Alle Blogbeiträge

CCPA Datenschutzrichtlinie | Konformität mit Cookiebot

In diesem Blogbeitrag werfen wir einen Blick darauf, was eine CCPA-konforme Datenschutzrichtlinie ausmacht.

Aktualisiert am 12. Januar 2021.

Der California Consumer Privacy Act (CCPA) stellt spezifische Anforderungen an die Art und Weise, wie Unternehmen weltweit mit den persönlichen Daten von Einwohnern des Bundesstaates Kalifornien umgehen dürfen.

Einige dieser Anforderungen haben speziell mit der Datenschutzrichtlinie einer Website zu tun (auch bekannt als CCPA-Datenschutzhinweis).

Was ist der CCPA?

Der California Consumer Privacy Act (CCPA) ist ein bundesstaatsweites Gesetz, das am 1. Januar 2020 in Kraft getreten ist und die Sammlung, Verarbeitung und den Verkauf von persönlichen Daten der Einwohner Kaliforniens regelt.

Der CCPA ermächtigt die Einwohner Kaliforniens (im Gesetz als Verbraucher bezeichnet) zu folgenden Rechten:

  • sich gegen den Verkauf ihrer persönlichen Daten an Dritte zu entscheiden
  • Recht auf Auskunftserteilung der von einem Unternehmen in den letzten 12 Monaten gesammelten persönlichen Daten zu fordern
  • Recht auf Löschung dieser persönlichen Daten
  • Anspruch auf gleichwertige Leistung und gleichen Preis
  • Recht darauf, informiert zu werden

Wenn ein Unternehmen oder eine Organisation die CCPA-Definition eines Unternehmens erfüllt, ist sie verpflichtet, bei der Bearbeitung von persönlichen Daten von in Kalifornien lebenden Personen gesetzeskonform zu handeln – unabhängig davon, wo auf der Welt das Unternehmen selbst ansässig ist.

Die Durchsetzung des CCPA hat begonnen!

Am 14. August 2020 traten die endgültigen Bestimmungen des CCPA in Kraft und bilden die Grundlage für die bereits begonnene Durchsetzung des CCPA durch den Generalstaatsanwalt (engl. Attorney General).

Die Bestimmungen des CCPA legen die praktischen und technischen Aspekte fest, wie die Einhaltung des Gesetzes gewährleistet werden kann.

Erfahren Sie hier mehr über die Durchsetzung und die CCPA-Bestimmungen

Der California Privacy Rights Act (CPRA) wird in Kraft gesetzt

Am 3. November 2020 wurde der California Privacy Rights Act (CPRA) im Rahmen der Parlamentswahlen in Kraft gesetzt.

Der California Privacy Rights Act (CPRA) ist ein neues, landesweites Datenschutzgesetz, das die bestehende Version des CCPA abändert – es erweitert die Rechte der Einwohner Kaliforniens, schafft zusätzliche Regelungen für Unternehmen und etabliert die neue staatliche Durchsetzungsbehörde CPPA.

Der California Privacy Rights Act (CPRA) tritt am 1. Januar 2023 in Kraft und wird ab dem 1. Juli 2023 durchgesetzt – hat aber eine sogenannte “Rückwirkungsfrist” auf Daten, die ab Januar 2022 gesammelt und weitergegeben werden.

Erfahren Sie mehr über den neuen California Privacy Rights Act (CPRA)

CCPA-Konformität mit Cookiebot

Cookiebot ist eine Consent Management-Plattform (CMP), die die Einhaltung des CCPA, der DSGVO der EU und anderer Datenschutzgesetze durch eine Technologie ermöglicht, die Ihre Website tiefenscannt, um alle vorhandenen Cookies und Tracker zu finden.

Auf diese Weise können Sie genau wissen, welche persönlichen Informationen Ihre Website sammelt, für welche Zwecke, mit welchen Dritten sie diese teilt – und die Kontrolle über die Konformität behalten.

Logo banner powered by Cookiebot by Usercentrics
Cookiebot ermöglicht die Einhaltung des CCPA, einschließlich des “Nicht verkaufen”-Links.

Testen Sie Cookiebot noch heute kostenlos, um die Einhaltung des CCPA zu gewährleisten.

CCPA Datenschutzrichtlinie: Überblick

Der Grundstein für die Einhaltung des CCPA für ein Unternehmen ist seine Datenschutzrichtlinie – oder CCPA-Datenschutzhinweis, wie er oft genannt wird.

Möglicherweise verfügt Ihre Website bereits über eine Datenschutzrichtlinie, da dies auch eine Anforderung von Datenschutzgesetzen wie der Europäischen Allgemeinen Datenschutzverordnung (DSGVO) ist, die dem CCPA vorausging.

Der CCPA hat jedoch spezifische Anforderungen an das, was Ihre Datenschutzrichtlinie enthalten muss, so dass Sie diese, um die Einhaltung zu gewährleisten, ändern und aktualisieren müssen, um auch das kalifornische Recht zu berücksichtigen.

A CCPA privacy notice is a cornerstone of compliance for websites.
Cookiebot ermöglicht die Einhaltung des CCPA, einschließlich des “Nicht verkaufen”-Links.

Im Wesentlichen geht es bei einer CCPA-Datenschutzrichtlinie um Transparenz.

Es geht darum, wie Sie Ihren Benutzern aus Kalifornien mitteilen, was mit ihren Daten geschieht, wenn diese Ihre Website besuchen, und wie Sie sie über ihre Rechte informieren, vor allem, wenn es um Ihr Unternehmen geht.

Es ist sehr wichtig, dass Ihr CCPA-Datenschutzhinweis alle erforderlichen Angaben enthält, da Sie sich sonst nicht an das Gesetz halten.

Später im Blogpost stellen wir Ihnen einige Beispiele für CCPA-Datenschutzrichtlinienvorlagen zur Verfügung.

Aber zuerst wollen wir die Anforderungen der CCPA-Datenschutzrichtlinie aufschlüsseln. Wir werden dies tun, indem wir uns die allgemeinen Must-Haves in einer CCPA-Checkliste für Datenschutzrichtlinien ansehen.

Werden Sie kostenlos CCPA-konform mit Cookiebot.

CCPA-Checkliste für Datenschutzrichtlinien

Hier finden Sie eine CCPA-Checkliste darüber, was Sie zur Einhaltung des kalifornischen Datenschutzgesetzes angeben müssen. Ihre CCPA-Datenschutzrichtlinie muss –

  • Verbraucher über ihre Rechte gemäß CCPA informieren
  • darüber informieren, wie Verbraucher ihre Rechte bei Ihrem Unternehmen ausüben können
  • eine Liste aller Kategorien von persönlichen Daten, die Ihr Unternehmen in den letzten 12 Monaten gesammelt hat, zur Verfügung stellen
  • eine Aufstellung aller Quellen für jede Kategorie von persönlichen Daten, die Ihr Unternehmen sammelt, vorlegen können
  • die spezifischen Zwecke der Erhebung für jede persönliche Daten-Kategorie offenlegen
  • eine Liste aller Kategorien von persönlichen Daten, die Ihr Unternehmen in den letzten 12 Monaten an Dritte verkauft hat, zur Verfügung stellen
  • eine Liste aller Kategorien von persönlichen Daten bereitstellen, die Ihr Unternehmen in den letzten 12 Monaten zu Geschäftszwecken offengelegt hat

Ihre CCPA-Datenschutzrichtlinie muss außerdem alle 12 Monate aktualisiert werden. Stellen Sie also sicher, dass sie einen zuletzt aktualisiert-Zeitstempel aufweist, damit Ihre Kunden ihn sehen können.

Eine weitere Auflage des CCPA-Datenschutzhinweises besteht darin, dass Ihre Benutzer über die Startseite Ihrer Website leicht darauf zugreifen können. Dies kann ein Link in der Fußzeile Ihrer Titelseite sein. Mehr dazu weiter unten.

Lassen Sie uns diese Anforderungen im Detail anschauen.

CCPA-Datenschutzrichtlinie: Anforderungen

Zunächst einmal, auch wenn der CCPA von den Unternehmen verlangt, dass sie auf ihrer Website eine Datenschutzrichtlinie angeben, haben die meisten Websites wahrscheinlich bereits eine solche, da Datenschutzgesetze wie die Europäische Allgemeine Datenschutzverordnung (DSGVO) dies ebenfalls verlangen.

Der CCPA stellt jedoch spezifische Anforderungen an die Datenschutzpolitik eines Unternehmens, die sich von denen der GDPR unterscheiden.

Lassen Sie uns die Checkliste von oben durchgehen, um die einzelnen Anforderungen der Datenschutzrichtlinie des CCPA zu betrachten, die Ihr Unternehmen und Ihre Website einhalten müssen.

Zuallererst muss Ihre Datenschutzrichtlinie von der Startseite Ihrer Website aus zugänglich sein.

Eine der klaren Anforderungen des CCPA an den Datenschutzhinweis besteht darin, dass er für die Verbraucher über einen eindeutigen Link auf der Startseite Ihrer Website verfügbar sein muss, d.h. für Ihre Benutzer gut sichtbar und zugänglich sein muss.

Dies kann auf verschiedene Weise geschehen – es liegt dabei an Ihnen und dem Layout Ihrer Website, solange Sie dafür sorgen, dass ein Link zum CCPA-Datenschutzhinweis auf der Startseite leicht zu finden ist und von Ihren Besuchern angeklickt werden kann.

Aktualisierte CCPA-Datenschutzrichtlinie

Eine weitere Anforderung des kalifornischen Gesetzes ist, dass Ihre CCPA-Datenschutzerklärung mindestens einmal alle zwölf Monate aktualisiert wird.

Die meisten Datenschutzrichtlinien gemäß CCPA haben daher eine Zuletzt aktualisiert-Kopf- oder Fußzeile, um die Verbraucher darüber zu informieren, dass der Inhalt, den sie lesen, korrekt und aktuell ist.

CCPA privacy notice: compliance.
Vorlagen für CCPA-Datenschutzrichtlinien können gut sein, aber “copy-pasten” Sie nicht.

Einer der Gründe dafür, dass eine CCPA-Datenschutzmitteilung aktualisiert werden muss, besteht darin, dass die Verbraucher gesetzlich darauf hingewiesen werden müssen, wenn Ihr Unternehmen mit der Erfassung neuer Kategorien personenbezogener Daten beginnt oder wenn die Erfassung von Daten mit einem anderen Zweck als bisher beginnt.

Achten Sie darauf, Ihre CCPA-konforme Datenschutzerklärung immer auf dem neuesten Stand zu halten und teilen Sie Ihren Benutzern mit, wann sie zuletzt aktualisiert wurde.

Informieren Sie Benutzer über ihre CCPA-Rechte

Wenn es um die Anforderungen der CCPA-Datenschutzrichtlinie geht, ist das Recht auf Information über die eigenen Rechte von großem Interesse für ein Unternehmen mit einer Website, auf der die Einhaltung der CCPA-Richtlinien angestrebt wird.

Eine Liste der CCPA-Rechte, über die Sie Ihre Benutzer in Ihrer CCPA-Datenschutzrichtlinie informieren müssen:

  • das Recht, sich gegen den Verkauf ihrer persönlichen Daten an Dritte zu entscheiden
  • Recht auf Offenlegung der von einem Unternehmen in den letzten 12 Monaten gesammelten persönlichen Daten
  • Recht auf Löschung dieser Daten
  • Recht auf gleichen Service und Preis
  • Recht, informiert zu werden

Sie müssen Ihrem Benutzer auch mitteilen, wie er das Recht zur Offenlegung, Löschung und Abmeldung ausüben kann. Dies ist eine weitere wichtige Anforderung des CCPA in Bezug auf den Datenschutz.

Die Verbraucher müssen eine überprüfbare Anfrage senden, üblicherweise über einen Link auf Ihrer Website, indem sie Ihr Unternehmen anrufen oder Ihnen eine E-Mail schicken.

Informieren Sie Ihre Nutzer klar und deutlich über ihre Rechte und darüber, wie sie diese in Bezug auf Ihr Unternehmen ausüben können.

Welche persönlichen Daten sammeln Sie und von wo?

Der CCPA legt fest, dass die kalifornischen Bürger bei der Sammlung einen Hinweis erhalten müssen, d.h. Ihre Benutzer müssen am oder vor dem Zeitpunkt der Sammlung über die Kategorien von persönlichen Daten, die Sie sammeln, und die Zwecke, für die Sie sie sammeln, informiert werden.

Ein zentraler Bestandteil der CCPA-Datenschutzmitteilung ist, dass ein Unternehmen alle Kategorien persönlicher Daten, die es in den letzten 12 Monaten gesammelt hat, vollständig auflistet.

Eine übliche Art der Kategorisierung persönlicher Daten in den Datenschutzrichtlinien des CCPA ist zwischen folgenden Arten möglich –

  • Direkte Identifikationsmerkmale (Namen, Adressen, IP-Adressen, E-Mail, Sozialversicherungsnummern usw.)
  • Sensible Informationen (Alter, ethnische Zugehörigkeit, Religion, politische Überzeugung, Gesundheit, Geschlecht, sexuelle Orientierung usw.)
  • Kommerzielle Informationen (Kreditkartenhistorie, Transaktionsdetails, Zahlungsinformationen usw.)
  • Geolocation-Daten
  • Informationen zu Beruf, Beschäftigung oder Ausbildung
  • Schlussfolgerungen aus einem der oben genannten Punkte zum Zweck der Profilerstellung

Eine weitere Anforderung der CCPA-Datenschutzpolitik besteht darin, dass ein Unternehmen seine Quellen auflisten muss, d.h. woher es die verschiedenen Kategorien von persönlichen Daten, wie oben aufgeführt, bezieht.

Das bedeutet, dass Sie in Ihrer CCPA-Datenschutzbestimmung Ihren Benutzern mitteilen müssen, woher Sie die verschiedenen Kategorien von persönlichen Daten beziehen.

Eine gängige Liste von Quellen würde Drittanbieter (z.B. Google Analytics), Partner, Kunden, öffentlich zugängliche Quellen, Händler, Partner, Verkäufer, Lieferanten, Daten-Broker, Service Provider usw. umfassen.

Sie müssen natürlich genau auflisten, wer diese Quellen sind, und nicht nur sagen, dass “sie persönliche Daten sammeln”.

Wie verwenden Sie persönliche Daten?

Der Zweck Ihrer Daten-Sammlung ist eine weitere wichtige Anforderung der CCPA-Datenschutzpolitik, die Sie an Ihre Kunden weitergeben müssen. Für welche Zwecke sammeln Sie persönliche Informationen von Einwohnern Kaliforniens? Was sind die spezifischen Geschäftszwecke, für die Sie Daten sammeln und verwenden?

Teilen Sie Ihren kalifornischen Nutzern mit, warum Sie ihre persönlichen Daten sammeln und wofür Sie diese zu verwenden beabsichtigen.

Zu den üblichen Zwecken der Sammlung persönlicher Daten gehören:

  • Um Ihr Unternehmen zu betreiben, zu verwalten und zu unterhalten,
  • Um dem Verbraucher eine Dienstleistung oder ein Produkt zu bieten,
  • Für die Produktentwicklung,
  • Zum Personalisieren des Marketings Ihres Unternehmens,
  • Website-Analyse

Darüber hinaus haben Verbraucher das Recht, jedes Mal informiert zu werden, wenn ein Unternehmen beginnt, neue Formen persönlicher Daten zu sammeln, oder wenn sie beginnen, persönliche Daten für neue Zwecke zu sammeln.

Testen Sie Cookiebot noch heute kostenlos, um herauszufinden, wie Ihre Website persönliche Daten sammelt und teilt.

Mit wem teilen Sie persönliche Daten?

Eine sehr wichtige Anforderung der Datenschutzrichtlinie der CCPA ist es, Ihren Kunden mitzuteilen, mit welchen Dritten Sie ihre persönlichen Daten teilen oder an welche sie diese verkaufen.

Teilen Sie persönliche Informationen mit Google oder Facebook oder anderen Dritten durch Plugins und Cookies auf Ihrer Website? Darüber müssen Sie Ihre kalifornischen Nutzer informieren.

CCPA privacy policy templates are good, but don't copy-paste.
Schauen Sie sich diese Vorlagen für die CCPA-Datenschutzhinweise an, wenn Sie sich nicht sicher sind, wie Sie Ihren schreiben sollen (Link auf Englisch).

Wenn Sie nicht wissen, welche Cookies und Tracker Dritter Ihre Website beherbergt, probieren Sie Cookiebot noch heute kostenlos aus.

Sie müssen nicht nur alle Drittparteien, mit denen Sie persönliche Daten teilen oder verkaufen, in Ihrer CCPA-Erklärung zum Datenschutz offenlegen, sondern auch einen Link “Meine persönlichen Daten nicht verkaufen” auf Ihrer Website einfügen.

Logo banner powered by Cookiebot by Usercentrics
Cookiebot’s Cookie-Erklärung für Websites, die die Einhaltung des CCPA anstreben.

Dieser CCPA-obligatorische Link wird es den Verbrauchern ermöglichen, ihr vielleicht berühmtestes CCPA-Recht auszuüben: das Recht, sich gegen den Verkauf ihrer persönlichen Daten an Dritte zu entscheiden.

Welche persönlichen Informationen haben Sie in den letzten 12 Monaten verkauft?

Zusätzlich müssen Sie den Verbrauchern offenlegen, welche Kategorien von persönlichen Daten Ihr Unternehmen in den letzten 12 Monaten an Dritte verkauft hat.

Verkaufen ist im CCPA weit gefasst und umfasst die Offenlegung und den Austausch gegen Geld oder Dinge mit anderen Werten (eigene Übersetzung).

Um sicher zu gehen, sollte eine Liste der von Ihnen in den letzten 12 Monaten verkauften persönlichen Daten die Kategorien enthalten, die Sie an Dritte weitergegeben haben, z.B. durch Cookies von Dritten auf Ihrer Website.

Sie müssen Ihre Website sorgfältig durchsuchen, um alle Cookies und Tracker von Dritten zu kennen, die auf Ihrer Website eingebettet sind.

Eine Studie zum Website-Tracking aus dem Jahr 2020 zeigt die beunruhigende Realität der Nachverfolgung durch Dritte:

  • 72% der Cookies werden von einer vierten Partei gesetzt, die heimlich von Cookies Dritter, d.h. Trojanischen Pferden, geladen werden.
  • 18% der Cookies stammen von einer fünften oder weiteren Partei, d.h. von komplexeren trojanischen Pferden.
  • 50% der Trojanischen Pferde, die heimlich von Cookies Dritter geladen werden, wechseln zwischen wiederholten Besuchen.

Probieren Sie noch heute die Deep-Scanning-Technologie von Cookiebot aus, um alle Cookies und ähnliche Tracker auf Ihrer Website aufzudecken.

CCPA-Datenschutzrichtlinie: Template

Nach einer langen Aufschlüsselung aller Anforderungen fragen Sie sich vielleicht, wie Ihre CCPA-Datenschutzrichtlinie auf Ihrer Website aussehen wird. Sie könnten versucht sein, nach Vorlagen für CCPA-Datenschutzhinweise zu suchen. Aber bevor Sie das tun, hier ein Hinweis zur Vorsicht.

Es ist nicht ganz unproblematisch, sich bei den Hinweisen auf Ihrer Website auf eine Vorlage für die CCPA-Datenschutzrichtlinie zu verlassen. Ein einfaches Kopieren und Einfügen wäre katastrophal für Ihren Grad der Einhaltung, da Sie kalifornische Verbraucher über Ihr eigenes Daten-Sammelsystem informieren müssen.

Wenn Sie bereits eine Datenschutzrichtlinie auf Ihrer Website haben, ist es wichtig, dass Sie sich die Zeit nehmen, diese mit all den obligatorischen Informationen, die Sie in diesem Artikel gelesen haben, zu aktualisieren, um die Einhaltung des CCPA zu gewährleisten.

Wenn Sie noch keine Datenschutzrichtlinie auf Ihrer Website haben, dann ist dies ein ausgezeichneter Zeitpunkt, um eine solche zu schreiben und sicherzustellen, dass Sie sie in einer CCPA-konformen Weise durchführen.

Wenn Sie das Gefühl haben, dass Sie Hilfe bei der Erstellung des Ganzen benötigen, dann werfen Sie einen Blick auf die Mustervorlagen für CCPA-Datenschutzhinweise der IAPP. Sie enthalten CCPA-Vorlagen für Datenschutzerklärungen von Unternehmen wie Horne, Indio und Termsfeed.

Aber denken Sie daran: nicht einfach “Copy-Pasten”.

FAQ

Was ist der CCPA?

Der California Consumer Privacy Act (CCPA) ist ein landesweites Gesetz, das regelt, wie Unternehmen die persönlichen Daten von Einwohnern Kaliforniens sammeln, verarbeiten und weitergeben dürfen. Der CCPA verlangt von Unternehmen (die unter die gesetzliche Definition von Unternehmen fallen), Verbrauchern die Möglichkeit zu geben, sich gegen die Weitergabe und den Verkauf ihrer persönlichen Daten an Dritte zu entscheiden und Zugang zu bereits erfassten Daten zu erhalten und diese löschen zu lassen.

Erfahren Sie mehr über den CCPA.

Was sind die Anforderungen des CCPA an die Datenschutzrichtlinie?

Eine CCPA-konforme Datenschutzrichtlinie muss die Verbraucher darüber informieren, welche Arten von personenbezogenen Daten das Unternehmen sammelt, einschließlich der spezifischen Zwecke der Sammlung und der Quellen für jede Kategorie von personenbezogenen Daten. Eine CCPA-Datenschutzrichtlinie muss die Verbraucher auch darüber informieren, welche Arten von personenbezogenen Daten das Unternehmen in den letzten 12 Monaten an Dritte verkauft hat. Eine CCPA-Datenschutzrichtlinie muss jährlich aktualisiert werden und über die Startseite der Website leicht zugänglich sein.

Erfahren Sie mehr über den CCPA und personenbezogene Daten.

Wer muss den CCPA einhalten?

Der CCPA definiert ein Unternehmen als ein Unternehmen, das mindestens eines der drei folgenden Kriterien erfüllt: 1) ein jährlicher Bruttoumsatz von mehr als 25 Millionen US-Dollar, 2) 50 % oder mehr des Jahresumsatzes aus dem Verkauf persönlicher Daten von Einwohnern Kaliforniens oder 3) jährlich die persönlichen Daten von 50.000 oder mehr Einwohnern Kaliforniens kaufen, erhalten, verkaufen oder teilen. Ein Unternehmen muss nicht in Kalifornien ansässig sein, um nach dem CCPA haftbar zu sein – wenn ein Unternehmen in Texas oder Europa eines der drei oben genannten Kriterien erfüllt, muss es die Anforderungen des CCPA erfüllen.

Erfahren Sie mehr über die Einhaltung des CCPA. 

Welche Rechte haben Einwohner Kaliforniens nach dem CCPA?

Der CCPA räumt Einwohnern Kaliforniens folgende Rechte ein: das Recht, sich gegen den Verkauf ihrer personenbezogenen Daten an Dritte zu entscheiden, das Recht, über die Erhebung, die Weitergabe und den Verkauf von Daten informiert zu werden, das Recht auf Offenlegung der Art der über sie erhobenen personenbezogenen Daten, das Recht, bereits erhobene Daten löschen zu lassen, und das Recht auf gleiche Dienstleistungen und Preise, unabhängig davon, ob sie eines dieser Rechte ausüben möchten.

Erfahren Sie mehr über die CCPA-Rechte.

Ressourcen

Testen Sie Cookiebot kostenlos für CCPA & DSGVO-Konformität

California Consumer Privacy Act (CCPA)

CCPA compliance with Cookiebot (in Englisch)

CCPA and personal information (in Englisch)

CCPA and rights (in Englisch)

CCPA and cookies (in Englisch)

Allgemeine Datenschutz-Grundverordnung (DSGVO)

CCPA privacy policy template (Indio) (in Englisch)

    Bleiben Sie auf dem Laufenden

    Werden Sie jetzt Teil unserer wachsenden Community von Datenschutz-Befürwortern. Abonnieren Sie den Cookiebot™-Newsletter und erhalten Sie die neuesten Updates und spannende Informationen direkt in Ihren Posteingang.

    Mit einem Klick auf „Abonnieren“ bestätige ich, dass ich den Cookiebot™-Newsletter abonnieren möchte. Ich kann das Abonnement des Cookiebot™-Newsletters und die Einwilligung in die Verwendung meiner Daten ganz einfach widerrufen, indem ich auf den Abmeldelink klicke. Oder ich kann mich schriftlich an [email protected] wenden, um eine Anfrage zu stellen. Datenschutz­richtlinie.