Skip to main content

Der California Consumer Privacy Act (CCPA) ist ab heute, dem 1. Januar 2020, in Kraft

01. January 2020

Zu Beginn des neuen Jahres werfen wir einen genaueren Blick auf das neue kalifornische Datenschutzgesetz für 2020, das sich auf die Art und Weise auswirken wird, wie Unternehmen mit personenbezogenen Daten umgehen. Der California Consumer Privacy Act oder CCPA genannt, soll den Einwohnern Kaliforniens mehr Kontrolle über die Art und Weise geben, wie ihre persönlichen Daten gespeichert und verarbeitet werden. Ab heute, dem 1. Januar 2020, ist dieses Datenschutzgesetz in Kraft.

Wen wird diese neue Gesetzgebung betreffen? Was sind die wichtigsten Dinge über CCPA zu wissen? Was können Sie als Website-Betreiber tun, um sicherzustellen, dass Sie sich daran halten?

Das neue Gesetz wird sich zwangsläufig auf die meisten Website-Eigentümer und -Betreiber auswirken, so wie es zuvor mit der europäischen GDPR geschehen ist. In vielerlei Hinsicht ist der CCPA jedoch nicht so streng wie GDPR und richtet sich expliziter an Unternehmen, die persönliche Daten von Verbrauchern verkaufen.

Welche Websites werden von CCPA beeinflusst?

Zunächst einmal sind die Auswirkungen des Gesetzes auf die Einwohner Kaliforniens beschränkt. Dies bedeutet jedoch nicht, dass Unternehmen außerhalb Kaliforniens nicht die Gesetze einhalten müssen, wenn sie mit Kunden aus diesem Bundesstaat zu tun haben. Da Einwohner Kaliforniens auf jede Website zugreifen können, unabhängig davon, von wo aus sie betrieben wird, bedeutet dies im Grunde, dass alle Website-Eigentümer in den USA und im Ausland Schritte zur Einhaltung des CCPA unternehmen sollten.

Wir haben dies bereits mit dem DSGVO-Gesetz in Europa gesehen, das sich an alle Unternehmen richtet, die mit den persönlichen Daten von EU-Bürgern umgehen. Zum Zeitpunkt des Inkrafttretens der DSGVO hielten die Website-Eigentümer in den USA und anderswo entweder die DSGVO für alle ihre Kunden ein oder beschlossen, den Zugang zu ihren Websites einfach zu sperren, wenn der Besuch von einem IP in der Europäischen Union aus erfolgte.

Wenn Sie eine Website in einem der anderen amerikanischen Staaten betreiben, könnten Sie hier vor einer ähnlichen Wahl stehen. Wenn Sie es sich leisten können, Ihre in Kalifornien lebenden Kunden auszulassen, gibt es die Möglichkeit, Besuche von kalifornischen IPs zu blockieren. Allerdings dürften Datenschutzgesetze auch in Zukunft auf der Tagesordnung des Gesetzgebers stehen. Es ist nicht unvorhersehbar, dass in Zukunft weitere, wenn nicht alle Staaten ähnliche Gesetze erlassen werden. Anstatt also nach und nach potenzielle Kunden auszusperren, ist es vielleicht klüger, sich jetzt an die Vorschriften zu halten, unabhängig davon, wo Ihr Unternehmen ansässig ist.

Zweitens sind die Auswirkungen des Gesetzes im Gegensatz zu DSGVO etwas begrenzt. Der CCPA wird nur die folgenden Unternehmen betreffen:

  • die mit einem Bruttoumsatz von mindestens 25 Millionen Dollar
  • diejenigen, die persönliche Informationen über mindestens 50.000 Einwohner / Haushalte / Geräte pro Jahr in Kalifornien haben
  • mindestens 50 % ihres Jahresumsatzes aus dem Verkauf der persönlichen Daten von Kaliforniern erzielt werden

Wenn Ihre Website persönliche Informationen sammelt, aber nicht in eine der oben genannten Kategorien fällt, dann können Sie frei entscheiden, ob Sie wie gewohnt weiterarbeiten möchten. Diese Vorbehalte sind ein klares Zeichen dafür, dass das Gesetz nicht für Kleinunternehmer konzipiert wurde, sondern dass es auf Unternehmen abzielt, die vom Verkauf großer Mengen an persönlichen Informationen profitieren. Stellen Sie jedoch sicher, dass Sie die Anzahl der eindeutigen Besucher aus Kalifornien, die Sie auf Ihrer Website haben, überprüfen. Wenn diese Zahl 50.000 in einem Jahr überschreitet, müssen Sie die Einhaltung des CCPA in Betracht ziehen.

Was werden nach dem CCPA als persönliche Daten betrachtet?

Es gibt keinen großen Unterschied zu dem, was wir bereits in den GDPR-bezogenen Themen zuvor besprochen haben, da es sich bei den persönlichen Daten um ziemlich die gleichen handelt: Namen, E-Mail-Adressen, Standort, biometrische Daten usw. Das Gesetz definiert dies als jede Information, die "einen bestimmten Verbraucher oder Haushalt identifiziert, sich auf ihn bezieht, ihn beschreibt, mit ihm in Verbindung gebracht werden kann oder vernünftigerweise direkt oder indirekt mit ihm in Verbindung gebracht werden könnte". Bitte beachten Sie, dass öffentlich zugängliche Informationen, sowie deidentifizierte oder aggregierte Verbraucherinformationen nicht als persönliche Informationen im Sinne des CCPA gelten.

Was muss ich tun, um CCPA-konform zu werden?

Sie können immer noch persönliche Informationen sammeln und sogar verkaufen, aber Sie müssen es den Benutzern leicht machen, sich von diesem Prozess abzumelden. Das Gesetz besagt ausdrücklich, dass, wenn ein Unternehmen die persönlichen Daten der Nutzer verkauft, es einen klaren Link auf seiner Homepage mit dem Titel "Don't Sell My Personal Information" anbringen muss. Außerdem ist es illegal, verschiedene Dienste oder Funktionen anzubieten, die auf der Wahl zwischen Opt-in oder Opt-out beruhen. Alle Kunden müssen nach wie vor von den gleichen Leistungen profitieren.

Ähnlich wie DSGVO müssen Sie Ihren Kunden das Recht auf Datenzugang gewähren, ihre persönlichen Daten löschen und die Offenlegung aller Kategorien von persönlichen Daten, die gesammelt und verkauft werden (falls dies der Fall ist), verlangen. Dies wird auf jährlicher Basis erfolgen. Auf Anfrage müssen Sie die persönlichen Daten aus den letzten 12 Monaten vor der Anfrage zur Verfügung stellen. Auch kann der Kunde solche Ansprüche nur maximal zweimal pro Jahr geltend machen.

Bitte stellen Sie außerdem sicher, dass Sie die folgenden Punkte in Ihre Datenschutzerklärung aufnehmen:

  • alle Kategorien von Informationen, die Sie sammeln und verarbeiten
  • wofür diese Kategorien von Informationen verwendet werden
  • wie die Informationen gesammelt werden
  • wie ist das Verfahren zur Beantragung des Zugriffs, der Änderung, der Verschiebung oder der Löschung der persönlichen Daten
  • wie die Identität der Person, die einen Antrag stellt, überprüft wird
  • wenn personenbezogene Daten verkauft werden, dann muss dies hier beschrieben werden
  • wie man sich gegen den Verkauf ihrer Daten wehren kann

Bedeutet DSGVO-Compliance, dass Sie auch CCPA-konform sind?

Nicht unbedingt, aber die Chancen stehen gut, dass Sie, wenn Sie Schritte zur Einhaltung der GDPR unternommen haben, auch die CCPA-Vorschriften einhalten. Alle oben genannten Bedingungen finden sich auch im GDPR wieder, mit Ausnahme expliziter Regeln für den Verkauf von persönlichen Daten.

Welche Risiken bestehen bei Nichteinhaltung des CCPA?

Das Hauptrisiko, dem die Betreiber von Websites ausgesetzt sind, ist das Risiko einer Datenverletzung. Nach dem Gesetz ist das Unternehmen dafür verantwortlich, den unbefugten Zugang und Diebstahl von Daten der Verbraucher zu verhindern. Sollte dies geschehen, hat jeder Benutzer, dessen Daten durchgesickert sind, das Recht, einen Schadenersatz in Höhe von $100 bis $750 zu fordern. Eine große Datenpanne, bei der die Daten tausender Benutzer gestohlen werden, kann ein Unternehmen in den Konkurs treiben. Multiplizieren Sie 1000 x $750 und Sie erhalten eine Schätzung der Auswirkungen.

Bevor es jedoch zu einer Zivilklage kommt, wird den Unternehmen eine Frist von 30 Tagen eingeräumt, um den festgestellten Verstoß zu "heilen", sofern dies möglich ist.

Analysewerkzeuge CCPA-Konformität

Da sowohl deidentifizierte Daten als auch aggregierte Daten nicht unter die Regeln des CCPA fallen, sind die meisten Analysetools wahrscheinlich standardmäßig konform. Sie sollten jedoch sicherstellen, dass Sie die Vereinbarung zur Datenverarbeitung und die Datenschutzbestimmungen dieser Dritten lesen, um sicherzustellen, dass Sie alle Informationen über die Verwendung von persönlichen Daten haben. Als Teil der Bemühungen um die Einhaltung der GDPR ist auch Visitor Analytics CCPA-konform geworden. Unser Unternehmen beteiligt sich nicht am Verkauf oder der Weitergabe von Daten an andere. Die von uns gesammelten Daten können nicht mit der Identität einer Person, eines Haushalts oder eines Geräts in Verbindung gebracht werden.

Wenn Sie mehr Einzelheiten über das neue Datenschutzgesetz benötigen, können Sie den vollständigen Text des 1.81.5. lesen.Kalifornisches Verbraucherschutzgesetz hier. Wenn Sie mehr darüber erfahren möchten, wie Visitor Analytics die Datenschutzgesetze einhält, lesen Sie bitte unsere Datenschutzrichtlinie und unsere Vereinbarung zur Datenverarbeitung.