass Sie ein System dafür eingerichtet haben. Sobald Sie Ihre Datenschutzrichtlinie aktualisiert haben, müssen Sie Ihre Nutzer darüber informieren.
Wenn Sie mit Auftragsverarbeitern zusammenarbeiten oder Auftragsverarbeiter für Sie tätig sind, sollten Sie überlegen, ob Sie sie über Änderungen der Anforderungen informieren wollen (vor allem, wenn sie ihren Sitz außerhalb der USA haben).
Wie bei jedem neuen Gesetz ist es empfehlenswert, sich über Änderungen zu informieren, damit Sie geeignete Maßnahmen durchführen können. Wie immer sind wir für einen reibungslosen Verlauf dieser Veränderungen da und werden Sie in den nächsten Monaten auf dem Laufenden halten.
👋
Wollen Sie heute gesetzeskonform werden?
Besser noch: Sobald Sie Ihre Richtlinien eingerichtet haben, werden alle Aktualisierungen des CPRA automatisch von uns eingefügt.
