Alle Blogbeiträge

California Consumer Privacy Act (CCPA)

Der California Consumer Privacy Act (CCPA) kann sich darauf auswirken, wie Ihre Website mit den persönlichen Daten der Kalifornier umgehen darf.

Aktualisiert am 25. Januar 2021.

Kalifornien ist die physische Grenze Amerikas, wo der Kontinent in den Pazifik eintaucht.

Mit der Verabschiedung des California Consumer Privacy Act (CCPA) ist es nun auch die Grenze des Datenschutzes in den USA.

In diesem Artikel werfen wir einen genauen Blick auf den CCPA und wie Cookiebot dabei helfen kann Ihre Website konform zu machen.

CCPA-Konformität mit Cookiebot

Cookiebot ist ein Tool, das Ihre Website automatisch durchsucht, alle Cookies und ähnliche Tracking-Technologien findet und dann die Einhaltung sowohl des CCPA als auch der DSGVO ermöglicht.

Cookies (insbesondere solche von Dritten, die über Plugins eingebettet sind) können persönliche Informationen wie Namen, physische Adressen, IP-Adressen, Standortdaten, aber auch sensible persönliche Daten wie religiöse Überzeugungen, politische Meinungen und/oder sexuelle Orientierungen sammeln.

Der CCPA verlangt, dass Unternehmen den Einwohnern Kaliforniens die Möglichkeit geben, sich gegen den Verkauf ihrer persönlichen Daten an Dritte zu entscheiden, sowie die Offenlegung der bereits gesammelten Daten und deren Löschung, wenn Verbraucher dies wünschen.

Cookiebot ermöglicht die Einhaltung des CCPA mit einer spezifischen Konfiguration, die erkennt, ob ein Benutzer aus Kalifornien stammt, und dann den erforderlichen Link “Verkaufen Sie meine personenbezogenen Daten nicht” auf der Cookie-Erklärung der Website anzeigt (wie unten dargestellt).

So sieht die CCPA-Lösung von Cookiebot für Ihre Endbenutzer aus:

Logo banner powered by Cookiebot by Usercentrics
Die CCPA-Konfiguration von Cookiebot erfüllt die CCPA-Abmeldebedingungen.
Logo banner powered by Cookiebot by Usercentrics
Cookiebot CCPA Opt In Banner, entfaltet mit Details, die Cookies und Tracker zeigen.

Cookiebot unterstützt auch mehrere Compliance-Lösungen auf derselben Website, so dass Ihre Website unterschiedliche Banner anzeigt, je nachdem, wo Ihre Besucher herkommen.

Auf diese Weise erhalten Besucher aus der EU einen DSGVO-konformen Cookie-Banner, der um ihre vorherige Zustimmung bittet, und Besucher aus Kalifornien erhalten die CCPA-konforme Cookie-Erklärung mit Informationen darüber, welche Daten gesammelt werden, sowie eine klare Möglichkeit, den Verkauf ihrer persönlichen Daten an Dritte abzulehnen.

WEITERE DETAILS ZUR CCPA-COMPLIANCE FINDEN SIE HIER

Probieren Sie Cookiebot noch heute kostenlos aus. Wenn Sie weniger als 50 Unterseiten haben, können Sie Cookiebot für immer kostenlos nutzen.

Der neue California Privacy Rights Act (CPRA) ist in Kalifornien in Kraft getreten.
Der neue California Privacy Rights Act (CPRA) wird am 1. Januar 2023 in Kraft treten.

Der California Privacy Rights Act (CPRA) wird in Kraft gesetzt

Bei den Parlamentswahlen am 3. November 2020 wurde der neue landesweite California Privacy Rights Act (CPRA) mit einer Mehrheit der Kalifornier in Kraft gesetzt.

Der neue California Privacy Rights Act (CPRA) wird am 1. Januar 2023 in Kraft treten und ab dem 1. Juli 2023 durchgesetzt werden. Daten, die ab dem 1. Januar 2022 gesammelt, verarbeitet und weitergegeben werden, unterliegen der 12-monatigen Rückwirkungsfrist des CPRA.

Der California Privacy Rights Act (CPRA) erweitert das bestehende CCPA-Datenschutzregime, indem er neue und geänderte Rechte für die Einwohner Kaliforniens schafft, eine neue staatliche Durchsetzungsbehörde (CPPA) einrichtet und die Anforderungen an die Art und Weise, wie Unternehmen die persönlichen Daten von Verbrauchern in Kalifornien nutzen dürfen, verschärft.

Erfahren Sie mehr über den California Privacy Rights Act (CPRA)

CCPA-Konformitäts-Checkliste

Die Durchsetzung des CCPA hat begonnen! Erfahren Sie mehr über die Bestimmungen des CCPA

Wenn Sie sich fragen, was nötig ist, um dem California Consumer Privacy Act (CCPA) zu entsprechen, finden Sie hier eine Checkliste für Ihr Unternehmen und seine Website.  

Die Liste ist nicht allumfassend, deckt aber die zentralsten Punkte der Anforderungen des CCPA ab.

  • Fügen Sie einen Link “Verkaufen Sie meine personenbezogenen Daten nicht” auf Ihrer Website ein, über den Benutzer den Verkauf von Daten Dritter ablehnen können.
  • Stellen Sie einen Hinweise am oder vor dem Zeitpunkt der Erfassung bereit, der den Verbraucher darüber informiert, welche Kategorien von persönlichen Daten das Unternehmen sammelt und zu welchem Zweck.
  • Reagieren Sie auf eine Opt-out-Anfrage innerhalb von 15 Tagen, indem Sie den weiteren Verkauf einstellen und alle Parteien, an die persönliche Daten in den letzten 90 Tagen verkauft wurden, benachrichtigen.
  • Holen Sie die aktive Einwilligung von Minderjährigen im Alter von 13 bis 15 Jahren ein, bevor Sie ihre persönlichen Daten verkaufen, sowie die Zustimmung der Eltern oder Erziehungsberechtigten von Verbrauchern unter 13 Jahren.
  • Kostenlose Bereitstellung von Aufzeichnungen der in den letzten 12 Monaten gesammelten persönlichen Daten (einschließlich der Quellen, der kommerziellen Zwecke und der Kategorien von Dritten, mit denen sie geteilt wurden), wenn ein Verbraucher die Offenlegung oder Löschung der Daten verlangt.
  • Innerhalb von 10 Tagen nach Erhalt der Anfrage zur Offenlegung oder Löschung mit Informationen darüber zu antworten, wie die Anfrage bearbeitet wird. Der Verbraucher muss innerhalb von 45 Tagen nach Erhalt einer überprüften Anfrage eine substanzielle Antwort erhalten.
  • Bei einem Antrag auf Löschung sind zwei Schritte vorgesehen, wobei der Verbraucher den Antrag stellen und anschließend der Löschung der personenbezogenen Daten zustimmen kann.
  • Bieten Sie nur dann finanzielle Anreize (z.B. unterschiedliche Preise, Tarife und Qualität) für Waren und Dienstleistungen an, wenn die Unterschiede in einem angemessenen Verhältnis zu dem Wert stehen, den die Daten des Verbrauchers für das Unternehmen darstellen.
  • Unterlassen Sie Diskriminierungen aufgrund der Entscheidung des Verbrauchers, sein Recht auf Opt-out, auf die Offenlegung oder Löschung von Daten auszuüben.

Die Unternehmen müssen auch ihre Datenschutzpolitik aktualisieren, um folgendes zu inkludieren:

  • eine Beschreibung der Rechte (Opt-out, Offenlegung, Löschung) und der Art und Weise der Ausübung dieser Rechte.
  • eine Liste der Kategorien von personenbezogenen Daten, die das Unternehmen sammelt, verkauft und weitergibt, und diese Liste alle 12 Monate aktualisieren.
  • eine gebührenfreie Telefonnummer oder, wenn ein Unternehmen ausschließlich online tätig ist, einen Link auf der Website, über den der Verbraucher seine Rechte ausüben kann.

Testen Sie Cookiebot 14 Tage lang kostenlos und werden Sie CCPA-konform

CCPA – das Recht zum Opt-Out 

Der CCPA gibt dem Verbraucher das Recht, von einem Unternehmen zu verlangen, seine persönlichen Daten nicht an Dritte zu verkaufen (CCPA; 1798.120.). Wenn eine solche Anfrage eingeht, ist es dem Unternehmen untersagt, die persönlichen Daten des Benutzers zu verkaufen.

Tauchen Sie hier ausführlich in die Rechte des CCPA ein

Das Recht auf Opt-out ist im CCPA verankert
Das Recht, sich aus den Überwachungsmärkten von Ad-Tech-Unternehmen herauszuhalten, ist ein Recht des Volkes, gemäß dem kalifornischen Consumer Privacy Act.

CCPA’s Definition von “persönlichen Informationen”

Personenbezogene Daten werden in der CCPA definiert als “Informationen, die einen bestimmten Verbraucher oder Haushalt identifizieren, sich auf ihn beziehen, ihn beschreiben oder vernünftigerweise mit ihm assoziiert werden können oder vernünftigerweise direkt oder indirekt mit ihm in Verbindung gebracht werden könnten“.

Persönliche Informationen im CCPA umfassen:

  • Identifikatoren wie Cookies, Beacons, Pixel-Tags, Telefonnummern, IP-Adressen, Kontonamen …
  • Biometrische Daten wie Gesicht, Netzhaut, Fingerabdrücke, DNA, Sprachaufnahmen, Gesundheitsdaten…
  • Geolokalisierungsdaten wie z.B. die Standorthistorie über Geräte,
  • Internetaktivitäten wie z.B. Browserverlauf,
  • Plus Daten über persönliche Eigenschaften, Verhalten, religiöse oder politische Überzeugungen, sexuelle Vorlieben und so weiter.

Sehen Sie sich hier Beispiele dafür an, was im CCPA als persönliche Daten gelten.

“Opt-out” bedeutet einfach, dass ein Verbraucher sich dafür entscheiden kann, ein Unternehmen anzuweisen, den Verkauf seiner persönlichen Daten an Dritte zu stoppen.

Einhaltung des Rechts auf Opt-out

Ein Unternehmen muss auf seiner Website einen klaren Link mit der Überschrift “Verkaufen Sie meine personenbezogenen Daten nicht” (CCPA; 1798.135.a.1) angeben.

Dieser Link darf den Verbraucher nicht dazu zwingen, ein Konto einzurichten, um das Unternehmen anzuweisen, seine Daten nicht zu verkaufen.

Wenn der Verbraucher unter 13 Jahre alt ist, dürfen Unternehmen ihre persönlichen Daten nicht verkaufen, es sei denn, es liegt eine vorherige Genehmigung der Eltern oder der Erziehungsberechtigten vor.

Wenn der Verbraucher zwischen 13 und 15 Jahren alt ist, ist es Unternehmen nicht erlaubt, seine persönlichen Daten zu verkaufen, es sei denn, der Verbraucher hat sich vorher dafür entschieden.

Der CCPA verbietet die Diskriminierung von Verbrauchern aufgrund ihrer Wahl zur Ausübung ihrer Rechte.

Das bedeutet, dass ein Unternehmen, wenn ein Verbraucher sich gegen den Verkauf seiner Daten an Dritte entscheidet oder die Löschung seiner Daten verlangt, nicht das Recht hat, z.B. unterschiedliche Preise für Dienstleistungen zu verlangen, unterschiedliche Niveaus oder Qualitäten von Dienstleistungen anzubieten oder dem Verbraucher Dienstleistungen zu verweigern (CCPA; 1798.125.a).

Der CCPA erlaubt es Unternehmen jedoch, finanzielle Anreize, z.B. unterschiedliche Preise und Servicequalität, für die Sammlung, den Verkauf oder die Löschung von persönlichen Daten anzubieten, wenn die Unterschiede in einem vernünftigen Zusammenhang mit dem Wert stehen, den die Daten des Verbrauchers für das Unternehmen darstellen (CCPA; 1798.125.a.1.b).

Probieren Sie Cookiebot kostenlos aus, um die Sammlung und den Verkauf der Daten Ihrer Benutzer zu verhindern.

CCPA – das Recht, die Offenlegung zu verlangen

Der CCPA gewährt dem Verbraucher “das Recht, von einem Unternehmen, das die persönlichen Daten eines Verbrauchers sammelt, zu verlangen, dass es diesem Verbraucher die Kategorien und spezifischen Teile der persönlichen Daten, die das Unternehmen gesammelt hat, offen legt” (CCPA; 1798.100.a).

Eine Neuordnung des weltweiten Datenschutzes bedeutet, dass die Kalifornier jetzt ihr eigenes Datenschutzgesetz haben, den CCPA
Eine DSGVOisierung der Welt bedeutet, dass die Kalifornier jetzt ihr eigenes Datenschutzgesetz haben.

Ein Verbraucher hat das Recht, auf die persönlichen Daten, die von einem Unternehmen in den letzten 12 Monaten über ihn gesammelt wurden, zuzugreifen und eine Kopie davon zu erhalten.

Der CCPA legt fest, dass Verbraucher das Recht haben, die Offenlegung von folgendem (CCPA; 1798.110/115) zu verlangen:

  • die Kategorien und die spezifischen Teile der persönlichen Informationen, die gesammelt werden.
  • die Kategorien der Quellen, aus denen die Informationen gesammelt werden.
  • den Zweck der Sammlung oder des Verkaufs persönlicher Daten.
  • die Kategorien von Dritten, mit denen das Unternehmen persönliche Daten teilt.

Einhaltung des “Rechts, die Offenlegung zu verlangen”

Der Antrag auf Offenlegung muss nachprüfbar sein, bevor das Unternehmen die Informationen vorlegen muss (CCPA; 1798.100.c).

Wenn dies nachprüfbar ist, muss das Unternehmen unverzüglich Maßnahmen ergreifen, um die persönlichen Informationen offenzulegen und kostenlos an den Verbraucher weiterzugeben (CCPA; 1798.100.d).

Das Unternehmen muss zwei oder mehrere Methoden für die Einreichung von Anträgen zur Verfügung stellen (CCPA; 1798.130.a.1) und die erforderlichen Informationen innerhalb von 45 Tagen nach Erhalt des nachprüfbaren Antrags kostenlos offenlegen (CCPA; 1798.130.a.2).

Um CCPA-konform zu sein, muss ein Unternehmen auch seine Datenschutzrichtlinie aktualisieren:

  • Eine Beschreibung der Rechte auf (Antrag auf Offenlegung, Löschung) und wie diese richtig ausgeübt werden können.
  • Eine Liste der Kategorien von persönlichen Daten, die das Unternehmen sammelt, verkauft und offenlegt. Diese Liste muss alle 12 Monate aktualisiert werden.
  • Unterhaltung einer gebührenfreien Telefonnummer und/oder einer Webseite zur Ausübung dieses Rechts.

Probieren Sie Cookiebot noch heute kostenlos aus, um die Daten Ihrer Benutzer vor Verkäufen durch Dritte zu schützen.

CCPA’s Definition von “Unternehmen”

Im CCPA ist ein Unternehmen ein Oberbegriff, der sowohl Unternehmen, Kapitalgesellschaften, Vereine, Personengesellschaften oder jede andere juristische Person umfasst, die zum Gewinn oder finanziellen Vorteil ihrer Aktionäre oder anderer Eigentümer organisiert oder betrieben wird.

Um als Geschäft im Sinne des CCPA zu gelten, muss ein Unternehmen jedoch mindestens eines der drei folgenden Attribute erfüllen (CCPA; 1798.140.c):

  • einen jährlichen Bruttoumsatz von mehr als 25 Millionen Dollar haben,
  • 50 % oder mehr seiner jährlichen Einnahmen aus dem Verkauf von persönlichen Informationen der Verbraucher erzielen,
  • die persönlichen Daten von 50.000 oder mehr Einwohnern Kaliforniens, Haushalten oder Geräten pro Jahr kaufen, erhalten, verkaufen oder weitergeben.

Dies bedeutet, dass, wenn Sie ein kleines Unternehmen haben, das weniger als 25 Millionen Dollar pro Jahr verdient, oder wenn weniger als die Hälfte Ihres Geschäftseinkommens vom Verkauf persönlicher Daten an Dritte abhängt, oder wenn Ihr Unternehmen nicht mehr als fünfzigtausend persönliche Daten von Kaliforniern verkauft, der CCPA nicht auf Sie zutrifft.

Wenn Ihr Unternehmen jedoch mit einem Unternehmen, das einen der oben genannten Schwellenwerte erreicht, eine gemeinsame Marke teilt, unterliegt Ihr Unternehmen der CCPA-Konformität.

Gemeinsame Markenbildung bedeutet, dass ein Unternehmen einen Namen, eine Dienstleistungsmarke oder ein Warenzeichen mit einem anderen Unternehmen teilt.

CCPA – das Recht, die Löschung zu beantragen

Der CCPA räumt dem Verbraucher “das Recht ein, von einem Unternehmen zu verlangen, dass es alle persönlichen Informationen über den Verbraucher löscht, die das Unternehmen von dem Verbraucher gesammelt hat” (CCPA; 1798.105.a).

Sie legt fest, dass “ein Unternehmen, das persönliche Daten sammelt, die Rechte des Verbrauchers offenlegen muss, um die Löschung der persönlichen Daten des Verbrauchers zu verlangen” (CCPA; 1798.105.b).

CCPA’s Definition der Begriffe “Sammlung”, “Verkauf” und “Löschung”

Der CCPA definiert Sammlung als alles, was den Zugang zu persönlichen Informationen, aktiv oder passiv, betrifft.

Mit anderen Worten, das absichtliche und passive Sammeln von persönlichen Daten, wie z.B. IP-Adressen oder andere Online-Identifikatoren, zählt als Sammlung.

Verkauf/Verkaufen ist definiert als jede Weitergabe, Offenlegung oder jeder Verkauf von persönlichen Informationen an Dritte gegen Geld oder andere Werte.

Die Löschung ist ziemlich einfach. Es bedeutet die dauerhafte Löschung von persönlichen Informationen, wie vom Verbraucher gewünscht.

Ein Unternehmen muss den Verbrauchern deutlich machen, dass sie das Recht haben, die Löschung ihrer Daten zu verlangen. Es muss dieses Recht und die Art und Weise der Ausübung dieses Rechts beschreiben.

CCPA – Haushaltsdaten

Einer der Hauptmittelbereiche der Unklarheiten im kalifornischen Consumer Privacy Act hat mit der Definition von Daten zu tun, insbesondere mit den beiden Kategorien “individuelle Daten” und “Haushaltsdaten”.

Aber die endgültigen Bestimmungen des CCPA, die am 1. Juni 2020 verabschiedet wurden und seit dem 14. August 2020 in Kraft sind, definieren Haushalt als: eine Person oder eine Gruppe von Personen, die

  1. unter der gleichen Adresse wohnen,
  2. ein gemeinsames Gerät oder die gleiche Dienstleistung, die von einem Unternehmen angeboten wird, gemeinsam nutzen,
  3. von dem Unternehmen identifiziert werden, das gleiche Gruppenkonto oder die gleiche eindeutige Kennung zu teilen.
Was sind Haushaltsdaten und wie unterscheiden sie sich von individuellen Daten?
Haushaltsdaten sind eine Art von persönlichen Informationen, die vom Generalstaatsanwalt definiert werden.

Erfahren Sie mehr über die endgültigen Bestimmungen des CCPA und deren Durchsetzung

Die CCPA-Bestimmungen stellen auch klar, dass ein Unternehmen, wenn ein Haushalt kein passwortgeschütztes Konto hat, nicht verpflichtet ist, einem Antrag auf Zugang oder Löschung von persönlichen Daten nachzukommen, es sei denn, die folgenden Bedingungen sind erfüllt:

1. Alle Verbraucher im Haushalt beantragen gemeinsam den Zugang zu bestimmten persönlichen Daten.

2. Alle Mitglieder des Haushalts können individuell überprüft werden.

3. Alle Mitglieder, die den Antrag stellen, sind weiterhin Mitglieder dieses Haushalts.

CCPA vs. DSGVO, Kalifornien & Europa im Vergleich

Wie verhält sich nun der kalifornische Consumer Privacy Act gegenüber seinem europäischen Pendant, der im Mai 2018 in Kraft getretenen Datenschutz-Grundverordnung?

Klicken Sie hier für einen ausführlichen Vergleich des CCPA mit dem DSGVO

Zur Erinnerung: Was ist die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO) ist ein europäisches Gesetz mit globaler Rechtsprechung in dem Sinne, dass sie die persönlichen Informationen und Nutzerdaten aller europäischen Bürger schützt, unabhängig davon, wo in der Welt die Website oder das Unternehmen, das die EU-Nutzerdaten bearbeitet, sich befindet.

Prüfen Sie kostenlos, ob Ihre Website DSGVO-konform ist.

Der springende Punkt der DSGVO ist, dass Websites und Unternehmen vor jeder Verarbeitung von persönlichen Daten eine klare und eindeutige Zustimmung ihrer Nutzer einholen müssen, nachdem sie alle Arten von Cookies und andere Tracking-Technologien, die auf ihren Seiten vorhanden sind und funktionieren, spezifiziert haben. Sie verlangt auch, dass sie jede Einwilligung der Nutzer sicher und vertraulich dokumentieren.

Das europäische Datenschutzrecht unterscheidet sich in einem wesentlichen Punkt von seinem kalifornischen Pendant.
Das europäische Datenschutzrecht unterscheidet sich in einem wesentlichen Punkt von seinem kalifornischen Pendant.

Der Geltungsbereich von DSGVO ist groß und behandelt alle Arten von Daten (d.h. nicht nur persönliche Informationen), wie Unternehmen und Organisationen Transparenz sicherstellen und die Einwilligung der Nutzer dokumentieren müssen.

Einwilligung vs. Antrag: die Hauptunterschiede zwischen CCPA und DSGVO

Die klarste und konsequenteste Unterscheidung zwischen dem europäischen und dem kalifornischen Recht findet sich bei der Zustimmung.

Die DSGVO gewährt dem Nutzer das Recht der Einwilligung, d.h. seine Daten dürfen erst dann verwendet werden, wenn der Nutzer seine Zustimmung dazu gibt.

Diese Einwilligung kann auf verschiedene Weise erteilt werden, der springende Punkt ist jedoch, dass nach der DSGVO eine vorherige Zustimmung gesetzlich vorgeschrieben ist.

Logo banner powered by Cookiebot by Usercentrics
Der DSGVO-Compliance-Banner von Cookiebot für EU-Besucher.

Nun, im CCPA wird nichts dergleichen gesagt.

Ein Unternehmen braucht weder eine vorherige Zustimmung zum Umgang mit persönlichen Daten, noch muss eine Website die Zustimmung des Benutzers einholen, um ihre Daten an Dritte zu verkaufen.

Was der CCPA tut, ist, dem Verbraucher das Recht einzuräumen, entweder die Offenlegung, die Löschung oder die Einstellung des Verkaufs seiner Daten durch das Unternehmen zu verlangen. Aber dies geschieht nach der Tatsache, sowohl die Sammlung und den Verkauf.

Wo die DSGVO eine Tür für den Verbraucher zum Verschließen schafft, schafft der CCPA ein Fenster, das der Verbraucher öffnen kann, um zu erfahren, welche seiner persönlichen Daten bereits bei einem Unternehmen vorliegend sein könnten.

Die DSGVO ist eine Vorbeugung, während der CCPA ein Mittel zur Transparenz und dann zur Löschung (der gesammelten Daten der letzten 12 Monate) ist.

CCPA-Durchsetzung 2020

CCPA-Regelungen und Durchsetzung seit August 2020 in Kraft

Am 14. August 2020 wurden die endgültigen Bestimmungen des CCPA verabschiedet und traten sofort in Kraft.

Die Durchsetzung des kalifornischen Consumer Privacy Act (CCPA) durch den Generalstaatsanwalt hat daher begonnen.

Erfahren Sie mehr über die endgültigen Bestimmungen des CCPA

Wie stark wird die Durchsetzung des CCPA sein?
Die Durchsetzung des CCPA begann im August 2020.

Kampf für ein US-Bundesdatenschutzgesetz

Ein weiteres unsicheres Element bei der Durchsetzung des CCPA ist die Möglichkeit, dass ein Bundesgesetz verabschiedet und in den gesamten USA durchgesetzt wird.

Dies könnte sich möglicherweise über Regelungen auf Bundesstaatsebene wie den CCPA hinwegsetzen und eine völlig neue Landschaft höherer Rechtsbefugnisse schaffen.

CCPA-Durchsetzung seit dem 1. Juni 2020.
Technologieunternehmen lobbyieren immer noch für eine Lockerung der Bundesdatenschutzgesetze.

Dies könnte auch zu einer schwächeren landesweiten Version von stärkeren Gesetzen auf Bundesstaatsebene wie dem CCPA führen.

Dies liegt offensichtlich im Interesse von Silicon Valley, das aktive Lobbyarbeit gegen den CCPA betrieben hat.

Die Befürchtung der Datenschutzaktivisten und Verbrauchergruppen sowie der Autoren und Sponsoren des CCPA ist, dass ein Bundesgesetz wie ein Sieg erscheinen kann, da es ein einheitliches Gesetz in den gesamten USA gewährleistet, während es in Wirklichkeit ein Verlust für die Verbraucher ist, da diese einheitlichen Bundesgesetze sich auf einem schwächeren Datenschutzniveau als der CCPA niederlassen könnten.

Die Hoffnungen der Datenschutzaktivisten sind auch, paradoxerweise, dass ein Bundesgesetz besser als das kalifornische sein könnte.

Ihre Hoffnung ist, dass Kalifornien die untere Messlatte sein wird, auf der ein Bundesgesetz zum Schutz der Privatsphäre aufbauen könnte, anstatt sie zu unterschreiten.

As California goes, so goes the nation, wie das alte amerikanische Sprichwort sagt.

Oder wie Alastair Mactaggart sagte, als er Washington besuchte, um sich mit wichtigen Senatoren und Trump-Verwaltungsbeamten in dieser Angelegenheit zu treffen: “Kalifornien führt, die anderen folgen” (eigene Übersetzung).

Schützen Sie die digitale Privatsphäre Ihrer Endbenutzer noch heute kostenlos mit Cookiebot.

Die Ursprungsgeschichte des CCPA

1972 änderten die kalifornischen Wähler die kalifornische Verfassung, um das Recht auf Privatsphäre zu den “unveräußerlichen” Rechten aller Menschen zu zählen.

Vier Dekaden später ist der CCPA (California Consumer Privacy Act, Assembly Bill No. 375) am 1. Januar 2020 in Kraft getreten.

Das kalifornische Verbraucherschutzgesetz (Consumer Privacy Act) begann als eine von unten nach oben gerichtete Initiative von ungewöhnlichen Datenschutzaktivisten – angeführt von einem millionenschweren Immobilienentwickler, einem ehemaligen CIA-Analysten, einem Branchenmanager und einem Pulitzer-Preis ausgezeichneten Journalisten, der an den Snowden-Enthüllungen für die Washington Post arbeitete.

CCPA begann als Bürgerwahlinitiative in San Francisco und Oakland
Der CCPA startete als Bürgerinitiative in San Francisco und Oakland.

Californians for Consumer Privacy (dt. Kalifornier für die Konsumenten-Privatsphäre) wird von dem Immobilienentwickler Alastair Mactaggart aus San Francisco geleitet, der eine Wahlinitiative zum Schutz der Privatsphäre der Verbraucher entworfen hat, um die Rechtslücke zu schließen.

“Sag mir, was du über mich weißt. Hör auf, es zu verkaufen. Bewahre es sicher auf”, (“Tell me what you know about me. Stop selling it. Keep it safe”), wie Alastair Mactaggart den Vorschlag zusammenfasste.

Mit den Enthüllungen des Facebook/Cambridge Analytica-Skandals bekam die kalifornische Wahlinitiative plötzlich starken Wind in den Rücken.

Californians for Consumer Privact sammelten mehr als 600.000 Unterschriften für die Unterstützung des CCPA
Californians for Consumer Privacy sammelten mehr als 600.000 Unterschriften für die Unterstützung dessen, was schließlich der CCPA werden sollte.

Eine Wahlinitiative ist eine Möglichkeit für die kalifornische Öffentlichkeit, Gesetze von unten nach oben zu erlassen, indem sie einen Gesetzesvorschlag entwirft und genügend Unterschriften (acht Prozent der Menschen, die bei den letzten Gouverneurswahlen gewählt haben) für den Vorschlag erhält, um dann Teil der allgemeinen Wahl im November in diesem speziellen Bundesstaat zu werden. Die Wähler müssen dann am selben Tag, an dem sie für den Präsidenten oder den Kongress stimmen, Ja oder Nein wählen.

Im Fall des CCPA gab Mactaggart 3 Millionen Dollar aus eigenen Mitteln aus, um mehr als 600.000 Unterschriften für den Vorschlag zu sammeln (was eine stärkere und härtere Version war als das, was schließlich der CCPA werden sollte), und sicherte sich so einen Platz bei der allgemeinen Wahl, die im November 2018 stattfinden wird.

Kompromiss: Wie die Technologiebranche den CCPA verändert hat

Mit der Drohung, dass bei den Parlamentswahlen im November 2018 ein starkes Datenschutzgesetz mit der Mehrheit der Bürgerinnen und Bürger verabschiedet wird, begann die Technologieindustrie, heftige Lobbyarbeit gegen die Stimmzettel-Version des CCPA zu betreiben.

Starker Lobbyismus von Facebook schwächte den CCPA
Facebook lobbyierte stark gegen den CCPA.

Einer der größten Kämpfe zwischen den Verfassern der Stimmzettel und der technischen Industrie, insbesondere Facebook, war das sogenannte private Klagerecht.

Ursprünglich war es ein Recht, das es Verbrauchern erlaubte, Unternehmen und Firmen wegen jeder Art von Rechtsverletzung zu verklagen, nicht nur wegen der Verletzung von Daten. Die Tech-Industrie war sehr stark in ihrem Widerstand, da sie große Haftungsrisiken befürchtete –

“Wir befürworten grundsätzlich mehr Offenlegung, aber mit dem privaten Klagerecht steht einfach viel mehr auf dem Spiel”, sagte Will Castleberry, Vizepräsident für staatliche und lokale Politik bei Facebook.

Google, Facebook, Verizon, Comcast und AT&T haben jeweils 200.000 Dollar an ein Komitee gespendet, das sich der vorgeschlagenen Wahlmaßnahme widersetzt.

Es wurde auch geschätzt, dass sie etwa 100 Millionen Dollar ausgeben würden, um gegen den Vorschlag zu kämpfen, wenn die Parlamentswahlen im November 2018 stattfinden.

So wurde die Initiative verwässert, um nur ein privates Klagerecht im Falle von Datenverletzungen (unbefugter Zugriff, Diebstahl etc.) zu beinhalten.

Der CCPA wurde dann von Mactaggart entworfen, von zwei demokratischen Gesetzgebern mitverfasst und gesponsert, durch die Landesgesetzgebung gerast, einstimmig verabschiedet und vom Gouverneur von Kalifornien am Donnerstag, den 28. Juni 2018, in das Gesetz aufgenommen – alles in weniger als einer Woche.

Sein Mitverfasser, der Abgeordnete Ed Chau, hat es “DSGVO light” genannt.

Daten sind das neue Öl… wenn Öl noch lebendig wäre.

Die Tech-Industrie wird oft mit der Ölindustrie von vor hundert Jahren verglichen – unreguliert, monopolistisch und zu mächtig.

Daten sind das neue Öl, der Treibstoff des 21. Jahrhunderts, sagt man.

Daten sind das neue Öl.
Kalifornien war schon immer die Grenze der Möglichkeiten und des Geschäfts. Einst war es “Gold”, dann war es “Öl”, jetzt sind es “Daten”.

Dies ist in vielerlei Hinsicht ein treffender Vergleich, da sowohl der Goldrausch als auch der Ölboom der letzten Jahrhunderte in Südkalifornien begann. Aber es lässt eine sehr wichtige Unterscheidung aus, die man unbedingt im Auge behalten sollte:

Where oil is an inanimate resource that powers machines; data is the mapping of human behavior that powers digital infrastructures of probability in order to predict and make predictable the experience of being a person.

Es ist diese Sammlung und Monetarisierung unseres inneren und äußeren Lebens, die Silicon Valley zu einer Kraft gemacht hat, die an Macht und Reichtum parallel zu den Nationalstaaten steht.

Wo die unregulierte Ölindustrie einige wenige Männer sehr reich und infolgedessen sehr mächtig gemacht hat, macht die unregulierte Technologieindustrie einige wenige Männer sehr reich und sehr kenntnisreich und infolgedessen immens mächtiger als die Öl-Tycoons des späten Jahrhunderts.

Dieses Wissen ist das kollektive Verhaltensmuster von Gesellschaften und das private Innenleben von Milliarden von Menschen.

Die Sammlung und Monetarisierung dieses Wissens hat die Ära des Überwachungskapitalismus eingeleitet, in der, so die Harvard Business School-Professorin Shoshana Zuboff, “die ökonomischen Imperative die führenden Technologieunternehmen zwingen, einen Kollisionskurs mit der Demokratie einzuschlagen”.

Nun, die Demokratie wehrt sich.

Der CCPA gilt speziell für den Golden State, es ist kein Bundesgesetz – aber Kalifornien ist auch die fünftgrößte Volkswirtschaft der Welt und es herrscht Konsens darüber, dass der CCPA wahrscheinlich den Standard für Datenschutzrechte landesweit markieren wird und dass Unternehmen den CCPA in den gesamten USA einhalten werden.

Der CCPA ist zweifellos ein historischer Meilenstein für den digitalen Datenschutz in den USA.

Google und Facebook sind immer noch frei nutzbar. Mit dem CCPA sind kalifornische Bürger nicht mehr frei für Google zu nutzen.

FAQ

Was ist der CCPA?

Der California Consumer Privacy Act (CCPA) ist ein landesweites Gesetz, das regelt, wie Unternehmen die persönlichen Daten von Einwohnern Kaliforniens sammeln, verarbeiten und weitergeben dürfen. Der CCPA verlangt von Unternehmen (die unter die gesetzliche Definition von Unternehmen fallen), Verbrauchern die Möglichkeit zu geben, sich gegen die Weitergabe und den Verkauf ihrer persönlichen Daten an Dritte zu entscheiden und Zugang zu bereits erfassten Daten zu erhalten und diese löschen zu lassen.

Erfahren Sie mehr über den CCPA.

Was sind persönliche Informationen im Rahmen des CCPA?

Der CCPA definiert persönliche Informationen (PI) als Informationen, die einen bestimmten Verbraucher oder Haushalt identifizieren, sich auf ihn beziehen, ihn beschreiben, mit ihm direkt oder indirekt in Verbindung gebracht werden können oder in einem vernünftigen Rahmen mit ihm in Verbindung gebracht werden könnten. Dazu gehören Namen, Adressen, Sozialversicherungsnummern, Führerschein, Reisepassinformationen, biometrische Daten wie Gesicht, Netzhaut, Fingerabdrücke, DNA, Sprachaufnahmen und sensible Informationen wie religiöse Überzeugungen, politische Überzeugungen und sexuelle Vorlieben.

Erfahren Sie mehr über den CCPA und persönliche Informationen

Was sagt der CCPA zu Website-Cookies?

Der CCPA definiert Cookies, IP-Adressen, Browser- und Suchverlauf und andere Online-Identifikatoren (wie Web-Beacons und Pixel-Tags) als persönliche Informationen. Cookies funktionieren oft durch die Generierung eindeutiger Identifizierungsmerkmale einzelner Benutzer, die zu deren Identifizierung verwendet werden können. Websites, die Cookies – insbesondere Cookies von Dritten – verwenden, müssen sich der Einhaltung des CCPA bewusst sein und darauf achten, dass sie den CCPA einhalten.

Erfahren Sie mehr über den CCPA und Cookies

Wie kann ich Cookies auf meiner Website kontrollieren?

Cookies sind schwer zu kontrollieren, da sie oft andere Drittanbieter-Cookies laden, die sich bei wiederholten Besuchen ändern können. Die Verwendung einer Consent Management-Plattform kann Ihrer Website helfen, alle Cookies und Tracker, die in Betrieb sind, zu erkennen und sie so zu kontrollieren, dass Sie sowohl den CCPA als auch die DSGVO einhalten.

Testen Sie Cookiebot 14 Tage lang kostenlos, um die Cookies Ihrer Website zu kontrollieren.

Ressourcen

Probieren Sie Cookiebot noch heute kostenlos aus.

Der offizielle CCPA-Gesetzestext (in Englisch)

Der offizielle DSGVO-Gesetzestext

Endgültige Regelungsvorschläge des Generalstaatsanwalts von Kalifornien (in Englisch)

CCPA vs. DSGVO

Die faszinierende Geschichte, wie eine Gruppe von Bürgern das Silicon Valley von Grund auf übernommen und den CCPA (California Consumer Privacy Act) geschaffen hat (in Englisch)

Brave’s Schreiben, in dem eine stärkere Privatsphäre für den neuen CPERA-Gesetzentwurf gefordert wird (in Englisch)

Kalifornien hat sich zu einem Schlachtfeld für den Schutz der Privatsphäre der Verbrauchergesetze entwickelt (in Englisch)

Ein Blick in die Technologiebranche und das Lobbying der großen Unternehmen in Kalifornien, das aktuell stattfindet (in Englisch)

Ein Bundesdatenschutzgesetz könnte besser sein als Kaliforniens (in Englisch)

Das kalifornische Gesetz könnte das Modell des Kongresses für den Datenschutz sein. Oder es könnte gelöscht werden. (in Englisch)

Nachdem sie den Kongress jahrelang gemieden haben, bitten Technologiefirmen jetzt um Hilfe (in Englisch)

Werfen Sie einen Blick auf “Das Zeitalter des Überwachungskapitalismus” von der Harvard Business Professorin Shoshana Zuboff (in Englisch)

    Bleiben Sie auf dem Laufenden

    Werden Sie jetzt Teil unserer wachsenden Community von Datenschutz-Befürwortern. Abonnieren Sie den Cookiebot™-Newsletter und erhalten Sie die neuesten Updates und spannende Informationen direkt in Ihren Posteingang.

    Mit einem Klick auf „Abonnieren“ bestätige ich, dass ich den Cookiebot™-Newsletter abonnieren möchte. Ich kann das Abonnement des Cookiebot™-Newsletters und die Einwilligung in die Verwendung meiner Daten ganz einfach widerrufen, indem ich auf den Abmeldelink klicke. Oder ich kann mich schriftlich an [email protected] wenden, um eine Anfrage zu stellen. Datenschutz­richtlinie.