Beim CCPA (California Consumer Privacy Act) handelt es sich um ein Datenschutzgesetz, das 2018 erlassen wurde, um die personenbezogenen Daten der Einwohner Kaliforniens zu schützen. Dieses Gesetz trat im Januar 2020 in Kraft. Das gesetzgeberische Ziel des CCPA war die Bekämpfung der zunehmenden Datenschutzverletzungen in der Technologie-, Medien-, Unterhaltungs- und Telekommunikationsbranche.

Der CCPA gewährleistet, dass die Einwohner Kaliforniens die Kontrolle darüber haben, wie Unternehmen mit ihren personenbezogenen Daten umgehen. Es stellt auch sicher, dass Unternehmen Anfragen von Einwohnern Kaliforniens bezüglich des Zugangs und der Löschung ihrer personenbezogenen Daten nachkommen und die Möglichkeit haben, die Weitergabe und den Verkauf ihrer personenbezogenen Daten abzulehnen.

Was bedeutet CCPA-Compliance?

Nach dem Vorbild der Allgemeinen Datenschutzverordnung der Europäischen Union (GDPR/DSGVO) sieht der CCPA vor, dass Unternehmen, die personenbezogene Daten von Einwohnern Kaliforniens erheben, Informationen darüber bereitstellen müssen, wie die Daten erhoben werden. Es hat auch Ähnlichkeit mit dem kanadischen Personal Information Protection and Electronic Documents Act (PIPEDA). Um sicherzustellen, dass ein Unternehmen die Vorschriften einhält, muss es möglicherweise seine Datenschutzrichtlinien entsprechend anpassen, um folgende Punkte mit einzubeziehen: 

  • die Informationen, die ein Unternehmen sammelt und verarbeitet
  • der Grund, aus dem die Informationen gesammelt und verarbeitet werden
  • die Methoden, mit denen personenbezogene Daten gesammelt und verarbeitet werden
  • was Einwohner unternehmen müssen, um Zugang zu ihren personenbezogenen Daten zu beantragen, sie zu ändern, zu verschieben oder zu löschen
  • die Methode zur Überprüfung der Identität der Person, die einen solchen Antrag stellt
  • der Verkauf von personenbezogenen Daten der Nutzer und wie sie sich gegen den Verkauf ihrer Daten aussprechen können

Wo liegt der geografische Geltungsbereich des CCPA?

Der CCPA ist ein US-bundesstaatliches Datenschutzgesetz, das jedoch für Unternehmen weltweit gilt, sofern sie mit personenbezogenen Daten von Einwohnern Kaliforniens umgehen. Das Gesetz gilt als eines der strengsten Datenschutzgesetze in den Vereinigten Staaten.

Unternehmen, die sich an den CCPA halten müssen

Der CCPA gilt für alle gewinnorientierten Unternehmen, die personenbezogene Daten von Einwohnern Kaliforniens sammeln und verwalten. Es gilt auch für gewinnorientierte Unternehmen in Kalifornien, die eines der folgenden Kriterien erfüllen:

  • Bruttojahresumsatz von über 25 Millionen US-Dollar
  • 50 % oder mehr des Jahresumsatzes stammen aus dem Verkauf personenbezogener Daten von Einwohnern Kaliforniens
  • Sie erwerben, erhalten oder verkaufen jährlich die personenbezogenen Daten von 50.000 oder mehr Einwohnern, Haushalten oder Geräten in Kalifornien

Organisationen, die nicht dem CCPA unterliegen

Der CCPA gilt nicht für gemeinnützige Organisationen, kleinere Unternehmen, die die Umsatzschwellen nicht erreichen, und solche, die keine großen Mengen an personenbezogenen Daten von Einwohnern Kaliforniens verarbeiten. 

Andere Fälle, in denen der CCPA nicht anwendbar ist, sind:

Wenn keine personenbezogenen Daten involviert sind

Das Hauptaugenmerk des CCPA liegt auf personenbezogenen Daten. Öffentlich zugängliche Informationen – d. h. Informationen, die rechtmäßig aus Aufzeichnungen von Bundes-, Landes- und Kommunalbehörden zur Verfügung gestellt werden – fallen nicht unter den CCPA.

Wenn andere Gesetze und Vorschriften gelten

Für einige Branchen gelten bereits andere Datenschutzvorschriften. Zu diesen Gesetzen gehören der Health Insurance Portability and Accountability Act (HIPAA), der Gramm-Leach-Bliley Act (GLBA) und der Fair Credit Reporting Act (FCRA). Der CCPA schließt Daten aus, die bereits unter diese Gesetze fallen.

Die wichtigsten Bestimmungen des CCPA

Der CCPA wird zwar mit der Datenschutz-Grundverordnung verglichen, hat aber eine viel umfassendere Definition der Rechtskonformität. Der CCPA definiert geschützte personenbezogene Daten als solche, die „eine bestimmte Person identifizieren, sich auf sie beziehen, sie beschreiben, mit ihr in Verbindung gebracht werden können oder begründet mit ihr in Verbindung gebracht werden könnten“.

Nach dem CCPA haben die Einwohner Kaliforniens das Recht, von einem Unternehmen die Offenlegung der folgenden Informationen zu verlangen: 

  • alle über den Verbraucher gesammelten Daten
  • Kategorien von Quellen, aus denen die Informationen gesammelt werden
  • der Geschäftszweck für die Erhebung dieser Informationen
  • jede dritte Partei, mit der die Informationen geteilt werden

Der CCPA definiert die Verwendung personenbezogener Daten für den Geschäftsbetrieb für Unternehmen als geschäftlichen Zweck, vorausgesetzt, die Verwendung ist nach vernünftigem Ermessen notwendig und verhältnismäßig, um den Zweck zu erreichen, für den die Daten erhoben oder verarbeitet wurden. Gemäß dem CCPA umfasst der Geschäftszweck:

  1. die Prüfung einer aktuellen Interaktion mit einem Verbraucher und anschließender Transaktionen mit diesem Verbraucher
  2. die Überwachung und Aufdeckung von Sicherheitsvorfällen, Schutz vor illegalen Aktivitäten und strafrechtliche Verfolgung der für solche Aktivitäten Verantwortlichen
  3. die kurzfristige Nutzung personenbezogener Daten unter der Voraussetzung, dass die Daten nicht an Dritte weitergegeben und nicht dazu verwendet werden, ein Profil über einen Verbraucher zu erstellen oder die Erfahrungen eines einzelnen Verbrauchers außerhalb der aktuellen Interaktion anderweitig zu verändern
  4. die Durchführung interner Untersuchungen in einem Unternehmen für die technologische Entwicklung
  5. die Erbringung von Dienstleistungen im Namen des Unternehmens, wie Kontoführung, Kundendienst, Bearbeitung von Bestellungen und Transaktionen, Verifizierung von Kundendaten, Zahlungsabwicklung, Bereitstellung von Werbung oder Marketing- und Analysedienste
  6. die Erbringung von Dienstleistungen zur Überprüfung oder Aufrechterhaltung der Qualität oder Sicherheit einer Dienstleistung oder eines Geräts in Bezug auf die Geschäftstätigkeit

Persönliche Informationen gemäß des CCPA

Der CCPA regelt die Datenschutzrechte und den Verbraucherschutz der Einwohner Kaliforniens in Bezug auf ihre personenbezogenen Daten:

  • realer Name, Alias, Postadresse, eindeutige persönliche Identifikation, Online-Identifikation, Internetprotokolladresse, E-Mail-Adresse, Konto-Bezeichnung, Sozialversicherungsnummer, Führerscheinnummer oder Reisepassnummer einer Person
  • kommerzielle Informationen wie Aufzeichnungen über persönliches Eigentum, Käufe, Kauf- oder Verbrauchshistorien oder Tendenzen
  • biometrische Daten
  • Informationen über Internetaktivitäten wie den Browser-Verlauf, den Suchverlauf und Informationen über die Interaktion eines Verbrauchers mit einer Website, Anwendung oder Werbeanzeige
  • Geolokalisierungsdaten
  • akustische, elektronische, visuelle, thermische, olfaktorische oder ähnliche Informationen
  • berufliche oder arbeitsplatzbezogene Informationen
  • bildungsbezogene Informationen, sofern diese Informationen nicht öffentlich zugänglich sind
  • Rückschlüsse, die gezogen werden, um ein Profil über einen Verbraucher zu erstellen, das dessen Identität, Vorlieben, Eigenschaften, Trends, Verhalten, Einstellungen und Fähigkeiten widerspiegelt

Strafen und Geldbußen bei Nichteinhaltung des CCPA

Die Nichteinhaltung des CCPA wird mit Geldstrafen und Bußgeldern geahndet. Gemäß dem CCPA kann der Generalstaatsanwalt von Kalifornien eine Höchststrafe von 7.500 US-Dollar pro Verstoß verhängen, wenn die Vorschriften des CCPA absichtlich ignoriert werden, was als vorsätzliche Nichteinhaltung gilt. Die fehlende Verschlüsselung von Benutzerdaten, auf die während eines Verstoßes zugegriffen wurde, könnte als unbeabsichtigte Nichteinhaltung betrachtet werden und wird mit einer Geldstrafe von 2.500 Dollar pro Verstoß geahndet.

Der CCPA räumt den Verbrauchern auch ein privates Klagerecht im Falle einer Datenschutzverletzung aufgrund von Verstößen gegen die Vorschriften ein. Die Verbraucher können ein Unternehmen bei einem solchen Verstoß auf Schadenersatz verklagen. Bevor ein Verbraucher Klage erheben kann, muss er ein Unternehmen über einen Verstoß benachrichtigen und ihm eine Frist von 45 Tagen  zur Behebung des Verstoßes setzen. Kümmert sich das Unternehmen nicht innerhalb dieser Frist um den Verstoß, muss es einen gesetzlichen Schadensersatz von bis zu 750 Dollar pro betroffenem Verbraucher zahlen.

Schritte zur CCPA-Konformität

Um CCPA-konform zu werden und zu bleiben, müssen Unternehmen mehrere Schritte befolgen:

1. Verpflichtungserklärung des Unternehmens bezüglich des CCPA

Der CCPA schützt jeden natürlichen Menschen, der in Kalifornien ansässig ist. Das Gesetz schreibt vor, dass Einwohner Kaliforniens das Recht haben, zu erfahren, welche personenbezogenen Daten Unternehmen über sie sammeln und wie sie diese Daten verwenden. Ein Unternehmen muss dem Kunden ermöglichen, die Verwendung dieser Daten abzulehnen, und sicherstellen, dass er auf Anfrage eine Kopie der vom Unternehmen gespeicherten Daten erhalten kann.

2. Überblick über alle gespeicherten und gesammelten Verbraucherdaten

Sobald ein Unternehmen feststellt, dass es zur Einhaltung des CCPA verpflichtet ist, besteht der nächste Schritt darin, alle personenbezogenen Daten, die sich unter der Kontrolle des Unternehmens befinden, zu erfassen.

3. Überprüfung aller Drittparteien, an die Verbraucherdaten gesendet und/oder empfangen werden

Der nächste Schritt besteht darin, dasselbe mit allen Drittparteien zu tun, mit denen ein Unternehmen personenbezogene Daten austauscht. Im Rahmen des Third-Party-Risk-Management (TPRM) eines Unternehmens muss überprüft werden, ob alle diese Drittparteien CCPA-konform sind. Dies umfasst die Überprüfung und Aktualisierung der Datenschutzrichtlinien.

4. Verbraucher sollen ihre Rechte nach dem CCPA leicht wahrnehmen können

Der nächste Schritt ist die Festlegung von Prozessen und Verfahren, die die Verbraucher nutzen können, um ihre Rechte im Sinne des CCPA wahrzunehmen.

5. Erforderliche betriebliche Anpassungen ermitteln und umsetzen

Zur Umsetzung des CCPA sind möglicherweise einige Änderungen im operativen Geschäft erforderlich. Zu diesen Änderungen gehört die Art und Weise, wie Verbraucherinformationen gesammelt und verarbeitet werden, wie mit Verbraucheranfragen umgegangen wird und wie die kontinuierliche Einhaltung der Vorschriften erfolgt.

6. Mitarbeiter schulen

Der letzte Schritt besteht darin, die Mitarbeiter darin zu schulen, wie sich Compliance auf Ihr Unternehmen auswirkt und welche Auswirkungen dies auf den Umgang mit Verbraucherdaten hat. Die Teams müssen darin geschult werden, wie der CCPA einen Verbraucher definiert, was diesbezüglich zu den personenbezogenen Daten zählt und wie man auf Anfragen von Verbrauchern reagiert.

Vergleich zwischen dem CCPA und der GDPR (DSGVO)

Der CCPA und die GDPR sind Gesetze, die regeln, wie Unternehmen in ihrem jeweiligen Rechtsraum mit personenbezogenen Daten umgehen. Durch beide Gesetze haben Einzelpersonen mehr Einfluss darauf, wie Unternehmen ihre personenbezogenen Daten verwalten.

Der CCPA gilt für Unternehmen, die gewinnorientiert tätig sind und personenbezogene Daten von Einwohnern Kaliforniens verwalten, sammeln oder verarbeiten. Die GDPR (DSGVO) hingegen gibt den Einwohnern der Europäischen Union (EU) die Kontrolle darüber, wie Unternehmen ihre personenbezogenen Daten erfassen und verwenden. Die GDPR ist in allen 27 EU-Mitgliedstaaten einheitlich verbindlich. Im Folgenden finden Sie einen kurzen Überblick über den Vergleich zwischen dem CCPA und der GDPR (übernommen aus einem Dokument von Baker Law):

Bereich

CCPA

GDPR

Vergleich

Wer ist geschützt?

Verbraucher mit Wohnsitz in Kalifornien:

 

– die sich nicht nur vorübergehend oder übergangsweise in Kalifornien aufhalten

 

– die ihren Wohnsitz in Kalifornien haben, sich aber vorübergehend oder übergangsweise außerhalb des Staates aufhalten

 

Zu den Verbrauchern gehören:

 

– Konsumenten von Haushaltswaren und Dienstleistungen

 

– Arbeitnehmer

 

– B2B-Transaktionen

Die von einer Datenerhebung betroffenen Personen werden als identifizierte oder identifizierbare Personen definiert, auf die sich die personenbezogenen Daten beziehen.

Unterschiedliche, aber ähnlich breite Wirkung

 

 

 

Schwerpunkt auf Informationen, die sich auf identifizierbare natürliche Personen beziehen, aber unterschiedliche Definitionen

 

 

 

Potenzielle extraterritoriale Auswirkungen für Unternehmen mit Sitz außerhalb der Gerichtsbarkeit

Welche Informationen sind geschützt?

Personenbezogene Daten, die gegen Entgelt verkauft werden sollen 

Alle personenbezogenen Daten 

Ähnlich

Anonyme, de-identifizierte, pseudonyme oder zusammengefasste Daten

Die De-Identifizierung kann zur Einhaltung der Vorschriften verwendet werden.

 

Aggregierte Daten können auch nicht „nach vernünftigem Ermessen“ mit einer Einzelperson oder einer kleinen Gruppe in Verbindung gebracht werden.

Das GDPR-Konzept der Anonymisierung verlangt, dass die Verwendung der identifizierbaren Daten einer Person unwiderruflich verhindert wird.

 

GDPR verlangt Pseudonymisierung.

Weitgehend ähnlich, doch GDPR verlangt Pseudonymisierung

Datenschutz/
Auskunftsrecht

Der CCPA gibt den Verbrauchern das Recht zu erfahren, welche Informationen gespeichert werden und eine Kopie dieser Informationen zu erhalten.

GDPR ermöglicht es Einzelpersonen zu erfahren, wie lange ihre Daten gespeichert werden

 Ähnlich

Sicherheit

Der CCPA sieht keine direkten Anforderungen an die Datensicherheit vor

Erforderlich sind geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten und zur Verringerung des Sicherheitsrisikos.

GDPR sorgt für die Sicherheit personenbezogener Daten, CCPA nicht 

Widerspruchsrecht beim Verkauf persönlicher Daten

Der CCPA sieht das Recht vor, den Verkauf personenbezogener Daten abzulehnen

Die GDPR ermöglicht es den betroffenen Personen, ihre Zustimmung zur Verarbeitung zurückzuziehen und die Verarbeitung ihrer Daten zu Marketingzwecken nicht zuzulassen

Das CCPA sieht das Recht vor, den Verkauf personenbezogener Daten abzulehnen, auch wenn das CCPA dies nicht ausdrücklich erlaubt 

Kinder

Der CCPA befasst sich mit dem Verkauf von Kinderdaten – nicht mit der gesamten Datenverarbeitung – und verlangt, dass die Unternehmen zunächst die Zustimmung der Betroffenen einholen. Für Kinder unter 13 Jahren müssen die Eltern ihre Zustimmung geben; Jugendliche zwischen 13 und 15 Jahren können ihre eigene Zustimmung geben.

Die GDPR verlangt, dass Eltern ihre Zustimmung zur Verarbeitung der personenbezogenen Daten ihrer Kinder in einer Online-Umgebung geben

Weitgehend ähnlich

Recht auf Offenlegung oder Zugang

Ermöglicht den Verbrauchern zu wissen, welche Informationen erfasst werden, und sie können eine Kopie dieser Informationen erhalten 

Ermöglicht es dem Einzelnen zu erfahren, wie lange seine Daten gespeichert werden 

 Ähnlich

Recht auf Übertragbarkeit von Daten

Verbraucher können ihr Recht auf die Übertragbarkeit von Daten geltend machen

Einzelpersonen können ihr Recht auf die Übertragbarkeit von Daten geltend machen

 

 Ähnlich

Recht auf Entfernung/ Löschung

Der CCPA sieht das Recht auf Löschung vor 

Die GDPR sieht das Recht auf Vergessenwerden vor 

Ähnlich, mit gewissen Unterschieden, z. B. bei der Antwortzeit. Gemäß  dem CCPA beträgt die Antwortzeit 45 Tage, während die GDPR eine Antwortzeit von 30 Tagen vorsieht.

Recht auf Berichtigung

Sieht kein Recht auf Berichtigung personenbezogener Daten vor 

Sieht das Recht auf Berichtigung vor 

Die GDPR sieht das Recht auf Berichtigung vor, der CCPA hingegen nicht. 

Recht auf Einschränkung der Verarbeitung

Der CCPA sieht nur ein Opt-out-Recht für den Verkauf von personenbezogenen Daten vor

Es ist ein Recht auf Einschränkung der Verarbeitung vorgesehen

 Unterschiedlich

Recht auf Widerspruch gegen die Verarbeitung

Erlaubt nur das Recht, sich gegen den Verkauf von persönlichen Daten zu entscheiden 

Ermöglicht das Recht auf Widerspruch gegen die Verarbeitung von personenbezogenen Daten 

 Unterschiedlich

Recht auf Widerspruch gegen automatisierte Entscheidungsfindung

Nicht im CCPA zu finden

Ermöglicht das Recht, der automatisierten Entscheidungsfindung zu widersprechen 

 Different

Nichtdiskriminierung

Verbietet die Diskriminierung von Personen, die ihre Rechte auf Privatsphäre wahrnehmen

Verbietet die Diskriminierung von Personen, die ihre Rechte auf Privatsphäre wahrnehmen

 Ähnlich

Beantwortung von Rechtsansprüchen

45 Tage für die Beantwortung von Rechtsansprüchen vorgesehen 

30 Tage für die Beantwortung von Rechtsansprüchen vorgesehen 

Ähnlich, aber mit unterschiedlichen Bearbeitungsfristen 

Sanktionen (Privatklagen)

Der CCPA sieht ein privates Klagerecht für Verbraucher vor

Die GDPR nennt kein privates Klagerecht für Einzelpersonen

 Unterschiedlich

Sanktionen (zivilrechtliche Bußgelder)

Pro Verstoß werden Strafen verhängt (US$2.500-US$7.500). 

Verbraucher können das Unternehmen wegen eines Verstoßes verklagen (US$100-US$750).

Strafe auf der Grundlage des weltweiten Jahresumsatzes (4 % oder 20 Mio. €)

 Unterschiedlich

Abbildung 1: Vergleich von CCPA und GDPR.

Was ist der CPRA?

Im Jahr 2020 wurde der California Consumer Privacy Act (CCPA) in Kraft gesetzt. Der California Privacy Rights Act (CPRA) ist eine Änderung des CCPA, die im Januar 2023 in Kraft tritt und deren Durchsetzung im Juli 2023 beginnt. Mit dem CPRA wird der CCPA geändert, um den Einwohnern Kaliforniens mehr Datenschutzrechte einzuräumen. Das Gesetz bietet im Wesentlichen denselben Schutz wie der CCPA, aktualisiert jedoch einige seiner Bestimmungen und führt einige weitere ein.

Mit dem CPRA wird die California Privacy Protection Agency eingerichtet, die für die Umsetzung und Durchsetzung dieses Gesetzes zuständig ist. Außerdem bleibt der Generalstaatsanwalt als zivilrechtliche Durchsetzungsbehörde zuständig.

Kommunikation sensibler Inhalte und der CCPA

Privatwirtschaftliche Unternehmen müssen die digitale Kommunikation von personenbezogenen Daten kalifornischer Bürger verfolgen, kontrollieren und schützen, um die Bestimmungen des CCPA zu erfüllen. In der Vergangenheit haben sich Unternehmen bei der Kommunikation sensibler Inhalte auf zahlreiche Tools verlassen – mit unterschiedlichen Ansätzen für die verschiedenen Kommunikationskanäle (E-Mail, File-Sharing, File-Transfer, Managed File-Transfer, Web-Formulare und Application Programming Interfaces [APIs]). Dies führt zu einer Aufspaltung der Metadaten, die es Unternehmen erschwert, eine zentralisierte und automatisierte Verwaltung von personenbezogenen Daten einzuführen und einen integrierten Risiko-Management-Ansatz zu verfolgen.

Die Kiteworks-Plattform konsolidiert die digitale Kommunikation vertraulicher Informationen wie personenbezogene Daten in einem Private Content Network. Kiteworks vereinheitlicht, verfolgt, kontrolliert und schützt personenbezogene Daten, die innerhalb und über die Unternehmensgrenzen hinaus ausgetauscht werden, und trägt so zur CCPA-Konformität bei.

Wenn Sie mehr darüber erfahren möchten, wie Kiteworks ein Private Content Network für Ihr Unternehmen einrichten kann, vereinbaren Sie noch heute einen Termin für eine individuelle Demo.

 

ABONNIEREN

Melden Sie sich an, um regelmäßige Updates und Neuigkeiten von Kiteworks zu erhalten.



Teilen
Twittern
Teilen