DieCalifornia Consumer Privacy Act (CCPA)ist ein Datenschutzgesetz, das im Bundesstaat Kalifornien, USA, erlassen wurde, das darauf abzielt, die Datenschutzrechte der Einwohner Kaliforniens zu schützen, indem sie ihnen mehr Kontrolle über ihre persönlichen Daten geben. Sie trat am 1. Januar 2020 in Kraft. Nachfolgend finden Sie eine Übersicht der Schlüsselelemente und Bestimmungen des CCPA:
1. 1.Zweck der CCPA
Die CCPA zielt darauf ab, kalifornischen Einwohnern Transparenz darüber zu geben, wie ihre persönlichen Daten von Unternehmen gesammelt, verwendet und geteilt werden. Es gibt Einzelpersonen die Möglichkeit, auf ihre persönlichen Daten zuzugreifen, sie zu löschen und zu kontrollieren.
2. 2.An wen gilt die CCPA?
Die CCPA gilt für gemeinnützige Unternehmen, die eines oder mehrere der folgenden Kriterien erfüllen:
- Bruttojahresumsatzvon über $25 Millionen.
- Kauf, verkauft oder teilt personenbezogene Datenvon 100.000 oder mehr kalifornischen Verbrauchern oder Haushalten.
- Gibt 50% oder mehr des Jahresumsatzes abvom Verkauf der persönlichen Daten kalifornischen Verbraucher.
Selbst Unternehmen außerhalb Kaliforniens müssen einhalten, wenn sie diese Schwellenwerte erfüllen und die personenbezogenen Daten von Einwohner Kaliforniens verarbeiten.
3.Was sind personenbezogene Daten unter der CCPA?
Die CCPA definiert personenbezogene Daten im Großen und Ganzen, um alle Informationen einzubeziehen, die mit einer bestimmten Person oder einem bestimmten Haushalt verknüpft werden können. Dazu gehören, ist aber nicht beschränkt auf:
- Name, Adresse, Telefonnummer, E-Mail.
- Sozialversicherungsnummer, Führerscheinnummer.
- Internetaktivitäten, IP-Adresse und Geolokalisierungsdaten.
- Kaufhistorie, Browserverlauf.
- Beschäftigungs- und Bildungsinformationen.
- Biometrische Daten.
Es enthält auch alle Schlussfolgerungen, die aus den Daten gezogen werden, die ein Profil über die Präferenzen, Eigenschaften, psychologische Trends und Verhaltensweisen einer Person erstellen könnten.
4. 4.Verbraucherrechte im Rahmen der CCPA
Die CCPA gewährt den Einwohnern Kaliforniens folgende Rechte:
a. (englisch)Recht auf Wissen
Verbraucher haben das Recht, Folgendes zu verlangen:
- Die Kategorien und spezifischen personenbezogenen Daten, die über sie gesammelt werden.
- Die Kategorien von Quellen, aus denen ihre Informationen gesammelt wurden.
- geschäftliche oder kommerzielle Zweck für die Erhebung oder den Verkauf ihrer persönlichen Daten.
- Die Kategorien von Dritten, mit denen ihre Informationen weitergegeben werden.
b.Recht auf Löschung
Verbraucher können verlangen, dass ein Unternehmen seine personenbezogenen Daten löscht, vorbehaltlich bestimmter Ausnahmen löscht (z. B. wenn die Daten für den Abschluss einer Transaktion, der Erfüllung einer gesetzlichen Verpflichtung oder aus Sicherheitsgründen erforderlich sind).
c.Recht auf Ablehnung des Verkaufs personenbezogener Daten
Verbraucher haben das Recht, den Verkauf ihrer persönlichen Daten an Dritte abzulehnen. Unternehmen müssen einen klaren und auffälligen Link "Meine persönlichen Daten nicht verkaufen" auf ihrer Website bereitstellen, um diesen Opt-Out-Prozess zu erleichtern.
d.Recht auf Nichtdiskriminierung
Verbraucher können nicht wegen Ausübung ihrer CCPA-Rechte diskriminiert werden. Das bedeutet, dass Unternehmen nicht:
- Waren oder Dienstleistungen verweigern.
- Gebühren Sie verschiedene Preise oder Preise.
- Bieten Sie ein anderes Niveau oder eine andere Qualität der Dienstleistung, es sei denn, die Unterschiede sind vernünftigerweise mit dem Wert der Daten des Verbrauchers zusammenhängen.
5.Verpflichtungen für Unternehmen im Rahmen der CCPA
Unternehmen, die unter die CCPA fallen, müssen mehrere Anforderungen einhalten:
a. (englisch)Datenschutzhinweise bereitstellen
Unternehmen müssen Verbraucher an oder vor dem Zeitpunkt der Datenerhebung über die Arten der erhobenen personenbezogenen Daten und die Zwecke informieren, für die sie verwendet werden. Diese Informationen werden in der Regel in einer Datenschutzerklärung dargestellt.
b.Reagieren Sie auf Verbraucheranfragen
- Unternehmen sind verpflichtet, Verbraucheranfragen auf Zugang, Löschung oder Abmeldung innerhalb von 45 Tagen zu überprüfen und darauf zu reagieren.
- Sie müssen Verbrauchern eine Methode zur Verfügung stellen, um diese Anfragen einzureichen, wie z. B. eine gebührenfreie Nummer oder ein Webformular.
c.Schulung und Aufzeichnung
- Mitarbeiter, die Verbraucheranfragen zum Datenschutz bearbeiten, müssen geschult werden, wie man die CCPA einhält.
- Unternehmen müssen mindestens 24 Monate Aufzeichnungen über Verbraucheranfragen führen und wie sie behandelt wurden.
d.Datenschutz
- Die CCPA erhebt Unternehmen die Pflicht, angemessene Sicherheitsverfahren und -praktiken zum Schutz der persönlichen Daten der Verbraucher umzusetzen und aufrechtzuerhalten.
6.Geldbußen und Strafen
Die CCPA ermöglicht die Durchsetzung durch dieGeneralstaatsanwalt, sowie private Klagen unter bestimmten Umständen:
- Vorsätzliche Verstößekann zu Geldstrafen von bis zu $7.500 pro Verletzung führen.
- Ungewollte Verstößekann zu Geldbußen von $ 2.500 pro Verletzung führen, wenn sie nicht innerhalb von 30 Tagen nach Benachrichtigung über das Problem korrigiert werden.
- Verbraucher können auch private Klagen einbringen, wenn ihre persönlichen Daten aufgrund der Nichtdurchführung angemessener Sicherheitsmaßnahmen durch ein Unternehmen ausgesetzt werden, wobei gesetzliche Schäden von $ 100 bis $ 750 pro Vorfall oder tatsächlichen Schäden reichen, je nachdem, welcher Wert größer ist.
7.California Privacy Rights Act (CPRA)
2020 genehmigten Wähler Kalifornien dieCalifornia Privacy Rights Act (CPRA), die die CCPA erweitert. Die CPRA trat am 1. Januar 2023 in Kraft und führt mehrere zusätzliche Rechte und Pflichten ein, darunter:
- Recht auf Berichtigung: Verbraucher können verlangen, dass unrichtiger personenbezogener Daten korrigiert werden.
- erweitertes Opt-Out-Recht: Verbraucher können nicht nur den Verkauf personenbezogener Daten, sondern auch die Weitergabe personenbezogener Daten für gezielte Werbung ablehnen.
- Sensible persönliche Daten: Die CPRA führt neue Regeln für die Verwendung und Offenlegung sensibler personenbezogener Daten (z. B. Finanzdaten, Rasse, Gesundheitsdaten) ein.
- Gründung der California Privacy Protection Agency (CPPA): Die CPRA gründet diese Agentur, um Datenschutzgesetze durchzusetzen und Unternehmen und Verbrauchern Orientierung zu geben.
8.Vergleiche zur DSGVO
Während die CCPA ein wichtiges Datenschutzgesetz in den Vereinigten Staaten ist, unterscheidet sie sich von derDatenschutz-Grundverordnung (DSGVO)auf verschiedene Weise:
- Anwendbarkeit: Die DSGVO gilt weltweit für jede Organisation, die die personenbezogenen Daten von EU-Bürgern verarbeitet, während CCPA nur für Einwohner Kaliforniens gilt.
- Einwilligung: Die DSGVO erfordert eine Bestätigung zur Datenerhebung, während CCPA Unternehmen erlaubt, personenbezogene Daten zu sammeln und zu verwenden, es sei denn, der Verbraucher weist sich.
- Verbraucherrechte: Die DSGVO gewährt breitere Rechte, wie z.B. das Recht auf Datenübertragbarkeit und umfassenderen Schutz bei automatisierter Entscheidungsfindung.
Die CCPA ist eines der umfassendsten Datenschutzgesetze in den USA und stellt eine Verschiebung hin zu mehr Datentransparenz und Verbraucherkontrolle über personenbezogene Daten dar. Das Gesetz legt den Grundstein für zukünftige Datenschutzgesetze in den USA und wird oft mit internationalen Datenschutzgesetzen wie DSGVO verglichen.