Am 1. Januar 2020 tritt ein neues Datenschutzgesetz in Kraft, um genau zu sein, und alle bemühen sich um die Einhaltung der Vorschriften. Kommt dir das bekannt vor? Wenn du ein Déjà-vu spürst, mach dir keine Sorgen, wir erinnern uns auch an die DSGVO.

Während die DSGVO ein übergreifendes Gesetz zum Schutz der Persönlichkeitsrechte der Bürger der Europäischen Union war, geht es bei diesem neuen Gesetz um die Persönlichkeitsrechte der Einwohner Kaliforniens. Erlaubt uns, dir den California Consumer Protection Act of 2018 (CCPA) vorzustellen, ein Gesetz, das den Kaliforniern mehr Kontrolle über ihre persönlichen Daten geben soll.

In diesem Leitfaden führen wir dich durch die folgenden Punkte:

Bitte beachte, dass dieser Leitfaden nur zur Information dient und nicht als Rechtsberatung angesehen werden sollte.

Was ist der CCPA?

Der CCPA ist ein Datenschutzgesetz, das am 28. Juni 2018 verabschiedet wurde. Eine Version dieses Gesetzes wurde ursprünglich als Initiative für die landesweite Abstimmung im November 2017 von einem Immobilienentwickler eingeführt. Der Bauträger bot der kalifornischen Legislative eine Vereinbarung an, dass er seinen Stimmzettel zurückziehen würde (was für Unternehmen ziemlich hart war), wenn ein ähnliches Datenschutzgesetz verabschiedet würde.

Die Legislative führte ihre Version des CCPA ein, änderte sie und verabschiedete sie innerhalb von insgesamt sieben Tagen. Das Gesetz wurde seither noch einige Male geändert, und der kalifornische Generalstaatsanwalt hat auch Regelungen veröffentlicht, die die Anforderungen dieses neuen Gesetzes klären sollen. Den vollständigen Text des CCPA mit den verabschiedeten Änderungen findet man hier und die vorgeschlagenen Regelungen hier.

Laut Gesetzgeber wurde das CCPA verabschiedet, weil:

  1. Das Wachstum der Technologie hat die Fähigkeit der Kalifornier eingeschränkt, ihre Privatsphäre angemessen zu schützen und zu sichern.
  2. Das kalifornische Recht hat nicht mit der Tatsache Schritt gehalten, dass Verbraucher immer mehr persönliche Informationen an Unternehmen weitergeben
  3. Die unbefugte Offenlegung von persönlichen Informationen und der Verlust der Privatsphäre kann verheerende Auswirkungen auf die Menschen haben
  4. Der Cambridge-Analytica-Skandal hat den Wunsch nach Datenschutzkontrollen und Transparenz in der Datenpraxis verstärkt.

Schließlich ist es klar, dass die Menschen den Wunsch nach Privatsphäre und mehr Kontrolle über ihre Informationen haben wollen, und der CCPA wurde verabschiedet, um diesen Wunsch zu erfüllen. Ähnlich wie die DSGVO erfüllt das CCPA diesen Wunsch, indem es den Verbrauchern, oder in diesem Fall den Einwohnern Kaliforniens, bestimmte Rechte einräumt. Diese Rechte lauten wie folgt:

  1. Das Recht zu wissen, welche persönlichen Informationen über sie gesammelt werden.
  2. Das Recht zu erfahren, ob ihre persönlichen Daten verkauft oder weitergegeben werden und an wen
  3. Das Recht, den Verkauf ihrer persönlichen Daten abzulehnen
  4. Das Recht, die Löschung ihrer persönlichen Daten zu verlangen
  5. Das Recht auf Zugang zu ihren persönlichen Daten
  6. Das Recht auf gleiche Leistung und gleichen Preis, auch wenn sie ihr Recht auf Privatsphäre ausüben

An wen wendet sich der CCPA?

Der heikelste und manchmal verwirrendste Teil der Datenschutzgesetze besteht darin, herauszufinden, ob sie für dein Unternehmen gelten. Datenschutzgesetze werden geschaffen, um die persönlichen Daten der Einwohner oder Bürger eines bestimmten Staates oder Landes zu schützen, nicht die Unternehmen.

Das bedeutet, dass Unternehmen außerhalb Kaliforniens immer noch diesem Gesetz unterliegen können. CCPA gilt für „Unternehmen“, die als gewinnorientierte juristische Person definiert sind, die in Kalifornien geschäftlich tätig ist und eine der folgenden Schwellenwerte erfüllt:

  • Hat einen jährlichen Bruttoumsatz von mehr als 25.000.000 $
  • Kauft oder erhält, für geschäftliche oder kommerzielle Zwecke, verkauft oder teilt die persönlichen Daten von 50.000 oder mehr kalifornischen Verbrauchern, Haushalten oder Geräten oder
  • Erzielt 50% oder mehr seiner jährlichen Einnahmen aus dem Verkauf der persönlichen Daten kalifornischer Verbraucher.

Wenn man meint, dass der CCPA technisch gesehen nur für große Unternehmen gilt, dann hat man teilweise Recht. Aufgrund der sehr weit gefassten Definition des Verkaufs von persönlichen Daten ist ein großer Teil der CCPA-Compliance das Management von Händlern.

Das bedeutet, dass, wenn du mit großen Unternehmen Geschäfte machst oder als Verkäufer für diese tätig bist, diese von dir möglicherweise vertraglich die Einhaltung des CCPA verlangen. Wenn du also ein kleines Unternehmen bist, das die oben genannten Schwellenwerte nicht erfüllt, musst du diese Anforderungen möglicherweise trotzdem beachten und einhalten.

Wenn du darüber hinaus Websites für große Unternehmen entwirfst, die den CCPA einhalten müssen, musst du darauf achten, dass dieses Gesetz auch die Art und Weise beeinflusst, wie du diese Websites entwirfst.

Welche Folgen hat die Nichteinhaltung des CCPA?

Der CCPA wird im Allgemeinen vom kalifornischen Generalstaatsanwalt durchgesetzt. Die Geldbußen für die Nichteinhaltung betragen 2.500 Dollar pro Verstoß oder 7.500 Dollar pro absichtlichem Verstoß. Unter „pro Verstoß“ wird im Allgemeinen pro Person verstanden, deren Persönlichkeitsrechte du verletzt hast.

Wenn du also 100 Website-Besucher aus Kalifornien hast und die Datenschutzrichtlinien nicht einhalten kannst, können sich deine Geldstrafen auf bis zu 250.000 $ belaufen. Es ist leicht zu erkennen, wie sich dies zu einer sehr großen Zahl ausweiten kann.

Wenn du die CCPA nur vertraglich einhalten musst, kann eine Folge der Nichteinhaltung der CCPA der Verlust des Kunden oder der Geschäftsbeziehung sein. Wenn man eine mit dem CCPA konforme Website erstellen muss, kann die Konsequenz der Nichteinhaltung bedeuten, dass der Kunde eine Geldstrafe bekommt und du im Gegenzug verklagt wirst oder schlechte Bewertungen, die deinem Webdesign-Geschäft schaden bekommst.

Wie bereitet man seine WordPress-Website für den CCPA vor?

Wenn du eine Website in WordPress hast, die CCPA-konform sein muss, führen wir dich durch einige der Schritte, die du unternehmen kannst, um sicherzustellen, dass du mit dem CCPA konform bist. Zu den Schritten, die man für die Vorbereitung auf den CCPA unternehmen kann, gehören

Wenn das alles nach einer Menge Arbeit aussieht, dann ist es das auch. Aber keine Sorge, wir stellen dir auch einige unserer bevorzugten Werkzeuge und Ressourcen zur Verfügung, die dir bei der Vorbereitung helfen können.

Beauftrage einen Anwalt für Datenschutz

Wie man sehen kann, gibt es eine Menge, was die Einhaltung des CCPA betrifft. Das Gesetz und die Vorschriften können, gelinde gesagt, schwierig zu interpretieren sein.

Wenn du dir nicht sicher bist, welcher Weg für dich der richtige ist, solltest du einen auf das Privatleben spezialisierten Anwalt beauftragen, da er dir die richtige Richtung weisen und dir wertvolle, auf deine Situation zugeschnittene Ratschläge geben kann.

Wenn du dir nicht sicher bist, welchen Anwalt du wählen solltest, schau dir die Liste der Anwaltskanzleien an, die im Bereich des Datenschutzes arbeiten, der International Association of Privacy Professionals.

Verstehe, welche persönlichen Informationen du sammelst

Der CCPA verlangt von dir, den Verbrauchern mitzuteilen, welche Kategorien von persönlichen Daten du sammelst. Dazu solltest du durch deine Website gehen und eine Liste erstellen.

Schaue dir alle deine Seiten und alle von dir verwendeten Formulare an, einschließlich der Kontaktformulare, der Formulare für die Newsletter-Anmeldung, der Formulare für die Kontoerstellung, der Formulare für die Abgabe von Kommentaren, der Check-out-Formulare und aller anderen Formulare, die du möglicherweise verwendest, sowie der damit verbundenen Plugins.

Wie unten dargestellt, werden beispielsweise im Standardformular in WordPress, das für die Abgabe von Kommentaren zu Blogbeiträgen verwendet wird, Name und E-Mail gesammelt:

Kommentarformular auf Kinsta
Kommentarformular auf Kinsta

Stellt auch eine Liste mit persönlichen Informationen zusammen, die du aus anderen Quellen sammelst. Think Analytics-Software, Hotjar, Informationen auf einer E-Commerce-Kassenseite oder WordPress-Registrierungsseite und ähnliche.

Lege dann die persönlichen Daten, die du aus diesen Formularen sammelst, in Kategorien ein, die es dem Verbraucher ermöglichen, leicht zu verstehen, welche persönlichen Daten du sammelst. Beispiele für die Kategorien persönlicher Daten können sein:

  1. Identifizierende Informationen
  2. Finanzielle Informationen
  3. Kommerzielle Informationen
  4. Biometrische Informationen
  5. Informationen über Internet-Aktivitäten und
  6. Informationen zur Geolokalisierung

Verstehe, aus welchen Quellen du diese persönlichen Informationen sammelst

Der CCPA verlangt von dir, dass du offenlegst, aus welchen Quellen du persönliche Informationen sammelst. Beispiele für Quellen können sein:

  1. Direkt vom Verbraucher
  2. Umfragen
  3. Verfolgungspixel
  4. Beobachten und Aufzeichnen von Aktivitäten, z.B. durch die Verwendung von Cookies und
  5. Daten-Wiederverkäufern

Verstehen, ob man persönliche Informationen an Dritte weitergibt

Der CCPA verlangt von dir, dass du offenlegst, ob du persönliche Informationen an Dritte weitergibst. Auf die Frage, ob sie Daten weitergeben, antworten die meisten Menschen zunächst mit einem leicht beleidigten „Nein“.

Nimm dir etwas Zeit und denke wirklich darüber nach, welche Integrationen du mit deiner Website gemacht hast.

Gehen Newsletter-Abonnements direkt zu einem E-Mail-Marketing-Tool wie MailChimp?

Werden Formularabonnements in ein Customer Relationship Management-Tool wie HubSpot eingeloggt?

Erhält der Webentwickler eine Benachrichtigung, wenn eine Formularanmeldung erfolgt?

Wenn ja, gibt er Daten an Dritte weiter und muss diese offenlegen.

Erstelle eine Seite „Meine persönlichen Daten nicht verkaufen“.

Wenn du die persönlichen Daten kalifornischer Verbraucher verkaufst, musst du eine Webseite mit dem Titel „Don’t Sell My Personal Information“ oder „Do Not Sell My Info“ haben. Diese Webseite muss die folgenden Informationen enthalten:

  1. Eine Beschreibung des Rechts des Verbrauchers, sich gegen den Verkauf seiner persönlichen Daten zu entscheiden.
  2. Ein Webformular, mit dem der Verbraucher seinen Antrag auf Opt-out einreichen kann
  3. Anweisungen für alle anderen Methoden, mit denen der Verbraucher seinen Antrag auf Opt-out stellen kann
  4. Ein Link zu deiner Datenschutzerklärung
  5. Jeder erforderliche Nachweis, wenn ein Verbraucher einen Bevollmächtigten benennen möchte, der in seinem Namen einen Antrag auf Opt-out stellt.

Unten sieht man ein Beispiel für die Fußzeile einer Homepage, die einen Hyperlink zur Seite „Meine persönlichen Daten nicht verkaufen“ enthält.

Beispiel für eine Seite
Beispiel für eine Seite „Meine persönlichen Daten nicht verkaufen“.

Erstelle eine Datenschutzerklärung

Der CCPA verlangt, dass du kalifornischen Verbrauchern zum Zeitpunkt der Erfassung persönlicher Daten eine Datenschutzerklärung zur Verfügung stellst.

Beachte, dass der CCPA nicht verlangt, dass ein Verbraucher seine Zustimmung zur Sammlung persönlicher Daten gibt, was eine ziemliche Abweichung von den Anforderungen darstellt, die wir bei der DSGVO gesehen haben.

Eine Datenschutzerklärung ist wie eine Mini-Privatsphäre: sie bietet eine schnelle und komprimierte Erklärung darüber, welche persönlichen Informationen gesammelt werden, wofür sie verwendet werden und andere Offenlegungen.

Der Hinweis muss so gestaltet und dem Verbraucher in einer Weise präsentiert werden, dass er leicht zu lesen und für den Durchschnittsbürger verständlich ist. Der Hinweis muss:

  1. eine klare und einfache Sprache verwenden und technischen oder juristischen Jargon vermeiden
  2. Verwende ein Format, das die Aufmerksamkeit der Verbraucher auf den Hinweis lenkt und den Hinweis auch auf kleineren Bildschirmen lesbar macht.
  3. Verfügbar sein in den Sprachen, in denen man Verträge, Haftungsausschlüsse, Verkaufsankündigungen oder andere Informationen für Verbraucher zur Verfügung stellt
  4. Für Verbraucher mit Behinderungen zugänglich sein

Deine Datenschutzerklärung muss die folgenden Informationen enthalten:

  1. Eine Liste der Kategorien persönlicher Informationen, die du von Verbrauchern sammelst. Jede Kategorie, die du aufführst, muss dem Verbraucher ein aussagekräftiges Verständnis der gesammelten persönlichen Daten vermitteln.
  2. Für jede Kategorie von Informationen, den/die geschäftlichen oder kommerziellen Zweck(e), für den/die sie verwendet werden sollen
  3. Wenn du persönliche Informationen verkaufst, wird ein Link mit der Überschrift „Meine persönlichen Daten nicht verkaufen“ oder „Meine Informationen nicht verkaufen“ angezeigt. Dieser Link sollte zu einer Webseite führen, auf der die Verbraucher ihr Recht ausüben können, den Verkauf von persönlichen Informationen abzulehnen.

Wenn du keinen Datenschutzhinweis erstellen möchtest, kannst du den Verbrauchern bei der Erfassung persönlicher Daten einfach einen Link zu deiner Datenschutzrichtlinie zur Verfügung stellen. Nachstehend siehst du ein Beispiel für eine kalifornienspezifische Datenschutzerklärung.

Kalifornien-spezifische Datenschutzerklärung
Kalifornien-spezifische Datenschutzerklärung

Erstelle eine Datenschutzrichtlinie

Der CCPA verlangt auch, dass du eine Datenschutzerklärung hast. Der Zweck der Datenschutzrichtlinie ist es, dem Verbraucher eine gründliche Beschreibung über deine Praktiken bezüglich der Sammlung, der Verwendung, der Offenlegung und des Verkaufs von persönlichen Informationen und die Datenschutzrechte, die Verbraucher im Rahmen des CCPA erhalten, zu geben.

Die Datenschutzrichtlinie muss die gleichen Anforderungen an Lesbarkeit, Format, Verfügbarkeit und Zugänglichkeit erfüllen wie die Datenschutzerklärung.

Die Datenschutzerklärung muss jedoch auch in einem zusätzlichen Format verfügbar sein, das es dem Verbraucher ermöglicht, sie einfach auszudrucken. Die Datenschutzerklärung muss auf der Webseite durch einen auffälligen Link mit dem Wort „Datenschutz“ auf der Startseite deiner Webseite veröffentlicht werden.

Die Datenschutzrichtlinie muss die folgenden Informationen enthalten:

  1. Eine Beschreibung der Rechte der kalifornischen Verbraucher gemäß dem CCPA
  2. Eine oder mehrere Methoden, mit denen Verbraucher Anträge zur Ausübung ihrer Rechte stellen können. Wenn du persönliche Daten verkaufst, einen Link zu deiner Seite „Meine persönlichen Daten nicht verkaufen“ oder „Meine Daten nicht verkaufen“, auf der der Verbraucher sein Recht ausüben kann, den Verkauf seiner persönlichen Daten abzulehnen.
  3. Eine Liste der Kategorien persönlicher Daten, die du in den letzten 12 Monaten gesammelt hast
  4. Eine Liste der Kategorien von Quellen, aus denen du die persönlichen Daten sammelst
  5. Der/die geschäftliche(n) oder kommerzielle(n) Zweck(e), für den/die du die persönlichen Daten verwendest
  6. Eine Liste der Kategorien von persönlichen Daten, die du in den letzten 12 Monaten verkauft hast, und eine Liste der Kategorien von Dritten, an die du diese persönlichen Daten verkauft hast. Wenn du keine persönlichen Daten verkauft hast, dann musst du diese Tatsache offenlegen
  7. Eine Liste der Kategorien von persönlichen Daten, die du in den letzten 12 Monaten weitergegeben hast, und eine Liste der Kategorien von Dritten, denen du diese persönlichen Daten mitgeteilt hast. Wenn du keine persönlichen Informationen weitergegeben hast, musst du diese Tatsache offenlegen.
  8. Wie ein Verbraucher einen bevollmächtigten Agenten benennen kann, der in seinem Namen Anfragen zur Ausübung seiner Datenschutzrechte stellt;
  9. Ein Ansprechpartner, den ein Verbraucher bei Fragen oder Bedenken erreichen kann
  10. Das Datum der letzten Aktualisierung der Datenschutzrichtlinie
  11. Wenn du die persönlichen Daten von 4.000.000 oder mehr kalifornischen Verbrauchern pro Jahr verkaufst, musst du auch zusätzliche Angaben machen.

Werkzeuge und Ressourcen, die dir bei der Einhaltung des CCPA helfen können

All diese Einhaltungs- und Offenlegungsanforderungen können entmutigend erscheinen. Glücklicherweise gibt es eine ganze Reihe von hilfreichen Tools, mit denen du deine Website und dein Unternehmen vorbereiten kannst:

Termageddon

termageddon
Termageddon

Termageddon: eine Software als Dienstleistung, die Datenschutzrichtlinien generiert, die auf dein Unternehmen zugeschnitten sind. Wir aktualisieren die Datenschutzbestimmungen unserer Kunden, wenn sich die Gesetze ändern, und stellen so sicher, dass deine Richtlinien immer auf dem neuesten Stand bleiben.

CCPA Toll Free

CCPA Toll Free
CCPA Toll Free

CCPA Toll Free: Der CCPA verlangt von einigen Unternehmen die Bereitstellung einer gebührenfreien Telefonnummer als eine der Methoden, die Verbraucher zur Ausübung ihrer Datenschutzrechte nutzen können. CCPA Toll-Free hilft dabei, diese Anforderung zu erfüllen.

Orrick’s CCPA Readiness Assessment

CCPA Readiness Assessment
CCPA Readiness Assessment

Orrick’s CCPA Readiness Assessment: Dieses Tool hilft dabei, zu verstehen, wie umfassend man auf den CCPA vorbereitet ist, indem es einfache „Ja“- oder „Nein“-Fragen stellt. Man kann dieses Instrument auch als eine Art Checkliste für die Vorbereitung verwenden.

CCPA Opt-Out by CookiePro

CCPA Opt-Out WordPress plugin
CCPA Opt-Out WordPress plugin

CCPA Opt-Out: Mit diesem Plugin kann man die Schaltfläche „Nicht verkaufen“ auf der Website anpassen und hinzufügen.

IAPP

IAPP
IAPP

IAPP: Die International Association of Privacy Professionals ist die größte Datenschutzgruppe der Welt. Auf ihrer Website findet sich eine ständig aktualisierte Liste mit Neuigkeiten zum Datenschutz, Ressourcen und Anbietern.

Kinsta und CCPA

Kinsta ist dem Datenschutz und der Datensicherheit verpflichtet, und wir versichern gerne, dass wir keine persönlichen Daten kalifornischer Verbraucher an Dritte verkaufen. Weitere Informationen sind in unserer Datenschutzrichtlinie und in Abschnitt 15 unserer Nutzungsbedingungen enthalten.

Zusammenfassung

Obwohl der CCPA nicht so breit angelegt ist wie die DSGVO, ist er dennoch eine sehr große Sache und sollte nicht auf die leichte Schulter genommen werden.

Das CCPA ist wirklich ein Novum in den Vereinigten Staaten, und andere Bundesstaaten folgen nun dem Beispiel Kaliforniens. Tatsächlich haben bis Ende 2019 neun Bundesstaaten ihre eigenen Datenschutzgesetze vorgeschlagen.

Diese Gesetze zitieren entweder den CCPA als Inspiration oder sind praktisch vollständige Kopien des CCPA. Es ist klar, dass der CCPA den Weg für weitere Datenschutzvorschriften geebnet hat und dass die Anforderungen an die Einhaltung des Datenschutzes im Internet nicht so bald verschwinden werden.

Jetzt bist du an der Reihe: Was hältst du vom CCPA? Bereitest du deine Website darauf vor? Lasst es uns in den Kommentaren wissen!

Donata Kalnenaite

Donata Kalnenaite ist Anwältin für Datenschutz und Technologie und hilft anderen dabei, Datenschutzgesetze zu verstehen und einzuhalten. Sie ist Präsidentin von Termageddon, einem Generator für Datenschutzrichtlinien, der die Richtlinien seiner Kunden automatisch aktualisiert, sobald sich die Gesetze ändern. Folge ihr auf X, um in Sachen Datenschutz auf dem Laufenden zu bleiben: @termageddon.