Was ist der CCPA?
Der California Consumer Privacy Act (CCPA) ist ein Datenschutzgesetz des kalifornischen Bundesstaates, das regelt, wie Unternehmen auf der ganzen Welt mit den personenbezogenen Daten von in Kalifornien ansässigen Personen umgehen dürfen.
Der CCPA trat am 1. Januar 2020 in Kraft. Es ist das erste Gesetz seiner Art in den Vereinigten Staaten. Ab dem 1. Januar 2023 tritt der California Privacy Rights Act (CPRA) in Kraft, der den CCPA erweitert. Erfahren Sie mehr über den CPRA.
Die drei CCPA-Konformitätsschwellen für Unternehmen
Der CCPA gilt für jedes gewinnorientierte Unternehmen auf der Welt, das die personenbezogenen Daten von mehr als 50.000 Einwohnern Kaliforniens jährlich verkauft oder einen Jahresumsatz von mehr als 25 Millionen US-Dollar erzielt oder mehr als 50 Prozent seines Jahresumsatzes aus dem Verkauf der personenbezogenen Daten von Einwohnern Kaliforniens erzielt.
Verkauf wird im CCPA definiert als “Verkauf, Vermietung, Freigabe, Offenlegung, Verbreitung, Bereitstellung, Übertragung oder anderweitige mündliche, schriftliche oder elektronische oder andere Kommunikation der personenbezogenen Daten eines Verbrauchers durch das Unternehmen an ein anderes Unternehmen oder einen Dritten gegen Entgelt in Geld oder auf andere Weise.” (1798.140.t1, eigene Übersetzung).
Wenn ein Unternehmen ein gemeinsames Branding (d.h. einen gemeinsamen Namen, eine Dienstleistungsmarke oder eine Handelsmarke) mit einem anderen Unternehmen teilt, das nach der CCPA haftet, unterliegt auch das Unternehmen der CCPA-Konformität.
Nach dem CCPA haben in Kalifornien ansässige Personen („Verbraucher“) das Recht, den Verkauf ihrer Daten an Dritte abzulehnen, das Recht, die Offenlegung bereits erfasster Daten zu verlangen, und das Recht, die Löschung der erfassten Daten zu verlangen.
Darüber hinaus haben in Kalifornien ansässige Personen das Recht auf Benachrichtigung und das Recht auf gleiche Dienstleistungen und Preise (d. h. sie dürfen nicht aufgrund ihrer Entscheidung, ihre Rechte auszuüben, diskriminiert werden).
Die Nichteinhaltung des CCPA kann zu Geldbußen für Unternehmen in Höhe von 7.500 USD pro Verstoß und 750 USD pro von zivilrechtlichen Schäden betroffenem Nutzer führen.
Was bedeutet der CCPA für meine Website?
Wenn Ihr Unternehmen eine der drei oben genannten CCPA-Konformitätsschwellen erreicht und über eine Online-Domain verfügt, sind Sie verpflichtet, bestimmte Änderungen an Ihrer Webseite vorzunehmen.
Ihre Website muss Ihre Nutzer zum oder vor dem Zeitpunkt der Datenerfassung über die Kategorien und Zwecke der personenbezogenen Daten, die sie sammelt, informieren.
Auf Ihrer Website muss der Link „Verkaufen Sie meine personenbezogenen Daten nicht“ vorhanden sein, über den Nutzer den Verkauf von Daten durch Dritte ablehnen können.
Wenn Ihre Website Minderjährige unter 16 Jahren unter ihren Nutzern hat, müssen Sie deren Einwilligung einholen, bevor Sie ihre personenbezogenen Daten an Dritte verkaufen oder weitergeben dürfen. Wenn Minderjährige unter 13 Jahren sind, müssen Sie die Einwilligung eines Elternteils oder Erziehungsberechtigten einholen.
Ihr Unternehmen muss auch die Datenschutzerklärung auf Ihrer Website aktualisieren und eine Beschreibung der Rechte des Verbrauchers und der Ausübung dieser Rechte enthalten. Ihre Datenschutzerklärung muss zudem eine jährlich aktualisierte Liste der Kategorien von personenbezogenen Daten enthalten, die Ihr Unternehmen sammelt, verkauft und offenlegt.
Wenn Ihr Unternehmen eine überprüfbare Anfrage von einem Verbraucher erhält, der um die Offenlegung seiner gesammelten personenbezogenen Daten bittet, müssen Sie dem Verbraucher kostenlos die Aufzeichnungen der in den letzten 12 Monaten gesammelten personenbezogenen Daten zur Verfügung stellen (einschließlich Quellen, kommerzielle Zwecke und Kategorien von Dritten, an die sie weitergegeben wurden).
Es ist Ihrem Unternehmen untersagt, einen Verbraucher aufgrund der Entscheidung, sein Recht auf Ablehnung, Offenlegung oder Löschung auszuüben, zu diskriminieren.
Was ist die Definition von personenbezogenen Daten?
Personenbezogene Daten sind im CCPA definiert als „Informationen, die identifizieren, sich darauf beziehen, beschreiben, sinnvoll mit einem bestimmten Verbraucher oder Haushalt in Verbindung gebracht werden können oder sinnvoll direkt oder indirekt mit ihm verbunden werden könnten“. (1798.140.o1, eigene Übersetzung).
Zu den personenbezogenen Daten im Rahmen des CCPA gehören direkte Identifikatoren (z.B. richtiger Name, Alias, Postanschrift, Sozialversicherungsnummern), eindeutige Identifikatoren (z.B. Cookies, IP-Adressen und Kontonamen), biometrische Daten (z.B. Gesichts- und Sprachaufzeichnungen), Geolokalisierungsdaten (z.B. Standortverlauf), Internetaktivitäten (z.B. Browserverlauf, Suchverlauf, Daten über die Interaktion mit einer Webseite oder Anwendung), sensible Informationen (z.B. Gesundheitsdaten, persönliche Merkmale, Verhalten, religiöse oder politische Überzeugungen, sexuelle Präferenzen, Arbeits- und Bildungsinformationen, finanzielle und medizinische Informationen).
Zu den personenbezogenen Daten gehören auch Daten, die durch Schlussfolgerung zur Identifizierung einer Person oder eines Haushalts führen können.
Aggregierte und anonyme Daten sind von der CCPA ausgenommen, es sei denn, sie sind in irgendeiner Weise wiedererkennbar.
Das bedeutet, dass Daten, die an sich keine personenbezogenen Daten sind, nach dem CCPA aber zu solchen werden können, wenn sie – durch Schlussfolgerung oder durch Kombination mit anderen Daten – zur Identifizierung einer Person oder eines Haushalts verwendet werden können.
Was sagt der CCPA über Cookies?
Cookies und andere Tracking-Technologien von Websites werden als eindeutige Identifikatoren eingestuft, die Teil der Definition des CCPA für personenbezogene Daten sind.
Cookies sind eine der weltweit am häufigsten verwendeten Technologien für Websites, um personenbezogene Daten von Endverbrauchern zu sammeln.
First-Party-Cookies (die von der Website selbst gesetzt werden) sammeln oft anonyme Daten für ihre Kernfunktionen, die gelöscht werden, sobald ein Nutzer den Browser schließt. Third-Party-Cookies (die von Technologieunternehmen und Social-Media-Plattformen gesetzt werden) sammeln jedoch oft viele personenbezogene, manchmal sensible Daten über Verbraucher, die bis zu hundert Jahre lang gespeichert werden können.
Auch Daten, die auf Ihrer Website durch Cookies gesammelt werden, die an sich keine personenbezogenen Daten darstellen (z. B. anonymisierte Analytics-Daten), sondern durch Schlussfolgerung oder Kombination mit anderen Daten zum Zwecke der Identifizierung und Verbindung von Geräten, der Erstellung von Profilen und der Bereitstellung personalisierter Werbung zusammengefügt werden, können letztendlich als personenbezogene Daten im Rahmen des CCPA betrachtet werden.
Was ändert sich für Unternehmen und Einwohner in Kalifornien ab dem 1. Januar 2023?
Der neue California Privacy Rights Act (CPRA) gilt auch für gewinnorientierte Unternehmen, die einen jährlichen Bruttoumsatz von mehr als 25 Millionen US-Dollar haben oder mehr als 50 Prozent ihres Jahresumsatzes mit dem Verkauf oder der Weitergabe personenbezogener Daten von Einwohnern Kaliforniens erzielen. Mit dem CPRA wird jedoch eine der drei Schwellenwerte geändert: Die Mindestanzahl der Einwohner oder Haushalte Kaliforniens, deren personenbezogene Daten von diesen Unternehmen verarbeitet und/oder weitergegeben werden, wurde auf 100.000 erhöht. Unter den CPRA fallen auch B2B-Daten. Zudem wurde eine Aufsichtsbehörde, die California Privacy Protection Agency (CPPA), eingerichtet.
Während der CCPA nur den Verkauf personenbezogener Daten abdeckt, umfasst der CPRA auch die Weitergabe von Daten. Die Verordnung erweitert oder ändert auch die bestehenden Rechte der Verbraucher, und es gibt mehrere neue Rechte: das Recht auf Berichtigung, das heißt auf die Korrektur unrichtiger Daten, die über Verbraucher erhoben wurden, das Recht auf Einschränkung der Verwendung von Daten, die als sensible personenbezogene Daten eingestuft werden, das Recht, Informationen über die automatisierte Entscheidungsfindung und die wahrscheinlichen Ergebnisse der Verwendung solcher Verfahren anzufordern, und das Recht, der Verwendung von Technologien zur automatisierten Entscheidungsfindung in Bezug auf ihre personenbezogenen Daten zu widersprechen. Erfahren Sie mehr über den CPRA und seinen Anwendungsbereich.
Wenn Ihr Unternehmen eine der drei CCPA/CPRA-Konformitätsschwellen erreicht, haften Sie für alle personenbezogenen Daten, die Sie über Einwohner Kaliforniens über die Cookies Ihrer Website erfassen. Verbraucher können die Offenlegung der auf Ihrer Website in den letzten 12 Monaten gesammelten personenbezogenen Daten anfordern und verlangen, dass Sie diese Daten korrigieren oder löschen.
Sie müssen daher wissen, welche Daten Ihre Webseite sammelt, wie sie diese sammelt und zu welchem Zweck, und an welche Dritten sie diese Daten weitergibt.
Die Cookiebot Consent Management Platform (CMP) gehört zu den weltweit führenden Consent Management-Softwares, die die Einhaltung der europäischen DSGVO, der ePrivacy-Richtlinie, des CCPA, des CPRA und weiterer Datenschutzverordnungen gewährleistet.
Die Cookiebot CMP ist eine Technologie, die Ihre Website tiefen-scannt, um alle Cookies und ähnliche Tracking-Technologien aufzudecken und automatisch zu kontrollieren, sodass Sie und Ihre Endnutzer wissen, welche personenbezogenen Daten gesammelt werden und an welche Dritten sie weitergegeben werden.
Zudem ermöglicht die Cookiebot CMP Unternehmen auch die Einhaltung des CCPA und des CPRA, indem die Cookiebot CMP den erforderlichen Link „Verkaufen oder teilen Sie meine personenbezogenen Daten nicht” in der vom Scanner erzeugten Cookie-Erklärung implementiert und Opt-In-Banner anbietet, die für die Einwilligung von Minderjährigen unter 16 Jahren erforderlich sind.
Testen Sie die Cookiebot CMP noch heute kostenlos.
Ressourcen
Den offiziellen Gesetzentwurf des CCPA lesen
Lesen Sie mehr über die CCPA-Konformität
Informieren Sie sich über die Details der CCPA-Definition von personenbezogenen Daten
Lesen Sie mehr über den CCPA und Cookies
Lesen Sie mehr über die Verbraucherrechte des CCPA
Schauen Sie sich unseren CCPA vs. DSGVO Vergleich an