So erfüllen Sie die CCPA Vorschriften: ultimativer Guide für 2023

CCPA, CPRA, was ist das überhaupt?

CCPA steht für: California Consumer Privacy Act und bezeichnet ein Datenschutzgesetz, welches die Rechte von kalifornischen Verbraucher*innen vereinheitlicht. Wie bei der DSGVO gilt hier das Marktortsprinzip, was bedeutet, dass der CCPA in bestimmten Fällen auch europäische Unternehmen betrifft. Sobald Sie ein gewinnorientiertes Unternehmen leiten, das Daten von Bürger*innen Kaliforniens sammelt, verarbeitet oder verkauft, kann es sein, dass Sie den CCPA einhalten müssen, wenn Sie einige weitere Kriterien erfüllen.

Seit dem 1. Januar 2023 wurde der CCPA um den CPRA (California Privacy Rights Act) ergänzt. Über die wichtigen Änderungen des CCPA im Jahr 2023 haben wir Sie bereits informiert.

Wichtig an dieser Stelle ist für Sie, dass die Verbraucher*innen durch CPRA neue Rechte haben, wie das Recht, ungenaue Informationen zu korrigieren.

Welche Daten von CCPA (nicht) betroffen sind

CCPA definiert in Sektion 1798.140. (o) (1) genau, welche persönlichen Daten, oder auch persönlich identifizierbaren Informationen (PII) betroffen sind und welche nicht.

Die üblichen Verdächtigen, die Sie unbedingt beachten müssen, sind unter anderem:

• Name, Anschrift, E-Mail-Adresse

• Sozialversicherungsnummer

• Biometrische Informationen

• Berufsdaten

• Bildungsinformationen

• oder auch Browserverlauf

Was nicht unter CCPA fällt

• öffentlich zugängliche Informationen, wie man sie in Regierungsunterlagen oder Zeitungsartikeln findet

• persönliche Gesundheitsinformationen – diese Daten sind nicht weniger vertraulich, werden jedoch unter Health Insurance Portability and Accountability Act (HIPAA) separat geregelt

CCPA Einhaltung: die ultimative Anleitung 2023

Um CCPA-konform zu sein, orientieren Sie sich am besten an den CCPA-Rechten, die Verbraucher*innen laut Sektion 1798.100f des California Consumer Privacy Act festgehalten sind.

Diese sind:

Recht auf Offenlegung

Kalifornische Verbraucher*innen haben das Recht, von Unternehmen offengelegt zu bekommen, welche persönlichen Daten genau erfasst sind. Eine diesbezügliche Anfrage kann von Verbraucher*innen bis zu zweimal jährlich gestellt werden. Zusätzlich muss eine Person am oder vor dem Zeitpunkt der Datenerhebung über diese Absichten informiert werden.

Das Recht auf Offenlegung/Auskunftsrecht umfasst folgende Informationen:

• Kategorien der personenbezogenen Daten

• Spezifische persönliche Informationen über das betroffene Individuum

• Zweck der Datenspeicherung

• Quelle der gespeicherten Daten

• An welche Dritten persönliche Daten weitergegeben werden

Recht auf Offenlegung gewährleisten

Um Ihre Verbraucher*innen über Ihre Datenverarbeitungsaktivitäten zu informieren, können Sie ein Pop-up-Fenster oder Banner verwenden, das erscheint, sobald eine Seite zum ersten Mal aufgerufen wird. Hier ein Beispiel für ein Cookie-Banner:

Teilen Sie Ihren Kunden mit, dass Sie Daten sammeln, zu welchem Zweck und fügen Sie auch Links mit weiteren Informationen zu Ihren CCPA-Praktiken hinzu.

Zugriffsrecht in CCPA

Nach Sektion 1798.130. CCPA müssen Sie den Verbraucher*innen zwei oder weitere Methoden zur Kontaktaufnahme zur Verfügung stellen, um Anfragen wie die Offenlegung der persönlichen Daten zu stellen. Hier müssen Sie eine kostenfreie Telefonnummer sowie Ihre Website-Adresse angeben. Wenn eine Anfrage erhoben wird, haben Sie lediglich 45 Tage Zeit, um dieser zu entsprechen.

Zugriffsrecht in CCPA einhalten

Um Verbraucher*innen die Ausübung ihrer CCPA-Rechte so einfach wie möglich zu gestalten, sollten Sie Ihre Kontaktdaten auf Ihrer Website gut sichtbar platzieren. Verlinken Sie dazu Ihr Impressum einfach im Footer:

Datenschutzrichtlinie aktuell halten

Um CCPA vollständig einzuhalten, benötigen Sie eine Datenschutzrichtlinie, die gegenwärtigen CCPA/CPRA-Regeln entspricht und mindestens alle 12 Monate aktualisiert wird. Die Datenschutzerklärung soll ausführen, dass Daten gesammelt werden und warum. Auch wie der Zugriff auf personenbezogene Daten für bestimmte Zwecke verweigert werden kann, muss in der CCPA-Datenschutzrichtlinie stehen. Vergessen Sie nicht den Hinweis, dass Sie nicht diskriminieren, sobald jemand Ihnen das Recht für Datenspeicherung entzieht.

Die Datenschutzrichtlinie können Sie als einzelne Seite Ihrer Webseite hinzufügen oder wie hier als Pop-up präsentieren:

Opt-out von Datenverkauf und Marketing

Nach dem California Consumer Privacy Act muss für die Datenverarbeitung kein Einverständnis eingeholt werden – Verbraucher*innen müssen jedoch jederzeit die Möglichkeit haben, dem Verkauf personenbezogener Daten an Dritte zu widersprechen. Dieses Recht wird Opt-out-Recht genannt. Die Opt-out-Option muss in Ihrem Online-Auftritt eine eigene Seite mit der obligatorischen Überschrift: “Do not sell my personal information/Meine personenbezogenen Daten nicht verkaufen” enthalten.

Opt-out Recht einhalten

Erstellen Sie die obligatorische Opt-out-Seite und verlinken Sie diese am besten in Ihrem Footer sowie Ihrer Datenschutzerklärung. Kürzlich hat der Generalstaatsanwalt ein einheitliches Opt-out-Symbol entwickelt, das Sie auf Ihre Webseite implementieren können: Opt-out-Sympol herunterladen.

Das hilft Ihren Verbraucher*innen zusätzlich, einen guten Überblick über Ihre Datenschutzbemühungen zu erhalten sowie ihre persönlichen CCPA-Rechte einzufordern.

Aufpassen: Das Icon ersetzt nicht die Seite zum Opt-out!

Recht auf Vergessenwerden

Kalifornische Verbraucher*innen haben das Recht, die vom Unternehmen gesammelten Daten löschen zu lassen und somit „vergessen“ zu werden. In bestimmten Fällen müssen Sie dieser Lösch-Pflicht nicht nachkommen, nämlich wenn es für Ihr Unternehmen erforderlich wäre, die angefragten Daten weiter zu pflegen, um Sicherheitsvorfälle zu erkennen, gesetzlichen Verpflichtungen nachzukommen oder Ähnliches, wie in Sektion 1798.105 beschrieben.

CCPA Recht auf Löschung einhalten

In den wenigsten Fällen können Sie sich auf eine Ausnahme berufen, sondern sind dazu verpflichtet, sämtliche Daten zu löschen – ebenfalls innerhalb von 45 Tagen, wenn Sie keine Strafzahlung riskieren wollen. Schnelles und risikofreies Handeln ist also gefordert.

Stellen Sie daher sicher, dass Ihr IT-Team genau weiß, wo persönliche Daten gespeichert sind und wie sie auf CCPA-konforme Weise zu löschen sind. Etablieren Sie Prozesse in Ihrem Unternehmen, um Daten auf einfache, schnelle und zuverlässige Weise zu löschen oder anonymisieren. Ein Tool kann an dieser Stelle hilfreich sein.

Neue Rechte nach CPRA

Seit Inkrafttreten des CPRA im Januar 2023 haben Verbraucher*innen das Recht auf Korrektur, also ungenaue Informationen über sie korrigieren zu lassen. Sämtliche wirtschaftlich angemessene Anstrengungen müssen sodann von Ihnen vorgenommen werden – wobei die Angemessenheit im Gesetzestext nicht näher bestimmt ist.

Auch für die Einhaltung dieser Gesetzespflicht ist ein Tool, welches diesen Vorgang automatisiert steuern kann, ein großer Nutzen.

Fazit: CCPA risikofrei einhalten

Wie Sie sehen, verlangen CCPA/CPRA so einiges von Ihnen. Personenbezogene Daten müssen nicht nur sicher erfasst, sondern auch so aufbewahrt werden, dass den Verbraucher*innen zu jederzeit ihre CCPA-Rechte in Anspruch nehmen können. Unser ultimativer Guide sowie die Checkliste stellen eine gute Übersicht zur CCPA-Einhaltung dar. Zusätzliche Hilfe bietet das Data Protection and Security Toolkit for Jira/Confluence. Mit dieser App können Sie sämtliche CCPA-Anforderungen spielend leicht erfüllen. Cookie-Banner oder Datenschutzrichtlinien können Sie auf dieser Weise schnell erstellen und Ihren individuellen Anforderungen anpassen, was Größe, Design, Platzierung und vieles mehr betrifft. Das verlässliche Modul Data Cleaner findet alle personenbezogenen Daten und unterstützt Sie, das komplexe Recht auf Löschung zu erfüllen.

Sparen Sie sich Zeit und Kosten und integrieren Sie diesen schlauen Helfer in Ihren Datenschutzprozess. Überzeugen Sie sich einfach selbst mit der kostenfreien Testversion!