Die Kalifornier haben im November darüber abgestimmt, ihre Datenschutzrechte über die Bestimmungen des CCPA hinaus zu erweitern. Der neue California Privacy Rights Act of 2020 (CPRA) ist eine Erweiterung des CCPA, die die Anforderungen an den Datenschutz stärkt und klarer formuliert – und sich enger an die internationalen Datenschutzstandards, insbesondere die GDPR, anlehnt. Die wichtigsten Bestimmungen des CPRA konzentrieren sich auf drei Bereiche: die Weitergabe und den Verkauf personenbezogener Daten, Dienstleister und Auftragnehmer sowie Verbraucherrechte. Darüber hinaus übernimmt das Gesetz bestimmte GDPR-Grundsätze wie Datenminimierung, Zweckbindung und Speicherbegrenzung. Das CPRA stärkt auch das CCPA, indem es eine neue Regierungsbehörde – die California Privacy Protection Agency – schafft, die für die Durchsetzung und Einhaltung der neuen Vorschriften zuständig ist.

Lesen Sie: Ihr Leitfaden zum kalifornischen Verbraucherschutzgesetz

Auch wenn die meisten CPRA-Bestimmungen erst 2023 in Kraft treten, sollten Sie nicht warten, um mit der Einhaltung der Vorschriften zu beginnen. Das CPRA könnte wegweisend für künftige Datenschutzbestimmungen in den USA auf breiterer Ebene sein. Hier ein Blick auf die neuen CPRA-Bestimmungen, wie sie im Vergleich zum CCPA aussehen – und was Sie jetzt tun können, um sich vorzubereiten.

CCPA CPRA
Schwellenwert Für Unternehmen, die einen der folgenden Punkte erfüllen:

  • $25 Millionen Jahresumsatz
  • 50.000+ Verbraucher in Kalifornien
  • 50% des Jahresumsatzes aus dem Verkauf persönlicher Daten von Verbrauchern
 Für Unternehmen, die einen der folgenden Punkte erfüllen:

  • $25 Millionen Jahresumsatz
  • 100.000+ Verbraucher in Kalifornien
  • 50% des Jahresumsatzes aus dem Verkauf oder der Weitergabe persönlicher Daten von Verbrauchern
Datum des Inkrafttretens 1. Januar 2020 1. Januar 2023. Gilt nur für personenbezogene Daten, die am oder nach dem 1. Januar 2022 erhoben wurden, außer für Zugriffsanfragen.
Befreiungen für Arbeitnehmer und B2B Läuft am 1. Januar 2021 aus Läuft am 1. Januar 2023 aus
Rechte der Verbraucher
  • Recht auf Wissen/Zugang
  • Recht auf Löschen
  • Recht auf Ausstieg aus dem Verkauf
  • Recht auf Nicht-Diskriminierung
 Alle Rechte unter dem CCPA, plus:

  • Recht auf Berichtigung
  • Recht auf Einschränkung der Nutzung und Offenlegung sensibler persönlicher Daten
Definitionen von „verkauft“ und „geteilt“ „Verkaufen“ bedeutet den Verkauf gegen Geld oder eine andere wertvolle Gegenleistung. Der Begriff „verkaufen“ wurde erweitert auf „verkaufen oder teilen“, d.h. ein Unternehmen teilt es mit einem Dritten zum Nutzen des Unternehmens, mit oder ohne Austausch von Geld.
Dritte Parteien Ein „Dienstleister“ ist ein Unternehmen, das im Rahmen eines schriftlichen Vertrags Informationen im Auftrag eines Unternehmens verarbeitet. Die Anforderungen an „Dienstleister“ wurden erweitert und eine parallele Kategorie „Auftragnehmer“ wurde hinzugefügt.
Persönliche Informationen „Personenbezogene Daten“ sind Informationen, die einen bestimmten Verbraucher oder Haushalt identifizieren, sich auf ihn beziehen, ihn beschreiben oder vernünftigerweise mit ihm in Verbindung gebracht werden können. Darunter fallen sowohl persönliche Daten als auch „sensible persönliche Daten“, wie z.B. die Sozialversicherungsnummer, die Führerscheinnummer, Anmeldedaten, biometrische Daten, die genaue geografische Lage und die rassische/ethnische Herkunft.
Persönliche Informationen von Minderjährigen Die Bußgelder sind dieselben wie für andere Arten von personenbezogenen Daten – $2.500 für jeden absichtlichen Verstoß und $7.500 für jeden unabsichtlichen Verstoß. Verlangt automatisch eine Geldstrafe in Höhe von $7.500 für jeden Verstoß, der die persönlichen Daten eines Minderjährigen betrifft.
Vorratsdatenspeicherung Schreibt nicht vor, dass Unternehmen ihre Praktiken der Datenspeicherung gegenüber Verbrauchern offenlegen müssen. Die Erhebung, Speicherung und Verwendung von Daten sollte auf das beschränkt werden, was
vernünftigerweise für die Bereitstellung von Waren und Dienstleistungen erforderlich ist.
Automatisierte Entscheidungsfindung NA Verbraucher können der Verwendung ihrer persönlichen Daten für die automatisierte Entscheidungsfindung widersprechen. Dazu gehört das „Profiling“ in Verbindung mit Bewertungen oder Entscheidungen über die Arbeitsleistung, die wirtschaftliche Situation, die Gesundheit, die Zuverlässigkeit usw. eines Verbrauchers.
Vollstreckung
  • Vollstreckt durch den Generalstaatsanwalt.
  • Ermöglicht eine 30-tägige Frist für Unternehmen, um Verstöße zu beheben.
  • Gibt Verbrauchern ein privates Klagerecht bei Verletzung bestimmter Informationen.
  • Errichtet die California Privacy Protection Agency zur Durchsetzung und Anleitung.
  • Die 30-tägige Frist für die Behebung von Verstößen wird abgeschafft, bevor ein Unternehmen mit einer Geldstrafe belegt wird.
  • Gibt Verbrauchern ein privates Klagerecht bei Verletzung bestimmter Informationen.

Einige dieser Bestimmungen werden möglicherweise durch künftige Verordnungen der neu geschaffenen California Privacy Protection Agency weiter präzisiert. In der Zwischenzeit sollten Sie jetzt drei Maßnahmen ergreifen:

  1. Honorieren Sie Opt-ins und Opt-outs. Stellen Sie sicher, dass Sie über ein Verfahren verfügen, mit dem Sie Datenschutzanfragen schnell umsetzen können.
  2. Halten Sie die CCPA unabhängig vom Standort Ihres Unternehmens ein. Die Einhaltung des CCPA geht über die Grenzen des Bundesstaates hinaus und gilt für alle Einwohner Kaliforniens, unabhängig von ihrem Standort. Wenn ein Einwohner Kaliforniens auf Ihre Website zugreifen kann, müssen Sie den CCPA einhalten.
  3. Verstehen Sie die Komplexität von persönlichen Daten und wie diese definiert werden. Die Einhaltung gesetzlicher Vorschriften bei der Durchführung von Marketinginitiativen ist ein fortlaufender Prozess und kein einmaliger Kontrollpunkt. Überprüfen Sie regelmäßig, wie personenbezogene Daten verwendet werden, wenn die
    Datenschutzbestimmungen geändert oder aktualisiert werden.

Mit der Verabschiedung des CPRA wurde das strengste Verbraucherschutzgesetz des Landes gerade erheblich gestärkt – und die Einsätze sind deutlich höher. Und wenn die Lehren aus dem CPRA, dem CCPA und der GDPR ein Hinweis auf die Zukunft sind, dann erwarten Sie, dass mehr Staaten und Länder ihre eigenen Datenschutzanforderungen entwickeln werden. In der Zwischenzeit sollten Sie die richtigen Richtlinien, Verfahren und Technologien einführen, damit Sie Ihre Datenschutzpraktiken entsprechend anpassen können. Die Uhr tickt.

Wenn Sie weitere Informationen über eine effektive Compliance-Lösung wünschen, laden Sie unser E-Book Transforming Compliance from Check the Box to Champion herunter.