Datenschutz-Glossar

CCPA

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

Was ist der CCPA?

Der California Consumer Privacy Act (CCPA) ist ein Datenschutzgesetz, das 2020 in Kalifornien verabschiedet und 2023 durch den California Privacy Rights Act (CPRA) geändert und gestärkt wurde. Der CCPA/CPRA gibt den Bewohnern Kaliforniens spezifische Rechte bezüglich der Sammlung und Nutzung ihrer personenbezogenen Daten – zu wissen, welche Daten gesammelt werden; dass Daten gelöscht werden; und vom Verkauf deiner Daten ausgeschlossen oder eingeschlossen zu werden. CCPA verlangt von Unternehmen, diese Verbraucherrechte zu berücksichtigen, und verhängt zivile Strafen, wenn dies nicht beachtet wird.

Der CCPA bietet auch zusätzlichen Schutz für die Daten von Minderjährigen. Obwohl der Geltungsbereich des CCPA nur einen Staat umfasst, setzt er einen Präzedenzfall in den USA und dient als Modell für zukünftige staatliche und bundesstaatliche Gesetze, um die Kontrolle über personenbezogene Daten an den Einzelnen zurückzugeben.

Warum der CCPA in Kraft gesetzt wurde

Nach Jahrzehnten ungehemmter Datensammlung durch die Technologiebranche hat sich die öffentliche Meinung gewandelt. Als Reaktion haben Regierungen begonnen, Gesetze zu erlassen, um die Datensammlung und -weitergabe einzuschränken. Ein Kernkonzept dieser Bewegung ist, dass Datenschutz ein grundlegendes Menschenrecht ist. Neue Gesetze verlagern die Kontrolle über die Daten, Datenschutz und Sicherheit der Verbraucher zurück auf den Einzelnen, während von den Unternehmen verlangt wird, diese Daten auf eine transparentere, verantwortungsbewusste und rechenschaftspflichtigere Weise zu erheben und zu verarbeiten. Die DSGVO, die 2018 von der EU verabschiedet wurde, war einflussreich bei der Erstellung des CCPA.

Daten und Personen, die durch den CCPA geschützt sind

Die Schutzbestimmungen des CCPA gelten für alle Daten, die als “persönlich” angesehen werden und entweder direkt oder indirekt identifizierend sind. Direkt identifizierbare Informationen umfassen Dinge wie Name, Geburtsdatum, Sozialversicherungsnummer oder Beschäftigungsgeschichte. Indirekt identifizierende Daten beziehen sich auf weniger offensichtliche Informationen, die in Kombination auf eine Person zurückgeführt werden können. Diese letztgenannte Kategorie umfasst Dinge wie geografische Lage, Browser-Verlauf oder Online-Käufe und Online-Kennungen.

CCPA umfasst keine Informationen, die allgemein als öffentlich zugänglich angesehen werden. Es umfasst auch keine Daten, die durch andere Gesetze abgedeckt sind, wie z. B. Gesundheitsdaten, die unter HIPAA (Health Insurance Portability and Accountability Act) und Finanzdaten, die unter den Gramm-Leach-Billey Act fallen.

Der CCPA ist ein Staatsgesetz und gilt nur für Bewohner Kaliforniens, sowohl für diejenigen, die sich derzeit im Staat befinden, als auch für rechtmäßige Bewohner, die sich vorübergehend außerhalb des Staates befinden. Der CCPA gilt nicht für Nicht-Bewohner, auch wenn sie sich vorübergehend in Kalifornien aufhalten. Eine Einwohnerin oder ein Einwohner ist eine Person, die in Kalifornien staatliche Einkommenssteuererklärungen abgibt oder – im Fall von Minderjährigen – deren Erziehungsberechtigte dies in ihrem Namen tun.

Hinweis: Aufgrund der großen Bevölkerung Kaliforniens – und um die Pflege mehrerer Kundenrichtlinien zu vermeiden – haben einige Technologieunternehmen die Schutzbestimmungen und Vorschriften des CCPA auf alle Nutzer in den USA oder sogar außerhalb der USA ausgeweitet.

Rechte der Verbraucher gemäß CCPA

Verbraucher, die durch den CCPA abgedeckt sind, haben mehrere Rechte bezüglich ihrer personenbezogenen Daten, einschließlich:

  • Das Recht, ein Unternehmen zur Offenlegung zu verpflichten, welche Daten gesammelt werden, wie sie verwendet werden und wohin sie verkauft oder weitergegeben werden
  • Das Recht, die Löschung ihrer Daten aus den Aufzeichnungen eines Unternehmens zu verlangen, das sie gesammelt hat, sowie von allen Dritten, an die die Daten verkauft oder weitergegeben wurden
  • Das Recht, sich dagegen zu entscheiden, dass ihre Daten entweder vom Unternehmen, das die Daten gesammelt hat, oder von Dritten, die die Daten gekauft oder erhalten haben, verkauft oder weitergegeben werden
  • Das Recht, nicht benachteiligt zu werden, weil sie diese Rechte ausüben

Es gibt auch zusätzliche Schutzbestimmungen für Minderjährige unter 13 Jahren und Minderjährige im Alter von 13 bis 16 Jahren. Ein Unternehmen darf die Daten eines Minderjährigen nicht verkaufen, es sei denn, es hat eine ausdrückliche Zustimmung zum “Opt-in” erhalten. „Für Kinder unter 13 Jahren muss die Einwilligung (Opt-in) von einem Elternteil oder Erziehungsberechtigten erteilt werden; bei Jugendlichen im Alter von 13 bis 16 Jahren kann die Einwilligung vom*von der Minderjährigen selbst gegeben werden.

Unternehmen, die durch den CCPA reguliert werden

Um vom CCPA reguliert zu werden, muss ein Unternehmen auf Gewinn ausgerichtet sein, Geschäfte in Kalifornien tätigen, personenbezogene Daten eines Verbrauchers sammeln und mindestens eines der folgenden Kriterien erfüllen:

  • Das Unternehmen erzielt einen Jahresumsatz von über 25 Millionen US-Dollar.
  • Das Unternehmen verarbeitet (kauft, verkauft, sammelt oder teilt) Daten von mindestens 100.000 geschützten Personen (d.h. Kalifornischen Einwohnern)
  • Wenn das Unternehmen die Datenverarbeitung an Dritte auslagert, sind beide Parteien (“Eigentümer” und “Verarbeiter”) dem CCPA unterworfen.
  • Mindestens 50% des Umsatzes des Unternehmens stammen aus der Verarbeitung personenbezogener Daten

Diese Kriterien erstrecken sich auf die gesamte Unternehmensfamilie—wenn ein Mutterunternehmen eines der Kriterien erfüllt, dann unterliegen auch alle Tochtergesellschaften dem CCPA und umgekehrt. Ein Unternehmen kann dem CCPA unterliegen, auch wenn es keinen physischen Standort in Kalifornien hat, solange es Geschäfte in dem Staat betreibt.

Ein reguliertes Unternehmen muss den Verbraucher über seine Rechte und die Art der erhobenen Daten informieren, und diese Offenlegungen müssen in der Datenschutzerklärung des Unternehmens enthalten sein. Das Unternehmen muss auch Mechanismen bereitstellen, die es einer geschützten Person ermöglichen, auf ihre Daten zuzugreifen und diese zu löschen sowie den Verkauf ihrer Daten abzulehnen. Diese Mechanismen müssen eine Telefonnummer und mindestens eine weitere Methode, in der Regel eine Website, umfassen. Eine Seite „Meine persönlichen Informationen nicht verkaufen“ auf der Website ist ausdrücklich erforderlich.

CCPA verlangt, dass ein Unternehmen Anfragen zeitnah (in der Regel innerhalb von 45 Tagen) bearbeitet, einschließlich der Weiterleitung der Anfrage an Partner (Datenverarbeiter, Mutter- oder Tochtergesellschaften und Dritte, die die Daten erhalten haben). Das Unternehmen muss auch in der Lage sein, zu bestätigen, dass der Anfragende der tatsächliche Verbraucher (oder der Guardian) ist und kein Betrüger.

Durchsetzung des CCPA

Es gibt kein etabliertes System, um zu verifizieren, dass ein Unternehmen den CCPA einhält. Die Einhaltung beruht auf der Untersuchung möglicher Verstöße. Ursprünglich war das Büro des kalifornischen Generalstaatsanwalts für die Durchsetzung des CCPA zuständig. Aber spätere Änderungen schufen eine neue Behörde (die California Privacy Protection Agency, oder CPPA), die ebenfalls den CCPA umsetzen und durchsetzen kann.

Wenn entweder der Generalstaatsanwalt oder die CPPA feststellen, dass ein Unternehmen gegen die Vorschriften verstoßen hat, können sie zivilrechtliche Strafen verhängen, wobei für jede einzelne Verletzung Geldstrafen anfallen. Wenn ein Unternehmen nicht rechtzeitig auf eine Verbraucheranfrage reagiert, kann die Geldstrafe bis zu 2.500 oder 7.500 USD betragen, je nachdem, ob der Verstoß unbeabsichtigt oder beabsichtigt war. CCPA sieht auch Geldstrafen vor, die direkt an den betroffenen Verbraucher im Falle eines Datenschutzverstoßes gezahlt werden. Diese Geldstrafen beginnen im Bereich von 100 bis 750 USD, können jedoch höher sein, wenn tatsächliche Schäden dies rechtfertigen.

Ähnliche Gesetze

Derzeit gibt es weltweit einige ähnliche Gesetze, und viele weitere sind in Arbeit. Zwei bemerkenswerte umfassen:

DSGVO (Allgemeine Datenschutzverordnung) der EU

Die DSGVO wurde 2018 in der Europäische Union erlassen. Die Einzelheiten der DSGVO und des CCPA variieren erheblich, wobei der CCPA spezifischere Verbraucherschutzrechte für Einzelpersonen vorsieht. Aber der allgemeine Umfang der DSGVO ist dem CCPA ähnlich, da er sich auch mit den Rechten des Einzelnen in Bezug auf personenbezogene Daten, Datenschutzverletzungen und Transparenz in Bezug auf Geschäftspraktiken im Zusammenhang mit Verbraucherdaten befasst. Die DSGVO hat eine strenge Berichtsanforderung für Datenschutzverletzungen von 72 Stunden; dies ist im CCPA nicht vorhanden. Die DSGVO versucht auch, die Grundrechte und Freiheiten von Einzelpersonen zu schützen, wie sie in der Charta der Grundrechte der EU festgelegt sind.

Die DSGVO gilt für eine viel größere Bevölkerung (jeder in der EU, unabhängig davon, ob er als Einwohner betrachtet wird) und reicht über die EU hinaus, indem auch Nicht-EU-Unternehmen einbezogen werden, die Geschäfte in der EU tätigen.

Gesetz zum Datenschutz und Schutz der Privatsphäre in den USA (ADPPA)

Der ADPPA durchläuft derzeit den US-Kongress. Da es sich noch in Arbeit befindet, ist unklar, welche endgültigen Bestimmungen es enthalten wird. Sie hat jedoch das Potenzial, stärker als der CCPA zu sein in den Bereichen Schutz von Minderjährigen, Einflussnahme auf Unternehmen, weniger sensible Daten zu speichern und die Option, der gemeinsamen Datennutzung aktiv zuzustimmen (Opt-In) statt abzulehnen (Opt-Out).

Falls das ADPPA in Kraft tritt, könnte es zu Konflikten mit dem CCPA kommen, und es ist unklar, welches Vorrang haben wird.

Bereit für Brave, dem neuen Internet?

Brave wurde von einem Team aus datenschutz- und leistungsorientierten Vorreitern des Webs entwickelt. Helfen Sie uns dabei, gemeinsam das Internet zu reparieren.