• Blog
  • Der California Consumer Privacy Act (CCPA) ist ab heute, dem 1. Januar 2020, in Kraft

Hallo! Wir experimentieren derzeit mit Tools, die unsere englischen Inhalte automatisch übersetzen. Der Inhalt, den Sie gerade sehen, wurde von den genannten Tools automatisch übersetzt. Wenn Sie das Gefühl haben, dass die Übersetzung von geringer Qualität ist, würden wir uns über Ihr Feedback freuen! Sie können auch zum originalen englischen Inhalt wechseln.

CCPA(California Consumer Privacy Act) wirksam ab 01. Januar 2020

Simon Coulthard Januar 01, 2020

4 Minütige Lektüre

Zu Beginn des neuen Jahres werfen wir einen genaueren Blick auf das neue kalifornische Datenschutzgesetz für 2020, das sich auf die Art und Weise auswirken wird, wie Unternehmen mit personenbezogenen Daten umgehen. Der California Consumer Privacy Act oder CCPA genannt, soll den Einwohnern Kaliforniens mehr Kontrolle über die Art und Weise geben, wie ihre persönlichen Daten gespeichert und verarbeitet werden. Ab heute, den 01. Januar 2020, tritt dieses Datenschutzgesetz in Kraft.

Wen wird diese neue Gesetzgebung betreffen? Was sind die wichtigsten Dinge, die man über CCPA wissen muss? Was können Sie als Webseiten-Betreiber tun, um sicherzustellen, dass Sie sich daran halten?

Das neue Gesetz wird sich zwangsläufig auf die meisten Webseiten-Besitzer und -Betreiber auswirken, so wie es zuvor mit der europäischen DSGVO geschehen ist. In vielerlei Hinsicht ist der CCPA jedoch nicht so streng wie die DSGVO und richtet sich expliziter an Unternehmen, die persönliche Daten von Verbrauchern verkaufen.

Welche Webseiten werden von CCPA beeinflusst?

Zunächst einmal sind die Auswirkungen des Gesetzes auf die Einwohner Kaliforniens beschränkt. Dies bedeutet jedoch nicht, dass Unternehmen außerhalb Kaliforniens nicht die Gesetze einhalten müssen, wenn sie mit Kunden aus diesem Bundesstaat zu tun haben. Da Einwohner Kaliforniens auf jede Webseite zugreifen können, unabhängig davon, von wo aus sie betrieben wird, bedeutet dies im Grunde, dass alle Webseiten-Eigentümer in den USA und im Ausland Schritte zur Einhaltung des CCPA unternehmen sollten.

Wir haben dies bereits mit dem DSGVO-Gesetz in Europa gesehen, das sich an alle Unternehmen richtet, die mit den persönlichen Daten von EU-Bürgern umgehen. Zum Zeitpunkt des Inkrafttretens der DSGVO hielten die Webseiten-Eigentümer in den USA und anderswo entweder die DSGVO für alle ihre Kunden ein oder beschlossen, den Zugang zu ihren Webseiten einfach zu sperren, wenn der Besuch von einer IP aus der Europäischen Union erfolgte.

Wenn Sie eine Webseite in einem der anderen amerikanischen Staaten betreiben, könnten Sie hier vor einer ähnlichen Wahl stehen. Wenn Sie es sich leisten können, Ihre in Kalifornien lebenden Kunden auszuschließen, gibt es die Möglichkeit, Besuche von kalifornischen IPs zu blockieren. Allerdings dürften Datenschutzgesetze auch in Zukunft auf der Tagesordnung des Gesetzgebers stehen. Es ist vorhersehbar, dass mehrere, wenn nicht sogar alle Staaten zukünftig ähnliche Gesetze erlassen werden. Anstatt also nach und nach potenzielle Kunden auszusperren, ist es vielleicht klüger, sich jetzt an die Vorschriften zu halten, unabhängig davon, wo Ihr Unternehmen ansässig ist.

Zweitens sind die Auswirkungen des Gesetzes im Gegensatz zur DSGVO etwas begrenzt. Der CCPA wird nur die folgenden Unternehmen betreffen:

  • die mit einem Bruttoumsatz von mindestens 25 Millionen Dollar
  • diejenigen, die persönliche Informationen über mindestens 50.000 Einwohner / Haushalte / Geräte pro Jahr in Kalifornien haben
  • mindestens 50 % ihres Jahresumsatzes aus dem Verkauf der persönlichen Daten von Kaliforniern erzielen werden

Wenn Ihre Webseite persönliche Informationen sammelt, aber nicht in eine der oben genannten Kategorien fällt, dann können Sie frei entscheiden, ob Sie wie gewohnt weiterarbeiten möchten. Diese Vorbehalte sind ein klares Zeichen dafür, dass das Gesetz nicht für Kleinunternehmer konzipiert wurde, sondern dass es auf Unternehmen abzielt, die vom Verkauf großer Mengen an persönlichen Informationen profitieren. Stellen Sie jedoch sicher, dass Sie die Anzahl der eindeutigen Besucher aus Kalifornien, die Sie auf Ihrer Webseite haben, überprüfen. Wenn diese Zahl 50.000 in einem Jahr überschreitet, müssen Sie die Einhaltung des CCPA in Betracht ziehen.

Was wird nach dem CCPA als persönliche Daten betrachtet?

Es gibt keinen großen Unterschied zu dem, was wir bereits in den DSGVO-bezogenen Themen zuvor besprochen haben, da es sich bei den persönlichen Daten um ziemlich die gleichen handelt: Namen, E-Mail-Adressen, Standort, biometrische Daten usw.. Das Gesetz definiert dies als jede Information, die "einen bestimmten Verbraucher oder Haushalt identifiziert, sich auf ihn bezieht, ihn beschreibt, mit ihm in Verbindung gebracht werden kann oder hinreichend direkt oder indirekt mit ihm in Verbindung gebracht werden könnte". Bitte beachten Sie, dass öffentlich zugängliche Informationen, sowie anonymisierte oder aggregierte Verbraucherinformationen nicht als persönliche Informationen im Sinne des CCPA gelten.

Was muss ich tun, damit meine Webseite CCPA-konform wird?

Sie können immer noch persönliche Informationen sammeln und sogar verkaufen, aber Sie müssen es den Benutzern leicht machen, sich von diesem Prozess abzumelden. Das Gesetz besagt ausdrücklich, dass, wenn ein Unternehmen die persönlichen Daten der Nutzer verkauft, es einen klaren Link auf seiner Homepage mit dem Titel "Meine persönlichen Daten nicht verkaufen" anbringen muss. Außerdem ist es illegal, verschiedene Dienste oder Funktionen anzubieten, die auf der Wahl zwischen Opt-in oder Opt-out beruhen. Alle Kunden müssen nach wie vor von den gleichen Leistungen profitieren.

Ähnlich wie die DSGVO, müssen Sie Ihren Kunden das Recht auf Datenzugang, Löschung persönlicher Daten und die Offenlegung aller Kategorien von persönlichen Daten, die gesammelt und verkauft werden (falls dies der Fall ist), gewähren. Dies wird auf jährlicher Basis erfolgen. Auf Anfrage müssen Sie die persönlichen Daten aus den letzten 12 Monaten vor der Anfrage zur Verfügung stellen. Auch kann der Kunde solche Ansprüche nur maximal zweimal pro Jahr geltend machen.

Bitte stellen Sie außerdem sicher, dass Sie die folgenden Punkte in Ihre Datenschutzerklärung aufnehmen:

  • alle Kategorien von Informationen, die Sie sammeln und verarbeiten
  • wofür diese Kategorien von Informationen verwendet werden
  • wie die Informationen gesammelt werden
  • wie das Verfahren zur Beantragung des Zugriffs, der Änderung, der Verschiebung oder der Löschung der persönlichen Daten aussieht
  • wie die Identität der Person, die einen Antrag stellt, überprüft wird
  • wenn personenbezogene Daten verkauft werden, dann muss dies hier beschrieben werden
  • wie man sich gegen den Verkauf ihrer Daten wehren kann

Bedeutet DSGVO-Konformität, dass Sie auch CCPA-konform sind?

Nicht unbedingt, aber die Chancen stehen gut, dass Sie, wenn Sie Schritte zur Einhaltung der DSGVO unternommen haben, auch die CCPA-Vorschriften einhalten. Alle oben genannten Bedingungen finden sich auch in der DSGVO wieder, mit Ausnahme expliziter Regeln für den Verkauf von persönlichen Daten.

Welche Risiken bestehen bei Nichteinhaltung des CCPA?

Das Hauptrisiko, dem die Betreiber von Webseiten ausgesetzt sind, ist das Risiko einer Datenverletzung. Nach dem Gesetz ist das Unternehmen dafür verantwortlich, den unbefugten Zugang und Diebstahl von Daten der Verbraucher zu verhindern. Sollte dies geschehen, hat jeder Benutzer, dessen Daten abgegriffen wurden, das Recht, einen Schadenersatz in Höhe von $100 bis $750 zu fordern. Eine große Datenpanne, bei der die Daten tausender Benutzer gestohlen werden, kann ein Unternehmen in den Konkurs treiben. Multiplizieren Sie 1000 x $750 und Sie erhalten eine Schätzung der Auswirkungen.

Bevor es jedoch zu einer Zivilklage kommt, wird den Unternehmen eine Frist von 30 Tagen eingeräumt, um den festgestellten Verstoß zu "beseitigen", sofern dies möglich ist.

Analysewerkzeuge & CCPA-Konformität

Da sowohl anonymisierte Daten als auch aggregierte Daten nicht unter die Regeln des CCPA fallen, sind die meisten Analysetools wahrscheinlich standardmäßig konform. Sie sollten jedoch sicherstellen, dass Sie die Vereinbarung zur Datenverarbeitung und die Datenschutzbestimmungen dieser Dritten lesen, um sicherzustellen, dass Sie alle Informationen über die Verwendung von persönlichen Daten haben. Als Teil der Bemühungen um die Einhaltung der DSGVO ist auch TWIPLA CCPA-konform. Unser Unternehmen beteiligt sich nicht am Verkauf oder der Weitergabe von Daten an Andere. Die von uns gesammelten Daten können nicht mit der Identität einer Person, eines Haushalts oder eines Geräts in Verbindung gebracht werden.

Wenn Sie mehr Einzelheiten über das neue Datenschutzgesetz benötigen, können Sie den vollständigen Text des 1.81.5.Kalifornisches Verbraucherschutzgesetz lesen. Wenn Sie mehr darüber erfahren möchten, wie TWIPLA die Datenschutzgesetze einhält, lesen Sie bitte unsere Datenschutzrichtlinie und unsere Vereinbarung zur Datenverarbeitung.

Kostenlos einsteigen

Gewinnen Sie erstklassige Einblicke und bieten Sie innovativen Datenschutz und Sicherheit

up-arrow.svg