• Startseite
  • Artikel
  • Thema
  • Der ultimative Leitfaden zur Einhaltung des kalifornischen Verbraucherdatenschutzgesetzes (CCPA)

Der ultimative Leitfaden zur Einhaltung des kalifornischen Verbraucherdatenschutzgesetzes (CCPA)

Veröffentlicht: 2019-12-23

Der California Consumer Privacy Act of 2018 (CCPA) ist ein von Kalifornien verabschiedetes Gesetz zum Schutz der Daten und der Privatsphäre seiner Einwohner. CCPA ist kein Ersatz für die aktuellen kalifornischen Datenschutzgesetze, sondern wird stattdessen neben ihnen funktionieren.

Laut CCPA müssen Unternehmen offener darüber sein, was sie sammeln und wie es verwendet wird. Sie müssen auch die Zustimmung von Minderjährigen einholen, bevor sie ihre Informationen verkaufen. Darüber hinaus können Benutzer jetzt verhindern, dass Unternehmen ihre Daten verkaufen.

CCPA bedeutet jedoch nicht, dass Sie die von Ihnen gesammelten Benutzerinformationen nicht mehr verkaufen können. Wenn es um Einwohner Kaliforniens geht, müssen Sie jedoch noch ein paar Reifen durchspringen.

CCPA tritt am 1. Januar 2020 in Kraft, Unternehmen haben jedoch bis zum 1. Juli 2020 Zeit, um sich vollständig daran zu halten. Das ist keine Entschuldigung, das zu verschieben. Da die Durchsetzungsmaßnahmen jedoch erst in einigen Monaten beginnen, haben Unternehmen Zeit, ihre Richtlinien, Prozesse und Websites anzupassen.

Was versteht CCPA unter „personenbezogenen Daten“?

Personenbezogene Daten sind alles, was eine Person beschreibt oder identifiziert oder in irgendeiner Weise mit einer Person oder einem Haushalt in Verbindung gebracht wird. Das beinhaltet:

  • E-mailadressen
  • Beschäftigungsinformationen
  • Geolocations
  • IP-Adressen
  • Namen

Technisch gesehen werden öffentlich zugängliche Informationen von CCPA nicht als personenbezogene Daten betrachtet. Das ist jedoch so eine Grauzone, und es ist am besten, sich auf die Seite der totalen Compliance zu irren, anstatt sie zu riskieren. Auch wenn die personenbezogenen Daten eines Benutzers öffentlich zugänglich sind, gilt dies nicht für alle Ihre anderen Benutzer. Sie müssen weiterhin überall konform sein.

Beeinflusst CCPA Ihr Geschäft?

CCPA wirkt sich auf Ihr Geschäft aus, wenn Sie Daten von Einwohnern Kaliforniens sammeln und verarbeiten. Ihr Unternehmen oder eine Mutter- oder Tochtergesellschaft muss außerdem eine oder mehrere der folgenden Bedingungen erfüllen:

  • Ihr Jahresbruttoumsatz beträgt 25 Millionen US-Dollar oder mehr
  • Jedes Jahr kaufen, empfangen oder verkaufen Sie personenbezogene Daten von 50.000 oder mehr kalifornischen Geräten, Haushalten oder Einwohnern
  • Mindestens 50 % Ihres Jahresumsatzes stammen aus dem Verkauf personenbezogener Daten von Einwohnern Kaliforniens

Sie müssen kein kalifornisches Unternehmen haben, um diese Schwellenwerte zu erfüllen. Einwohner Kaliforniens können Ihre Website besuchen, unabhängig davon, von wo aus Ihr Unternehmen tätig ist. Unternehmen in anderen US-Bundesstaaten sowie Unternehmen auf der ganzen Welt müssen CCPA berücksichtigen.

Abgesehen von den Schwellenwerten spielt auch die Größe Ihres Unternehmens keine Rolle. Selbst Einzelunternehmen und kleine Unternehmen müssen sich an CCPA ausrichten. Unternehmen, die Daten für 4 Millionen oder mehr Verbraucher verarbeiten, müssen jedoch zusätzliche Anforderungen erfüllen. Sie haben beispielsweise strengere Richtlinien, wenn es um die Führung von Aufzeichnungen geht.

Wenn Sie einen Schwellenwert erreichen, aber keine Daten sammeln (Sie haben kein Tracking-Tool auf Ihrer Website), sind Sie technisch CCPA-konform. Auf der anderen Seite, wenn Sie Informationen von kalifornischen Kunden sammeln, aber die Schwellenwerte noch nicht erfüllen, lohnt es sich dennoch, sich auf CCPA vorzubereiten. Wenn Ihr Unternehmen schnell wächst, könnten Sie versehentlich einen Umsatz von 25 Millionen US-Dollar oder 50.000 Einwohner Kaliforniens überschreiten, bevor Sie CCPA-konform sind.

Wie wird ein Einwohner Kaliforniens definiert?

Nach kalifornischem Recht ist ein Einwohner eine Person, die:

  • Ist in Kalifornien aus einem anderen als einem vorübergehenden oder vorübergehenden Grund
  • Lebt in Kalifornien, auch wenn sie sich derzeit aus vorübergehenden oder vorübergehenden Gründen nicht im Bundesstaat aufhalten

Eine Person kann in Kalifornien leben und nicht ansässig sein oder außerhalb von Kalifornien leben und trotzdem ansässig sein. Um sich selbst zu schützen, halten Sie sich an CCPA, wenn Sie Grund zu der Annahme haben, dass ein Großteil Ihres Geschäfts von Einwohnern Kaliforniens stammt.

So machen Sie Ihr Unternehmen CCPA-konform

Um die Anforderungen von CCPA zu erfüllen, muss Ihr Unternehmen mehrere Schritte unternehmen, von denen viele Änderungen der Richtlinien und Prozesse erfordern. So machen Sie Ihr Unternehmen CCPA-konform:

Aktualisieren Sie Ihre Datenschutzerklärung, um zu klären, wie Sie Daten sammeln, verwenden und ändern

Möglicherweise haben Sie bereits eine Datenschutzrichtlinie, aber es ist noch einige Arbeit erforderlich, um sie CCPA-konform zu machen. Grundsätzlich sagt Ihre Datenschutzerklärung den Nutzern, welche Daten Sie sammeln und was Sie damit tun. Für CCPA müssen Sie in Bezug auf Ihre Datenpraktiken transparenter als zuvor sein. Hier sind die Ergänzungen, die Sie zu Ihrer Datenschutzerklärung machen müssen:

  • Was, warum und wie Sie personenbezogene Daten sammeln und verarbeiten
  • Wie Benutzer auf ihre von Ihnen gesammelten personenbezogenen Daten zugreifen, diese ändern oder entfernen können
  • Ihre Methode zur Überprüfung der Identität eines Benutzers, der eine dieser Anfragen stellt
  • Wie personenbezogene Daten verkauft werden und wie ein Benutzer den Verkauf seiner personenbezogenen Daten ablehnen kann

Beachten Sie, dass dies die minimalen CCPA-Anforderungen sind. Wenn Sie der Meinung sind, dass Benutzer mehr über Ihren Datenerfassungsprozess wissen möchten, fügen Sie ihn hinzu.

Zustimmung von Minderjährigen einholen

Sie müssen die Zustimmung von Minderjährigen zwischen 13 und 16 Jahren oder von Eltern von Kindern unter 13 Jahren einholen. Sie können die Zustimmung entweder direkt beim Besuch Ihrer Website oder vor dem Verkauf ihrer Daten einholen. In jedem Fall können Sie ihre Daten nicht verkaufen, bevor Sie ihre Zustimmung eingeholt haben. Speichern Sie alle Antworten, die Sie erhalten, auch wenn der Benutzer die Zustimmung abgelehnt hat. Abgesehen von Minderjährigen benötigen Sie für die Erhebung und Verwendung von Daten keine Zustimmung des Nutzers.

Benutzern erlauben, ihre Informationen zu ändern

Ein Teil von CCPA gibt kalifornischen Benutzern die Möglichkeit, auf ihre personenbezogenen Daten zuzugreifen, sie zu ändern, zu verschieben oder zu löschen. Sie müssen eine Methode erstellen, damit Benutzer diese Art von Anfragen senden können, und eine dieser Methoden muss eine gebührenfreie Nummer sein. Anschließend können Sie Ihrer Website ein Kontaktformular hinzufügen oder eine E-Mail- oder Postadresse angeben.

Überprüfen Sie die Identität des Benutzers, wenn er eine Anfrage stellt

Sobald sich Nutzer mit Ihnen in Verbindung setzen, um ihre Informationen zu ändern, müssen Sie überprüfen, ob sie wirklich die sind, für die sie sich ausgeben. Sie können keinen Identitätsnachweis über ein von der Regierung ausgestelltes Dokument wie einen Führerschein anfordern. Stattdessen können Sie dieselbe Art der Authentifizierung verwenden, die Sie verwendet haben, als die Person ihre Daten übermittelt hat. Sie können auch versuchen, ihre Identität zu bestätigen, indem Sie sie bitten, die Informationen zu bestätigen, die sie in der Vergangenheit bereitgestellt haben.

Wenn das Unternehmen die Identität des Benutzers nicht überprüfen kann, sollte es sich so gut es geht daran halten. Angenommen, ein Nutzer möchte, dass seine Informationen gelöscht werden, aber das Unternehmen kann die Identität des Nutzers nicht überprüfen. Anstatt ihre Informationen zu löschen, behalten sie sie bei, lassen den Benutzer jedoch den Verkauf ihrer Informationen ablehnen. Wenn es keine Möglichkeit gibt, dem nachzukommen, kann das Unternehmen die Anfrage ablehnen.

Fügen Sie Ihrer Homepage einen Link „Meine persönlichen Daten nicht verkaufen“ hinzu

Sie müssen den Link „Meine persönlichen Daten nicht verkaufen“ an einer auffälligen Stelle auf der Homepage Ihrer Website platzieren. Dies ist, wenn Benutzer klicken können, wenn sie verhindern möchten, dass Sie ihre personenbezogenen Daten verkaufen. Der Prozess zum Widerspruch gegen den Verkauf von Benutzerdaten muss so einfach und unkompliziert wie möglich sein. Das Unternehmen muss auch auf Opt-out-Anfragen reagieren. Laut dem offiziellen CCPA-Informationsblatt „… müssen Unternehmen benutzeraktivierte Datenschutzeinstellungen, die die Entscheidung eines Verbrauchers zum Opt-out signalisieren, als gültig eingereichte Opt-out-Anfrage behandeln.“

Sie können auch nicht verlangen, dass Personen ein Konto erstellen, damit sie sich abmelden können. Während einige Unternehmen ein Konto zur Identifizierung des Benutzers verlangen möchten, verhindert CCPA dies als Voraussetzung für die Abmeldung. Wenn der Benutzer bereits ein Konto hat und Sie so seine Identität überprüfen können, ist das in Ordnung.

Führen Sie Aufzeichnungen über den Austausch mit Kunden

Unternehmen müssen Aufzeichnungen über alle Benutzeranfragen führen und ihre Antworten an die Benutzer aufzeichnen und speichern. Bewahren Sie Ihre Aufzeichnungen mindestens 24 Monate auf; um sicherer zu sein, halten Sie sie auf unbestimmte Zeit fest.

Nicht aufgrund von Datenschutzanfragen diskriminieren

Laut CCPA dürfen Unternehmen Benutzer nicht diskriminieren, wenn sie von ihren Datenschutzrechten Gebrauch machen. Das bedeutet, dass Sie, wenn ein Benutzer sagt, dass Sie seine Daten nicht verkaufen können, ihm keine Dienste verweigern oder seine Preise als Vergeltung anpassen können.

Es ist möglich, dass ein Unternehmen Personen einen Anreiz bietet, die den Verkauf ihrer Daten zulassen. In diesem Fall müssen Sie Einzelheiten zum Incentive offenlegen, einschließlich der Berechnung des Wertes der personenbezogenen Daten.

Strafen für die Nichteinhaltung des CCPA

Wenn Sie bis zum 1. Juli 2020 CCPA nicht einhalten, benachrichtigt Sie der Generalstaatsanwalt. Sie haben 30 Tage Zeit, um zu antworten und sich über die Einhaltung der Vorschriften zu informieren. Wenn Sie sich innerhalb dieser 30 Tage nicht daran halten, kann ein Zivilverfahren gegen Sie eingeleitet werden. Von dort aus könnte Ihnen eine Geldstrafe von 7.500 US-Dollar pro Verstoß , d. h. pro kalifornischem Benutzer, auferlegt werden. Wenn Sie beispielsweise Daten von 2.000 Einwohnern Kaliforniens sammeln, können Sie mit einer Geldstrafe von 7.500 USD x 2.000 USD belegt werden, was einer Gesamtsumme von 15.000.000 USD entspricht. Das ist eine Rechnung, die Sie auf jeden Fall vermeiden möchten!

Die Unterschiede zwischen CCPA und DSGVO

Während die CCPA-Richtlinien den DSGVO-Richtlinien ähnlich klingen, weisen die beiden wesentliche Unterschiede auf. Auch wenn Ihr Unternehmen derzeit DSGVO-konform ist, bedeutet dies nicht, dass es automatisch CCPA-konform ist. Möglicherweise erfüllen Sie einige CCPA-Richtlinien, aber nicht alle. Einige der CCPA-Richtlinien, die die DSGVO überschreiten können, sind:

  • Hinzufügen eines Links „Meine persönlichen Daten nicht verkaufen“ auf der Startseite
  • Erstellen einer Methode für Benutzer, um Änderungen oder Entfernung ihrer Informationen anzufordern
  • Identifizieren der Identität der Person, wenn diese Art von Anfrage gestellt wird
  • Zustimmung von Minderjährigen einholen, bevor ihre Informationen verkauft werden

Obwohl Sie möglicherweise bereits einen Teil des Prozesses für die DSGVO eingerichtet haben, sollten Sie noch einmal überprüfen, ob Ihre Methoden auch dem CCPA entsprechen. Es gibt kleine, aber wichtige Unterschiede zwischen den beiden. Unter CCPA müssen Sie beispielsweise die Kategorien personenbezogener Daten anzeigen, die Sie über einen Zeitraum von 12 Monaten verkauft haben; Dies ist keine Anforderung der DSGVO. Auf der anderen Seite hat CCPA nicht die Cookie-Zustimmungspflicht, die die DSGVO hat.

Abschließende Gedanken

Ihr erster Schritt besteht darin, zu beurteilen, ob Ihr Unternehmen ab dem 1. Januar 2020 CCPA-konform sein muss. Oder überlegen Sie, ob Ihr Unternehmen so weit wachsen wird, dass es in Zukunft konform sein muss. Wenn ja, ist es am besten, alles jetzt an Ort und Stelle zu bringen, damit Sie später nicht herumkrabbeln und eine Geldstrafe riskieren müssen. Wie Sie Ihre Website so einrichten, dass sie CCPA-konform ist, hängt von Ihren aktuellen Prozessen und Ihren Mitarbeitern ab. Sie können so viel wie möglich automatisieren oder, wenn Sie nicht zu viele Änderungs- oder Entfernungsanfragen erwarten, einige Mitarbeiter beschäftigen, die den Benutzern direkt antworten.

Wenn Sie noch keine Datenschutzrichtlinie haben, ist dies eine großartige Gelegenheit, eine zu schreiben, unabhängig davon, ob Sie sich mit CCPA beschäftigen oder nicht. Lesen Sie unseren Artikel zum Erstellen einer Datenschutzrichtlinie für Ihre Website.

Ausgewähltes Bild über Sammby / shutterstock.com