Diese beiden kalifornischen Gesetze prägen das amerikanische Umfeld für Datenschutz und Datensicherheit – hier ist, was Sie über sie wissen sollten
Der California Consumer Privacy Act (CCPA) und der California Privacy Rights Act (CPRA) sind zwei kalifornische Gesetze, die die ersten Teile des umfassenden Datenschutzes in den Vereinigten Staaten waren. Seit ihrer Verabschiedung haben sie eine Reihe ähnlicher Gesetze im ganzen Land inspiriert und werden schnell zum Standard für Datenschutz und Datenschutz in den Vereinigten Staaten.
Aber zum Teil aufgrund der ähnlichen Abkürzungen und des ähnlichen Wortlauts der Gesetze sind viele Menschen verwirrt darüber, was diese beiden Gesetze sind und was sie sowohl für Unternehmen als auch für Verbraucher bedeuten. Schauen wir uns die beiden Gesetze genauer an, damit wir verstehen, was sie sind, wie sie sich auf Sie auswirken können und was Sie in Zukunft erwarten können.
Was ist der CCPA?
Der California Consumer Privacy Act von 2018 war ein Gesetz, das 2018 vom damaligen kalifornischen Gouverneur Jerry Brown unterzeichnet wurde. Das Gesetz ist ein staatliches Gesetz, das die Datenschutzrechte und den Verbraucherschutz für die in Kalifornien lebenden Menschen verbessert, und es bedeutet, dass die Einwohner Kaliforniens das Recht haben:
- Wissen, welche personenbezogenen Daten über sie gesammelt werden
- Wissen, ob und an wen ihre personenbezogenen Daten verkauft oder weitergegeben werden
- Nein zum Verkauf ihrer personenbezogenen Daten sagen
- Zugriff auf diese personenbezogenen Daten
- Verlangen Sie, dass ein Unternehmen alle personenbezogenen Daten löscht, die über es gesammelt wurden
- Sie dürfen nicht diskriminiert werden, wenn Sie eine der oben genannten Maßnahmen zum Schutz ihrer Privatsphäre ergreifen
Dieses Gesetz gilt für alle Unternehmen oder gewinnorientierten Organisationen, die Verbraucherdaten sammeln, in Kalifornien geschäftlich tätig sind und eine der folgenden Eigenschaften aufweisen:
- Bruttoumsatz von mehr als 25 Millionen US-Dollar
- Kauft, empfängt oder verkauft die personenbezogenen Daten von mindestens 50.000 Verbrauchern oder Haushalten
- Erzielt mehr als die Hälfte seines Jahresumsatzes mit dem Verkauf von Verbraucherdaten
Das Regelwerk enthält eine Reihe von Bestimmungen, die auf die Rechenschaftspflicht abzielen. Beispielsweise muss jeder, der personenbezogene Daten sammelt, über ein Verfahren verfügen, um die Zustimmung der Eltern oder Erziehungsberechtigten für Minderjährige unter 13 Jahren und die ausdrückliche Zustimmung für alle 13- bis 16-Jährigen einzuholen.
Auf der Startseite der Website muss außerdem ein Link erscheinen, der etwas in der Art von „Meine personenbezogenen Daten nicht verkaufen“ besagt, der zu einer Webseite führt, auf der Personen den Verkauf der personenbezogenen Daten der Person ablehnen können.
Es muss auch Methoden geben, mit denen Personen Datenzugriffsanträge einreichen können – diese müssen mindestens eine gebührenfreie Telefonnummer enthalten. Schließlich darf der Datensammler jemanden, der sich mindestens 12 Monate lang abmeldet, nicht um eine Opt-in-Einwilligung bitten.
Bußgelder für die Nichteinhaltung der Regel sind bemerkenswert. Unternehmen, die Opfer von Datendiebstahl oder anderen Sicherheitsverletzungen werden, können zur Zahlung von Schadensersatz von bis zu 750 US-Dollar pro Einwohner und Vorfall in Kalifornien oder zu tatsächlichen Schäden verurteilt werden, wenn diese höher sind. Eine Geldstrafe von bis zu 7.500 US-Dollar für jeden vorsätzlichen Verstoß und bis zu 2.500 US-Dollar für jeden unbeabsichtigten Verstoß ist ebenfalls enthalten.
Es gibt zwei bemerkenswerte Ausnahmen von der Regel: persönliche Gesundheitsinformationen und Finanzinformationen.
Was ist der CPRA?
Der California Privacy Rights Act von 2020, auch bekannt als Proposition 24 und CPRA, war ein Abstimmungsvorschlag, der 2020 von den Wählern in Kalifornien mit 56 zu 44 Prozent angenommen wurde. CPRA erweiterte die Verbraucherschutzgesetze, die den Einwohnern des Bundesstaates zur Verfügung stehen, und baute auf der vom CCPA geschaffenen Grundlage auf. CPRA ersetzt nicht gerade den CCPA – genauer gesagt, er ändert das Gesetz und fügt neue Bestimmungen hinzu. Der CPRA trat am 16. Dezember 2020 in Kraft, aber die meisten Bestimmungen sind erst am 1. Januar 2023 voll funktionsfähig.
Unter anderem richtet CPRA eine neue Behörde ein, die California Privacy Protection Agency, die „die volle Verwaltungsbefugnis, Befugnis und Gerichtsbarkeit zur Umsetzung und Durchsetzung des CCPA hat. Die Behörde wird die Aufsicht über den Schutz der Privatsphäre der Verbraucher und die Durchsetzung des Gesetzes mit dem kalifornischen Justizministerium teilen. Das Gesetz verlangt auch, dass Unternehmen die Erlaubnis von Verbrauchern unter 16 Jahren einholen, bevor sie ihre Daten sammeln.
Andere Bestimmungen des Gesetzes ermöglichen es Verbrauchern, Unternehmen daran zu hindern, ihre personenbezogenen Daten weiterzugeben, und einen Rahmen zu schaffen, um die Erhebung unrichtiger personenbezogener Daten zu verbieten. Es schränkt auch die Möglichkeiten von Unternehmen ein, sensible personenbezogene Daten wie genauen Standort, Rasse, ethnische Zugehörigkeit, Religion, genetische Ausstattung, private Kommunikation, sexuelle Orientierung und spezifische Gesundheitsinformationen zu verwenden.
Was sind (bisher) die Auswirkungen der neuen Datenschutzgesetze?
Bisher hatten die Datenschutzgesetze Auswirkungen auf Verlage und Technologieunternehmen, die Rechtsteams einstellen mussten, um ihre Abläufe sowie ihre Compliance-Software zu überprüfen, obwohl sie laut einer Branchengruppe wenig bis gar keine Auswirkungen auf Werbeeinnahmen, Werbepreise oder Inventar hatten. Dies steht in krassem Gegensatz zu den Auswirkungen, die im Zuge des Gesetzes zu beobachten waren, das das kalifornische Gesetz inspirierte – die globale Datenschutzverordnung, die einige Jahre zuvor in Europa in Kraft trat und weitreichende globale Auswirkungen hatte.
Die wirklichen Auswirkungen werden jedoch möglicherweise erst in einigen Jahren zu sehen sein – das wird kommen, wenn sich immer mehr Staaten auf ihre eigenen Datenschutzgesetze berufen, was den Druck auf die Bundesgesetzgeber erhöhen wird, ein umfassendes nationales Gesetz zu erlassen. Ein nationales Gesetz kann sowohl von der Branche als auch von Verbraucherschützern gefordert werden, da es die Einhaltung vereinfacht, im Gegensatz zu einer Vielzahl von Regeln, die für jeden Staat gelten.
Sind Sie auf CPRA und CCPA vorbereitet?
CookieHub ist Cookie-Compliance leicht gemacht – eine voll funktionsfähige Plattform für die Verwaltung von Einwilligungen, die alles bietet, was Sie brauchen, um mit dem CCPA sowie einer Vielzahl anderer Regeln sowohl in den Vereinigten Staaten als auch auf der ganzen Welt konform zu bleiben.