CCPA Blog Post Überschrift
CCPA Blog Post Überschrift

5 Erkenntnisse aus den "endgültigen" CCPA-Vorschriften Kaliforniens

Stacey Garrett |

Im vergangenen Monat - mehr als zwei Jahre nach der Unterzeichnung des California Consumer Rights Act durch Gouverneur Gerald Brown Jr. - hat die kalifornische Generalstaatsanwaltschaft die endgültigen Vorschriften zur Umsetzung des CCPA veröffentlicht.

Obwohl die endgültigen Verordnungen Unternehmen und Datenschutzbeauftragten dringend benötigte Orientierungshilfen und Klarstellungen bieten, sollte niemand den Fehler machen, es sich jetzt schon zu bequem zu machen: Die kalifornischen Wähler werden am 3. November 2020 die Gelegenheit haben, den Staat in ein noch bahnbrechenderes Gebiet des Datenschutzes zu katapultieren, wenn sie über die Verabschiedung des Kalifornisches Gesetz über Datenschutzrechte von 2020.

Was gibt es Neues in Kalifornien und wie geht es weiter? Hier sind fünf Punkte, die man mitnehmen kann aus den endgültigen CCPA-Verordnungen und ein kurzer Blick auf die kommenden Entwicklungen.

1 - Jetzt wissen wir es mit Sicherheit: Die $25 Millionen müssen nicht in Kalifornien erwirtschaftet werden

Seit zwei Jahren diskutieren Praktiker darüber, ob ein Unternehmen dem CCPA unterliegt, wenn es in Kalifornien geschäftlich tätig ist, personenbezogene Daten sammelt, bestimmt, was damit geschieht, und einen Bruttoumsatz von mehr als $25 Millionen erzielt, aber nur ein Bruchteil dieses Umsatzes von kalifornischen Verbrauchern stammt (ja, wir sind Superspaß auf Cocktailpartys!).

Das OAG hat deutlich gemacht, dass die CCPA nicht auf die in Kalifornien oder von in Kalifornien ansässigen Personen erzielten Einnahmen beschränkt.

Infografik: Richtlinien für effektives Vendor Onboarding

Risikominimierung bei gleichzeitigem Aufbau starker Lieferantenbeziehungen.

Jetzt herunterladen

2 - Datenschutzrichtlinien müssen eine Beschreibung der Verbraucherrechte enthalten - auch derer, die nicht gelten

In der letzten Runde von Kommentaren, die zu den endgültigen Verordnungen führten, baten eine Reihe von Kommentatoren das OAG, klarzustellen, dass ein Unternehmen nicht verpflichtet sein sollte, Verbraucher über ihr Recht auf Löschung von Daten zu informieren, wenn alle personenbezogenen Daten, die sich im Besitz des Unternehmens befinden, von der Verpflichtung zur Löschung auf Anfrage ausgenommen sind.

In ähnlicher Weise baten die Unternehmen das OAG um eine Klarstellung, dass ein Unternehmen, das keine personenbezogenen Daten verkauft, auch müssen nicht enthalten eine Erklärung über das Recht zum Ausstieg aus dem Datenschutz in ihrer Datenschutzerklärung. Nein, sagte das OAG. Die CCPA-Datenschutzrichtlinien müssen eine Beschreibung der Rechte der Verbraucher enthalten, auch wenn das Unternehmen der Aufforderung nicht nachkommen muss.

3 - Die endgültigen Verordnungen verringern einige Belastungen für Unternehmen

Aus der Sicht der Einhaltung von Vorschriften gibt es gute Nachrichten:

  • Unternehmen, die ausschließlich online tätig sind und eine direkte Beziehung zu den Verbrauchern haben, von denen sie Informationen sammeln, sind nicht mehr erforderlich den Verbrauchern eine gebührenfreie Rufnummer zur Verfügung zu stellen um Verbraucheranfragen zur Kenntnisnahme, Löschung und Abmeldung zu stellen. Diese Unternehmen müssen nur eine E-Mail-Adresse für Anfragen zur Kenntnisnahme und Löschung angeben.
  • Unternehmen sind noch erforderlich den Empfang von Verbraucheranfragen zu bestätigen innerhalb von 10 Tagen, aber sie können die Anträge in der gleichen Weise bestätigen, in der der Antrag eingegangen ist. Mit anderen Worten: Die Unternehmen können ihr Bestätigungsverfahren automatisieren, so dass ihre Bestätigung sofort nach Eingang des Antrags des Verbrauchers versandt wird.
  • Unternehmen, die Verbraucherinformationen löschen sind nicht mehr erforderlich die Verbraucher darüber zu informieren, wie ihre Daten gelöscht wurden.
  • Unter bestimmten Umständen können Unternehmen sind nicht einmal verpflichtet, nach personenbezogenen Daten zu suchen als Antwort auf ein Auskunftsersuchen. Dieser Unterabschnitt wurde hinzugefügt, um die Belastung für Unternehmen zu verringern, wenn diese unstrukturierte oder nicht durchsuchbare Daten aufbewahren, die Informationen ausschließlich für rechtliche oder Compliance-Zwecke aufbewahrt werden, das Unternehmen die Informationen nicht verkauft oder für kommerzielle Zwecke verwendet und das Unternehmen dem Verbraucher die Kategorien von Datensätzen beschreibt, die personenbezogene Informationen enthalten können, die es nicht durchsucht hat, weil es diese Bedingungen erfüllt.

4 - Die endgültige CCPA-Verordnung definiert endlich den Begriff "zugänglich".

Frühere Fassungen der CCPA-Vorschriften verlangten, dass CCPA-Hinweise und Datenschutzrichtlinien für Menschen mit Behinderungen "angemessen zugänglich" sein müssen. In der endgültigen Fassung wird erklärt, dass die Unternehmen bei online veröffentlichten Hinweisen und Datenschutzrichtlinien allgemein anerkannte Industriestandards, wie die Web Content Accessibility Guidelines (WCAG) Version 2.1, einhalten müssen.

5 - Die Verwendung personenbezogener Daten durch die Dienstleister ist auf die Erbringung von Dienstleistungen beschränkt.

Der CCPA erlaubt es Unternehmen zwar, personenbezogene Daten an "Dienstanbieter" zu übermitteln, ohne dass die Übermittlung einen "Verkauf" der personenbezogenen Daten darstellt, aber er war etwas vage, was Dienstanbieter mit den personenbezogenen Daten tun können, sobald sie sie erhalten haben. Die endgültigen Verordnungen enthalten nun ausdrücklich verbieten Diensteanbieter dürfen personenbezogene Daten, die sie im Rahmen ihrer Tätigkeit als "Diensteanbieter" erhalten haben, nicht speichern, verwenden oder weitergeben, es sei denn, dies ist für die Erbringung von Dienstleistungen in Übereinstimmung mit ihrem schriftlichen Vertrag und unter vier anderen begrenzten Umständen erforderlich.

Was kommt als nächstes, Kalifornien?

Am 3. November 2020 werden die kalifornischen Wähler die Möglichkeit haben, über die Kalifornisches Gesetz über Datenschutzrechte von 2020ein neues Datenschutzgesetz, das dem CCPA ähnelt, aber einige Ergänzungen enthält (man könnte es als "CCPA 2.0" bezeichnen). Unter anderem würde das CPRA eine neue Regulierungsbehörde mit einem Budget von $10 Millionen schaffen (die "California Privacy Protection Agency"), die die Generalstaatsanwaltschaft als Aufsichtsbehörde zur Durchsetzung des CPRA ersetzen würde. Das CPRA würde den Verbrauchern zusätzliche Rechte einräumen, Unternehmen verpflichten, Verträge mit allen Stellen abzuschließen, an die sie personenbezogene Daten weitergeben, und die derzeitige 30-tägige "Heilungsfrist" des CCPA abschaffen.

Und eine gute Nachricht für Unternehmen: Das CPRA würde die Beschränkungen des CCPA für Arbeitnehmer und Geschäftsbeziehungen zwischen Unternehmen auszuweiten bis zum 1. Januar 2023. Aktuelle Umfragen zeigen, dass das CPRA bei den kalifornischen Wählern eine Zustimmung von 90% erfährt. (Übrigens genießen die Ausnahmeregelungen für Arbeitnehmer und B2B breite Unterstützung. Am 2. September 2020 stimmte die kalifornische Legislative dafür, die derzeitigen Ausnahmeregelungen für Arbeitnehmer und B2B bis zum 1. Januar 2022 zu verlängern, selbst wenn das CPRA nicht von den Wählern angenommen wird (AB 1281). Gouverneur Gavin Newsom hat bis zum 30. September 2020 Zeit, AB 1281 zu unterzeichnen).

[bctt tweet=”California voters will get the chance to vote on the Kalifornisches Gesetz über Datenschutzrechte von 2020, a new privacy law that is similar to the CCPA but with some add-ons.” via=”yes”]