Im September 2022 erklärte sich der Online-Händler Sephora bereit, 1,2 Millionen US-Dollar für Verstöße gegen den California Consumer Privacy Act (CCPA) zu zahlen – das erste Mal, dass der kalifornische Generalstaatsanwalt seit der Einführung des Gesetzes im Jahr 2020 öffentliche Durchsetzungsmaßnahmen ergreift.
Der Schritt signalisierte das Ende der Eingewöhnungsfrist für das Datengesetz und den Beginn eines härteren Ansatzes bei der Durchsetzung. Wenn Sie sich nicht sicher sind, dass Ihr Unternehmen den CCPA einhält, ist es an der Zeit, aktiv zu werden – oder Sie könnten mit einer Strafe rechnen.
Schauen wir uns die Konsequenzen eines Verstoßes gegen den CCPA an und den besten Weg, um die CCPA-Compliance-Anforderungen zu erfüllen.
CCPA-Strafen
Der CCPA gilt für gewinnorientierte Unternehmen, die personenbezogene Daten von Einwohnern Kaliforniens erheben oder verarbeiten.
Der CCPA legt Mechanismen fest, um die Nichteinhaltung des kalifornischen Gesetzes zu ahnden. Ein Verstoß kann Folgendes umfassen:
– Keine CCPA-konforme Datenschutzrichtlinie
– Nichtbeantwortung einer Verbraucheranfrage zur Offenlegung von Daten, wie vom CCPA gefordert
– Keine ordnungsgemäße Benachrichtigung über die Erhebung personenbezogener Daten
– Den Nutzern nicht erlauben, den Verkauf ihrer personenbezogenen Daten abzulehnen
– Diskriminierende Richtlinien gegenüber Nutzern, die CCPA-Rechte ausüben
Es ist wichtig zu beachten, dass für CCPA-Verstöße eine „Heilungsfrist“ gilt. Der Generalstaatsanwalt ist verpflichtet, Unternehmen 30 Tage Zeit zu geben, um die Einhaltung des CCPA zu erreichen. Wenn die Probleme in diesem Zeitraum nicht behoben werden, können Strafen verhängt werden. Es gab einige Kritik an dieser Bestimmung, also bleiben Sie wachsam für mögliche Änderungen in der Zukunft.
Der CCPA unterscheidet zwischen vorsätzlichen und nicht vorsätzlichen Gesetzesverstößen. Sobald ein Unternehmen vom Generalstaatsanwalt offiziell benachrichtigt wurde, kann die Nichteinhaltung nach Ablauf der 30-Tage-Frist als vorsätzlicher Verstoß interpretiert werden.
CCPA-Bußgelder
Der CCPA sieht Strafen für die Nichteinhaltung vor. Der kalifornische Generalstaatsanwalt ist befugt, gegen diejenigen vorzugehen, die gegen den CCPA verstoßen.
Die maximale zivilrechtliche Strafe für einen unbeabsichtigten CCPA-Verstoß beträgt 2.500 US-Dollar pro Verstoß. Bei vorsätzlichen Verstößen beträgt die Höchststrafe 7.500 US-Dollar pro Verstoß. Es gibt keine Obergrenze für den Gesamtbetrag der Geldbußen, die erhoben werden können.
Die maximalen Bußgeldbeträge mögen recht bescheiden klingen, aber wenn festgestellt wird, dass ein Unternehmen vorsätzlich Tausende oder sogar Hunderttausende von vorsätzlichen Verstößen begangen hat, z. B. indem es die CCPA-Opt-out-Anforderungen nicht erfüllt hat, könnte der Gesamtbetrag enorm sein.
Es ist zu beachten, dass 2,500 US-Dollar und 7,500 US-Dollar die Höchstbeträge für Strafen sind. Bei der Entscheidung, welche Strafen verhängt werden sollten, berücksichtigt das Gericht mehrere Faktoren wie die Art, Schwere und Dauerhaftigkeit des Verhaltens, ob es vorsätzlich war, den Zeitraum, in dem die Verstöße stattgefunden haben, die Anzahl der Verstöße und die Zahlungsmittel des Angeklagten.
Die Bürger haben auch ein privates Klagerecht, wenn ein Verstoß gegen die Rechte des CCPA stattfindet, der zu unbefugtem Zugriff, Diebstahl oder Offenlegung personenbezogener Daten führt, wenn dieser Verstoß auf das Versäumnis zurückzuführen ist, angemessene Sicherheitsverfahren und -praktiken aufrechtzuerhalten. Was als „angemessen“ gilt, wird in Bezug auf die Art der betreffenden personenbezogenen Daten des Verbrauchers beurteilt.
Der CCPA ermöglicht es Verbrauchern, 750 US-Dollar pro Verbraucher und Vorfall zu verlangen oder tatsächlichen Schadenersatz zu verlangen, wenn ein Schaden als Folge des Verstoßes nachgewiesen werden kann. Auch hier handelt es sich um ein relativ neues Gesetz, und Anwälte werden wahrscheinlich versuchen, diese Bestimmungen anzufechten, insbesondere in Bezug auf die Möglichkeit, Sammelklagen einzureichen, also achten Sie auf Entwicklungen.
Auch hier gilt: Wenn Privatpersonen einen Verstoß melden, hat das Unternehmen 30 Tage Zeit, um das Problem zu lösen, ohne weitere Maßnahmen ergreifen zu müssen.
So vermeiden Sie Bußgelder und Strafen
Der einfachste Weg, um die Zahlung von CCPA-Strafen zu vermeiden, besteht darin, die Anforderungen des Gesetzes zu verstehen und einzuhalten. Strafen für Verstöße gegen den CCPA sind nur eine Folge der Nichteinhaltung – eine Datenschutzverletzung könnte zu einem viel schwerwiegenderen Schaden für Ihr Unternehmen führen, z. B. durch verlorene Kunden, negative Publicity, verminderte Kreditwürdigkeit, Mangel an Investoren und so weiter.
Um sicherzustellen, dass Sie den CCPA einhalten, sollten Sie die folgenden Schritte in Betracht ziehen:
1. Aktualisieren Sie Ihre Datenschutzrichtlinie – diese sollte CCPA-konform sein, mit jährlichen Überprüfungen, um sicherzustellen, dass sie auf dem neuesten Stand bleibt
2. Führen Sie eine interne Überprüfung durch – Legen Sie fest, wie personenbezogene Daten durch Ihr Unternehmen fließen, um Probleme zu melden
3. Überprüfen Sie Ihre Verbraucherhinweise – geben Sie genügend Informationen darüber an, wie und wann Sie personenbezogene Daten sammeln?
4. Stellen Sie sicher, dass Sie die CCPA-Rechte einhalten können – können Sie beispielsweise die 45-Tage-Frist für die Erfüllung von Anträgen auf Offenlegung personenbezogener Daten einhalten?
5. Führen Sie ein robustes Dateninventar – Sie müssen genau wissen, wann und wo Daten in Ihre Systeme gelangen – eine automatisierte Bestandsaufnahme kann bei der Einhaltung der Vorschriften helfen
6. Bereiten Sie sich auf Datenschutzverletzungen vor – Fehler passieren und Datenschutzverletzungen können trotz der besten Bemühungen eines Unternehmens auftreten. Die Vorbereitung einer Reaktion kann dazu beitragen, den Schaden zu minimieren, wenn es zu einem Verstoß kommt
Weitere Informationen finden Sie in unserer praktischen Checkliste zur Einhaltung des CCPA.
Cookie-Benachrichtigungen sind ein wichtiger Bestandteil der CCPA-Konformität – benötigen Sie Hilfe, um sicherzustellen, dass Ihre der Aufgabe gewachsen sind? Setzen Sie sich mit CookieHub in Verbindung, um Ihre Bedürfnisse zu besprechen.