Was ist CCPA?

Die California Consumer Privacy Act (CCPA) Ein Gesetz des Staates Kalifornien, das die Datenschutzrechte der Verbraucher stärkt und die Erhebung, Verwendung und den Verkauf personenbezogener Daten durch in Kalifornien tätige Unternehmen regelt. Das CCPA ist Kaliforniens Antwort auf die DSGVO der Europäischen Union. Es gewährt Verbrauchern das Recht auf Zugriff, Löschung, Korrektur usw., um Transparenz und Rechenschaftspflicht im Umgang mit Daten zu gewährleisten.

Überblick über CCPA

  • Recht: Gesetz zum Schutz der Verbrauchergesetze in Kalifornien
  • Region: Kalifornien
  • Unterzeichnet am: 28-06-2018
  • Zuletzt geändert: 01-01-2020
  • Industrie: Alle Branchen, die in Kalifornien geschäftlich tätig sind

Personenbezogene Daten gemäß CCPA

Das CCPA definiert personenbezogene Daten als alle Informationen, die eine betroffene Person identifizieren und die vernünftigerweise mit einer bestimmten betroffenen Person in Verbindung gebracht werden können.

Direkte Kennungen: Name, Adresse, E-Mail, Telefonnummer, Sozialversicherungsnummer, Führerscheinnummer, Passnummer, Online-Kennung usw.
Indirekte Kennungen: IP-Adresse, Browserverlauf, Kaufaufzeichnungen, Geolokalisierungsdaten, Gesundheitsdaten, biometrische Daten, Audioaufzeichnungen, Bildungsinformationen, Beschäftigungsinformationen, aus gesammelten Daten gezogene Schlussfolgerungen (z. B. Ausgabegewohnheiten, politische Ansichten) und andere Details, die in Kombination eine Person identifizieren könnten.

Schlüsselkomponenten des CCPA

Der California Consumer Privacy Act (CCPA) basiert auf mehreren wesentlichen Komponenten, die zusammen einen umfassenden Datenschutzrahmen bilden. Diese Komponenten umfassen

  • Rechte der betroffenen Person
  • Datenschutzgrundsätze
  • Konformitätsanforderungen
  • Handhabung von Datenanfragen
  • aktionen
  • Datenschutz Updates

Datenschutzgrundsatz

Die Datenschutzgrundsätze des California Consumer Privacy Act (CCPA) basieren auf den folgenden Grundprinzipien:

  • Zweckbeschränkung: Die erfassten personenbezogenen Daten dürfen nur für die spezifischen Zwecke verwendet werden, die dem Verbraucher bei der Erfassung mitgeteilt wurden. Unternehmen dürfen sie ohne zusätzliche Zustimmung nicht für andere Zwecke verwenden.
  • Datenminimierung: Unternehmen dürfen nur die PII sammeln, die für ihre angegebenen Zwecke erforderlich sind. Das Sammeln übermäßiger oder irrelevanter Daten wirft Datenschutzbedenken auf und erhöht die Compliance-Risiken.
  • Datensicherheit: Unternehmen müssen angemessene Sicherheitsmaßnahmen ergreifen, um PII vor unbefugtem Zugriff, Offenlegung, Änderung oder Zerstörung zu schützen. Zu diesen Maßnahmen gehören Verschlüsselung, Zugriffskontrollen, regelmäßige Sicherheitsüberprüfungen und mehr.
  • Transparenz: Unternehmen müssen transparent sein, welche personenbezogenen Daten sie erfassen, zu welchem ​​Zweck sie diese Daten verwenden und an welche Drittparteien sie diese Daten weitergeben. Sie benötigen außerdem Mechanismen, die es Verbrauchern ermöglichen, ihre Rechte wahrzunehmen und ihre Bedenken vorzubringen.
  • Rechenschaftspflicht: Unternehmen sind für die Einhaltung der CCPA-Anforderungen verantwortlich. Dazu gehört auch die Beantwortung von Verbraucheranfragen und die Sicherstellung der Einhaltung der Gesetze durch Drittanbieter.

Rechte unter CCPA

Das CCPA verleiht den Kaliforniern verschiedene Rechte in Bezug auf ihre PII:

  • Recht auf Information
  • Recht auf Zugang
  • Recht auf Löschung
  • Recht auf Berichtigung
  • Recht auf Nutzungsbeschränkung
  • Recht, den Verkauf abzulehnen
  • Recht auf Nichtdiskriminierung

Wer muss sich daran halten

Das CCPA gilt für Unternehmen, die:

  • Machen Sie Geschäfte in Kalifornien.
  • Erfassen Sie die personenbezogenen Daten von Einwohnern Kaliforniens.
  • Erzielen Sie einen jährlichen Bruttoumsatz von über 25 Millionen US-Dollar.
  • Kaufen oder verkaufen Sie jährlich die PII von 50,000 oder mehr Einwohnern Kaliforniens.
  • Erzielen Sie 50 % oder mehr Ihres Bruttoumsatzes aus dem Verkauf personenbezogener Daten von Einwohnern Kaliforniens.

Ausnahmen

Obwohl der CCPA einen umfassenden Datenschutz anstrebt, sieht er mehrere Ausnahmen vor:

  • Business-to-Business-Kommunikation: Diese Richtlinie gilt nicht für personenbezogene Daten, die im Rahmen der Business-to-Business-Kommunikation erfasst werden, also im Rahmen von Interaktionen zwischen Unternehmen und nicht zwischen Firmen und Einzelpersonen.
  • Mitarbeiterdaten: Informationen über Mitarbeiter, die ausschließlich im Rahmen des Arbeitsverhältnisses erhoben und verwendet werden, fallen nicht in den Geltungsbereich des CCPA. Daten, die über Bewerber erhoben werden, fallen jedoch unter den Schutz des CCPA.
  • Öffentlich verfügbare Informationen: PII, die bereits aus öffentlichen Aufzeichnungen stammen, sind von den CCPA-Bestimmungen ausgenommen.
  • Finanzinstitutionen: Informationen, die bestimmten Bundesgesetzen unterliegen, wie etwa dem Fair Credit Reporting Act (FCRA) oder dem Gramm-Leach-Bliley Act (GLBA), sind von bestimmten CCPA-Bestimmungen ausgenommen.
  • Forschung: Wissenschaftliche, historische oder statistische Forschungsaktivitäten können unter bestimmten Bedingungen, wie etwa einer informierten Zustimmung und einer Rechtfertigung im öffentlichen Interesse, von der Löschpflicht des CCPA ausgenommen sein.
  • Informationen zum Fahrzeugbesitz: Der Driver’s Privacy Protection Act (DPPA) ersetzt den CCPA, wenn es um die Weitergabe von Informationen wie Fahrzeugbesitz zwischen Händlern und Herstellern zu Garantie- oder Rückrufzwecken geht.
  • Gesundheitssektor: In Angelegenheiten geschützter Gesundheitsinformationen (PHI) hat der California Confidentiality of Medical Information Act (CMIA) Vorrang vor dem CCPA.
  • Strafverfolgungsaktivitäten: Personenbezogene Daten, die zu Strafverfolgungszwecken erhoben und verwendet werden, fallen nicht in den Geltungsbereich des CCPA.

Ordnungsstrafen

Bei Nichteinhaltung verhängt das CCPA zwei Arten von Geldbußen:

Bußgelder pro Verstoß: Vorsätzliche Verstöße: 7,500 USD pro Verstoß, kein festgelegter Höchstbetrag. Das bedeutet, dass sich die Strafen je nach Anzahl der betroffenen Personen und Verstöße schnell vervielfachen können.
Unbeabsichtigte Verstöße: 2,500 USD pro Verstoß, gedeckelt auf 2,500 USD pro Datendiebstahl. Dies unterstreicht die Bedeutung vorbeugender Maßnahmen zur Vermeidung unbeabsichtigter Fehler.
Verbraucherklagen: Gesetzliche Schadensersatzansprüche: 100 bis 750 US-Dollar pro betroffenem Verbraucher und Vorfall oder tatsächlich entstandener Schaden (je nachdem, welcher Betrag höher ist). Dies gibt Einzelpersonen die Möglichkeit, direkte Entschädigung für Datenschutzverletzungen zu fordern.
Unterlassungsanspruch: Gerichte können Anordnungen erlassen, um rechtswidrige Aktivitäten zu unterbinden und künftigen Schaden zu verhindern.

Compliance-Behörde für CCPA

Die wichtigste Compliance-Behörde für den California Consumer Privacy Act ist das California Attorney General's Office (CAO). Die California Privacy Protection Agency nahm im Juli 2023 ihre Arbeit auf. Die CPPA konzentriert sich jedoch in erster Linie auf die Gesetzgebung und Aufklärung und übernimmt die meisten dieser Aufgaben vom CAO. Das CAO behält seine Durchsetzungsbefugnis im Rahmen des CCPA und anderer laufender gesetzlicher Pflichten. Obwohl die CPPA eine wachsende Rolle bei der Einhaltung des CCPA spielt, bleibt das California Attorney General's Office die wichtigste Durchsetzungsbehörde für das Gesetz.

Zusammenfassend lässt sich sagen, dass das Verständnis und die Einhaltung der CCPA-Vorschriften für Unternehmen, die in Kalifornien tätig sind oder mit den persönlichen Daten von Einwohnern Kaliforniens umgehen, von größter Bedeutung sind. Datenmaskierungstechniken wie Datenanonymisierung, Datenverschlüsselung und Datenredaktion können das Risiko von Nichteinhaltung und Datenschutzverletzungen erheblich reduzieren, indem sie sensible PII in Entwicklungs-, Test- und Analyseumgebungen verschleiern. Dies minimiert die Offenlegung sensibler Informationen wie persönlich identifizierbarer Informationen (PII), Finanzunterlagen, geschützter Gesundheitsinformationen, Sozialversicherungsnummern usw., vereinfacht die CCPA-Konformität und verbessert die Datensicherheit und den Datenschutz.

Was Sie mit Solix tun können

Demo anfordern
Melden Sie sich für eine kostenlose Testversion an und gewinnen Sie eine Amex-Geschenkkarte

Machen Sie mit und gewinnen Sie eine Amex-Geschenkkarte im Wert von 100 $

Ressourcen

Greifen Sie auf unsere anderen zugehörigen Ressourcen zu

  • DBA-Handbuch
    Dokumentation

    DBA-Handbuch

    Dokumentation herunterladen