Wichtige Dinge, die jede Marke über CCPA wissen sollte
Veröffentlicht: 2019-12-21Im Jahr 2018 hat die Durchsetzung der Europäischen Datenschutz-Grundverordnung (DSGVO) die Datenschutzlandschaft für Unternehmen in ganz Europa und weltweit verändert – und den Datenschutz und die Sicherheit von Verbraucherdaten zu einem wesentlichen Thema für alle gemacht, denen die Kundenbindung am Herzen liegt.
Da der California Consumer Privacy Act (CCPA) voraussichtlich am 1. Januar 2020 in Kraft treten soll, ist die durch die DSGVO ausgelöste Datenschutzrevolution für amerikanische Unternehmen nach Hause gekommen. Diese neue Gesetzgebung ist ein großes Thema und kann für Marken beängstigend sein – insbesondere für diejenigen, die noch nicht mit der Arbeit begonnen haben, um konform zu werden. Obwohl Braze weder unseren Kunden noch anderen Personen Rechtsberatung bieten kann, können wir Sie durch einige der wichtigsten Dinge führen, über die Sie nachdenken müssen, wenn es um CCPA und den Datenschutz im Allgemeinen geht. Lesen Sie weiter, um auf dem Laufenden zu bleiben:
Die Grundlagen
Was ist CCPA?
CCPA steht für den California Consumer Privacy Act, der ursprünglich im Juni 2018 von der kalifornischen Landesregierung verabschiedet wurde. Das Gesetz schafft neue Datenschutz- und Verbraucherschutzmaßnahmen für Personen mit Wohnsitz in Kalifornien. Die Durchsetzung des CCPA beginnt am 1. Januar 2020.
Warum hat Kalifornien den CCPA bestanden?
Im Jahr 2018 schlug eine Interessenvertretung namens „Californians for Consumer Privacy“ nach einer Reihe von Datenschutzvorfällen – einschließlich des Cambridge-Analytica-Skandals – eine staatliche Wahlinitiative vor, die ein extrem strenges neues Verbraucherschutzgesetz eingeführt hätte, wenn es von den Wählern angenommen worden wäre.
Um diesen Bemühungen zuvorzukommen, führte die kalifornische Legislative CCPA ein und verabschiedete es, was die kalifornischen Verbraucherschutzbeauftragten dazu veranlasste, ihre Initiative zurückzuziehen. Während CCPA in den Vereinigten Staaten in Bezug auf die Datenschutzrechte von Verbrauchern als bahnbrechend angesehen wird, enthält es weniger strenge Anforderungen als die vorgeschlagene Initiative.
Welche Rechte haben Einwohner Kaliforniens gemäß CCPA?
Gemäß CCPA haben Einwohner Kaliforniens das Recht zu erfahren, wer ihre personenbezogenen Daten (PI) sammelt und was mit diesen Daten geschieht, und sie haben das Recht, auf die Daten zuzugreifen, sie löschen zu lassen, den „Verkauf“ abzulehnen ” ihrer personenbezogenen Daten und alle diese Rechte ohne Diskriminierung auszuüben – das heißt, ihnen können Vorteile oder Rechte nicht vorenthalten werden, die Personen gewährt werden, die sich nicht abmelden.
Gilt der CCPA für Organisationen, die ihren Sitz außerhalb von Kalifornien haben?
Das Gesetz gilt für alle Organisationen, die in Kalifornien Geschäfte mit einem Umsatz von 25 Millionen US-Dollar oder mehr tätigen, sowie für Unternehmen, die Daten von 50.000 oder mehr Einwohnern Kaliforniens sammeln oder mindestens 50 % ihrer Einnahmen aus dem „Verkauf“ personenbezogener Daten erzielen. Dazu gehören wahrscheinlich die meisten Unternehmen mit Sitz im Bundesstaat sowie viele US-amerikanische und internationale Organisationen mit Zielgruppen, zu denen auch Einwohner Kaliforniens gehören.
CCPA und Daten
Welche Daten werden durch CCPA geregelt?
CCPA deckt nur die Erfassung, den Verkauf und die Offenlegung von „personenbezogenen Daten“ im Zusammenhang mit einem Geschäftszweck ab. Da es jedoch mit dem Ziel verabschiedet wurde, auf die riesigen Datenmengen abzuzielen, die von Social-Media-Unternehmen, Datenbrokern und verhaltensorientierten Online-Werbetreibenden verarbeitet werden, hat es eine Reihe strenger Anforderungen, die ihm eine weitreichende Wirkung verleihen.
Unter CCPA umfasst PI alles, was eine Person identifizieren kann – Name, Adresse, E-Mail, Bankkontonummer, Geburtsdatum, biometrische Informationen, Fingerabdrücke usw. – sowie Haushaltsdaten, Audio-, Wärme- und Geruchsinformationen. Daher macht die Definition von PI unter CCPA dies wohl zu einem der umfassendsten Gesetze der Welt in Bezug auf Datenschutzrechte.
Welche Informationen müssen Marken gegenüber Kunden gemäß CCPA offenlegen?
CCPA enthält detaillierte Offenlegungsanforderungen, die jedes Jahr aktualisiert werden müssen; Unternehmen müssen die PI offenlegen, die sie in den letzten 12 Monaten für geschäftliche Zwecke gesammelt, „verkauft“ und offengelegt haben, und sicherstellen, dass Einwohner Kaliforniens Offenlegungs-, Zugriffs- und Opt-out-Rechte haben, wenn es um ihre persönlichen Daten geht. Organisationen müssen außerdem die Kategorien der von ihnen erfassten personenbezogenen Daten und den Zweck der Erfassung dieser Informationen erläutern – und zwar zum Zeitpunkt der Erfassung, unabhängig davon, ob es sich um eine Website, eine Veranstaltung oder etwas anderes handelt.
Wie definiert CCPA „Verkaufen“?
CCPA definiert „Verkaufen“ sehr breit und deckt Aktivitäten ab, die nur wenige Menschen mit dem Verkauf von Daten in Verbindung bringen würden. Unter CCPA bezieht sich der Verkauf nicht nur auf die Übertragung personenbezogener Daten gegen Geld – das Gesetz betrachtet den Verkauf auch als „Vermieten, Freigeben, Offenlegen, Verbreiten, Verfügbarmachen, Übertragen oder anderweitiges mündliches, schriftliches, oder auf elektronischem oder anderem Wege die persönlichen Daten eines Verbrauchers durch das Unternehmen an ein anderes Unternehmen oder einen Dritten gegen Geld oder eine andere wertvolle Gegenleistung weitergeben .
Da das Gesetz keine „sonstige Gegenleistung“ definiert und die Definition von „Verkauf“ das Teilen von Daten umfasst, müssen viele Marken, die keine Daten (im umgangssprachlichen Sinne des Wortes) verkaufen, möglicherweise handeln obwohl sie es tun, um das Gesetz einzuhalten. „Andere wertvolle Gegenleistung“ bedeutet jeglichen Wert. Wenn also personenbezogene Daten an Dritte weitergegeben werden und dies für beide Parteien einen Wert hat, handelt es sich möglicherweise um einen „Verkauf“ gemäß CCPA – und das ist einer davon Gründe dafür, dass der CCPA als eines der umfassendsten Datenschutzgesetze der Welt gilt.
Gibt es besondere Anforderungen für Marken, die gemäß CCPA personenbezogene Daten „verkaufen“?
Wenn ein Unternehmen die PI eines in Kalifornien ansässigen Personen gemäß CCPA „verkauft“, muss diese Organisation auf ihrer Website einen gut sichtbaren Link „Meine personenbezogenen Daten nicht verkaufen“ einfügen, der es Einzelpersonen ermöglicht, den „Verkauf“ ihrer personenbezogenen Daten abzulehnen Information. Marken, die dies nicht tun, müssen mit möglichen Bußgeldern und anderen Strafen rechnen.
Hat CCPA Regeln zum Sammeln von Informationen von Minderjährigen?
CCPA erlaubt Erwachsenen, sich von der Datenerfassung abzumelden, und verbietet es Unternehmen, für mindestens 12 Monate nach dieser Abmeldung erneut um Erlaubnis zur Erfassung ihrer Daten zu bitten. Für Kinder unter 16 Jahren sind die Regeln jedoch deutlich strenger und erfordern ein Opt-in für die Erfassung ihrer persönlichen Daten. Und für Kinder unter 12 Jahren können ohne Zustimmung der Eltern keine personenbezogenen Daten erhoben werden (z. B. müssen sich die Eltern oder ein anderer Vormund für das Kind anmelden).
Gilt der CCPA für Daten, die vor der Verabschiedung des Gesetzes erhoben wurden?
Wenn ein Unternehmen, das dem CCPA unterliegt, personenbezogene Daten erhebt, muss dieses Unternehmen die CCPA-Anforderungen erfüllen, selbst wenn die Daten vor dem Datum des 1. Januar 2020 zur Durchsetzung des CCPA erfasst wurden. Dies bedeutet, dass ein Verbraucher mit Wohnsitz in Kalifornien alle seine Rechte in Bezug auf seine personenbezogenen Daten ausüben kann – zum Beispiel kann dieser Verbraucher Ihre Marke bitten, Daten zu löschen, die Sie vor fünf Jahren über sie gesammelt haben, und gemäß CCPA wäre Ihre Marke dazu verpflichtet tun Sie dies.
CCPA-Durchsetzung
Wann ist die Durchsetzungsfrist für CCPA?
Obwohl der CCPA ursprünglich im Juni 2018 verabschiedet wurde, wurde Organisationen bis zum 1. Januar 2020 Zeit gegeben, bevor sie das Gesetz einhalten mussten.
Welche Strafen drohen bei Nichteinhaltung des CCPA?
Der Generalstaatsanwalt von Kalifornien ist befugt, Organisationen wegen eines Verstoßes gegen den CCPA mit einer Geldstrafe von bis zu 2.500 US-Dollar zu belegen; Diese Organisationen haben jedoch 30 Tage Zeit, um auf eine Mitteilung über die Nichteinhaltung zu reagieren, und werden nicht mit einer Geldstrafe belegt, wenn sie das Problem innerhalb dieses Zeitraums angehen. Eine wichtige Sache, die Sie verstehen sollten: Diese Bußgelder gelten für jeden einzelnen Verstoß. Wenn also 100 Personen von dem Verstoß betroffen sind, würde das potenzielle Bußgeld 250.000 US-Dollar betragen, anstatt 2.500 US-Dollar. Darüber hinaus können Geldbußen von bis zu 7.500 US-Dollar pro Verstoß verhängt werden, wenn festgestellt wird, dass die Nichteinhaltung vorsätzlich ist, was das Potenzial für erhebliche finanzielle Auswirkungen für Marken noch weiter erhöht.
CCPA ermöglicht es auch einzelnen Einwohnern Kaliforniens, Beschwerden gegen Organisationen einzureichen, von denen sie glauben, dass sie gegen das Gesetz verstoßen, mit potenziellen Auszahlungen von bis zu 750 US-Dollar pro Person.
Darüber hinaus gibt es ein privates Klagerecht gemäß CCPA – was bedeutet, dass eine Person eine Klage erheben kann, wenn die Person der Meinung ist, dass ein Unternehmen die Sicherheitsanforderungen des CCPA nicht erfüllt hat und es eine Datenschutzverletzung in Bezug auf die personenbezogenen Daten dieser Person gegeben hat. Dieses individuelle Klagerecht kann zu Sammelklagen führen, eine besonders ernüchternde Möglichkeit im streitigen Umfeld Kaliforniens, wo es theoretisch eine Reihe von Anwälten der Kläger gibt, die gespannt auf die Gelegenheit warten, diese Art von Klagen einzureichen und riesige Entschädigungen zurückzufordern im Namen einer großen Klasse von Klägern. Die Entschädigungen können den tatsächlich erlittenen Schaden übersteigen, was diese Möglichkeit für Unternehmen, die dem CCPA unterliegen, besonders beängstigend macht. Darüber hinaus erwägen vorgeschlagene Vorschriften, die derzeit geprüft werden, die Einführung eines privaten Klagerechts für alle Verstöße gegen den CCPA, anstatt sie nur zuzulassen, wenn gegen die Sicherheitsanforderungen des Gesetzes verstoßen wurde.
Wo sollten Unternehmen bei der CCPA-Compliance ansetzen?
Organisationen sollten sicherstellen, dass sie die entsprechenden Angaben auf ihrer Website und an allen Stellen der Erfassung personenbezogener Daten von Einwohnern Kaliforniens machen. Sie sollten in der Lage sein, allen CCPA-Anforderungen nachzukommen, und wenn davon ausgegangen wird, dass sie personenbezogene Daten von Einwohnern Kaliforniens „verkaufen“, sollten sie auf ihrer Website deutlich sichtbar eine Schaltfläche „Meine Daten nicht verkaufen“ einfügen.
Organisationen, die bereits GDPR-konform sind, sind auf dem besten Weg zur CCPA-Compliance, aber die Anforderungen der beiden Gesetze sind nicht identisch, und Unternehmen werden ermutigt, den Rat ihrer vertrauenswürdigen Berater einzuholen, um sicherzustellen, dass sie alles Notwendige getan haben, um dies sicherzustellen vor dem 1. Januar 2020 die Anforderungen des CCPA erfüllen.
CCPA und DSGVO
Wie unterscheiden sich CCPA und DSGVO?
Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union wurde 2016 verabschiedet und war inspiriert von der impliziten Überzeugung in weiten Teilen Europas, dass Einzelpersonen dort ein Grundrecht auf Kontrolle über ihre eigenen personenbezogenen Daten besitzen. CCPA hingegen folgte aus der Überzeugung, dass der Staat Kalifornien beim Schutz der Privatsphäre seiner Einwohner und beim Schutz vor dem Missbrauch von personenbezogenen Daten (einschließlich Identitätsdiebstahl, Finanzbetrug, Rufschädigung, Belästigung usw.) .
Während sich die DSGVO angesichts dieser Unterschiede in erster Linie darauf konzentrierte, das Eigentum und die Kontrolle personenbezogener Daten durch jede betroffene Person sicherzustellen, konzentrierte sich CCPA darauf, die Fähigkeit von Online-Unternehmen ins Visier zu nehmen, Transaktionen mit großen Mengen personenbezogener Daten ohne das Wissen und die Zustimmung der Einwohner Kaliforniens durchzuführen. Das heißt, die DSGVO gilt für alle Aktivitäten, die mit der Verarbeitung personenbezogener Daten verbunden sind – einschließlich Speicherung, Zugriff und Übertragung von Daten. CCPA gilt jedoch nur für die Erfassung, den „Verkauf“ und die Offenlegung personenbezogener Daten für geschäftliche Zwecke.
Inwiefern ergänzen sich CCPA und DSGVO?
Sowohl der CCPA als auch die DSGVO verlangen von Organisationen, die personenbezogene Daten von Einzelpersonen sammeln, dass sie offenlegen, was sie mit diesen personenbezogenen Daten tun werden, und beide Gesetze sehen eine Reihe ähnlicher Rechte für Dritte in Bezug auf ihre eigenen personenbezogenen Daten vor. Darüber hinaus erfordern beide Gesetze die Zustimmung, Transparenz und Kontrolle von Einzelpersonen über ihre eigenen persönlichen Daten, und beide Gesetze verhängen Geldstrafen, wenn sie ihren Anforderungen nicht nachkommen.
Wird erwartet, dass sich Unterschiede im regulatorischen Umfeld zwischen der EU und Kalifornien auf die Durchsetzung des CCPA bzw. der DSGVO auswirken?
Da Kalifornien ein wesentlich streitigeres Umfeld als die Europäische Union ist und erwartet wird, dass die Regulierungsbehörden in Kalifornien versuchen werden, das Gesetz ab dem neuen Jahr strikt durchzusetzen, ist es wahrscheinlich, dass mehr Organisationen wegen Nichteinhaltung des CCPA mit Geldstrafen belegt werden als zu Beginn der DSGVO-Durchsetzung. Angesichts dessen gehen Unternehmen, die lieber abwarten als sich aggressiv für die Einhaltung des CCPA einzusetzen, wahrscheinlich ein ernsthaftes Risiko ein.