California Consumer Privacy Act (CCPA): Der ultimative Leitfaden

Da die Datenmengen, die Instagram und Facebook über ihre Nutzer:innen speichern, zunehmend zur Wahlmanipulation missbraucht werden und Datenlecks ausgesetzt sind, ist es von größter Bedeutung, dass wir einen guten Überblick darüber haben, welche Art von Daten diese Tech-Giganten über uns sammeln. Die Vorschriften für den Umgang mit Daten werden immer strenger und greifen stärker in das ein, was in den frühen Tagen des Teilens eher einem Wildwest-Szenario ähnelte. Um die Datensicherheit zu erhöhen, wurden Gesetze wie die Datenschutz-Grundverordnung (DSGVO) und der California Consumer Privacy Act (CCPA) erlassen, wobei letzterer die Messlatte für US-Unternehmen in Bezug auf den Datenschutz höher legt als je zuvor.

Laut der von Berkeley Economic Advising and Research, LLC, durchgeführten Standardisierten Folgenabschätzung werden über 12 Milliarden Dollar an persönlichen Daten, die jährlich in Kalifornien für Werbung verwendet werden, durch die CCPA-Bestimmungen geschützt. Kalifornien hat dieses geschickte und bahnbrechende Datenschutzgesetz verabschiedet, um den Verbraucher:innen mehr Kontrolle über ihre Daten zu geben. Das Gesetz gibt den Einwohner:innen das Recht zu kontrollieren, welche Informationen Organisationen über sie sammeln und wie diese verwendet werden. Einfach ausgedrückt: Die Einwohner:innen des Bundesstaates erhalten eine ganz neue Palette von Werkzeugen, um ihre Daten und persönlichen Informationen online zu schützen und verantwortungsvoller damit umzugehen.

Von der Abstimmung bis zur Durchsetzung: Eine kurze Geschichte des CCPA

Der CCPA wurde am 28. Juni 2018 vom Gouverneur des Bundesstaates Kalifornien genehmigt und trat am 1. Januar 2020 in Kraft. Begeben wir uns auf eine Reise in die Vergangenheit, um zu verstehen, wie der Grundstein für ein solches Datenschutzgesetz gelegt wurde und wie es schließlich zustande kam. Anfang 2018 plädierte ein kalifornischer Immobilienentwickler für ein neues Datenschutzgesetz, den Consumer Right to Privacy Act von 2018, auf dem Kalifornischen Wahlzettel vom November 2018. Der Befürworter der Initiative hatte bis Juni 2018 genügend Unterschriften gesammelt, um einen Platz auf dem Wahlzettel im November zu erhalten. 

Schließlich arbeiteten die kalifornischen Gesetzgeber mit Vertreter:innen der betroffenen kalifornischen Unternehmen und anderen Interessengruppen zusammen und verabschiedeten im Gegenzug für eine Vereinbarung einen Gesetzentwurf, den California Consumer Privacy Act von 2018 oder den CCPA. Die Vereinbarung sah vor, den restriktiveren Text des Consumer Right to Privacy Act vom Wahlzettel im November zu streichen. Der kalifornische Generalstaatsanwalt Xavier Becerra stellte am 11. Oktober 2019 die erste Version der vorgeschlagenen Durchführungsbestimmungen vor.

Der CCPA wurde also am 28. Juni 2018 vom Gouverneur des Bundesstaates Kalifornien genehmigt und trat am 1. Januar 2020 in Kraft. Am 10. Februar 2020 wurden geänderte Vorschriften vom kalifornischen Justizministerium veröffentlicht. Am 11. März 2020 wurde der zweite Satz geänderter Vorschriften eingeführt. Der kalifornische Generalstaatsanwalt reichte diese Version der Begründung zusammen mit der Begründung am 1. Juni 2020 beim kalifornischen Amt für Verwaltungsrecht (OAL) ein. Er trat am 1. Juli 2020 in die Durchsetzungsphase ein, was bedeutet, dass der kalifornische Generalstaatsanwalt direkt gegen Organisationen vorgehen kann, die gegen die Datenschutzbestimmungen des CCPA verstoßen.

Die endgültige Fassung wurde am 14. August 2020 vom OAL genehmigt, wodurch eine lange Zeit der Ungewissheit beendet und spezifische inhaltliche und administrative Compliance-Verpflichtungen für Unternehmen festgelegt wurden.

Die drei Grundprinzipien des CCPA

Wie ein kalifornischer Gesetzgeber es ausdrückt, ist der CCPA der "erste Verbraucherdatenschutzgesetz in den USA". Keiner der anderen US-Bundesstaaten hat seinen Bürger:innen einen ähnlichen Schutz wie die DSGVO gewährt, der Unternehmen dazu verpflichtet, die Verbraucher:innen über die gesammelten und weitergegebenen Informationen zu informieren und ihnen ein Recht auf Zugang, Löschung und Widerspruch einzuräumen.

Was

Der CCPA ist ein Gesetz, das es jedem kalifornischen Verbraucher ermöglicht, die Herausgabe aller Daten zu verlangen, die ein Unternehmen über ihn gespeichert hat, sowie die vollständige Liste aller Dritten, an die diese Daten weitergegeben werden. Darüber hinaus können Verbraucher:innen Organisationen verklagen, wenn die Datenschutzrichtlinien nicht eingehalten werden, selbst wenn keine Datenschutzverletzung vorliegt. Dies stellt letztlich sicher, dass die Verbraucher:innen mehr Kontrolle über die Weitergabe ihrer persönlichen Daten erhalten und die Unternehmen gezwungen werden, den Verbraucher:innen mehr Informationen darüber zu geben, was mit ihren Daten geschieht.

Der springende Punkt ist, dass die meisten Verbraucher:innen nicht wissen, dass ihre persönlichen Daten an andere weitergegeben oder verkauft werden. Dieses Gesetz stellt sicher, dass sie die Möglichkeit erhalten, der Verwendung ihrer Daten in einer Weise zu widersprechen, die sie ablehnen.

AB 375 betrachtet Folgendes als persönliche Informationen:

• Identitätsbezogene Daten wie richtiger Name, Alias, Wohnanschrift usw.
• Kommerzielle Informationen, die Daten über persönliches Eigentum, erhaltene Produkte oder Dienstleistungen oder andere derartige Informationen über Kauf- oder Konsumgewohnheiten umfassen
• Internet- und andere elektronische Netzwerkaktivitäten
• Geolokalisierungsdaten
• Audio-, visuelle, thermische, olfaktorische oder ähnliche Informationen
• Beschäftigungsbezogene Informationen
• Bildungsinformationen
• Schlussfolgerungen, die aus den in dieser Unterteilung genannten Informationen gezogen werden, um ein Profil über einen Verbraucher zu erstellen, das Präferenzen, Eigenschaften, psychologische Trends, Veranlagungen usw. aufzeigt.
• Kreditkarteninformationen
• Religion
• Alter
• Politische Zugehörigkeit

Wer

Muss eingehalten werden:

• Alle gewinnorientierten Organisationen, die Einwohner:innen Kaliforniens bedienen und einen Jahresumsatz von mindestens 25 Millionen Dollar haben, müssen die CCPA-Bestimmungen einhalten.
• Darüber hinaus fallen Unternehmen jeder Größe, die persönliche Daten von mindestens 50.000 Personen erhalten oder offenlegen oder mehr als die Hälfte ihrer Einnahmen aus dem Verkauf persönlicher Daten erzielen, ebenfalls unter die Aufsicht dieses Gesetzes.
• Organisationen müssen nicht in Kalifornien ansässig sein oder dort eine physische Präsenz haben oder gar in den Vereinigten Staaten ansässig sein, um unter die Aufsicht dieses Gesetzes zu fallen.

Muss nicht eingehalten werden:

• Gemeinnützige Organisationen, kleinere Unternehmen, die die Umsatzschwellen nicht erreichen,
• und/oder die nicht mit einer Fülle von persönlichen Informationen von Einwohner:innen Kaliforniens handeln, 
• und die keine Marke mit einem verbundenen Unternehmen teilen, das unter den CCPA fällt

Die Nichteinhaltung des CCPA wird definitiv mit Strafen geahndet. Die zivilrechtlichen Strafen beginnen bei 2500 Dollar für eine unbeabsichtigte Verletzung und können bis zu 7500 Dollar für vorsätzliche Verletzungen betragen. Wenn ein Unternehmen innerhalb von 30 Tagen nach der Benachrichtigung Korrekturmaßnahmen ergreifen kann, kommt es mit einer Verwarnung davon. Datenlecks ermöglichen es den Verbraucher:innen, bestimmte Maßnahmen gegen das betreffende Unternehmen zu ergreifen. Verbraucher:innen können eine Klage auf Schadenersatz erheben, wenn eine Organisation keine angemessenen Sicherheitsvorkehrungen für die persönlichen Daten der Verbraucher:innen trifft.

Wenn Sie sich fragen, wer hauptsächlich für die Einhaltung des CCPA verantwortlich ist, sollten Sie verstehen, dass dies eine Sache ist, die alle betrifft. Es stimmt zwar, dass CEOs und CIOs die Führung übernehmen, aber da so viele andere Abteilungen Verbraucherdaten sammeln und verwenden, ist es von entscheidender Bedeutung, dass jeder diesem Datenschutzgesetz große Bedeutung beimisst und für das, was er mit persönlichen Daten tut, verantwortlich ist.

Wie

Eine Reihe von großen Unternehmen haben bereits damit begonnen, Maßnahmen zur Einhaltung des CCPA einzuführen. Ob es nun um den Import und Export von Kundendaten geht, um die Beantwortung von Nutzeranfragen zur Löschung persönlicher Daten oder um die Kontaktaufnahme mit dem Administrator, der den Arbeitsbereich kontrolliert, Slack hat alles im Griff, wenn es um die Einhaltung des CCPA geht. In ähnlicher Weise erfüllt Microsoft, wie in seinen Online-Servicebedingungen erwähnt, alle Gesetze und Vorschriften, die für die Bereitstellung der Online-Services gelten, einschließlich des CCPA.

Der dreigleisige Ansatz zur Gewährleistung der CCPA-Konformität umfasst:

Grundlage

• Konzentrieren Sie sich in erster Linie auf die Identifizierung und Klassifizierung Ihrer Datenbestände. Es ist wichtig zu wissen, wo sich persönliche Daten befinden und ob die Daten gefährdet sind, indem Sie die Zugriffsberechtigungen überprüfen.
• Tauchen Sie tiefer in die persönlichen Daten ein, um die Ordner zu identifizieren, auf die selten zugegriffen wird, da veraltete persönliche Informationen nicht viel Nutzen bringen und ein unerwünschtes Sicherheitsrisiko darstellen.

Implementierung

• Die Datenschutzerklärung sollte aktualisiert werden.
• Die rechtzeitige Benachrichtigung von Mitarbeitern und Verbrauchern über die Erhebung und Verwendung persönlicher Daten ist ein Muss.
• Die Implementierung oder Überarbeitung bestehender Prozesse für die Annahme und Beantwortung von Verbraucheranfragen ist ein Muss.
• Die Anwendung angemessener Sicherheitskontrollen auf die Beantwortung von Verbraucheranfragen wäre ein großer Schritt nach vorn.
• Es ist auch wichtig, Kriterien zu berücksichtigen, die in den endgültigen Vorschriften für die Überprüfung von Verbraucheranfragen festgelegt sind.
• Die Aufbewahrung von Aufzeichnungen über CCPA-Verbraucheranfragen in einer bestimmten Form für mindestens 24 Monate ist wichtig.
• Hinweise zu den Datenschutzpraktiken des Unternehmens sollten für Verbraucher:innen mit Behinderungen zugänglich sein.
• Die Bestätigung von Verbraucheranfragen ist wiederum ein Muss.

Wartung

Seien Sie stets auf der Hut vor neuen Cyberbedrohungen und passen Sie den Datenschutz und die Sicherheit bei Bedarf an.

Fazit

Der CCPA stellt zusammen mit der DSGVO eine große Veränderung bei der Auseinandersetzung mit Daten dar, bietet aber auch die Möglichkeit, das Gespräch mit den Kund:innen neu zu gestalten und die erforderlichen großen Investitionen für den Aufbau einer einheitlichen Kundenarchitektur umzuleiten. Dies unterstützt letztlich sowohl die Einhaltung des Datenschutzes als auch langfristige Marketing- und Kundenbeziehungsstrategien.