Was ist der California Consumer Privacy Act (CCPA)?

In der digitalen Welt betrachten Marketingfachleute Kundendaten als das neue Gold und erkennen deren immenses Wertpotenzial. Trotz des Wunsches der Unternehmen, diese Daten zu nutzen, gibt es eine immer größer werdende Bewegung, die sich dafür einsetzt, dass die Verbraucher, die mithilfe dieser Daten ausgewertet werden, ein Mitspracherecht haben sollten, wenn es um die Verwendung der von ihnen generierten Informationen geht oder nicht.

In Kalifornien wurden die Ziele dieser Bewegung mit der Verabschiedung des CCPA in ein Gesetz umgesetzt. Es ist ein entscheidender Fortschritt für die Rechte der Verbraucher und die Cybersicherheit, da es dem US-Bundesstaat Kalifornien ein leistungsfähiges Framework für die Durchsetzung von Datenschutzgesetzen und -vorschriften an die Hand gibt. Es eröffnet den Bürgern Kaliforniens einen Weg zu privaten Klagerechten, um bei Datenschutzverletzungen Rechtsmittel einzulegen.

Die CCPA-Richtlinien wurden entwickelt, um den kalifornischen Verbrauchern eine Reihe von Rechten einzuräumen, die sich ausdrücklich mit dem Schutz personenbezogener Daten befassen und ihnen angemessene Sicherheitsvorkehrungen bieten. Zu diesen Rechten gehört, dass die Kalifornier die Möglichkeit haben, Forderungen bezüglich ihrer Kundendaten zu stellen. Diese Forderungen können beispielsweise Folgendes beinhalten:

• Verhinderung des Verkaufs ihrer personenbezogenen Daten an Drittunternehmen (d. h. das Recht, den Weiterverkauf zu verhindern), indem sie die so genannte „Do not sell my personal data“-Anweisung erlassen
   

• Das Recht auf Auskunft über gesammelte personenbezogene Daten (Recht auf Zugang)
   

• Aufforderung zur Löschung aller erfassten Daten über diesen Verbraucher (Recht auf Vergessenwerden)

Die California Privacy Protection Agency stellt sicher, dass auch die Einwohner Kaliforniens geschützt sind und angemessen über Datenänderungen informiert werden, die sie betreffen. Sie setzt außerdem antidiskriminierende Regeln durch, die vorschreiben, dass Personen nicht unterdrückt oder anderweitig bestraft werden dürfen, weil sie sich entscheiden, diese Rechte auszuüben.

Obwohl die meisten Verbraucher eine allgemeine Vorstellung davon haben, was mit „personenbezogenen Daten“ gemeint ist, kann der Begriff für verschiedene Personen unterschiedliche Dinge bedeuten, und zwar wesentlich mehr, als man sich zunächst vorstellt.

Im Rahmen des CCPA werden personenbezogene Daten wie folgt definiert: „Informationen, die einen bestimmten Verbraucher oder Haushalt identifizieren, sich auf ihn beziehen, ihn beschreiben oder vernünftigerweise direkt oder indirekt mit ihm in Verbindung gebracht werden könnten.“¹

Die CCPA-Richtlinien decken die folgenden spezifischen Beispiele für personenbezogene Daten ab:

• Name

• Adresse

• Telefonnummer

• E-Mail-Adresse

• IP-Adresse

• Geburtsdatum

• Sozialversicherungsnummer

• Führerscheinnummer

• Passnummer

• Informationen zum Bankkonto

• Kreditkarten- oder Debitkartennummern

• Bildungsdaten und Zeugnisse

Vermarkter stellen fest, dass personenbezogene Daten noch wertvoller werden, wenn jede Art von Information durch Analyse kombiniert wird. Sie können damit zusammengesetzte Ansichten von bestimmten Verbrauchern oder Verbrauchergruppen erstellen. Sie können zum Beispiel auch umfassendere Rückschlüsse auf Trends im Verbrauchermarketing ziehen. Einige der anderen Formen von personenbezogenen Daten, die routinemäßig erfasst werden, können ebenso aufschlussreich sein, darunter:

• Einkaufspräferenzen der Verbraucher

• Persönliche Browserverläufe

• Artikulierte persönliche Haltungen

• Angegebenes persönliches Verhalten

Ein weiterer Problembereich betrifft Cookies und wie sie von Websites als eindeutige Identifikatoren verwendet werden. Dies gilt auch für Erstanbieter-Cookies, die so konzipiert sind, dass sie sich selbst löschen, sobald ihr Geschäftszweck erfüllt ist. Und es gibt Cookies von Drittanbietern, die sich nicht automatisch selbst löschen. Cookies von Drittanbietern haben die Funktion, verschiedene Arten von personenbezogenen Daten zu erfassen, einschließlich sensibler personenbezogener Daten.

Da Drittanbieter-Cookies von Websites missbraucht werden können, betrachtet der CCPA Daten, die über eine Website durch die Verwendung von Cookies gesammelt werden, als personenbezogene Daten und daher als schützenswert.

Die meisten betroffenen Unternehmen betrachten die Einhaltung des CCPA nicht als einen einzelnen Schritt, sondern als einen Prozess. Der erste Teil dieses Prozesses erfordert häufig ein Umdenken gegenüber den Verbrauchern und die Einsicht, dass deren Datenschutzbedürfnisse wichtig sind und durchsetzbare Rechte beinhalten.

Zur Einhaltung des CCPA gehört es, die verschiedenen kalifornischen Verbraucher zu schützen, indem man ihnen die Möglichkeit gibt, zu entscheiden, wie ihre personenbezogenen Daten verwaltet werden sollen (einschließlich Opt-in-Möglichkeiten). Es bedeutet auch, dass Sie mit allen im Zuge der Weiterentwicklung des CCPA vorgenommenen Änderungen Schritt halten müssen, um neue Technologien (wie z. B. Biometrie) und Änderungen der CCPA-Richtlinien zu berücksichtigen.

Damit ein Unternehmen CCPA-konform wird, sind eine Reihe von Schritten erforderlich, die sechs Monate oder sogar ein Jahr in Anspruch nehmen können, bis sie vollständig umgesetzt sind. Nichtsdestotrotz spielt jeder einzelne Schritt eine wichtige Rolle bei der Einhaltung des CCPA. (Da bestimmte Compliance-Anforderungen gleichzeitig erfüllt werden können, verwenden wir Stichpunkte für die einzelnen Schritte anstelle von Zahlen.)

Der erste Schritt besteht darin, sich ein genaues Bild davon zu machen, welche Verbraucherdaten gesammelt wurden, sowie die verschiedenen Speicherorte zu katalogisieren. Dies gilt sowohl für die „externen“ Verbraucherdaten, die von Verbrauchern außerhalb des Unternehmens erhoben werden, als auch für die „internen“ Verbraucherdaten, die von Mitarbeitern und Bewerbern des Unternehmens erhoben werden.

Es ist wichtig, alle erfassten persönlichen Daten sicher aufzubewahren, egal ob sie von Verbrauchern oder Bewerbern stammen. Es gibt auch zusätzliche Bestimmungen zum Schutz von Informationen, die von Minderjährigen erfasst wurden.

Alle Verbraucher (oder auch Mitarbeiter des Unternehmens und Arbeitssuchende) sollten einen „Hinweis bei der Datenerhebung“ erhalten. Wichtig ist, dass dieser Datenschutzhinweis vor oder zum Zeitpunkt des Beginns der Datenerfassung übermittelt wird – und nicht erst, nachdem diese bereits begonnen hat.

Die meisten Unternehmen verfügen heute über eine detaillierte Datenschutzerklärung und veröffentlichen diese auf ihrer Website.

Es ist auch wichtig, ein effektives und zeitnahes Verfahren für die Bearbeitung von Anfragen im Zusammenhang mit Verbraucherinformationen einzurichten.

Es sollten Regeln zur Datenminimierung entwickelt und umgesetzt werden, um sicherzustellen, dass das Unternehmen nur das Minimum an personenbezogenen Daten erfasst, das zum Erreichen eines bestimmten Zwecks erforderlich ist. Unternehmen sollten auch mögliche Gefahren für Verbraucher in Betracht ziehen, wenn die erfassten Daten verletzt werden, und geeignete Präventivmaßnahmen ergreifen (z. B. automatische Löschung der erfassten Daten nach ihrer Verwendung).

Ein wichtiger Aspekt bei der Einhaltung der Vorschriften ist die Sicherstellung, dass die Unternehmensleiter und alle Mitarbeiter die CCPA-Anforderungen kennen, insbesondere die Anforderungen, die sich direkt auf ihren Arbeitsbereich auswirken. Durch Schulungen und Webinare können alle auf den neuesten Stand gebracht werden.

Gesetze und Verordnungen werden häufig geändert und ergänzt. (Der CCPA selbst wurde vor seiner Neueinführung im Jahr 2023 solchen Überarbeitungen unterzogen.) Daher ist es empfehlenswert, über CCPA-Entwicklungen auf dem Laufenden zu bleiben.

Datenbrokerage – der Kauf und Verkauf von personenbezogenen Daten – ist ein boomendes Geschäft, das von Experten im Jahr 2021 weltweit auf 240 Milliarden US-Dollar geschätzt wurde. Es wird erwartet, dass sich dieser Wert bis zum Ende des Jahrzehnts fast verdoppeln und auf mehr als 450 Milliarden USD jährlich ansteigen wird.²

Alles, was so wertvoll ist wie Daten, muss streng geschützt werden. Dementsprechend ist die kalifornische Datenschutzbehörde (California Privacy Protection Agency, CPPA) befugt, Unternehmen, die gegen die Bestimmungen des CCPA verstoßen, zu bestrafen. Die CCPA-Strafen sind auf einen relativ niedrigen Satz von entweder 2.500 USD für einen unbeabsichtigten Kontakt oder 7.500 USD für einen vorsätzlichen Verstoß begrenzt. Es ist erwähnenswert, dass diese CCPA-Strafen nur für einen einzigen Verstoß gelten, z. B. eine Datenschutzverletzung, an der eine Person beteiligt ist.

In der Praxis ist es jedoch so, dass Datenschutzverletzungen selten eine einzelne geschädigte Person betreffen. Stattdessen handelt es sich in der Regel um Massenvorfälle, von denen Tausende oder sogar Hunderttausende von Verbrauchern betroffen sind. Wenn Sie also mögliche CCPA-Bußgelder mit einer großen Anzahl von Einwohnern Kaliforniens multiplizieren, könnten Sie bald mit gigantischen Strafen rechnen.

Der CCPA bietet zuwiderhandelnden Unternehmen einen Ausweg aus der Zahlung dieser hohen Bußgelder, indem er ihnen eine 30-tägige Frist zur Behebung des Fehlers einräumt, den sie begangen haben. Wenn ein zuwiderhandelndes Unternehmen seine Sicherheitsmaßnahmen verbessern und das Problem innerhalb eines Monats „beheben“ kann, besteht die Möglichkeit, die Strafgebühr zu erlassen. Unternehmen sind selbstverständlich finanziell verpflichtet, solche Verstöße zu beheben, doch das kann sich in manchen Situationen als schwierig oder gar unmöglich erweisen. Es liegt daran, dass Vergehen wie Datenschutzverletzungen oft Datenoffenlegungen beinhalten, die nicht rückgängig gemacht werden können.

Der Geltungsbereich des CCPA wird ständig erweitert und weiterentwickelt, um mit dem explosionsartigen Wachstum der Technologie, wie dem Internet der Dinge (IoT), Schritt zu halten.

So hat der CPPA vor Kurzem einen neuen Schwerpunkt angekündigt – „vernetzte“ Fahrzeuge (Connected Vehicles, CVs), die mit Datenerfassungsmechanismen ausgestattet sind. Moderne Fahrzeuge sind in der Lage, eine Vielzahl von Informationen über den Fahrer sowie Geolokalisierungsdaten zu sammeln und diese Daten zu übermitteln. Kalifornien hat mehr als 35 Millionen zugelassene Fahrzeuge, was die Aufgabe zu einem gewaltigen Unterfangen macht. Aber nach Ansicht des Executive Director vom CPPA muss dieses Problem angegangen werden.

„Moderne Fahrzeuge sind praktisch vernetzte Computer auf Rädern“, erklärte Ashkan Soltani im Juli 2023. „Sie können über integrierte Apps, Sensoren und Kameras, die Personen im und in der Nähe des Fahrzeugs überwachen können, eine Fülle von Informationen erfassen.“³

Der Ausdruck „in der Nähe des Fahrzeugs“ ist bemerkenswert. Dies bedeutet, dass nicht nur die Daten der Treiber geschützt sind, sondern auch die Daten aller Personen, die sich möglicherweise in diesem Auto befinden, und sogar von Personen, die sich in der Nähe des Fahrzeugs aufhalten. Bordkameras an den Fahrzeugen können momentane Bilder dieser Personen aufnehmen.

Diese Ankündigung ist auch deshalb von Bedeutung, weil sie zeigt, dass die CCPA ihre Befugnisse nutzt, um personenbezogene Daten zu schützen, die durch IoT generiert werden, in diesem Fall durch vernetzte Fahrzeuge. Die Ankündigung könnte sich als noch bedeutsamer erweisen, wenn sie die Absicht der Behörde signalisiert, in den kommenden Jahren über eine zunehmende Anzahl von Fällen zu entscheiden, die mit dem IoT zusammenhängen.

Als die Europäische Union (EU) im Mai 2018 die Datenschutz-Grundverordnung (DSGVO) in Kraft setzte, schuf sie das proaktivste Framework für den Schutz von personenbezogenen und/oder Verbraucherdaten. Der CCPA gilt als die strengste in den USA geltende Datenschutzrichtlinie. Daher möchten einige Beobachter wissen, wie die beiden Vorschriften im Vergleich zueinander abschneiden.

In vielerlei Hinsicht haben die beiden Vorschriften den gleichen Inhalt. Sowohl die DSGVO als auch der CCPA umfassen die folgenden Aspekte:

• Sie werden von dem Bestreben geleitet, den einzelnen Bürger zu schützen und zu stärken
   

• Sie geben dem Verbraucher das Recht, gegen die erhobenen Daten Einspruch zu erheben und sie korrigieren zu lassen, wenn die erhobenen Daten fehlerhaft sind
   

• Sie geben dem Verbraucher das Recht, auf seine personenbezogenen Daten zuzugreifen, sie zu übertragen oder (falls er dies wünscht) unwiderruflich zu löschen.
   

• Sie fordern, dass die Verbraucher persönlich benachrichtigt werden, wenn die Sicherheit der von ihnen erfassten Daten verletzt wird

Es gibt allerdings auch Unterschiede. Die DSGVO enthält Anforderungen für die grenzüberschreitende Übermittlung, die im US-Bundesstaat Kalifornien nicht erforderlich sind. Ebenso gelten nach dem CCPA Beschränkungen für den Verkauf von personenbezogenen Daten, was die DSGVO nicht vorsieht.

Dennoch gibt es mehr Ähnlichkeiten als Unterschiede zwischen der DSGVO und dem CCPA. Beide Standards stehen vor Herausforderungen durch Risiken Dritter. Diese Herausforderung entsteht, wenn ein Unternehmen die Verwaltung seiner personenbezogenen Daten im Wesentlichen an ein externes Unternehmen auslagert. Diese Drittfirma muss dann bereit und rechtlich in der Lage sein, die gleiche CCPA-basierte Verantwortung für PI zu übernehmen. Dies sind dieselben Verantwortlichkeiten, die das ursprüngliche Unternehmen nach der ursprünglichen Erhebung oder dem Kauf der betreffenden Daten übernommen hat. Sowohl der CCPA als auch die DSGVO verlangen von den Unternehmen, dass sie die Kategorien von Dritten, mit denen sie Daten austauschen, mitteilen und Auskunft darüber geben, welche Daten sie mit jedem von ihnen austauschen und warum.

Die DSGVO und der CCPA haben noch eine weitere wichtige Eigenschaft gemeinsam: die Möglichkeit, Service-Anbieter und andere Unternehmen, die gegen die Vorschriften verstoßen, finanziell zu bestrafen. Kürzlich demonstrierten sie diese Fähigkeit auf dramatische Weise mit der höchsten jemals verzeichneten Geldstrafe wegen Verstoßes gegen die Datenschutzbestimmungen.

Im Mai 2023 verhängte die irische Datenschutzkommission (DPC) eine Rekordstrafe in Höhe von 1,2 Milliarden Euro (ca. 1,3 Milliarden USD) gegen Meta (ehemals Facebook). Diese Geldbuße galt für die unrechtmäßige Verwendung europäischer Daten in seinen amerikanischen Unternehmen, zu denen auch Instagram gehört.