Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen ERKUNDEN KITEWORKS

Was ist der California Privacy Rights Act (CPRA)?

Home Glossar California Privacy Rights Act

In unserer heutigen, datengetriebenen Wirtschaft sind Datenschutz-Vorgaben zu entscheidenden geschäftlichen Faktoren geworden, die alles beeinflussen – vom Kundenvertrauen bis zur Profitabilität. Der California Privacy Rights Act (CPRA) zählt zu den umfassendsten Datenschutzgesetzen in den USA und betrifft weltweit Millionen Unternehmen, die kalifornische Verbraucher bedienen.

Ob Start-up mit Kundendaten oder Großunternehmen mit komplexen Datenlandschaften: Die CPRA-Anforderungen zu verstehen, ist keine Option, sondern Pflicht – für rechtliche Compliance, Wettbewerbsvorteile und das Vertrauen der Verbraucher. Dieser umfassende Leitfaden zeigt Ihnen alles, was Sie zur CPRA-Compliance wissen müssen – von den zentralen Anforderungen bis zu konkreten Umsetzungsstrategien. Sie erfahren mehr über Verbraucherrechte, Unternehmenspflichten, Durchsetzungsmechanismen und praxisnahe Schritte, damit Ihr Unternehmen Kaliforniens strenge Datenschutzstandards erfüllt.

California Privacy Rights Act

Executive Summary

Kernaussage: Der California Privacy Rights Act (CPRA) ist Kaliforniens umfassendes Datenschutzgesetz, das seit Januar 2023 in Kraft ist. Es gibt Einwohnern Kaliforniens weitreichende Rechte über ihre personenbezogenen Daten und verpflichtet Unternehmen, starke Datenschutzmaßnahmen, Transparenz und Prozesse für Verbraucher-Anfragen einzuführen.

Warum das wichtig ist: CPRA-Compliance ist mehr als das Vermeiden von Strafen bis zu 7.500 US-Dollar pro Verstoß – es geht um das Schaffen von Vertrauen, Wettbewerbsvorteile und die Zukunftssicherheit Ihres Unternehmens angesichts sich wandelnder Datenschutzvorgaben. Nichteinhaltung kann hohe finanzielle Strafen, Reputationsschäden und den Verlust von Geschäftschancen im größten US-Bundesstaat bedeuten.

Die vollständige Checkliste für die DSGVO-Compliance

Jetzt lesen

Wichtige Erkenntnisse

  1. CPRA gilt weltweit für Unternehmen mit kalifornischen Kunden

    Jedes Unternehmen, das Umsatz- oder Datenvolumen-Schwellenwerte erreicht, muss die CPRA-Anforderungen erfüllen – unabhängig vom Standort oder der Unternehmensstruktur.

  2. Sensible personenbezogene Daten erhalten besonderen Schutz

    Gesundheitsdaten, biometrische Daten, präzise Standortdaten und weitere sensible Kategorien erfordern spezielle Behandlung und die Einwilligung der Verbraucher für nicht notwendige Zwecke.

  3. Verbraucher haben sieben unterschiedliche Datenschutzrechte

    Einwohner Kaliforniens können auf ihre Daten zugreifen, sie löschen, korrigieren, übertragen, der Nutzung widersprechen, die Nutzung sensibler Daten einschränken und eine diskriminierungsfreie Behandlung erwarten.

  4. Datenschutz-Folgenabschätzungen sind bei risikoreichen Aktivitäten Pflicht

    Unternehmen müssen formelle Risikobewertungen für Datenverkauf, gezielte Werbung, Profiling und Verarbeitung sensibler Informationen durchführen.

  5. Eigene Durchsetzungsbehörde erhöht Compliance-Risiko

    Die California Privacy Protection Agency hat die alleinige Befugnis, Verstöße zu untersuchen und erhebliche Strafen bei Nichteinhaltung zu verhängen.

Was ist der California Privacy Rights Act (CPRA)?

Der California Privacy Rights Act (CPRA) ist Kaliforniens umfassendes Datenschutzgesetz, das die personenbezogenen Daten (personenbezogene Daten) von Einwohnern Kaliforniens schützt. Das Gesetz ist seit Januar 2023 in Kraft und erweitert sowie verstärkt den Datenschutz erheblich. Der CPRA stellt sicher, dass Einwohner Kaliforniens umfassende Kontrolle darüber haben, wie Unternehmen mit ihren Daten umgehen – einschließlich erweiterter Rechte auf Zugang, Korrektur, Löschung und Einschränkung der Datennutzung.

Der CPRA gilt als eines der strengsten Datenschutzgesetze in den USA. Er gibt kalifornischen Verbrauchern beispiellose Kontrolle über ihre personenbezogenen Daten und verpflichtet Unternehmen zu umfassenden Datenschutzmaßnahmen und Transparenz.

CPRA-Compliance-Anforderungen für Unternehmen

CPRA-Compliance ist für jedes Unternehmen, das personenbezogene Daten von Einwohnern Kaliforniens sammelt, verarbeitet oder teilt, unerlässlich. Das Gesetz stellt umfassende Anforderungen, die weit über reine Anpassungen der Datenschutzerklärung hinausgehen.

Was bedeutet CPRA-Compliance?

Nach Vorbild von Datenschutzrahmen wie der Europäischen Datenschutzgrundverordnung (DSGVO) verpflichtet der CPRA Unternehmen, die personenbezogene Daten von Einwohnern Kaliforniens erfassen, detaillierte Informationen zu ihren Datenpraktiken bereitzustellen. Für CPRA-Compliance muss ein Unternehmen seine Datenschutzerklärung und Abläufe anpassen und Folgendes abdecken:

  • Welche Informationen das Unternehmen sammelt und verarbeitet
  • Zu welchem Zweck die Informationen erhoben und verarbeitet werden
  • Methoden der Datenerhebung und -verarbeitung
  • Wie Verbraucher ihre Rechte auf Zugang, Korrektur, Löschung oder Übertragbarkeit ihrer Daten ausüben können
  • Wie die Identität von Verbrauchern bei Anfragen verifiziert wird
  • Der Verkauf und die Weitergabe von personenbezogenen Daten und wie Verbraucher widersprechen können
  • Wie sensible personenbezogene Daten verwendet und offengelegt werden und wie Verbraucher diese Nutzung einschränken können
  • Praktiken zur Datenspeicherung und -löschung
  • Beziehungen zu Drittparteien und Datenweitergabe

Geografische Reichweite und Anwendbarkeit

Die Reichweite des CPRA geht weit über Kalifornien hinaus und schafft Compliance-Pflichten für Unternehmen weltweit.

Globale Anwendung des kalifornischen Datenschutzgesetzes

Der CPRA ist ein kalifornisches Landesgesetz, gilt jedoch weltweit für Unternehmen, die personenbezogene Daten von Einwohnern Kaliforniens verarbeiten. Die extraterritoriale Wirkung bedeutet, dass jedes Unternehmen, das kalifornische Verbraucher bedient, die CPRA-Anforderungen erfüllen muss – unabhängig vom eigenen Standort.

Unternehmen, die dem CPRA unterliegen

Der CPRA gilt für alle gewinnorientierten Unternehmen, die personenbezogene Daten von Einwohnern Kaliforniens erfassen und kontrollieren und eines der folgenden Kriterien erfüllen:

  • Bruttojahresumsatz über 25 Millionen US-Dollar
  • Mindestens 50 % des Jahresumsatzes stammen aus Verkauf oder Weitergabe personenbezogener Daten von Einwohnern Kaliforniens
  • Kauft, erhält, verkauft oder teilt jährlich personenbezogene Daten von 100.000 oder mehr Einwohnern oder Haushalten Kaliforniens

Unternehmen, die nicht unter den CPRA fallen

Der CPRA gilt nicht für gemeinnützige Organisationen, kleinere Unternehmen, die die Umsatzschwellen nicht erreichen, und solche, die nicht in großem Umfang personenbezogene Daten von Einwohnern Kaliforniens verarbeiten.

Weitere Ausnahmen vom CPRA sind:

Wenn keine personenbezogenen Daten betroffen sind: Der CPRA konzentriert sich auf personenbezogene Daten. Öffentlich verfügbare Informationen – also solche, die rechtmäßig aus öffentlichen Registern stammen – unterliegen nicht dem CPRA.

Wenn andere Gesetze und Vorschriften gelten: In manchen Branchen gelten bereits andere Datenschutzgesetze, etwa der Health Insurance Portability and Accountability Act (HIPAA), der Gramm-Leach-Bliley Act (GLBA) oder der Fair Credit Reporting Act (FCRA). Der CPRA schließt Daten aus, die bereits durch diese Gesetze geschützt sind.

Verbraucherrechte nach dem CPRA

Der CPRA definiert sieben grundlegende Datenschutzrechte, die Einwohner Kaliforniens in Bezug auf ihre personenbezogenen Daten ausüben können. Diese Rechte zu verstehen ist essenziell für die Umsetzung konformer Geschäftsprozesse.

Die sieben zentralen Datenschutzrechte

Einwohner Kaliforniens haben umfassende Kontrolle über ihre personenbezogenen Daten durch folgende Rechte:

Recht auf Auskunft und Zugang

Verbraucher können von Unternehmen verlangen, Folgendes offenzulegen:

  • Alle personenbezogenen Daten, die über sie gesammelt wurden
  • Kategorien der Quellen, aus denen die Daten stammen
  • Geschäftszweck der Datenerhebung
  • Alle Drittparteien, an die die Daten verkauft oder weitergegeben wurden

Recht auf Löschung

Verbraucher können die Löschung ihrer personenbezogenen Daten verlangen – mit Ausnahmen für notwendige Geschäftszwecke wie die Abwicklung von Transaktionen, Erkennung von Sicherheitsvorfällen oder rechtliche Verpflichtungen.

Recht auf Berichtigung unrichtiger Daten

Verbraucher haben das Recht, die Korrektur unrichtiger personenbezogener Daten zu verlangen. Unternehmen müssen nach Eingang einer verifizierten Anfrage angemessene Schritte zur Korrektur unternehmen.

Recht auf Datenübertragbarkeit

Verbraucher können ihre personenbezogenen Daten in einem portablen, gebräuchlichen Format anfordern, das eine Übertragung an andere Stellen ohne Hindernisse ermöglicht.

Recht auf Widerspruch gegen Verkauf und Weitergabe

Verbraucher können dem Verkauf oder der Weitergabe ihrer personenbezogenen Daten widersprechen. Unternehmen müssen auf ihren Websites deutlich sichtbare Links mit der Aufschrift „Do Not Sell or Share My Personal Information“ bereitstellen.

Recht auf Einschränkung der Nutzung sensibler personenbezogener Daten

Verbraucher können die Nutzung und Offenlegung ihrer sensiblen personenbezogenen Daten auf das für die Erbringung der erwarteten Leistungen oder Waren notwendige Maß beschränken.

Recht auf Diskriminierungsfreiheit

Unternehmen dürfen Verbraucher nicht benachteiligen, weil sie ihre Datenschutzrechte wahrnehmen – etwa durch Verweigerung von Waren oder Dienstleistungen, Preisunterschiede oder unterschiedliche Qualität.

Kategorien personenbezogener Daten nach CPRA

Der CPRA definiert die Arten personenbezogener Daten detailliert und sieht für sensible Kategorien besonderen Schutz vor. Diese Definitionen sind für eine korrekte Datenklassifizierung und regulatorische Compliance unerlässlich.

Standard-Personenbezogene Daten

Der CPRA definiert personenbezogene Daten weit gefasst als Informationen, die „eine Person identifizieren, sich auf sie beziehen, sie beschreiben, mit ihr in Verbindung gebracht werden können oder vernünftigerweise auf sie beziehbar sind“. Dazu zählen unter anderem:

  • Identifikatoren wie Name, Alias, Postanschrift, eindeutige Kennung, Online-Kennung, IP-Adresse, E-Mail-Adresse, Kontoname, Sozialversicherungsnummer, Führerscheinnummer oder Passnummer
  • Kaufdaten und Konsumhistorien
  • Biometrische Daten zur Identifikation
  • Internetaktivitäten wie Browserverlauf und Website-Interaktionen
  • Geolokalisierungsdaten zur Standortbestimmung
  • Audio-, elektronische, visuelle, thermische, olfaktorische oder ähnliche Informationen
  • Berufliche oder beschäftigungsbezogene Informationen
  • Bildungsdaten, die nicht öffentlich verfügbar sind
  • Abgeleitete Profile zu Präferenzen, Eigenschaften oder Verhalten

Kategorien sensibler personenbezogener Daten

Der CPRA führt eine besondere Kategorie „sensible personenbezogene Daten“ ein, die besonderen Schutz genießt und zusätzliche Verbraucherrechte auslöst:

Hochrisiko-Datenkategorien

Diese Datentypen erfordern besondere Behandlung und die Einwilligung der Verbraucher für nicht zwingende Zwecke:

  • Sozialversicherungsnummern, Führerscheinnummern, staatliche Ausweisnummern oder Passnummern
  • Zugangsdaten, Kontonummern, Kredit- oder Debitkartennummern, Passwörter oder Sicherheitscodes
  • Präzise Standortdaten zur Bewegungsverfolgung
  • Rassische oder ethnische Herkunft, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit
  • Biometrische Kennungen zur eindeutigen Identifikation
  • Gesundheitsdaten wie Erkrankungen, Behandlungen oder Diagnosen
  • Informationen zur Sexualität oder sexuellen Orientierung
  • Genetische Daten einschließlich DNA-Analyse

Verbraucherkontrolle über sensible Daten

Verbraucher haben erweiterte Rechte bezüglich sensibler personenbezogener Daten, einschließlich der Möglichkeit, deren Nutzung und Offenlegung auf das für die erwartete Leistung notwendige Maß zu beschränken.

Datenschutz-Folgenabschätzungen und Risikomanagement

Der CPRA schreibt verpflichtende Risikobewertungen für Unternehmen vor, die risikoreiche Datenverarbeitungen durchführen. Diese Bewertungen helfen, potenzielle Datenschutzrisiken zu erkennen und geeignete Schutzmaßnahmen zu implementieren.

Wann sind Datenschutz-Folgenabschätzungen erforderlich?

Unternehmen müssen umfassende Datenschutz-Folgenabschätzungen für folgende risikoreiche Verarbeitungstätigkeiten durchführen:

Risikoreiche Verarbeitungstätigkeiten

Folgende Aktivitäten lösen die Pflicht zur Bewertung aus:

  • Verkauf oder Weitergabe personenbezogener Daten an Drittparteien
  • Verarbeitung sensibler personenbezogener Daten zu beliebigen Zwecken
  • Verarbeitung personenbezogener Daten für gezielte Werbung
  • Verarbeitung personenbezogener Daten für Profiling, das Diskriminierung oder andere nachteilige Auswirkungen haben kann

Anforderungen und Bestandteile der Bewertung

Datenschutz-Folgenabschätzungen müssen Nutzen und Risiken der Verarbeitung bewerten und Schutzmaßnahmen zur Risikominderung identifizieren. Dazu gehören Risikoidentifikation, Wirkungsanalyse und Strategien zum Schutz der Privatsphäre der Verbraucher.

Durchsetzung durch die California Privacy Protection Agency (CPPA)

Der CPRA hat eine eigene Aufsichtsbehörde mit exklusiver Befugnis zur Durchsetzung der kalifornischen Datenschutzgesetze geschaffen. Die Befugnisse und das Vorgehen der CPPA zu kennen, ist für die Compliance-Planung entscheidend.

Befugnisse und Zuständigkeiten der CPPA

Die California Privacy Protection Agency stellt eine erhebliche Stärkung der Durchsetzungsfähigkeit im Vergleich zu früheren Strukturen dar.

Umfassende Regulierungsbefugnisse

Die CPPA hat weitreichende Befugnisse zur Sicherstellung der CPRA-Compliance:

  • Durchführung von Untersuchungen und Audits der Geschäftspraktiken
  • Erlass von Vorschriften und Leitlinien zu Datenschutzanforderungen
  • Verhängung von Verwaltungssanktionen bei Verstößen
  • Anordnung von Korrekturmaßnahmen und Compliance-Maßnahmen
  • Regelsetzungsverfahren zur Klarstellung rechtlicher Anforderungen

Erweiterte Durchsetzungsfähigkeiten

Diese spezialisierte Behörde sorgt für gezielte Aufsicht und Expertise im Datenschutzrecht – ein deutlicher Wandel gegenüber der bisherigen Zuständigkeit ausschließlich des Attorney General.

Strafen und Folgen bei CPRA-Verstößen

Die finanziellen und reputationsbezogenen Risiken der Nichteinhaltung zu kennen, hilft Unternehmen, Datenschutzinvestitionen und Compliance-Maßnahmen zu priorisieren.

Verwaltungssanktionen

Nichteinhaltung des CPRA kann erhebliche finanzielle Strafen nach sich ziehen, die den Geschäftsbetrieb stark beeinträchtigen können:

  • Vorsätzliche Verstöße: Bis zu 7.500 US-Dollar pro Verstoß bei absichtlicher Nichteinhaltung
  • Unbeabsichtigte Verstöße: Bis zu 2.500 US-Dollar pro Verstoß bei fahrlässiger Nichteinhaltung
  • Schadensersatz bei Datenpannen: Bis zu 750 US-Dollar pro betroffener Person durch individuelles Klagerecht

Individuelles Klagerecht der Verbraucher

Der CPRA erhält das Recht der Verbraucher, Unternehmen bei Datenschutzverstößen direkt zu verklagen. Verbraucher müssen 30 Tage vor Klageerhebung eine Frist zur Behebung einräumen, sodass Unternehmen Verstöße abstellen und Klagen vermeiden können.

Schritt-für-Schritt-Implementierung der CPRA-Compliance

CPRA-Compliance erfordert systematische Planung und Umsetzung in allen Unternehmensbereichen. Dieser umfassende Ansatz gewährleistet vollständige Compliance bei minimaler Beeinträchtigung des Geschäftsbetriebs.

Phase 1: Analyse und Planung

Die erste Phase konzentriert sich darauf, Ihre Pflichten und bestehende Compliance-Lücken zu identifizieren.

1. Rechtliche Anwendbarkeit prüfen

Bewerten Sie, ob Ihr Unternehmen die Schwellenwerte des CPRA erfüllt und personenbezogene Daten von Einwohnern Kaliforniens verarbeitet. Berücksichtigen Sie Umsatz, Datenvolumen und Kundenstruktur.

2. Umfassende Dateninventur durchführen

Erstellen Sie ein detailliertes Verzeichnis aller im Unternehmen erfassten, verarbeiteten, gespeicherten und geteilten personenbezogenen Daten. Achten Sie besonders auf die Identifikation sensibler Daten mit erhöhtem Schutzbedarf.

Phase 2: Aktualisierung von Richtlinien und Prozessen

In dieser Phase werden Unternehmensrichtlinien angepasst und konforme Abläufe implementiert.

1. Datenschutzerklärungen und Hinweise aktualisieren

Überarbeiten Sie Datenschutzhinweise mit allen CPRA-Pflichtangaben – einschließlich detaillierter Informationen zu Datenpraktiken, Verbraucherrechten und Kontaktmöglichkeiten für Datenschutzanfragen.

2. Prozesse für Verbraucher-Anfragen implementieren

Richten Sie zuverlässige Mechanismen ein, damit Verbraucher ihre Datenschutzrechte ausüben können – inklusive Identitätsprüfung, Fristen und Nachverfolgung von Anfragen.

Phase 3: Drittparteien- und Risikomanagement

Berücksichtigen Sie externe Beziehungen und risikoreiche Verarbeitungstätigkeiten, die unter dem CPRA besondere Aufmerksamkeit erfordern.

1. Drittparteien-Beziehungen überprüfen

Prüfen Sie alle Dienstleister, Anbieter und Partner, die personenbezogene Daten verarbeiten, auf Compliance und aktualisieren Sie Verträge mit angemessenen Datenschutzklauseln.

2. Datenschutz-Folgenabschätzungen durchführen

Implementieren Sie Prozesse zur Identifikation von Fällen, in denen Datenschutz-Folgenabschätzungen erforderlich sind, und führen Sie diese für risikoreiche Aktivitäten wie Datenverkauf, gezielte Werbung und Verarbeitung sensibler Daten durch.

Phase 4: Governance und Schulung

Stellen Sie kontinuierliche Compliance-Überwachung und Mitarbeiterschulungen sicher, um die Einhaltung dauerhaft zu gewährleisten.

1. Daten-Governance-Rahmenwerk etablieren

Implementieren Sie Datenminimierung, Aufbewahrungsfristen und Löschprozesse, damit personenbezogene Daten während ihres gesamten Lebenszyklus angemessen behandelt werden.

2. Umfassende Mitarbeiterschulungen anbieten

Schulen Sie Mitarbeitende zu CPRA-Anforderungen, Verbraucherrechten und dem korrekten Umgang mit personenbezogenen Daten. Bieten Sie rollenbasierte Schulungen für Kundenservice, Marketing und IT an.

3. Compliance überwachen und aufrechterhalten

Richten Sie fortlaufende Überwachungs- und Prüfverfahren ein, um die Einhaltung auch bei sich ändernden Geschäftsprozessen und regulatorischen Vorgaben sicherzustellen.

Entwicklung des kalifornischen Datenschutzrechts: Von CCPA zu CPRA

Die historische Entwicklung des kalifornischen Datenschutzrechts liefert wichtigen Kontext für aktuelle Anforderungen und künftige Trends.

Grundlage: California Consumer Privacy Act

Der CPRA baut auf dem California Consumer Privacy Act (CCPA) auf, der 2018 verabschiedet und im Januar 2020 wirksam wurde. Der CCPA war das erste umfassende Datenschutzgesetz eines US-Bundesstaates und etablierte grundlegende Verbraucherrechte und Unternehmenspflichten im Umgang mit personenbezogenen Daten.

Zentrale Erweiterungen und Verbesserungen

Der CPRA erweitert das CCPA-Rahmenwerk durch mehrere wichtige Neuerungen:

Erweiterte Verbraucherrechte und Schutzmaßnahmen

Der CPRA ergänzt das Recht auf Berichtigung unrichtiger Daten und die Einschränkung der Nutzung sensibler Daten, sodass Verbraucher mehr Kontrolle über ihre Daten erhalten.

Kategorie „sensible personenbezogene Daten“

Das Gesetz schafft eine neue Kategorie sensibler personenbezogener Daten mit besonderen Schutzmaßnahmen, da bestimmte Datentypen erhöhte Sicherheitsvorkehrungen erfordern.

Eigene Durchsetzungsstruktur

Der CPRA etabliert die CPPA als spezialisierte Aufsichtsbehörde und verbessert damit die regulatorische Durchsetzung erheblich.

Verpflichtende Risikobewertungen

Das Gesetz verlangt Datenschutz-Folgenabschätzungen für risikoreiche Verarbeitungstätigkeiten und fördert so proaktives Risikomanagement.

Erweiterter Anwendungsbereich

Der CPRA dehnt einige Schutzmaßnahmen auf Beschäftigte und B2B-Kontexte aus und führt explizite Anforderungen zur Datenminimierung ein.

Zeitleiste und Meilensteine des Datenschutzrechts

Die Entwicklung im Zeitverlauf hilft Unternehmen, künftige regulatorische Änderungen frühzeitig zu erkennen:

  • 2018: CCPA vom kalifornischen Parlament verabschiedet
  • Januar 2020: CCPA tritt mit grundlegenden Datenschutzvorgaben in Kraft
  • November 2020: CPRA wird per Volksabstimmung angenommen
  • Januar 2023: CPRA tritt mit erweiterten Schutzmaßnahmen in Kraft
  • Juli 2023: CPRA-Durchsetzung startet mit voller regulatorischer Befugnis

Vergleich: CPRA und andere Datenschutzgesetze

Zu verstehen, wie der CPRA im Vergleich zu anderen Datenschutzvorgaben steht, hilft Unternehmen, umfassende Compliance-Strategien für mehrere Rechtsräume zu entwickeln.

CPRA vs. DSGVO

Beide Gesetze bieten umfassenden Datenschutz, unterscheiden sich aber in Anwendungsbereich, Ansatz und Durchsetzung:

Unterschiede im Anwendungsbereich

  • DSGVO: Gilt für jede Verarbeitung personenbezogener Daten – unabhängig von Unternehmensgröße oder Umsatz
  • CPRA: Konzentriert sich auf Unternehmen, die bestimmte Umsatz- oder Datenvolumenschwellen erreichen

Unterschiede im rechtlichen Ansatz

  • DSGVO: Verlangt eine rechtmäßige Grundlage für jede Verarbeitung personenbezogener Daten
  • CPRA: Setzt auf Transparenz und Verbraucher-Kontrolle bei der Datennutzung

Verbraucherrechte und Unternehmenspflichten

  • DSGVO: Umfasst umfassende Rechte auf Datenübertragbarkeit und Widerspruch
  • CPRA: Fokussiert auf Widerspruchsrechte beim Verkauf und der Weitergabe personenbezogener Daten

Durchsetzung und Sanktionen

  • DSGVO: Höhere Strafrahmen mit Bußgeldern bis zu 4 % des weltweiten Umsatzes
  • CPRA: Bietet Verbrauchern ein individuelles Klagerecht bei Datenpannen

Einfluss des CPRA auf nationale Datenschutzgesetzgebung

Der CPRA beeinflusst weiterhin Datenschutzgesetze anderer US-Bundesstaaten und prägt die Diskussion um ein bundesweites Datenschutzgesetz. Viele Staaten übernehmen ähnliche Rahmenwerke nach kalifornischem Vorbild.

CPRA-Compliance mit Kiteworks nachweisen

Kiteworks unterstützt Unternehmen bei der Einhaltung des California Consumer Privacy Act (CCPA) und des California Privacy Rights Act (CPRA), indem es den Austausch, die Speicherung und die Governance personenbezogener Daten absichert. Die Plattform bietet Ende-zu-Ende-Verschlüsselung, zero-trust Zugriffskontrollen und detaillierte Prüfprotokolle, um sensible Verbraucherdaten wie /PHI vor unbefugtem Zugriff oder Datenpannen zu schützen. Diese Funktionen unterstützen die CCPA/CPRA-Anforderungen an „angemessene Sicherheit“ und helfen Unternehmen, Haftungsrisiken bei Datenschutzverstößen zu minimieren.

Die Plattform ermöglicht es Unternehmen zudem, Verbraucherrechte wie Auskunft, Löschung und Datenübertragbarkeit über sicheren Dateitransfer und kontrollierte Workflows zu erfüllen. Kiteworks erleichtert die Weitergabe an Drittparteien unter Einhaltung vertraglicher und Rechenschaftspflichten und stellt sicher, dass Dienstleister personenbezogene Daten mit gleichem Schutzniveau behandeln. Mit richtlinienbasierter Datenaufbewahrung, detailliertem Reporting und zentraler Transparenz unterstützt Kiteworks die Prinzipien der Datenminimierung und Zweckbindung und hilft Unternehmen, Datenschutz-Compliance bei Audits oder Prüfungen nachzuweisen.

Erfahren Sie mehr über Kiteworks für CPRA/CCPA-Compliance und individuelle Demo.

Zurück zum Risk & Compliance Glossar

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN
Teilen
Twittern
Teilen
Explore Kiteworks