California Consumer Privacy Act (CCPA) – häufig gestellte Fragen

Das California Consumer Privacy Act (CCPA) ist das erste umfassende Datenschutzgesetz in den Vereinigten Staaten. Es wurde Ende Juni 2018 in Kraft gesetzt und bietet den Verbrauchern in Kalifornien eine Vielzahl von Datenschutzrechten. Unternehmen, die durch den CCPA reguliert werden, haben eine Reihe von Verpflichtungen gegenüber diesen Verbrauchern, einschließlich Offenlegungen, Datenschutz-Grundverordnung (DSGVO) ähnliche Rechte für Verbraucher, ein "Opt-out" für bestimmte Datenübertragungen und eine "Opt-in"-Anforderung für Minderjährige.

Das CCPA (kalifornische Gesetz zum Schutz der Privatsphäre von Verbrauchern) gilt nur für Unternehmen, die in Kalifornien geschäftlich tätig sind und jährlich einen oder mehrere der folgenden Punkte erfüllen: (1) einen Bruttoumsatz von mehr als 25 Millionen USD erwirtschaften, (2) 50 % oder mehr ihres Jahresumsatzes aus dem Verkauf persönlicher Verbraucherinformationen erzielen oder (3) die persönlichen Informationen von mehr als 50.000 Verbrauchern kaufen, verkaufen oder weitergeben.

Das CCPA tritt am 1. Januar 2020 in Kraft. Die Vollstreckung durch die Generalstaatsanwaltschaft wird jedoch erst am 1. Juli 2020 beginnen.

Viele der Rechte des CCPA, die Den Kaliforniern gewährt werden, ähneln den Rechten, die die DSGVO bietet, einschließlich der Offenlegung und der Verbraucheranforderungen, ähnlich wie Anträge betroffener Personen (DSR), wie Zugriff, Löschung und Portabilität. Somit kann der Kunde auf unsere bestehenden DSGVO-Lösungen zurückgreifen, um sie bei der CCPA-Compliance zu unterstützen.

Um Ihren Weg durch das CCPA zu beginnen, sollten Sie sich auf fünf wichtige Schritte konzentrieren:

• Entdecken: Herausfinden, welche pesönlichen Informationen Sie haben und wo sie sich befinden.
• Zuordnen: Bestimmen Sie, wie Sie persönliche Informationen an Drittanbieter weitergeben und ob der Dritte einer Ausnahme von den Opt-out-Anforderungen des CCPA unterworfen ist.
• Verwalten: Legen Sie fest, wie die Daten genutzt werden und wie darauf zugegriffen wird.
• Schützen: Richten Sie Sicherheitskontrollen ein, um Schwachstellen und Datenschutzverletzungen zu verhindern, zu erkennen und darauf zu reagieren.
• Dokumentieren: Dokumentieren Sie ein Reaktionsprogramm gegen Datenverstöße und stellen Sie sicher, dass Ihre Verträge mit geeigneten Dritten in der Lage sind, die Vorteile der Opt-out-Ausnahmen zu nutzen.

Sie müssen wissen, was die spezifischen Verpflichtungen Ihrer organization im Rahmen des CCPA sind und wie Sie diese erfüllen, obwohl Microsoft Ihnen auf Ihrer Reise helfen kann.

Das CCPA verlangt von regulierten Unternehmen, die persönliche Informationen erheben, verwenden, übertragen und verkaufen unter anderem:

• Den Verbrauchern vor der Erfassung Informationen über die Kategorien und Zwecke der Erfassung zur Verfügung zu stellen.
• Detaillierte Angaben in einer Datenschutzrichtlinie zu den Quellen, Geschäftszwecken und Kategorien der erfassten persönlichen Informationen, einschließlich der Frage, wie diese Kategorien verkauft oder an andere Unternehmen übertragen werden.
• Aktivieren Sie den Verbrauchern Rechte in Bezug auf den Zugriff, die Löschung und die Übertragbarkeit der spezifischen persönlichen Informationen, die von Ihnen erfasst wurden.
• Aktivieren Sie ein Steuerelement, das es Verbrauchern ermöglicht, den "Verkauf" der Daten des Verbrauchers zu deaktivieren. Bestimmte Übertragungen, wie z. B. Übertragungen an Dienstanbieter, bleiben jedoch zulässig.
• Für Minderjährige unter 16 Jahren aktivieren Sie einen Opt-In-Prozess, damit kein Verkauf der persönlichen Informationen des Minderjährigen erfolgen kann, ohne sich aktiv für den Verkauf zu entscheiden.
• Stellen Sie sicher, dass die Verbraucher nicht wegen der Ausübung ihrer Rechte aus dem CCPA diskriminiert werden.

Das CCPA verlangt die Offenlegung der folgenden Punkte:

• Kategorien von persönlichen Informationen des Verbrauchers, die erfasst wurden.
• Kategorien von Quellen, die bei der Erfassung verwendet wurden.
• Die geschäftlichen oder kommerziellen Zwecke der Erfassung.
• Die Kategorien von Dritten, mit denen die personenbezogenen Daten "geteilt" werden.
• Kategorien von personenbezogenen Daten, die "verkauft" wurden, und die Kategorien von "Dritten", an die jede Kategorie personenbezogener Daten verkauft wurde.
• Kategorien von personenbezogenen Daten, die "für einen Geschäftszweck offengelegt wurden" (d. h. übertragen, aber nicht als "Verkauf") und die Kategorien von "Dritten", an die jede Kategorie von personenbezogenen Daten übertragen wurde.
• Die spezifischen personenbezogenen Daten, die über diesen Verbraucher erfasst wurden.

Die Definition von "Verkaufen" im CCPA ist unglaublich weit gefasst, einschließlich der "Bereitstellung personenbezogener Informationen für Einen Dritten für geld- oder andere wertvolle Gegenleistung". Hat sich ein Verbraucher für das "Opt-out" entscheiden, muss das Unternehmen den Fluss personenbezogener Informationen an Dritte deaktivieren.

Der CCPA bietet eine Reihe von Carve-Outs für dieses "Verkauf"-Opt-Out-Steuerelement. Bei den drei Hauptverlagerungen handelt es sich um Übertragungen (i) an einen Dienstanbieter, (ii) an eine "ausgenommene Einrichtung" oder "Auftragnehmer" und (iii) auf Anweisung des Verbrauchers. Selbst wenn ein Verbraucher sich für das "Opt-out" entscheidet, können personenbezogene Daten weiterhin an Dritte übertragen werden, die in diese Carve-outs passen.

Um die ersten beiden Ausnahmen in Anspruch nehmen zu können, müssen die Unternehmen sicherstellen, dass die Datenübertragung durch schriftliche Verträge geregelt ist, welche die vom CCPA geforderten besonderen Bedingungen enthalten.

Im Zusammenhang mit CCPA sind Unternehmen einzelpersonen oder juristische Personen, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten des Verbrauchers bestimmen, und Dienstanbieter sind Einzelpersonen oder Organisationen, die Informationen im Auftrag eines Unternehmens verarbeiten. Diese sind weitgehend gleichbedeutend mit den Begriffen Verantwortliche und Auftragsverarbeiter, die in der DSGVO verwendet werden.

Das private Klagerecht im CCPA beschränkt sich auf Datenverstöße. Im Rahmen des privaten Klagerechts kann der Schaden zwischen $ 100 und $ 750 pro Vorfall und Verbraucher liegen. Die California AG kann das CCPA auch in ihrer Gesamtheit durchsetzen, mit der Möglichkeit, eine Zivilstrafe von nicht mehr als $ 2.500 pro Verstoß oder $ 7.500 pro vorsätzlichem Verstoß zu erheben.

Da Microsoft DSGVO-bezogene DSRs weltweit implementiert hat, sind wir derzeit hervorragend positioniert, um die damit verbundenen CCPA-Anforderungen zu erfüllen. Wir haben auch unsere Drittanbieter-Vereinbarungen zur Datenfreigabe überprüft und Schritte unternommen, um festzustellen, dass die erforderlichen Vertragsbedingungen vorhanden sind, um sicherzustellen, dass wir personenbezogene Daten nicht "verkaufen".

• Nutzen Sie die DSGVO-Bewertung im Compliance-Manager als Teil Ihres CCPA-Datenschutzprogramms.
• Richten Sie einen Prozess ein, um effizient auf Verbraucheranfragen zu reagieren.
• Richten Sie Bezeichnungen und Richtlinien ein, um vertrauliche Daten mit & Microsoft Purview Information Protection zu ermitteln, zu klassifizieren und zu schützen.
• Verwenden Sie E-Mail-Verschlüsselungsfunktionen, um vertrauliche Informationen weiter zu kontrollieren.
• Erfahren Sie mehr in diesem Blogbeitrag.

Es gibt viele Unterschiede. Es ist einfacher, sich auf die Ähnlichkeiten zu konzentrieren, einschließlich:

• Transparenz- und Offenlegungspflichten.
• Das Recht der Verbraucher auf Zugang, Löschung und Erhalt einer Kopie der Daten.
• Definition von "Dienstleistern", die mit der Definition von "Auftragsverarbeitern" mit einer ähnlichen vertraglichen Verpflichtung in der DSGVO vergleichbar ist.
• Definition von "Unternehmen", die die DSGVO-Definition von "Verantwortlichen" umfasst.

Der größte Unterschied in CCPA ist die Kernanforderung, um eine Abmeldung vom Verkauf von Daten an Dritte zu ermöglichen (wobei "Verkauf" allgemein so definiert ist, dass er die Freigabe von Daten für wertvolle Überlegungen umfasst). Dies ist eine engere und spezifischere Verpflichtung als das breite Recht der DSGVO, der Verarbeitung zu widersprechen, das diese Art von "Verkauf" umfasst, aber nicht speziell auf diese Art der Freigabe beschränkt ist.

Ein Verantwortlicher ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Ein Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, welche personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Persönliche Informationen sind alle Informationen, die eine identifizierte oder identifizierbare Person betreffen. Es wird nicht zwischen privaten, öffentlichen oder beruflichen Rollen einer Person unterschieden. Der definierte Begriff "personenbezogene Informationen" entspricht in etwa "personenbezogenen Daten" unter der DSGVO. Allerdings umfasst das CCPA auch Familien- und Haushaltsdaten.

Beispiele für personenbezogene Daten:

Identität

• Name
• Private Adresse
• Geschäftliche Adresse
• Telefonnummer
• Mobiltelefonnummer
• E-Mail-Adresse
• Reisepassnummer
• Personalausweisnummer
• Sozialversicherungsnummer (oder ähnlich)
• Führerschein
• Physische, physiologische oder genetische Informationen
• Medizinische Informationen
• Kulturelle Identität

Finanzen

• Bankverbindung/Kontonummern
• Steuernummer
• Kreditkartennummer/EC-Kartennummer
• Beiträge in sozialen Netzwerken

Onlineartefakte

• Beiträge in sozialen Netzwerken
• IP-Adresse (EU-Raum)
• Standort/GPS-Daten
• Cookies

• CCPA führt elterliche Zustimmungsverpflichtungen im Einklang mit dem Children's Online Privacy Protection Act (COPPA) für Kinder unter 13 Jahren ein.
• Für Kinder zwischen 13 und 16 Jahren erzwingt CCPA eine neue Verpflichtung, die Zustimmung des Kindes für jeden "Verkauf" seiner persönlichen Daten einzuholen.

Im Oktober 2019 wurden eine Reihe von Änderungen an den CCPA übergeben. In einer Änderung wurde klargestellt, dass die CCPA-Verpflichtungen nicht für die persönlichen Informationen von Mitarbeitern des Unternehmens gelten. Allerdings haben die Gesetzgeber eine einjährige Befristung auf diese Ausnahmeregelung gesetzt. Wir gehen davon aus, dass Kalifornien im Jahr 2020 ein neues Datenschutzgesetz für Mitarbeiter einführen wird.  

Nein Als Anbieter von Onlinedienste unternehmen wir Maßnahmen, um sicherzustellen, dass wir als "Service Provider" im Rahmen des CCPA qualifiziert sind. Wie vorstehend erwähnt, ist die Übertragung persönlicher Informationen an Dienstanbieter zulässig, auch wenn ein Verbraucher sich entschieden hat, dies nicht zu tun.