Kurze Zusammenfassung
Was sind die Bestimmungen des CCPA?
Bei den CCPA-Bestimmungen handelt es sich um eine Reihe detaillierter Regelungen und Anweisungen, die die praktischen und technischen Aspekte spezifizieren, wie Ihr Unternehmen die Einhaltung des California Consumer Privacy Act (CCPA) erreicht.
Eine Reihe von endgültigen CCPA-Bestimmungen trat am 14. August 2020 in Kraft (PDF in Englisch) und ein zusätzlicher Satz von Änderungen und Modifikationen trat am 15. März 2021 in Kraft (PDF in Englisch).
Wenn der CCPA eine rechtliche Landschaft ist, dann sind die CCPA-Bestimmungen die Landkarte, die detaillierte Anweisungen für die Navigation durch das kalifornische Datenschutzgesetz enthält und genau aufzeigt, wie die wichtigsten Bestimmungen eingehalten werden können, wie z.B. die Bereitstellung konformer Methoden für Verbraucher zur Einreichung von Anfragen und die richtigen Wege zur Beantwortung solcher Verbraucheranfragen.
Mit der Genehmigung der CCPA-Bestimmungen beginnt die Durchsetzung des California Consumer Privacy Act.
Wenn Ihr Unternehmen noch nicht mit dem CCPA konform ist, sollten Sie jetzt sicherstellen, dass Sie dies tun.
Werden Sie CCPA-konfom mit Cookiebot Consent Management Plattform (CMP).
Scannen Sie Ihre Website, um zu sehen, ob Sie Daten in Kalifornien verarbeiten.
Was besagen die Bestimmungen des CCPA?
Die CCPA-Bestimmungen beschreiben im Detail die Art und Weise, wie Ihr Unternehmen seine CCPA-Konformität einrichten muss, insbesondere in Bezug auf die folgenden Belange –
- Benachrichtigung der Verbraucher über die Sammlung
- Verbraucher über Möglichkeiten zur Ausübung ihrer Rechte zu informieren
- wie man Antragseinreichungen einrichtet und wie man antwortet
- wie man Verbraucherwünsche verifiziert
- wie man finanzielle Anreize bietet vs. was als Diskriminierung gilt
- Regeln für Verbraucher unter 13 Jahren
- Regeln für Verbraucher im Alter von 13-16 Jahren
Erfahren Sie mehr über die Einhaltung des CCPA mit Cookiebot CMP
Lesen Sie hier mehr zum CPPA und Website Cookies (Artikel in Englisch).
Wie wirken sich die CCPA-Bestimmungen auf meine Website aus?
Die CCPA-Bestimmungen sind der Fahrplan für Ihr Unternehmen, wie Sie durch den CCPA und seine wichtigsten Regelungen navigieren können.
Die CCPA-Bestimmungen haben einen enormen Einfluss auf die täglichen, digitalen Aspekte Ihres Unternehmens – z.B. die praktischen Umstände der Erhebung personenbezogener Daten (PI) und die praktischen Aspekte der Reaktion auf Verbraucher, die ihre Rechte über diese von Ihnen erhobenen und/oder an Dritte weitergegebenen personenbezogenen Daten ausüben.
Mit den CCPA-Bestimmungen kann Ihr Unternehmen sicherstellen, dass es auf seiner Website, in Anwendungen oder offline die richtige Einrichtung und den richtigen Rahmen schafft, damit Verbraucher Zugang, Löschung und Opt-Out beantragen können und Sie auf solche Anträge konform reagieren können.
Insgesamt schreiben die CCPA-Bestimmungen Transparenz von Ihrer Website gegenüber ihren Nutzern vor.
Der CCPA verlangt von Ihnen, dass Sie den Verbrauchern gegenüber völlig offen sind, welche Cookies und Tracker auf Ihrer Website eingesetzt werden, um ihre persönlichen Daten zu sammeln und weiterzugeben.
Der CCPA verlangt auch, dass Sie in der Lage sein müssen, die Kontrolle über die Datenerfassung und -weitergabe Ihrer Website zu übernehmen, wenn die Verbraucher sich dagegen entscheiden.
Scannen Sie kostenlos, um zu sehen, welche Cookies und Tracker auf Ihrer Website in Betrieb sind
Erfahren Sie mehr über die Einhaltung des CCPA mit Cookiebot CMP
Testen Sie Cookiebot CMP 14 Tage lang kostenlos – oder für immer, wenn Sie eine kleine Website haben
CCPA Compliance mit Cookiebot CMP
Cookiebot CMP ist eine Consent Management-Plattform, die auf einer leistungsstarken Scan-Technologie basiert, die automatisch alle Cookies, Tracker und Trojaner auf Ihrer Website erkennt und kontrolliert.
Der Cookiebot CMP tut dies, indem er reale Benutzer simuliert, klickt, scrollt und alle möglichen menschlichen Interaktionen mit Ihrer Website durchführt, um alle Erst- und Drittanbieter-Cookies und Tracker zu aktivieren.
Sobald alle Cookies und Tracker erkannt sind, gibt Cookiebot Ihnen und Ihren Endbenutzern automatisch die Kontrolle darüber, wie die Sammlung persönlicher Informationen auf Ihrer Domain erfolgen soll.
Cookiebot CMP ist Cloud-basiert und hoch automatisiert und bietet volle Plug-and-Play-Konformität mit DSGVO/ePR, CCPA, LGPD und weiteren Datenschutzgesetzen.
Cookiebot CMP bietet Ihrer Website mit Plug-and-Play CCPA-Konformität durch:
- Erkennung aller Cookies und Tracker – sogar der versteckten trojanischen Pferde
- Automatische Übernahme der Kontrolle über alle Cookies und Tracker
- Information der Verbraucher über alle Cookies und Tracker von Dritten, die auf Ihrer Website in Betrieb sind, durch eine erschöpfende Cookie-Erklärung für vollständige Transparenz
- Aufzeigen, welche Arten von persönlichen Informationen Ihre Website sammelt
- Offenlegung der Zwecke für jede Kategorie der Sammlung
- Bereitstellung eines Links “Meine persönlichen Daten nicht verkaufen” für Verbraucher, die sich gegen den Verkauf von Daten Dritter entscheiden
Cookiebot CMP setzt sich seit 2012 für mehr Privatsphäre und Transparenz in unseren digitalen Infrastrukturen ein – mit Respekt für den einzelnen Nutzer und sein Privatleben, ohne das wirtschaftliche Modell des Internets zu brechen.
Testen Sie Cookiebot CMP 14 Tage lang kostenlos für die vollständige Einhaltung des CCPA – oder für immer, wenn Sie eine kleine Website haben.
CCPA-Bestimmungen im Detail
Werfen wir nun einen genaueren Blick auf einige der wichtigsten Aspekte der endgültigen Bestimmungen des CCPA, die direkte Auswirkungen auf den Umgang Ihres Unternehmens mit persönlichen Daten auf Website, App und offline haben.
Die folgende Liste ist ein nicht vollständiger Auszug aus den Bestimmungen des CCPA und ist nicht als rechtliche Anleitung gedacht.
Die Bestimmungen des CCPA klären folgende wichtige Aspekte des CCPA–
- Anforderungen für Benachrichtigungen im Allgemeinen
- Anforderungen für die Benachrichtigung über die Sammlung von Daten
- Anforderungen für die Benachrichtigung über das Recht auf Opt-out
- Anforderungen für die Einreichung von Anträgen
- Anforderungen für die Verifizierung von Anfragen
- Anforderungen für die Beantragung des Opt-out
- Anforderungen für finanzielle Anreize
- Anforderungen für den Umgang mit Verbrauchern unter 13 Jahren
- Anforderungen an die Datenschutzrichtlinie Ihrer Website
Die endgültigen Bestimmungen des CCPA im Volltext (PDF auf Englisch)
Weitere CCPA-Bestimmungen vom 15. März 2021 (PDF auf Englisch)
Erfahren Sie mehr über den CCPA und Cookies
Benachrichtigungen an Verbraucher
CCPA-Bestimmungen zu Benachrichtigungen im Allgemeinen –
In Bezug auf die Benachrichtigung der Verbraucher legen die CCPA-Bestimmungen die praktischen und technischen Aspekte fest, wie Ihr Unternehmen die Anforderungen des CCPA erfüllt, den Verbrauchern mitzuteilen, welche Art von persönlichen Daten Sie wie und zu welchen Zwecken sammeln.
Jedes Unternehmen, das die Einhaltung des CCPA anstrebt, muss auf seiner Website, in mobilen Anwendungen und offline, falls relevant, mehrere Hinweise bereitstellen – einschließlich eines Hinweises auf die Sammlung, eines auf das Recht auf Opt-out, eines auf finanzielle Anreize (falls vorhanden), einer Datenschutzrichtlinie und mehr.
Hinsichtlich der Formatierung von Verbraucherhinweisen legen die CCPA-Bestimmungen Folgendes fest –
- Alle Bekanntmachungen müssen in klarer, unkomplizierter Sprache verfasst sein und Fach- oder Rechtsjargon vermeiden.
- Alle Hinweise müssen so formatiert sein, dass sie die Aufmerksamkeit des Verbrauchers auf sich ziehen.
- Alle Hinweise müssen lesbar sein, auch auf kleineren Bildschirmen.
- Alle Bekanntmachungen müssen in den Sprachen verfügbar sein, die das Unternehmen normalerweise verwendet.
- Alle Bekanntmachungen müssen auch für Verbraucher mit Behinderungen zugänglich sein.
- Ein Unternehmen, das persönliche Daten von einem Verbraucher erhebt, muss bei der Erhebung einen entsprechenden Hinweis bereitstellen.
- Ein Unternehmen, das personenbezogene Daten verkauft, muss einen Hinweis auf das Recht auf Opt-out geben.
- Ein Unternehmen, das einen finanziellen Anreiz oder einen Preis- oder Dienstleistungsunterschied anbietet, muss einen Hinweis auf einen finanziellen Anreiz geben.
Die folgenden Hinweise sind gemäß den CCPA-Bestimmungen von Ihrem Unternehmen erforderlich –
- Mitteilung bei der Erhebung, d.h. der Hinweis Ihres Unternehmens an einen Verbraucher zu oder vor dem Zeitpunkt, zu dem ein Unternehmen persönliche Daten vom Verbraucher erhebt.
- Mitteilung über das Recht auf Opt-out, d.h. die Unterrichtung der Verbraucher über ihr Recht auf Opt-out beim Verkauf ihrer persönlichen Daten durch Ihr Unternehmen.
- Mitteilung über finanzielle Anreize, d.h. die Erklärung Ihres Unternehmens zu jedem finanziellen Anreiz oder Preis- oder Dienstleistungsunterschied (d.h. jeder Unterschied im Preis oder Tarif, der Verbrauchern für Waren oder Dienstleistungen im Zusammenhang mit der Erhebung, Speicherung oder dem Verkauf persönlicher Daten in Rechnung gestellt wird).
Probieren Sie Cookiebot CMP 14 Tage lang kostenlos aus, um die volle Konformität mit dem CCPA zu erreichen – oder für immer, wenn Sie eine kleine Website haben.
Scannen Sie Ihre Website kostenlos, um zu sehen, welche Cookies und Tracker PI mit Dritten teilen
CCPA-Bestimmungen zur Mitteilung über die Sammlung von Daten –
Der Zweck des Hinweises zur Sammlung ist es, die Verbraucher rechtzeitig am oder vor dem Zeitpunkt der Datenerfassung darüber zu informieren, welche Art von persönlichen Daten Sie sammeln werden und zu welchen Zwecken diese persönlichen Daten gesammelt und verwendet werden.
Dies ist einer der Grundpfeiler des CCPA, der von seinem Verfasser und Co-Sponsor Alistair McTaggart hier mit den Worten zusammengefasst wird: “Tell me what you know about me. Stop selling it. Keep it safe.” (dt. “Sagen Sie mir, was Sie über mich wissen. Hören Sie auf, es zu verkaufen. Verwahren Sie es sicher.”)
Mit anderen Worten, die Unterrichtung der Verbraucher über die Erfassung, Handhabung und Weitergabe persönlicher Daten auf Ihrer Website ist das Kernstück des CCPA.
Die CCPA-Bestimmungen legen fest, dass eine Mitteilung über die Sammlung von Daten –
- eine Liste der Kategorien von persönlichen Informationen über Verbraucher enthalten muss, die gesammelt werden sollen.
- die geschäftlichen oder kommerziellen Zwecke angeben muss, für die die Kategorien personenbezogener Daten verwendet werden sollen.
- einen Link mit der Aufforderung “Meine persönlichen Daten nicht verkaufen” enthalten muss, wenn das Unternehmen persönliche Daten verkauft.
- einen Link zu den Datenschutzrichtlinien des Unternehmens enthalten muss.
- Wenn die Sammlung online erfolgt, muss das Unternehmen einen Link zu der Mitteilung auf der Landing Page seiner Website angeben.
- Wenn die Erfassung über eine App erfolgt, sollte sie einen Link zu dem Hinweis in der App (z.B. über das Einstellungsmenü) und auf der Download-Seite der App enthalten.
- Wenn das Unternehmen persönliche Daten über eine App für einen Zweck sammelt, den der Verbraucher normalerweise nicht erwarten würde, muss das Unternehmen bei der Sammlung eine Zusammenfassung der Kategorien der gesammelten persönlichen Daten und einen Link zum vollständigen Hinweis angeben.
Wenn der Verbraucher nicht vor oder bei der Erfassung benachrichtigt wird, ist es Ihrem Unternehmen nicht gestattet, persönliche Daten vom Verbraucher zu erfassen.
CCPA-Bestimmungen zur Mitteilung über das Recht auf Opt-out –
Ein weiterer wichtiger Teil des CCPA – vielleicht auch sein bekanntester – ist das Recht der Verbraucher, sich gegen den Verkauf, die Weitergabe oder die Offenlegung ihrer persönlichen Daten an Dritte, wie z.B. Werbeagenturen, die diese Daten für Profilerstellung und verhaltensbezogene Werbung verwenden, auszusprechen.
Die CCPA-Bestimmungen legen fest, dass die Benachrichtigung über das Recht auf Opt-out eine Beschreibung des Rechts des Verbrauchers auf Opt-out und ein interaktives Formular enthalten muss, mit dem der Verbraucher das Opt-out beantragen kann, einschließlich einer Anleitung für die Opt-out-Methode.
Darüber hinaus sehen die CCPA-Bestimmungen vom 15. März 2021 ein einheitliches Opt-out-Symbol vor, das Ihre Website verwenden kann, sowie Anforderungen an die Gestaltung und Größe auf Ihrer Domain. Beachten Sie, dass dieses Icon nicht anstelle der Veröffentlichung des Hinweises auf das Recht zum Opt-out verwendet werden kann, sondern als Ergänzung (siehe Abschnitt 999.306.f.1 der zusätzlichen CCPA-Vorschriften vom 15. März 2021, Link in Englisch).
Besuchen Sie die Website des Generalstaatsanwalts, um das Opt-out-Symbol herunterzuladen (Website auf Englisch)
Ein Link “Meine persönlichen Daten nicht verkaufen” muss auf der Startseite der Website Ihres Unternehmens oder auf der Download- und/oder Landingpage in einer App (oder im Einstellungsmenü der App) enthalten sein.
Die zusätzlichen CCPA-Bestimmungen vom 15. März 2021 schreiben außerdem detaillierter vor, dass die Methoden Ihrer Website, mit denen Nutzer ihre Opt-out-Anfragen übermitteln können, einfach sein müssen und nur minimale Schritte erfordern.
Sie enthalten eine Liste von Beispielen, wie Sie Ihre Opt-Out-Anfrage-Methode nicht gestalten sollten, einschließlich Beispielen für Nudging, doppelt negative Formulierungen, nicht konforme Anforderungen an den Nutzer und mehr (siehe Abschnitt 999-315.h der CCPA-Vorschriften vom 15. März 2021, Link in Englisch).
Werden Sie CCPA-konform mit Cookiebot CMP kostenlos für 14 Tage – oder für immer, wenn Ihre Website klein ist.
CCPA-Bestimmungen über die Mitteilung von finanziellen Anreizen –
Wenn Ihr Unternehmen finanzielle Anreize bietet, z.B. unterschiedliche Preise oder Tarife als Gegenleistung für die Erfassung der persönlichen Daten der Verbraucher, sollten Sie dies unbedingt vor der Entscheidung der Verbraucher ankündigen.
Ihre Mitteilung über finanzielle Anreize muss Folgendes enthalten:
- Eine Zusammenfassung der finanziellen Anreize oder der verschiedenen angebotenen Preise oder Tarife.
- Eine Beschreibung der finanziellen Anreize, einschließlich der Kategorien persönlicher Daten, die von ihnen betroffen sind.
- Wie der Verbraucher sich für finanzielle Anreize entscheiden kann und einen Hinweis darauf, wie der Verbraucher jederzeit von diesen zurücktreten kann.
- Wie der finanzielle Anreiz in einem angemessenen Verhältnis zum Wert der persönlichen Daten des Verbrauchers steht.
Anfragen von Verbrauchern
CCPA-Regelungen für die Einreichung von Anträgen im Allgemeinen –
Der kalifornische Consumer Privacy Act (CCPA) ist das erste Datenschutzgesetz in den USA, das den Bürgern Rechte auf die persönlichen Daten einräumt, die sie täglich online erzeugen.
Im Gegenzug klären die CCPA-Regelungen die praktischen und technischen Aspekte, wie Ihr Unternehmen den Verbrauchern die Ausübung ihrer Rechte ermöglichen muss, z.B. indem Anfragen an Ihr Unternehmen gestellt werden, um Zugang zu den gesammelten persönlichen Daten zu erhalten oder diese löschen zu lassen, oder um den Verkauf, die Weitergabe oder die Offenlegung der persönlichen Daten von Verbrauchern, die Ihr Unternehmen an Dritte weitergibt, vollständig abzulehnen.
Es gibt drei Hauptforderungen, die Verbraucher auf der Grundlage des CCPA an Ihr Unternehmen stellen können:
- “Antrag auf Löschung” bedeutet die Aufforderung eines Verbrauchers, dass ein Unternehmen persönliche Informationen über den Verbraucher löscht, die das Unternehmen von dem Verbraucher gesammelt hat.
- “Anfrage nach Informationen” bedeutet, dass ein Verbraucher darum bittet, dass Ihr Unternehmen die persönlichen Daten, die es in den letzten 12 Monaten über ihn gesammelt hat, offen legt, einschließlich: bestimmte persönliche Daten, Kategorien von persönlichen Daten, Kategorien von Quellen, aus denen die persönlichen Daten gesammelt wurden, Kategorien von persönlichen Daten, die das Unternehmen verkauft oder für einen Geschäftszweck offen gelegt hat, Kategorien von Dritten, an die die persönlichen Daten für einen Geschäftszweck verkauft oder offen gelegt wurden, und der geschäftliche oder kommerzielle Zweck für die Sammlung oder den Verkauf von persönlichen Daten.
- “Antrag auf Opt-out” bedeutet die Aufforderung eines Verbrauchers, dass ein Unternehmen die persönlichen Daten des Verbrauchers nicht an Dritte verkauft.
Der CCPA schreibt unterschiedliche Ansätze dafür vor, wie Ihr Unternehmen es den Verbrauchern ermöglichen muss, Anträge zu stellen – diese Unterschiede hängen damit zusammen, ob Ihr Unternehmen ausschließlich online tätig ist und welche Art von Antrag der Verbraucher stellt.
Wie Verbraucher in der Lage sein sollten, Anträge einzureichen
Wenn Ihr Unternehmen ausschließlich online tätig ist, reicht die Angabe einer E-Mail-Adresse als gültige Methode aus, mit der Verbraucher Anfragen an Ihr Unternehmen richten können, z.B. um zu erfahren, welche persönlichen Daten Sie gesammelt haben oder um gesammelte Daten löschen zu lassen.
Wenn Ihr Unternehmen nicht ausschließlich online tätig ist, müssen Sie mindestens zwei Möglichkeiten für Verbraucher vorsehen, um Zugang zu beantragen, einschließlich einer gebührenfreien Telefonnummer. Dies bedeutet zum Beispiel eine E-Mail-Adresse auf Ihrer Website und eine gebührenfreie Telefonnummer, die die Verbraucher anrufen können, wenn sie nicht über die Website Ihres Unternehmens mit diesem interagieren.
Wenn Verbraucher nur die Löschung der gesammelten persönlichen Daten beantragen möchten und keinen Zugang beantragen, muss Ihr Unternehmen dennoch mindestens zwei Methoden zur Verfügung stellen, wobei es sich jedoch nicht um eine gebührenfreie Nummer handeln muss, sondern ein Link auf Ihrer Website, eine E-Mail-Adresse usw. sein kann.
Wichtig zu beachten ist, dass Ihr Unternehmen unter anderem keine Sozialversicherungsnummer, Führerschein, Bankkontonummer, Krankenversicherungsnummer, Kontopasswörter oder eindeutige biometrische Daten eines Verbrauchers preisgeben darf.
Ihr Unternehmen muss jedoch mitteilen, ob es solche persönlichen Daten gesammelt hat oder nicht.
Werden Sie CCPA-kompatibel mit Cookiebot CMP kostenlos für 14 Tage (oder für immer, wenn Ihre Website weniger als 50 Subseiten hat)
CCPA-Regelungen zur Überprüfung von Verbraucheranfragen –
Ihr Unternehmen muss eine angemessene Methode festlegen, dokumentieren und einhalten, mit der überprüft werden kann, ob der Verbraucher, der die Anfrage stellt (z.B. Zugang zu den gesammelten Daten oder die Bitte um deren Löschung), tatsächlich der Verbraucher ist, dessen persönliche Daten Ihr Unternehmen gesammelt hat.
Die Bestimmungen des CCPA empfehlen folgende Punkte –
- Gleichen Sie die vom Verbraucher bereitgestellten Identifizierungsinformationen mit den persönlichen Daten des Verbrauchers ab, die bereits von Ihrem Unternehmen gepflegt werden, oder nutzen Sie einen externen Identitätsprüfungsdienst, der diesem Abschnitt entspricht.
- Vermeiden Sie es, zu Überprüfungszwecken zusätzliche persönliche Informationen vom Verbraucher anzufordern.
- Haben Sie strengere Überprüfungsverfahren für Anfragen, die sensible oder wertvolle persönliche Informationen betreffen.
Die zusätzlichen CCPA-Bestimmungen vom 15. März 2021 legen auch fest, wie Ihr Unternehmen von einem bevollmächtigten Vertreter verlangen kann, eine Anfrage eines Verbrauchers zu verifizieren, sowie Einzelheiten darüber, was Sie von einem Verbraucher verlangen können, damit dieser seine Anfrage verifizieren kann (siehe Abschnitt 999.326 in den CCPA-Bestimmungen vom 15. März 2021, Link in Englisch).
Die CCPA-Regelungen schlagen auch vor, dass Unternehmen ein zweistufiges Antragsverfahren für die Löschung verwenden können, bei dem der Verbraucher seinen Antrag stellt und dann anschließend bestätigt, dass er die Löschung seiner persönlichen Daten wünscht.
Die Anträge beziehen sich auf den vergangenen 12-monatigen Erhebungszeitraum.
Ihr Unternehmen muss eingegangene Anfragen innerhalb von 10 Werktagen bestätigen und den Verbraucher über Ihr Verfahren zur Bearbeitung der Anfrage informieren, z. B. über das Verifizierungsverfahren und die geschätzte Reaktionszeit.
Ein Verbraucherantrag auf Zugang zu seinen persönlichen Daten oder deren Löschung muss innerhalb von 45 Tagen bearbeitet werden.
Werden Sie CCPA-kompatibel mit Cookiebot CMP 14 Tage lang kostenlos – oder für immer, wenn Sie eine kleine Website haben.
CCPA-Regelungen für Anträge auf Opt-out –
Eines der Kernmerkmale des California Consumer Privacy Act (CCPA) ist das Recht der Verbraucher, sich gegen den Verkauf, die Offenlegung oder die Weitergabe ihrer persönlichen Daten an Dritte zu entscheiden.
Die CCPA-Bestimmungen legen fest, dass sie mindestens zwei Möglichkeiten für Verbraucher vorsehen müssen, um ein Opt-out zu beantragen, einschließlich des obligatorischen Links “Meine persönlichen Daten nicht verkaufen” auf Websites und in Apps. Andere Möglichkeiten sind E-Mail-Adressen, gebührenfreie Nummern und mehr.
Wenn Verbraucher globale Datenschutzfunktionen wie Datenschutzeinstellungen und Plug-ins im Browser verwenden, müssen diese von Ihrem Unternehmen und seiner Website als eine gültige Aufforderung zum Opt-out behandelt werden.
Ihr Unternehmen muss auf eine Opt-out-Anfrage innerhalb von 15 Werktagen antworten.
Wenn Verbraucher nach dem Opt-out wieder ein Opt-in wünschen, muss Ihr Unternehmen ein zweistufiges Verifizierungsverfahren anwenden: Der Verbraucher bittet um ein Opt-in und bestätigt anschließend seine Wahl.
Finanzielle Anreize
CCPA-Bestimmungen zu finanziellen Anreizen vs. Diskriminierung –
Die CCPA-Bestimmungen stellen klar, wie der CCPA, insbesondere seine Möglichkeiten, finanzielle Anreize anzubieten, von Ihrem Unternehmen nicht in diskriminierender Weise gegenüber den Verbrauchern eingesetzt werden darf.
Der Kernpunkt des CCPA ist, dass eine Diskriminierung vorliegt, wenn ein Unternehmen einen Verbraucher anders behandelt, weil er eines seiner CCPA-Rechte ausgeübt hat, z.B. das Recht, den Verkauf und die Weitergabe von Daten Dritter abzulehnen.
Die CCPA-Bestimmungen bieten dafür mehrere Beispiele, z.B. eine Musik-Streaming-Plattform, die zwei Modelle anbietet: ein kostenloses und ein Premium-Modell.
Wenn, so spekulieren die CCPA-Bestimmungen, die Streaming-Plattform nur zahlenden Verbrauchern erlaubt, sich gegen den Verkauf personenbezogener Daten Dritter zu entscheiden, findet eine Diskriminierung statt, und das Unternehmen ist nicht konform.
Der Kernpunkt der finanziellen Anreize im CCPA ist, dass Ihr Unternehmen diese (oder Preisunterschiede oder unterschiedliche Tarife) nur anbieten darf, wenn sie in einem vernünftigen Verhältnis zum Wert der Verbraucherdaten stehen.
Die CCPA-Bestimmungen verdeutlichen dies, indem sie im Detail auflisten, wie der Wert von Verbraucherdaten zu berechnen ist.
Bei der Berechnung des Wertes von Verbraucherdaten muss Ihr Unternehmen mindestens eine der folgenden Methoden berücksichtigen:
- Der marginale Wert des Verkaufs, der Sammlung oder der Löschung der Daten eines Verbrauchers für das Unternehmen.
- Der durchschnittliche Wert des Verkaufs, der Sammlung oder der Löschung von Verbraucherdaten für das Unternehmen.
- Der Gesamtwert des Verkaufs, der Sammlung oder der Löschung von Verbraucherdaten für das Unternehmen, geteilt durch die Gesamtzahl der Verbraucher.
- Einnahmen, die das Unternehmen durch den Verkauf, die Sammlung oder die Aufbewahrung der persönlichen Daten von Verbrauchern erzielt.
- Ausgaben im Zusammenhang mit dem Verkauf, der Sammlung oder der Aufbewahrung der persönlichen Daten von Verbrauchern.
- Ausgaben im Zusammenhang mit dem Angebot, der Bereitstellung oder Auferlegung von finanziellen Anreizen oder Preis- oder Dienstleistungsunterschieden.
- Gewinne, die das Unternehmen durch den Verkauf, die Sammlung oder die Aufbewahrung von persönlichen Informationen der Verbraucher erzielt.
- Jede andere praktische und angemessen zuverlässige Berechnungsmethode, die gemäß dem Grundsatz von Treu und Glauben angewandt wird.
Werden Sie CCPA-kompatibel mit Cookiebot CMP 14 Tage lang kostenlos – oder für immer, wenn Sie eine kleine Website haben.
Verbraucher unter 13 Jahren
CCPA-Regelungen für Verbraucher unter 13 Jahren –
Wenn Ihr Unternehmen Verbraucher unter 13 Jahren hat, dürfen Sie deren persönliche Daten nur verkaufen, offenlegen oder weitergeben, nachdem Sie deren Zustimmung dazu eingeholt haben. Die CCPA-Bestimmungen legen fest, dass dies auf verschiedene Weise geschehen kann:
- Durch eine Einverständniserklärung, die von den Eltern oder dem Vormund unterzeichnet ist.
- Die Eltern oder Erziehungsberechtigten können per Videoanruf, persönlicher Kommunikation oder einer gebührenfreien Nummer anrufen, die von geschultem Personal besetzt ist.
Wenn der Verbraucher zwischen 13 und 16 Jahre alt ist, muss er sich ebenfalls einverstanden erklären, bevor Sie seine persönlichen Daten verkaufen, weitergeben oder offenlegen dürfen – dabei werden jedoch keine Eltern oder Erziehungsberechtigten benötigt.
Anforderungen an Datenschutzrichtlinien
CCPA-Bestimmungen zur Erstellung der Datenschutzrichtlinie Ihrer Website
Ihre Datenschutzrichtlinie ist die Erklärung Ihres Unternehmens zu Fragen des Schutzes der Privatsphäre der Benutzer, des Umgangs mit Daten und so weiter.
Ihre Datenschutzrichtlinie muss die Verbraucher über die Erhebung, die Verwendung, die Offenlegung und den Verkauf persönlicher Daten sowie über die Rechte der Verbraucher in Bezug auf ihre eigenen persönlichen Daten informieren.
Die Datenschutzrichtlinie des CCPA auf Ihrer Website muss online über einen Link auf der Homepage verfügbar sein.
Eine CCPA-Datenschutzrichtlinie muss enthalten (ein Auszug):
- Hinweise auf das Recht, über gesammelte, offengelegte oder verkaufte persönliche Informationen informiert zu werden;
- Hinweis auf das Recht, die Löschung zu beantragen
- Hinweis auf das Recht, Opt-out zu beantragen
- Wie Sie diese Rechte ausüben können
- Welche Kategorien persönlicher Daten Ihr Unternehmen gesammelt hat, einschließlich der Quellen und Zwecke für die Sammlung
- Ob Ihr Unternehmen persönliche Daten verkauft und wenn ja, zu welchen Zwecken und an welche Dritten es verkauft hat.
Erfahren Sie mehr über den CCPA und die Datenschutzrichtlinie Ihrer Website (in Englisch)
Zusammenfassung
Also, was nun?
Die finalen CCPA-Bestimmungen wurden vom Office of Administrative Law genehmigt, und die Durchsetzung durch den Generalstaatsanwalt von Kalifornien hat begonnen!
Weitere CCPA-Regelungen traten am 15. März 2021 in Kraft (Link in Englisch).
Wenn Ihr Unternehmen noch nicht mit dem CCPA konform ist, sollten Sie dies jetzt nachholen.
Cookiebot CMP bietet die Einhaltung des CCPA, wenn es um Cookies und Tracking Ihrer Website geht, sowie die Einhaltung der EU-DSGVO/ePR, der brasilianischen LGPD und weiterer Datenschutzgesetze weltweit.
Scannen Sie Ihre Website, um zu sehen, welche Cookies und Tracker in Betrieb sind
FAQ
Was ist der CCPA?
Der California Consumer Privacy Act (CCPA) ist ein landesweites Gesetz, das regelt, wie Unternehmen die persönlichen Daten von Einwohnern Kaliforniens sammeln, verarbeiten und weitergeben dürfen. Der CCPA verlangt von Unternehmen (die unter die gesetzliche Definition von Unternehmen fallen), Verbrauchern die Möglichkeit zu geben, sich gegen die Weitergabe und den Verkauf ihrer persönlichen Daten an Dritte zu entscheiden und Zugang zu bereits erfassten Daten zu erhalten und diese löschen zu lassen.
Was sind die CCPA-Bestimmungen?
Bei den CCPA-Bestimmungen handelt es sich um eine Reihe von Erläuterungen und Anweisungen zur Durchsetzung der praktischen und technischen Aspekte der Einhaltung des California Consumer Privacy Act (CCPA). Sie bilden die Grundlage für die Durchsetzung des CCPA durch den Generalstaatsanwalt und legen fest, wie Unternehmen die Bestimmungen des Gesetzes einhalten müsse.
Was sind persönliche Informationen?
Persönliche Informationen (PI) werden im California Consumer Privacy Act (CCPA) definiert als jede Art von Informationen, die eine lebende Person identifizieren können, entweder direkt (über Namen und Adressen) oder indirekt durch Schlussfolgerungen (über die Online-Suchhistorie und das digitale Verhalten).
Erfahren Sie mehr über den CCPA und persönliche Informationen
Wie kann meine Website CCPA-konform werden?
Die Verwendung einer Consent Management-Plattform (CMP), die Ihre Website automatisch scannt und alle Cookies, Tracker und Trojaner von Drittanbietern erkennt, ist eine einfache und leichte Möglichkeit für Ihr Unternehmen, CCPA-konform zu werden. Übernehmen Sie die Kontrolle über die Prozesse, durch die Ihre Website persönliche Informationen sammelt, und bieten Sie Ihren Kunden echte Transparenz.
Ressourcen
Endgültige CCPA-Vorschriften vom 14. August 2020 (PDF in Englisch)
Zusätzliche CCPA-Vorschriften vom 15. März 2021 (PDF in Englisch)
CCPA und Cookies (in Englisch)
Finale Bestimmungen des CCPA im Volltext (PDF) (in Englisch)
Liste der Änderungen in den endgültigen CCPA-Bestimmungen (in Englisch)
Office of the Attorney General of California (in Englisch)
IAPP zu den endgültigen CCPA-Bestimmungen (in Englisch)
IAPP: How to limit exposure and minimize your risk under the CCPA (in Englisch)
IAPP: CCPA and employer data, a compliance checklist (in Englisch)