In der heutigen datengesteuerten Gesellschaft haben die Bedenken hinsichtlich des Datenschutzes und der Verbraucherrechte einen kritischen Punkt erreicht. Vor dem Hintergrund zunehmender Datenschutzverletzungen und des wachsenden öffentlichen Bewusstseins ist Kaliforniens wegweisende Gesetzgebung, der California Consumer Privacy Act (CCPA), ein Leuchtturm des Wandels im Bereich des Datenschutzes. Der CCPA wurde 2018 erlassen und seit 2020 durchgesetzt und stellt eine der wichtigsten gesetzgeberischen Bemühungen in den Vereinigten Staaten dar, die darauf abzielen, den Verbrauchern eine größere Kontrolle über ihre persönlichen Daten zu geben. Da sich Unternehmen mit Compliance-Anforderungen auseinandersetzen und Verbraucher sich mit neu gewonnenen Rechten auseinandersetzen müssen, ist es wichtig, die Auswirkungen und die Bedeutung des CCPA zu verstehen. In diesem Blogbeitrag werden die wichtigsten Bestimmungen des CCPA und ihre Auswirkungen auf Unternehmen und Verbraucher erläutert.
Was ist der CCPA?
Der CCPA (California Consumer Privacy Act) ist ein umfassendes Datenschutzgesetz, das im US-Bundesstaat Kalifornien erlassen wurde. Sie wurde im Juni 2018 verabschiedet und trat am 1. Januar 2020 in Kraft. Der CCPA zielt darauf ab, die Datenschutzrechte und den Schutz der Privatsphäre der Verbraucher für Einwohner Kaliforniens zu verbessern, indem er Unternehmen, die personenbezogene Daten sammeln und verarbeiten, Verpflichtungen auferlegt. Zu den wichtigsten Bestimmungen des CCPA gehören:
- Verbraucherrechte: Der CCPA gewährt Einwohnern Kaliforniens bestimmte Rechte in Bezug auf ihre personenbezogenen Daten, wie z. B.
- das Recht zu erfahren, welche personenbezogenen Daten erhoben werden;
- das Recht auf Zugang zu ihren personenbezogenen Daten;
- das Recht, die Löschung ihrer personenbezogenen Daten zu verlangen; und
- das Recht, den Verkauf ihrer personenbezogenen Daten abzulehnen.
- Offenlegungspflichten: Betroffene Unternehmen sind verpflichtet, ihre Datenerhebungs- und -verarbeitungs praktiken gegenüber Verbrauchern offenzulegen, einschließlich der Kategorien der erfassten personenbezogenen Daten, der Zwecke, für die die Informationen verwendet werden, und der Kategorien von Dritten, mit denen die Informationen geteilt werden.
- Opt-out-Mechanismus: Unternehmen, die dem CCPA unterliegen, müssen den Verbrauchern eine klare und auffällige Opt-out-Option bieten, wenn sie personenbezogene Daten an Dritte verkaufen.
- Nichtdiskriminierung: Der CCPA verbietet es Unternehmen, Verbraucher zu diskriminieren, die ihre gesetzlichen Rechte ausüben, z. B. indem sie ihnen Waren oder Dienstleistungen verweigern, ihnen unterschiedliche Preise berechnen oder ihnen ein anderes Niveau oder eine andere Qualität von Dienstleistungen anbieten.
- Verbesserter Schutz für Minderjährige: Der CCPA enthält zusätzliche Schutzmaßnahmen für Minderjährige unter 16 Jahren, einschließlich der Anforderung für Unternehmen, eine Opt-in-Einwilligung einzuholen, bevor sie die personenbezogenen Daten von Minderjährigen unter 16 Jahren verkaufen.
Wer unterliegt dem CCPA?
Gemäß der Gesetzgebung gilt der CCPA für jedes gewinnorientierte Unternehmen, das personenbezogene Daten von Verbrauchern sammelt und eine der folgenden Bedingungen erfüllt:
- „Zum 1. Januar des Kalenderjahres hatte das Unternehmen im vorangegangenen Kalenderjahr einen jährlichen Bruttoumsatz von mehr als fünfundzwanzig Millionen Dollar (25.000.000 US-Dollar).“
- „Allein oder in Kombination kauft, verkauft oder teilt jährlich die persönlichen Daten von 100.000 oder mehr Verbrauchern oder Haushalten.“
- „Erzielt 50 Prozent oder mehr seines Jahresumsatzes aus dem Verkauf oder der Weitergabe personenbezogener Daten von Verbrauchern.“
Auswirkungen des CCPA
Der CCPA hat einen erheblichen Einfluss auf die Landschaft der Datenschutzbestimmungen und fördert mehr Transparenz, Rechenschaftspflicht und Kontrolle über personenbezogene Daten sowohl für Unternehmen als auch für Verbraucher. Zu den bemerkenswerten Auswirkungen seit der Implementierung gehören:
-
Erhöhtes Bewusstsein für den Datenschutz
Der CCPA hat das Bewusstsein von Unternehmen und Verbrauchern für Datenschutzrechte und -pflichten geschärft. Unternehmen sind sich ihrer Datenerhebungs- und -verarbeitungspraktiken bewusster geworden, was zu einer verbesserten Transparenz und Rechenschaftspflicht führt. Zum Beispiel hat der CCPA Cookies beeinflusst, die Unternehmen auf ihren Websites verwenden, um Daten zu sammeln.
-
Stärkung der Verbraucher
Der CCPA hat die kalifornischen Verbraucher gestärkt, indem er ihnen mehr Kontrolle über ihre persönlichen Daten gewährt hat. Verbraucher haben nun das Recht zu erfahren, welche Daten über sie gesammelt werden, für welche Zwecke sie verwendet werden, und die Möglichkeit, den Verkauf ihrer personenbezogenen Daten abzulehnen.
-
Herausforderungen bei der Umsetzung für Unternehmen
Die Einhaltung des CCPA stellt Unternehmen vor Herausforderungen, insbesondere für kleinere Unternehmen oder solche ohne robuste Datenschutzinfrastruktur. Viele Unternehmen mussten Ressourcen investieren, um ihre Datenschutzrichtlinien zu aktualisieren, neue Verfahren für die Bearbeitung von Verbraucheranfragen zu implementieren und die Einhaltung der Datensicherheitsanforderungen zu gewährleisten.
-
Erweiterung der Datenschutzgesetzgebung
Der CCPA hat als Katalysator für andere Staaten und Länder gedient, ähnliche Datenschutzgesetze zu erlassen. Mehrere US-Bundesstaaten haben ihre eigenen Datenschutzgesetze nach dem Vorbild des CCPA vorgeschlagen oder verabschiedet, und auf Bundesebene gab es Diskussionen über die Verabschiedung umfassender Datenschutzgesetze.
-
Verstärkte behördliche Kontrolle
Der CCPA hat zu verstärkten behördlichen Kontrollen und Durchsetzungsmaßnahmen durch die kalifornische Generalstaatsanwaltschaft geführt. Unternehmen, die gegen den CCPA verstoßen, können mit Bußgeldern und Strafen belegt werden, was dazu führt, dass den Compliance-Bemühungen mehr Aufmerksamkeit geschenkt wird.
CCPA vs. DSGVO
Die DSGVO (Datenschutz-Grundverordnung) ist eine umfassende Datenschutzverordnung, die 2016 von der Europäischen Union (EU) erlassen wurde und am 25. Mai 2018 in Kraft getreten ist. Sie ersetzt die vorherige Datenschutzrichtlinie und soll die Datenschutzgesetze in ganz Europa harmonisieren, die Rechte des Einzelnen in Bezug auf seine personenbezogenen Daten stärken und die Art und Weise, wie Unternehmen den Datenschutz angehen, neu gestalten. Der CCPA (California Consumer Privacy Act) und die DSGVO (Datenschutz-Grundverordnung) sind beides wichtige Datenschutzbestimmungen, aber sie weisen einige wesentliche Unterschiede auf:
Geltungsbereich
- CCPA: Gilt speziell für Unternehmen, die personenbezogene Daten von Einwohnern Kaliforniens sammeln, unabhängig davon, wo sich das Unternehmen befindet.
- DSGVO: Gilt für Unternehmen, die personenbezogene Daten von Personen mit Sitz in der Europäischen Union (EU) verarbeiten, unabhängig davon, wo sich das Unternehmen befindet.
Begriffsbestimmungen
- CCPA: Definiert personenbezogene Daten weit gefasst und umfasst Identifikatoren wie IP-Adressen und Browserverlauf.
- DSGVO: Definiert personenbezogene Daten weit gefasst, einschließlich aller Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Verbraucherrechte
- CCPA: Gewährt Einwohnern Kaliforniens Rechte wie das Recht zu erfahren, welche personenbezogenen Daten gesammelt werden, das Recht, auf ihre Daten zuzugreifen, und das Recht, den Verkauf ihrer Daten abzulehnen.
- DSGVO: Gewährt Personen in der EU Rechte wie das Recht auf Zugang, Berichtigung und Löschung ihrer personenbezogenen Daten, das Recht auf Datenübertragbarkeit und das Recht, der Verarbeitung zu widersprechen. Das Recht auf Löschung personenbezogener Daten wird manchmal auch als Recht auf Vergessen werden bezeichnet.
Opt-In vs. Opt-Out
- CCPA: Verlangt von Unternehmen, dass sie Verbrauchern das Recht einräumen, den Verkauf ihrer personenbezogenen Daten abzulehnen.
- DSGVO: Im Allgemeinen müssen Unternehmen vor der Verarbeitung ihrer personenbezogenen Daten eine ausdrückliche Einwilligung (Opt-in) von Einzelpersonen einholen, mit einigen Ausnahmen.
Bußgelder und Strafen
- CCPA: Ermöglicht Geldstrafen von bis zu 7.500 US-Dollar pro vorsätzlichem Verstoß und 2.500 US-Dollar pro unbeabsichtigtem Verstoß, wobei die Durchsetzung in erster Linie durch die kalifornische Generalstaatsanwaltschaft erfolgt.
- DSGVO: Ermöglicht Geldbußen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist, mit Durchsetzung durch die Datenschutzbehörden in jedem EU-Mitgliedstaat.
Anforderungen an die Umsetzung
- CCPA: Von betroffenen Unternehmen wird verlangt, dass sie bestimmte Angaben in ihren Datenschutzrichtlinien machen, Verfahren für die Bearbeitung von Verbraucheranfragen implementieren und Datensicherheitsmaßnahmen aufrechterhalten.
- DSGVO: Stellt weitergehende Anforderungen, darunter die Ernennung eines Datenschutzbeauftragten (DSB) in bestimmten Fällen, die Durchführung von Datenschutz-Folgenabschätzungen (DSFAs) und die Umsetzung von Maßnahmen wie Pseudo anymisierung und Datenminimierung.
Obwohl beide Verordnungen das gemeinsame Ziel haben, den Datenschutz zu verbessern und die Rechte des Einzelnen zu schützen, haben sie unterschiedliche Anforderungen und Auswirkungen auf Unternehmen, die in ihren jeweiligen Gerichtsbarkeiten tätig sind. Die Einhaltung sowohl des CCPA als auch der DSGVO kann für Unternehmen erforderlich sein, die personenbezogene Daten sowohl von Einwohnern Kaliforniens als auch von Personen in der EU erheben und verarbeiten.
Schlussfolgerung
Zusammenfassend lässt sich sagen, dass sich der California Consumer Privacy Act zu einem zentralen Rechtsakt im laufenden Streben nach einem stärkeren Datenschutz entwickelt hat. Durch die Gewährung beispielloser Rechte an den Verbrauchern in Bezug auf ihre personenbezogenen Daten und die Auferlegung von Verpflichtungen für Unternehmen, die Transparenz und Rechenschaftspflicht zu verbessern, hat der CCPA eine neue Ära des Datenschutzes in Kalifornien und darüber hinaus eingeläutet.
Unternehmen müssen sich heutzutage ihres Datenmanagements sehr bewusst sein. Dies macht Mobile Device Management (MDM)-Lösungen zu einer hervorragenden Option für Unternehmen von heute. Wir empfehlen Ihnen die Verwendung von Trio, der ultimativen MDM-Lösung auf dem Markt. Apropos IT-Compliance: Sie müssen sich nie wieder Gedanken über die Einhaltung von Gesetzen zur Datenerfassung machen. Trio deckt fast alle wichtigen IT-Compliances wie NIST, SOC 2 und mehr ab. Probieren Sie die kostenlose Demo von Trio aus, um zu sehen, wie die Verwaltung mobiler Geräte für Ihr Unternehmen reibungslos funktionieren kann.
Während seine Umsetzung Unternehmen vor Herausforderungen gestellt und Fragen zur Durchsetzung und Einhaltung der Vorschriften aufgeworfen hat, ist das übergeordnete Ziel des CCPA, den Einzelnen zu stärken und eine Kultur des Datenschutzes zu fördern, unbestreitbar.