Der CCPA trat am 1. Januar 2020 in Kraft. Es ist das erste umfangreiche moderne Datenschutzgesetz in den Vereinigten Staaten. Der California Privacy Rights Act (CPRA) trat am 1. Januar 2023 in Kraft und erweitert den CCPA. Erfahren Sie mehr über den CPRA.
Die drei CCPA-Konformitätsschwellen für Unternehmen
Der CCPA gilt für gewinnorientierte Unternehmen, die unabhängig davon wo sie sich auf der Welt befinden:
- personenbezogenen Daten von mehr als 50.000 Einwohnern Kaliforniens jährlich verkaufen oder
- einen Jahresumsatz von mehr als 25 Millionen US-Dollar erzielen
- oder mehr als 50 Prozent des Jahresumsatzes aus dem Verkauf der personenbezogenen Daten von Einwohnern Kaliforniens erzielen.
Der Verkauf von personenbezogenen Daten wird im CCPA definiert als “Verkauf, Vermietung, Freigabe, Offenlegung, Verbreitung, Bereitstellung, Übertragung oder anderweitige mündliche, schriftliche oder elektronische oder andere Kommunikation der personenbezogenen Daten eines Verbrauchers durch das Unternehmen an ein anderes Unternehmen oder einen Dritten gegen Entgelt in Geld oder auf andere Weise.” (1798.140.t1, eigene Übersetzung).
Nach dem CCPA haben in Kalifornien ansässige Personen („Verbraucher“) das Recht, den Verkauf ihrer Daten an Dritte abzulehnen, das Recht, die Offenlegung bereits erfasster Daten zu verlangen (Recht auf Auskunft), und das Recht, die Löschung der erfassten Daten zu verlangen.
Darüber hinaus haben in Kalifornien ansässige Personen das Recht auf Benachrichtigung und das Recht darauf, nicht diskriminiert zu werden, wenn sie ihre Rechte ausüben.
Die Nichteinhaltung des CCPA kann zu Geldbußen für Unternehmen in Höhe von 7.500 USD pro Verstoß und 750 USD pro von zivilrechtlichen Schäden betroffenem Nutzer führen.
Was bedeutet der CCPA für meine Website?
Wenn Ihr Unternehmen eine der drei CCPA-Konformitätsschwellen erreicht und über eine Website verfügt, sind Sie verpflichtet, bestimmte Benachrichtigungen und Funktionalitäten zu implementieren.
Ihre Website muss Ihre Nutzer zum oder vor dem Zeitpunkt der Datenerfassung über die Kategorien und Zwecke der personenbezogenen Daten, die sie sammelt, informieren.
Auf Ihrer Website muss der Link „Meine personenbezogenen Daten nicht verkaufen“ vorhanden sein, über den Nutzer den Verkauf von Daten durch Dritte ablehnen können. (Hinweis: Seit der Einführung des CPRA muss der Hinweis nun „Meine personenbezogenen Daten nicht verkaufen oder weitergeben“ lauten).
Wenn Ihre Website Besucher oder Kunden hat, die minderjährig und unter 16 Jahre alt sind, müssen Sie deren Einwilligung einholen, bevor Sie ihre personenbezogenen Daten an Dritte verkaufen oder weitergeben dürfen. Wenn Minderjährige unter 13 Jahren sind, müssen Sie die Einwilligung eines Elternteils oder Erziehungsberechtigten einholen.
Ihr Unternehmen muss auch die Datenschutzerklärung auf Ihrer Website aktualisieren und eine Beschreibung der Rechte des Verbrauchers und der Ausübung dieser Rechte enthalten. Ihre Datenschutzerklärung muss zudem eine jährlich aktualisierte Liste der Kategorien von personenbezogenen Daten enthalten, die Ihr Unternehmen sammelt, verkauft und offenlegt.
Wenn Ihr Unternehmen eine überprüfbare Anfrage von einem Verbraucher erhält, der um die Offenlegung seiner gesammelten personenbezogenen Daten bittet, müssen Sie dem Verbraucher kostenlos die Aufzeichnungen der in den letzten 12 Monaten gesammelten personenbezogenen Daten zur Verfügung stellen -einschließlich Quellen, kommerzielle Zwecke und Kategorien von Dritten, an die sie weitergegeben wurden.
Es ist Ihrem Unternehmen untersagt, einen Verbraucher aufgrund der Entscheidung, sein Recht auf Ablehnung, Offenlegung oder Löschung auszuüben, zu diskriminieren.
Was ist die Definition von personenbezogenen Daten?
Personenbezogene Daten sind im CCPA definiert als „Informationen, die identifizieren, sich darauf beziehen, beschreiben, sinnvoll mit einem bestimmten Verbraucher oder Haushalt in Verbindung gebracht werden können oder sinnvoll direkt oder indirekt mit ihm verbunden werden könnten“. (1798.140.o1, eigene Übersetzung).
Zu den personenbezogenen Daten im Rahmen des CCPA gehören:
- direkte Identifikatoren, z. B. richtiger Name, Postanschrift oderSozialversicherungsnummern) und eindeutige Identifikatoren, z. B. Cookies, IP-Adressen oder Kontonamen
- biometrische Daten, z. B. Gesichts- und Sprachaufzeichnungen
- Geolokalisierungsdaten, z. B. Standortverlauf
- Internetaktivitäten, z. B. Browserverlauf, Suchverlauf, Daten über die Interaktion mit einer Website oder App
- sensible Informationen, z. B. Gesundheitsdaten, persönliche Merkmale, Verhalten, religiöse oder politische Überzeugungen, sexuelle Präferenzen, Arbeits- und Bildungsinformationen, finanzielle und medizinische Informationen
Zu den personenbezogenen Daten gehören auch Daten, die durch Schlussfolgerung zur Identifizierung einer Person oder eines Haushalts führen können.
Aggregierte und anonyme Daten sind von der CCPA ausgenommen, es sei denn, sie sind in irgendeiner Weise wiedererkennbar.
Das bedeutet, dass Daten, die an sich keine personenbezogenen Daten sind, nach dem CCPA aber zu solchen werden können, wenn sie – durch Schlussfolgerung oder durch Kombination mit anderen Daten – zur Identifizierung einer Person oder eines Haushalts verwendet werden können.
Was sagt der CCPA über Cookies?
Cookies und andere Tracking-Technologien von Websites werden als eindeutige Identifikatoren eingestuft, die Teil der Definition des CCPA für personenbezogene Daten sind.
Cookies sind eine der weltweit am häufigsten verwendeten Technologien für Websites, um personenbezogene Daten von Endverbrauchern zu sammeln.
First-Party-Cookies,die von der Website selbst gesetzt werden, sammeln oft anonyme Daten für ihre Kernfunktionen, die gelöscht werden, sobald ein Nutzer den Browser schließt. Third-Party-Cookies, die von Technologieunternehmen und Social-Media-Plattformen gesetzt werden, sammeln jedoch oft viele personenbezogene – manchmal sensible – Daten über Verbraucher, die bis zu hundert Jahre lang gespeichert werden können.
Daten, die auf Ihrer Website durch Cookies gesammelt werden, die an sich keine personenbezogenen Daten darstellen (z. B. anonymisierte Analytics-Daten), sondern durch Schlussfolgerung oder Kombination mit anderen Daten zum Zwecke der Identifizierung und Verbindung von Geräten, der Erstellung von Profilen und der Bereitstellung personalisierter Werbung zusammengefügt werden, können letztendlich als personenbezogene Daten im Rahmen des CCPA betrachtet werden.
Was hat sich für Unternehmen und Einwohner in Kalifornien seit dem 1. Januar 2023 geändert?
Der neue California Privacy Rights Act (CPRA) gilt auch für gewinnorientierte Unternehmen, die einen jährlichen Bruttoumsatz von mehr als 25 Millionen US-Dollar haben oder mehr als 50 Prozent ihres Jahresumsatzes mit dem Verkauf oder der Weitergabe personenbezogener Daten von Einwohnern Kaliforniens erzielen. Mit dem CPRA wurde jedoch eine der drei Schwellenwerte des CCPA geändert: Die Mindestanzahl der Einwohner oder Haushalte Kaliforniens, deren personenbezogene Daten von diesen Unternehmen verarbeitet und/oder weitergegeben werden, wurde auf 100.000 erhöht. Unter den CPRA fallen auch B2B-Daten. Zudem wurde die California Privacy Protection Agency (CPPA), eine Aufsichts- und Durchsetzungsbehörde, eingerichtet.
Während der CCPA nur den Verkauf personenbezogener Daten abdeckt, umfasst der CPRA auch die Weitergabe von Daten. Die Verordnung erweitert und ändert auch die bestehenden Rechte der Verbraucher, und fügt neue Rechte hinzu:
- das Recht auf Berichtigung, das heißt auf die Korrektur unrichtiger Daten, die über Verbraucher erhoben wurden
- das Recht auf Einschränkung der Verwendung von Daten, die als sensible personenbezogene Daten eingestuft werden
- das Recht, Informationen über die automatisierte Entscheidungsfindung und die wahrscheinlichen Ergebnisse der Verwendung solcher Verfahren anzufordern
- das Recht, der Verwendung von Technologien zur automatisierten Entscheidungsfindung in Bezug auf ihre personenbezogenen Daten zu widersprechen
Erfahren Sie mehr über den CPRA und seinen Anwendungsbereich.
Organisationen, die eine der drei CCPA/CPRA-Konformitätsschwellen erreichen, haften für personenbezogene Daten, die sie über Einwohner Kaliforniens über die Cookies ihrer Website erfassen. Verbraucher können die Offenlegung der auf einer Website in den letzten 12 Monaten gesammelten personenbezogenen Daten anfordern und verlangen, dass diese Daten korrigiert oder gelöscht werden (mit einigen Ausnahmen).
Organisationen müssen daher wissen, welche Daten ihre Website sammelt, wie sie diese sammelt und zu welchem Zweck, und an welche Dritten sie diese Daten weitergibt.
Die Cookiebot Consent Management Platform (CMP) gehört zu den weltweit führenden Consent Management-Softwares, die stets die Einhaltung der europäischen DSGVO, der ePrivacy-Richtlinie, des CCPA, des CPRA und weiterer Datenschutzverordnungen gewährleistet.
Die Cookiebot CMP ist eine Technologie, die Websites tiefen-scannt, um alle Cookies und Tracking-Technologien aufzudecken und automatisch zu kontrollieren, sodass Sie und Ihre Endnutzer wissen, welche personenbezogenen Daten gesammelt werden und für welche Zwecke sowie an welche Dritten sie weitergegeben werden.
Zudem ermöglicht die Cookiebot CMP Unternehmen auch die Einhaltung des CCPA und des CPRA, indem die Cookiebot CMP den erforderlichen Link „Meine personenbezogenen Daten nicht verkaufen oder weitergeben” in der vom Scanner erzeugten Cookie-Erklärung implementiert und Opt-In- und Opt-Out-Banner anbietet, die für die Einwilligung von Minderjährigen unter 16 Jahren erforderlich sind.
Testen Sie die Cookiebot CMP noch heute kostenlos.
Ressourcen
Den offiziellen Gesetzentwurf des CCPA lesen
Lesen Sie mehr über die CCPA-Konformität
Informieren Sie sich über die Details der CCPA-Definition von personenbezogenen Daten
Lesen Sie mehr über den CCPA und Cookies
Lesen Sie mehr über die Verbraucherrechte des CCPA
Schauen Sie sich unseren CCPA vs. DSGVO Vergleich an