Wofür steht CCPA und was bedeutet es für Unternehmen?

Da das Bewusstsein für die Erwartungen der Verbraucher in Bezug auf ihre Privatsphäre wächst, gehört der CCPA zu den ersten von vielen Datenschutzgesetzen, die das Land erobert haben.

Der CCPA wurde 2018 verabschiedet und richtet sich an Unternehmen, die personenbezogene Verbraucherdaten sammeln und verkaufen.

Es soll den Kaliforniern mehr Kontrolle darüber geben, wie ihre Daten gespeichert und verwendet werden, und führt bahnbrechende Datenschutzmaßnahmen ein, indem es den Einwohnern ein größeres Mitspracherecht über das Schicksal ihrer persönlichen Daten gibt.

Aber gilt CCPA nur für Unternehmen mit Sitz in Kalifornien?

Für wen gilt der CCPA?

So wie die DSGVO amerikanische Unternehmen mit europäischen Kunden betreffen wird, kann CCPA nicht-kalifornische Unternehmen mit Verbrauchern im Bundesstaat betreffen.

CCPA befasst sich mit allen Unternehmen, die online tätig sind und Daten von Kaliforniern sammeln oder in Kalifornien Geschäfte tätigen – selbst wenn dieses Unternehmen physisch nicht in Kalifornien ansässig ist. Damit der CCPA gelten kann, muss ein Unternehmen eines dieser drei Kriterien erfüllen:

• Generieren Sie einen Jahresumsatz von mindestens 25 Millionen US-Dollar.
• Erhalten Sie Daten von über 50.000 Kunden.
• Erwirtschaften Sie mindestens die Hälfte des Jahresumsatzes durch den Verkauf von Verbraucherdaten.

Wenn ein Unternehmen unter eines dieser drei Kriterien fällt, muss es die CCPA-Anforderungen erfüllen, wenn seine Kunden in Kalifornien ansässig sind. Andernfalls kann ein Unternehmen CCPA-Bußgelder zahlen.

Verwandter Blog: Wer benötigt CMMC-Zertifizierungen?

Der Geltungsbereich des CCPA-Datenschutzgesetzes

Der CCPA räumt kalifornischen Verbrauchern entscheidende Rechte ein, wenn es um die Nutzung und den Verkauf ihrer Daten im Internet geht. Lassen Sie uns näher darauf eingehen, was die einzelnen Begriffe bedeuten.

• Das Recht auf Zugang zu Informationen: Verbraucher in Kalifornien haben das Recht zu wissen, welche Kategorien personenbezogener Daten gesammelt oder verkauft wurden, von wo, an wen und warum.
• Das Recht auf Datenlöschung: Verbraucher in Kalifornien können verlangen, dass ein Unternehmen die personenbezogenen Daten löscht, die es über sie gesammelt hat.
• Das Recht, der Datenerfassung oder dem Verkauf zu widersprechen: Verbraucher in Kalifornien können ein Unternehmen anweisen, ihre Daten nicht zu erfassen oder an Dritte zu verkaufen. Der CCPA enthält eine Definition von „Verkaufen“, die über einen monetären Austausch hinausgeht.
• Recht auf Übertragbarkeit: Es ermöglicht Einzelpersonen, ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese personenbezogenen Daten frei an einen anderen Verantwortlichen zu übertragen.

Der CCPA gibt Kaliforniern eine begrenzte Möglichkeit, jedes Unternehmen, das dem CCPA unterliegt, zu verklagen, wenn ihre persönlichen Daten kompromittiert werden, typischerweise durch einen Verstoß.

Es gibt dem Generalstaatsanwalt jedoch eine viel allgemeinere Möglichkeit, im Namen der Einwohner zu klagen.

Der CCPA definiert personenbezogene Daten als alle Informationen, die „einen bestimmten Verbraucher oder Haushalt identifizieren, sich darauf beziehen, beschreiben, mit ihm in Verbindung gebracht werden können oder vernünftigerweise direkt oder indirekt mit ihm verknüpft werden könnten“.

Mit anderen Worten, jede Statistik, Handlung oder jedes Wissen, das mit einer identifizierbaren Person verknüpft werden kann. Diese weit gefasste Definition umfasst fast jede Aktion im digitalen Raum.

Wie wirken sich Datenschutzgesetze auf kleine Unternehmen aus?

Die oben genannten zusätzlichen Kriterien wurden speziell zum Schutz kleiner und mittlerer Unternehmen entwickelt.

Für Unternehmen, die eine der drei oben genannten Anforderungen nicht erfüllen, gilt die CCPA-Konformität nicht und ihre Datenschutzanforderungen für Kalifornier bleiben unverändert.

Ebenso wird der CCPA keine KMU betreffen, wenn alle Aspekte ihres Geschäfts außerhalb von Kalifornien stattfinden, einschließlich des Verkaufs personenbezogener Daten. Wenn dieses Unternehmen jedoch eines der drei oben genannten Kriterien erfüllt und auch nur einen einzigen kalifornischen Kunden hat, findet der CCPA Anwendung.

Dennoch herrscht erhebliche Verwirrung darüber, ob der CCPA für ein bestimmtes Unternehmen gelten wird.

Eine Umfrage unter 625 Geschäftsinhabern und Unternehmensleitern ergab, dass mindestens 34 % der Befragten nicht wussten, ob CCPA sie betrifft, während weitere 22 % angaben, es sei ihnen „egal“.

Wenn Sie verwirrt sind, sind Sie nicht allein. Wenden Sie sich unbedingt an Experten auf diesem Gebiet, um sicherzustellen, dass Sie die Vorschriften einhalten, wenn dies erforderlich ist. Die Nichteinhaltung des CCPA kann zu hohen Bußgeldern führen.

CCPA-Verstöße werden mit Strafen in Höhe von 2.500 $ für jeden Verstoß und 7.500 $ für vorsätzliche Verstöße geahndet.

Wie können KMU den CCPA einhalten?

KMUs, die auf dem Weg zur DSGVO-Konformität sind oder dies bereits tun, werden die CCPA-Compliance etwas einfacher finden, auch wenn letzteres einen breiteren Geltungsbereich hat.

Für Unternehmen, die personenbezogene Daten sammeln und verkaufen, umfasst die Einhaltung des CCPA:

• Aktualisierung von Datenschutzhinweisen und -richtlinien. Der CCPA fordert die ausdrückliche Benachrichtigung der Verbraucher über die Absicht des Unternehmens, Informationen „am oder vor dem Sammelpunkt“ zu sammeln und zu verkaufen. Diese Mitteilung muss enthalten, welche Informationen gesammelt werden und warum.
• Aktualisierung des Datenbestands mit neuen Klassifikationen. Die im Backend gespeicherten Daten müssen Aufzeichnungen über den Verkauf der Informationen, die Weitergabe an Dritte, den Zeitpunkt der Erfassung und des Verkaufs sowie einen Hinweis darauf enthalten, ob die Informationen dem HIPAA oder einem anderen Datenschutzgesetz unterliegen.
• Erstellen von Verfahren zur Einhaltung der kalifornischen Verbraucherrechte. Unternehmen brauchen eine Möglichkeit für Verbraucher, den Zugriff auf ihre personenbezogenen Daten anzufordern, sie zu löschen oder sich gegen den Verkauf ihrer personenbezogenen Daten zu entscheiden.
• Überprüfung der Standort- und Unternehmenssicherheit. Der CCPA verlangt einen „angemessenen“ Schutz personenbezogener Daten. Für KMUs kann ein Managed Service Provider diese Belastung verringern.
• Schulung der Mitarbeiter. Schulen Sie Mitarbeiter darin, was CCPA ist, was seine Compliance-Anforderungen sind, wie die neuen Verfahren gehandhabt werden und wie mit potenziellen Vorfällen umzugehen ist.
• Jetzt beginnend. Kalifornische Verbraucher können Daten anfordern, die bis zu 12 Monate im Voraus erhoben wurden. Unternehmen müssen in der Lage sein, Aufzeichnungen über gesammelte und verkaufte Daten bis zum 1. Januar 2019 vorzulegen.

Verwandter Blog: Entwicklung einer Cybersicherheitsstrategie zum Schutz Ihres Unternehmens

Was ist der Unterschied zwischen CCPA, CalOPPA und DSGVO?

Die im Rahmen des CCPA gewährten Rechte gelten für kalifornische „Verbraucher“, also Einwohner und Arbeitnehmer.

Diese Verbraucher haben das Recht, auf alle gesammelten Daten zuzugreifen und diese zu löschen sowie sich gegen die zukünftige Sammlung durch jedes Unternehmen zu entscheiden, mit dem sie online Geschäfte tätigen.

Im Gegensatz dazu ist CalOPPA der California Online Privacy Protection Act von 2003.

Es war das erste staatliche Gesetz in den Vereinigten Staaten, das kommerzielle Websites, die personenbezogene Daten sammeln, verpflichtet, eine Datenschutzrichtlinie zu veröffentlichen, die speziell für Einwohner Kaliforniens sichtbar ist.

Diese Datenschutzerklärung fordert Website-Betreiber auf, ihre angegebene Datenschutzerklärung zu befolgen.

GDPR ist die allgemeine Datenschutzverordnung, die von der Europäischen Union im Mai 2018 eingeführt wurde

Es gibt den Bürgern der Europäischen Union deutlich mehr Kontrolle über ihre privaten Daten im Internet.

Insbesondere aktualisiert die DSGVO die Art und Weise, wie Websites die Zustimmung der Verbraucher zum Sammeln von Daten einholen, umreißt klare Richtlinien für die Kommunikation darüber, wie personenbezogene Daten verwendet werden, und führt Anforderungen zum Nachweis der Zustimmung der Benutzer ein.

CCPA, CalOPPA und GDPR unterscheiden sich sehr in ihrer Anwendung und ihrem Umfang.

Sie alle haben jedoch ein entscheidendes Merkmal gemeinsam – sie betreffen nicht nur Einwohner Kaliforniens bzw. der Europäischen Union.

Jedes online tätige Unternehmen , das Einwohner einer dieser beiden Regionen hat oder mit ihnen interagiert, unterliegt diesen Gesetzen.

So wie der CCPA nicht auf Unternehmen aus Kalifornien beschränkt ist, ist die DSGVO nicht auf Unternehmen mit Sitz in der Europäischen Union beschränkt. Jedes globale Unternehmen, das mit Daten von EU-Bürgern umgeht, muss DSGVO-konform sein.

California Consumer Privacy Act: CPRA vs. CCPA

CPRA steht für California Consumer Privacy Act. Es ist auch als Proposition 24 bekannt. Die kalifornischen Wähler stimmten dieser Abstimmungsmaßnahme im Jahr 2020 zu. Sie fügt Änderungen an den CCPA-Anforderungen hinzu und gibt ihr den Spitznamen „CCPA 2.0“.

CPRA fügt hinzu:

• Recht auf Berichtigung , was bedeutet, dass Verbraucher ein Unternehmen auffordern können, falsche Informationen über sie zu ändern
• Einschränkungsrecht , das Verbrauchern das Recht gibt, die Verwendung und Offenlegung ihrer sensiblen persönlichen Daten einzuschränken
• Recht gegen automatisierte Entscheidungsfindung , das den Verbrauchern das Recht gibt, sich gegen die Technologie „Profiling“ ihrer Arbeitsleistung, ihres wirtschaftlichen Status, ihrer Gesundheit, ihrer Interessen usw.

CPRA verpflichtet Organisationen auch zur Durchführung von Risikobewertungen und Diskriminierungsverboten. Obwohl die Maßnahme 2020 verabschiedet wurde, werden die meisten Revisionen des CCPA erst 2023 „in Kraft“ treten.

Es gilt jedoch die Bestimmung zur Einrichtung der California Privacy Protection Agency. Im Wesentlichen wird dadurch ein Gremium aus fünf Mitgliedern mit Fachkenntnissen in den Bereichen Datenschutz und Verbraucherrechte geschaffen, die den CCPA implementieren und durchsetzen werden.

Zugehörige Infografik: MSP vs. MSSP – Die Hauptunterschiede

Die zentralen Thesen

Der CCPA ist das weitreichendste und umfassendste Datenschutzgesetz in den USA. Es verleiht kalifornischen Verbrauchern bestimmte Rechte in Bezug auf die Erfassung, Verwendung und den Online-Verkauf ihrer Daten.

Obwohl das Gesetz bestimmte Ausnahmen für KMU vorsieht, kann es diese Unternehmen dennoch potenziell betreffen.

CCPA erfordert erhebliche Änderungen in der Art und Weise, wie Verbraucher benachrichtigt werden und wie Unternehmen personenbezogene Daten speichern, klassifizieren und schützen.

Obwohl sich CCPA und CPRA, CalOPPA und GDPR in ihren Definitionen und dem Schutz von Benutzerdaten unterscheiden, haben sie eines gemeinsam: Sie beeinflussen die Art und Weise, wie Menschen auf der ganzen Welt mit Menschen in diesen Regionen Geschäfte machen.

Es ist am besten, sich proaktiv auf die Einhaltung von Vorschriften vorzubereiten, um Rechtsstreitigkeiten zu vermeiden. Wenden Sie sich noch heute an einen Experten, um zu erfahren, was Ihr Unternehmen tun muss, um die Bundes- und Landesgesetze einzuhalten.

Die Aufrechterhaltung von Compliance und Cybersicherheit kann ein komplexes Thema sein. Sehen Sie sich dieses Video mit dem Fachexperten Jeff Leder zum Thema Cybersicherheitsmanagement an, um zu erfahren, wie ein verwalteter Cybersicherheitsdienst die Einhaltung von Vorschriften handhaben kann, während Sie sich auf Ihr Geschäft konzentrieren.