Wir haben unser Atlassian Lizenzierungs- und Beratungsgeschäft mit dem unseres Partners Seibert Group zusammengeführt. Die Actonic Apps werden weiterhin von demselben engagierten Team wie bisher entwickelt.

So erfüllen Sie die CCPA Vorschriften: ultimativer Guide für 2023


CCPA-Einhaltung

Das ist wahrscheinlich nicht Ihr Lieblingswort. Schließlich sind CCPA und CPRA sowie Datenschutzrichtlinien generell äußerst komplex. Und sobald man sich in die Themen halbwegs eingearbeitet hat, kommt gefühlt wieder eine Änderung. Die Einhaltung der Datenschutzgesetze kann demnach ganz schön anstrengend und zeitaufwendig sein – muss jedoch erfüllt werden, wenn Sie nicht Bußgelder in Höhe von 7500 US-Dollar pro Verstoß in Kauf nehmen wollen.

Keine Sorge. Wir haben eine übersichtliche Anleitung zur CCPA-Einhaltung erstellt. Folgen Sie diesen Schritten und die Compliance ist Ihnen sicher.

Am Ende wartet eine tolle Checkliste auf Sie!

CCPA, CPRA, was ist das überhaupt?

CCPA steht für: California Consumer Privacy Act und bezeichnet ein Datenschutzgesetz, welches die Rechte von kalifornischen Verbraucher*innen vereinheitlicht. Wie bei der DSGVO gilt hier das Marktortsprinzip, was bedeutet, dass der CCPA in bestimmten Fällen auch europäische Unternehmen betrifft. Sobald Sie ein gewinnorientiertes Unternehmen leiten, das Daten von Bürger*innen Kaliforniens sammelt, verarbeitet oder verkauft, kann es sein, dass Sie den CCPA einhalten müssen, wenn Sie einige weitere Kriterien erfüllen.

Seit dem 1. Januar 2023 wurde der CCPA um den CPRA (California Privacy Rights Act) ergänzt. Über die wichtigen Änderungen des CCPA im Jahr 2023 haben wir Sie bereits informiert.

Wichtig an dieser Stelle ist für Sie, dass die Verbraucher*innen durch CPRA neue Rechte haben, wie das Recht, ungenaue Informationen zu korrigieren.

Welche Daten von CCPA (nicht) betroffen sind

CCPA definiert in Sektion 1798.140. (o) (1) genau, welche persönlichen Daten, oder auch persönlich identifizierbaren Informationen (PII) betroffen sind und welche nicht.

Die üblichen Verdächtigen, die Sie unbedingt beachten müssen, sind unter anderem:

  • Name, Anschrift, E-Mail-Adresse

  • Sozialversicherungsnummer

  • Biometrische Informationen

  • Berufsdaten

  • Bildungsinformationen

  • oder auch Browserverlauf

Was nicht unter CCPA fällt

CCPA Einhaltung: die ultimative Anleitung 2023

Um CCPA-konform zu sein, orientieren Sie sich am besten an den CCPA-Rechten, die Verbraucher*innen laut Sektion 1798.100f des California Consumer Privacy Act festgehalten sind.

Diese sind:

Recht auf Offenlegung

Kalifornische Verbraucher*innen haben das Recht, von Unternehmen offengelegt zu bekommen, welche persönlichen Daten genau erfasst sind. Eine diesbezügliche Anfrage kann von Verbraucher*innen bis zu zweimal jährlich gestellt werden. Zusätzlich muss eine Person am oder vor dem Zeitpunkt der Datenerhebung über diese Absichten informiert werden.

Das Recht auf Offenlegung/Auskunftsrecht umfasst folgende Informationen:

  • Kategorien der personenbezogenen Daten

  • Spezifische persönliche Informationen über das betroffene Individuum

  • Zweck der Datenspeicherung

  • Quelle der gespeicherten Daten

  • An welche Dritten persönliche Daten weitergegeben werden

Recht auf Offenlegung gewährleisten

Um Ihre Verbraucher*innen über Ihre Datenverarbeitungsaktivitäten zu informieren, können Sie ein Pop-up-Fenster oder Banner verwenden, das erscheint, sobald eine Seite zum ersten Mal aufgerufen wird. Hier ein Beispiel für ein Cookie-Banner:

Teilen Sie Ihren Kunden mit, dass Sie Daten sammeln, zu welchem Zweck und fügen Sie auch Links mit weiteren Informationen zu Ihren CCPA-Praktiken hinzu.

Wichtig! Bedenken Sie die CPRA-Änderungen ab dem 1. Januar 2023. Was letztes Jahr noch funktioniert hat, ist dieses Jahr wahrscheinlich veraltet.

Zugriffsrecht in CCPA

Nach Sektion 1798.130. CCPA müssen Sie den Verbraucher*innen zwei oder weitere Methoden zur Kontaktaufnahme zur Verfügung stellen, um Anfragen wie die Offenlegung der persönlichen Daten zu stellen. Hier müssen Sie eine kostenfreie Telefonnummer sowie Ihre Website-Adresse angeben. Wenn eine Anfrage erhoben wird, haben Sie lediglich 45 Tage Zeit, um dieser zu entsprechen.

Zugriffsrecht in CCPA einhalten

Um Verbraucher*innen die Ausübung ihrer CCPA-Rechte so einfach wie möglich zu gestalten, sollten Sie Ihre Kontaktdaten auf Ihrer Website gut sichtbar platzieren. Verlinken Sie dazu Ihr Impressum einfach im Footer:

Datenschutzrichtlinie aktuell halten

Um CCPA vollständig einzuhalten, benötigen Sie eine Datenschutzrichtlinie, die gegenwärtigen CCPA/CPRA-Regeln entspricht und mindestens alle 12 Monate aktualisiert wird. Die Datenschutzerklärung soll ausführen, dass Daten gesammelt werden und warum. Auch wie der Zugriff auf personenbezogene Daten für bestimmte Zwecke verweigert werden kann, muss in der CCPA-Datenschutzrichtlinie stehen. Vergessen Sie nicht den Hinweis, dass Sie nicht diskriminieren, sobald jemand Ihnen das Recht für Datenspeicherung entzieht.

Die Datenschutzrichtlinie können Sie als einzelne Seite Ihrer Webseite hinzufügen oder wie hier als Pop-up präsentieren:

Damit Ihre Datenschutzrichtlinie auf dem neusten Stand ist, sollten Sie zuerst eine CCPA-Gap-Bewertung durchführen lassen. Holen Sie sich hier am besten Unterstützung von Profis wie unserem Datenschutz-Compliance-Service.

Opt-out von Datenverkauf und Marketing

Nach dem California Consumer Privacy Act muss für die Datenverarbeitung kein Einverständnis eingeholt werden – Verbraucher*innen müssen jedoch jederzeit die Möglichkeit haben, dem Verkauf personenbezogener Daten an Dritte zu widersprechen. Dieses Recht wird Opt-out-Recht genannt. Die Opt-out-Option muss in Ihrem Online-Auftritt eine eigene Seite mit der obligatorischen Überschrift: “Do not sell my personal information/Meine personenbezogenen Daten nicht verkaufen” enthalten.

Opt-out Recht einhalten

Erstellen Sie die obligatorische Opt-out-Seite und verlinken Sie diese am besten in Ihrem Footer sowie Ihrer Datenschutzerklärung. Kürzlich hat der Generalstaatsanwalt ein einheitliches Opt-out-Symbol entwickelt, das Sie auf Ihre Webseite implementieren können: Opt-out-Sympol herunterladen.

https://oag.ca.gov/privacy/ccpa/icons-download

Das hilft Ihren Verbraucher*innen zusätzlich, einen guten Überblick über Ihre Datenschutzbemühungen zu erhalten sowie ihre persönlichen CCPA-Rechte einzufordern.

Aufpassen: Das Icon ersetzt nicht die Seite zum Opt-out!

Recht auf Vergessenwerden

Kalifornische Verbraucher*innen haben das Recht, die vom Unternehmen gesammelten Daten löschen zu lassen und somit „vergessen“ zu werden. In bestimmten Fällen müssen Sie dieser Lösch-Pflicht nicht nachkommen, nämlich wenn es für Ihr Unternehmen erforderlich wäre, die angefragten Daten weiter zu pflegen, um Sicherheitsvorfälle zu erkennen, gesetzlichen Verpflichtungen nachzukommen oder Ähnliches, wie in Sektion 1798.105 beschrieben.

CCPA Recht auf Löschung einhalten

In den wenigsten Fällen können Sie sich auf eine Ausnahme berufen, sondern sind dazu verpflichtet, sämtliche Daten zu löschen – ebenfalls innerhalb von 45 Tagen, wenn Sie keine Strafzahlung riskieren wollen. Schnelles und risikofreies Handeln ist also gefordert.

Stellen Sie daher sicher, dass Ihr IT-Team genau weiß, wo persönliche Daten gespeichert sind und wie sie auf CCPA-konforme Weise zu löschen sind. Etablieren Sie Prozesse in Ihrem Unternehmen, um Daten auf einfache, schnelle und zuverlässige Weise zu löschen oder anonymisieren. Ein Tool kann an dieser Stelle hilfreich sein.

Neue Rechte nach CPRA

Seit Inkrafttreten des CPRA im Januar 2023 haben Verbraucher*innen das Recht auf Korrektur, also ungenaue Informationen über sie korrigieren zu lassen. Sämtliche wirtschaftlich angemessene Anstrengungen müssen sodann von Ihnen vorgenommen werden – wobei die Angemessenheit im Gesetzestext nicht näher bestimmt ist.

Auch für die Einhaltung dieser Gesetzespflicht ist ein Tool, welches diesen Vorgang automatisiert steuern kann, ein großer Nutzen.

Ihre ultimative Checkliste für die CCPA-Compliance 2023

An alles gedacht? Checken Sie Ihre CCPA-Einhaltung einfach anhand dieser Liste:

  • Datenschutzrichtlinie erstellen und mindestens einmal jährlich aktualisieren
  • Verbraucher*innen über ihre Rechte informieren
    • Welche Daten gespeichert werden
    • Zu welchem Zweck
    • Mit wem sie geteilt werden
  • Spätestens zum Zeitpunkt der Datenverarbeitung darüber informieren
  • Kund*innenanfragen so schnell wie möglich beantworten
  • Mehrere Kontaktmöglichkeiten auf Ihrer Webseite bereitstellen
  • Erstellen Sie eine Seite „Meine personenbezogenen Daten nicht verkaufen“

Fazit: CCPA risikofrei einhalten

Wie Sie sehen, verlangen CCPA/CPRA so einiges von Ihnen. Personenbezogene Daten müssen nicht nur sicher erfasst, sondern auch so aufbewahrt werden, dass den Verbraucher*innen zu jederzeit ihre CCPA-Rechte in Anspruch nehmen können. Unser ultimativer Guide sowie die Checkliste stellen eine gute Übersicht zur CCPA-Einhaltung dar. Zusätzliche Hilfe bietet das Data Protection and Security Toolkit for Jira/Confluence. Mit dieser App können Sie sämtliche CCPA-Anforderungen spielend leicht erfüllen. Cookie-Banner oder Datenschutzrichtlinien können Sie auf dieser Weise schnell erstellen und Ihren individuellen Anforderungen anpassen, was Größe, Design, Platzierung und vieles mehr betrifft. Das verlässliche Modul Data Cleaner findet alle personenbezogenen Daten und unterstützt Sie, das komplexe Recht auf Löschung zu erfüllen.

Sparen Sie sich Zeit und Kosten und integrieren Sie diesen schlauen Helfer in Ihren Datenschutzprozess. Überzeugen Sie sich einfach selbst mit der kostenfreien Testversion!

Antworten auf alle ihre Fragen

  • Persönliche Daten einfach verwalten
  • Risikofreier Datenschutz
  • Auch für DSGVO, HIPAA, LGPD, etc.
Gratis Demo buchenTest starten

Wie hilfreich war dieser Beitrag?

Klicke auf die Sterne um zu bewerten!

Durchschnittliche Bewertung 5 / 5. Anzahl Bewertungen: 2

Bisher keine Bewertungen! Sei der Erste, der diesen Beitrag bewertet.