CCPA Mythos Nr. 1: Ich verarbeite gar keine personenbezogenen Daten, also trifft CCPA nicht auf mich zu
Ein weitverbreiteter Mythos ist, dass viele Webseitenbetreiber, oft kleine Unternehmen und auch Blogger, keine personenbezogenen Daten verarbeiten und daher auch CCPA nicht einhalten müssen. Ein Irrtum, der ins Geld gehen kann. Deswegen klären wir am besten, was genau persönlich identifizierbare Informationen unter CCPA/CPRA sind.
Gemäß Artikel 798.140 CCPA sind personenbezogene Daten solche, die zur Identifikation einer Person oder deren Haushalt dienen können, wie: Name, E-Mail-Adresse, Geburtsdatum, Kundennummer, Log-in-Daten, IP-Adresse, Cookies und mehr. Öffentlich zugängliche Informationen, die aus Behörden oder Aufzeichnungen stammen, wie Berufslizenzen und öffentliche Eigentumsaufzeichnungen fallen nicht unter CCPA.
Wie können Sie prüfen, ob Sie personenbezogene Daten verarbeiten?
Beantworten Sie eine oder mehrere der folgenden Fragen mit „ja“, dann sollten Sie hellhörig werden:
✔️ Haben Sie Kontaktformulare auf Ihrer Website?
✔️ Verwenden Sie Kommentarsysteme für Beiträge?
✔️ Nutzen Sie Google Analytics?
✔️ Sehen Sie Anmeldedaten und deren -verläufe in Dashboards?
Sie merken also, Sie sind schneller Datenverarbeiter, als Sie denken. Daher seien Sie unbedingt vorsichtig, was die CCPA-Einhaltung betrifft. Eine gute Übersicht ist auch dieser ultimative Guide zur CCPA-Konformität.
CCPA Mythos Nr. 2: Unternehmen sind NICHT betroffen, wenn Sie nicht in Kalifornien ansässig sind
Diese Annahme ist so gängig wie von Grund auf falsch. Denn genau wie bei der DSGVO gilt hier das Marktortprinzip. Das heißt, dass in bestimmten Fällen auch europäische Unternehmen von CCPA betroffen sein können. Dazu müssen Sie keine physische Präsenz in Kalifornien haben. Ihr Unternehmenssitz muss nicht einmal in den USA sein.
Sobald Sie ein gewinnorientiertes Unternehmen leiten, das Daten von Bürger*innen Kaliforniens sammelt, verarbeitet oder verkauft, UND eines der folgenden Kriterien erfüllen, müssen die CCPA/CPRA einhalten:
-
Bruttojahresumsatz von über 25 Mio. US-Dollar
-
Verarbeitung von mind. 100.000 Verbraucher*innendaten
-
50 % oder mehr des jährlichen Gewinns stammen aus dem Verkauf oder der Weitergabe personenbezogener Daten
Also, auch wenn Sie ein „kleiner Fisch“ da draußen sind, gilt die Faustregel, niemand ist von CCPA ausgenommen.
Viele halten die Europäische Datenschutz-Grundverordnung (DSGVO) für eines der strengsten Datenschutzgesetze weltweit – da ist einiges dran. Dennoch bedeutet es nicht, dass Ihr Unternehmen automatisch die CCPA einhält, wenn es DSGVO-konform ist. Das liegt zum einen darin, dass die CCPA Definition von personenbezogenen Daten weiter gefasst ist als unter der DSGVO. Aber keine Sorge, da beide Gesetze dennoch recht ähnlich sind, müssen Sie nicht viel weiter tun, um CCPA einzuhalten, wenn Sie bereits konform mit der DSGVO sind.
Aber eine Sache müssen Sie unbedingt berücksichtigen: Die Seite „Meine personenbezogenen Daten nicht verkaufen“. Denn bei CCPA gilt das sogenannte Recht auf Opt-out. Das bedeutet, dass Sie den Verbraucher*innen ermöglichen müssen, den Verkauf personenbezogener Daten an Dritte zu verbieten. Und hier ist der CCPA Gesetzestext besonders spezifisch. Das muss nämlich über eine eigene Seite mit der obligatorischen Überschrift: “Do not sell my personal information/Meine personenbezogenen Daten nicht verkaufen” stattfinden. Auf dieser Seite muss die Anfrage auf Opt-out so einfach wie möglich gestaltet werden.
CCPA Mythos Nr. 4: CCPA gilt nicht für Mitarbeitende
Alarm! Gefahr! Verbannen Sie diesen Mythos schnellstmöglich aus Ihrem Kopf!
Das mag eine Weile gestimmt haben, doch seit der Ergänzung des CCPA durch CPRA im Januar 2023 wird die Ausnahme in Bezug auf Mitarbeitende aufgehoben. Seit Inkrafttreten des CPRA gilt Datenschutz für sämtliche Verbraucher*innen, wobei dieser Begriff nun auch Mitarbeitende und sogar Freelancer oder Stellenbewerber umfasst. Sofern Sie ein Arbeitgeber mit Sitz in Kalifornien sind, müssen Sie Ihren Mitarbeitenden die gängigen CCPA-Rechte ebenfalls gewähren. Somit haben auch Ihre Mitarbeitenden das Recht, eine aktualisierte Datenschutzrichtlinie einzusehen, welche die Datenerhebung genau erklärt. Bedenken Sie auch das Recht auf Offenlegung: Ihre Mitarbeitenden müssen über Zweck und Dauer der Datenspeicherung informiert werden, BEVOR diese eintritt.
Wenn Sie in Ihrem Unternehmen Jira und Confluence nutzen und diese CCPA-konform machen wollen, sollten Sie einen Blick auf diesen hilfreichen Artikel werfen: Wie Sie das CCPA Recht auf Offenlegung in Jira einhalten.
Leider nein.
Diese Annahme stimmt nicht für alle Zielgruppen. Denn es gibt eine Besonderheit unter CCPA: Wenn Daten von Verbraucher*innen gesammelt und verkauft werden, die unter 16 Jahren alt sind, muss eine Opt-in Einwilligung eingeholt werden. Und bei Kindern unter 13 Jahren muss sogar die Zustimmung eines Erziehungsberechtigten eingeholt werden. Wird keine Zustimmung erteilt, muss Ihr Unternehmen 12 Monate warten, bevor erneut nach der Zustimmung gefragt werden darf.
Laut Gesetzestext gilt diese Verpflichtung für ein Unternehmen nur, wenn es „tatsächliche Kenntnis“ vom Alter des Kindes besitzt. Spekulieren Sie aber nicht auf diesen Passus. Unwissenheit schützt vor Strafe nicht. Die Strafen für Verstöße gegen die personenbezogenen Daten von Kindern sind höher als andere Strafen, nämlich bis zu 7.500 $ für jeden Verstoß.
CCPA Mythos Nr. 6: Gemeinnützige Organisationen sind aus dem Schneider
Auch bei diesem Mythos sollte man genauer lesen. Denn in Sektion 1798.140 (c) (2) des CCPA wird definiert, was genau „Unternehmen“ sind, welche CCPA einhalten müssen. Hier wird beschrieben, dass auch gemeinnützige Unternehmen betroffen sein können, wenn folgende Szenarien auf sie zutreffen:
-
Sie sind eine gemeinnützige Organisation und besitzen eine gewinnorientierte Tochtergesellschaft
-
Sie sind eine gemeinnützige Organisation mit gewerblicher Tätigkeit
-
Sie sind eine gemeinnützige Organisation, die eine Kooperation mit einem Unternehmen eingeht, das unter CCPA/CPRA fällt
Lesen Sie also lieber noch einmal nach, ob Ihr gemeinnütziges Unternehmen CCPA-konform sein sollte, bevor Sie hohe Strafzahlungen riskieren.
Nach Sektion 1798.105 CPRA besitzen Verbraucher*innen das Recht, eine Anfrage auf die Löschung der personenbezogenen Daten zu stellen. Auch ein Recht auf Berechtigung der Daten steht den Verbraucher*innen zur Verfügung. Diese Anfragen müssen Sie als Unternehmen innerhalb von 45 Kalendertagen nachgehen. Sie sollten also ein Tool besitzen, mit dem Sie schnell und einfach Daten suchen, ändern und ggf. bereinigen können.
Nehmen wir an, eine Mitarbeiterin verlässt Ihr Unternehmen und bittet Sie um Löschung der Daten. Sie benutzen Confluence und Jira und suchen nach einer einfachen, schnellen Lösung, Userdaten zu anonymisieren? Dann ist Data Protection and Security Toolkit for Jira/Confluence Ihre Rettung. Das Tool kann Ihnen bei sämtlichen Anwendungsfällen helfen, um CCPA-konform zu sein.
Fazit: CCPA Mythen entlarvt
Wie Sie sehen, sind weitverbreitete Vorstellungen über Datenschutzgesetze oft Irrtümer. Es lohnt sich folglich immer, die Gesetzestexte genau zu lesen und sich Rat von Expert*innen einzuholen, wie von unserem Datenschutz-Compliance-Service. CCPA/CPRA einzuhalten, ist kein Hexenwerk, jedoch eines, das Sorgfältigkeit verlangt. Gerne unterstützen wir Sie bei Ihrem persönlichen Weg zur risikofreien Einhaltung.