Im vergangenen Monat - mehr als zwei Jahre nach der Unterzeichnung des California Consumer Rights Act durch Gouverneur Gerald Brown Jr. - hat die kalifornische Generalstaatsanwaltschaft die endgültigen Vorschriften zur Umsetzung des CCPA veröffentlicht.

Obwohl die endgültigen Verordnungen Unternehmen und Datenschutzbeauftragten dringend benötigte Orientierungshilfen und Klarstellungen bieten, sollte niemand den Fehler machen, es sich jetzt schon zu bequem zu machen: Die kalifornischen Wähler werden am 3. November 2020 die Gelegenheit haben, den Staat in ein noch bahnbrechenderes Gebiet des Datenschutzes zu katapultieren, wenn sie über den California Privacy Rights Act of 2020 abstimmen werden.

Was ist neu und was kommt auf Kalifornien zu? Im Folgenden finden Sie fünf wichtige Punkte aus den endgültigen CCPA-Verordnungen und einen kurzen Ausblick auf die kommenden Entwicklungen.

1 - Jetzt wissen wir es mit Sicherheit: Die 25 Millionen Dollar müssen nicht in Kalifornien erwirtschaftet werden.

Zwei Jahre lang haben Praktiker darüber debattiert, ob ein Unternehmen dem CCPA unterliegt, wenn es in Kalifornien geschäftlich tätig ist, personenbezogene Daten sammelt und bestimmt, was damit geschieht, und einen Bruttoumsatz von mehr als 25 Millionen Dollar erzielt, aber nur ein Bruchteil dieses Umsatzes von kalifornischen Verbrauchern stammt (ja, wir sind super lustig auf Cocktailpartys!).

Das OAG hat deutlich gemacht, dass das CCPA nicht auf Einnahmen beschränkt ist, die in Kalifornien oder von in Kalifornien ansässigen Personen erzielt werden.

Infografik: Richtlinien für effektives Vendor Onboarding

Risikominimierung bei gleichzeitigem Aufbau starker Lieferantenbeziehungen.

Jetzt herunterladen

2 - Datenschutzrichtlinien müssen eine Beschreibung der Verbraucherrechte enthalten - auch derer, die nicht gelten

In der letzten Runde von Kommentaren, die zu den endgültigen Verordnungen führten, baten eine Reihe von Kommentatoren das OAG, klarzustellen, dass ein Unternehmen nicht verpflichtet sein sollte, Verbraucher über ihr Recht auf Löschung von Daten zu informieren, wenn alle personenbezogenen Daten, die sich im Besitz des Unternehmens befinden, von der Verpflichtung zur Löschung auf Anfrage ausgenommen sind.

Ebenso baten die Unternehmen das OAG um eine Klarstellung, dass ein Unternehmen, das keine personenbezogenen Daten verkauft, keine Erklärung über das Recht auf Widerspruch in seine Datenschutzpolitik aufnehmen muss. Nein, sagte das OAG. Die CCPA-Datenschutzrichtlinien müssen eine Beschreibung der Rechte der Verbraucher enthalten, auch wenn das Unternehmen der Anfrage nicht nachkommen muss.

3 - Die endgültigen Verordnungen verringern einige Belastungen für Unternehmen

Aus der Sicht der Einhaltung von Vorschriften gibt es gute Nachrichten:

  • Unternehmen, die ausschließlich online tätig sind und in direkter Beziehung zu den Verbrauchern stehen, von denen sie Daten erheben, sind nicht mehr verpflichtet , den Verbrauchern eine gebührenfreie Telefonnummer zur Verfügung zu stellen, unter der sie Anträge auf Kenntnisnahme, Löschung und Abmeldung stellen können. Diese Unternehmen müssen nur noch eine E-Mail-Adresse für Auskunfts- und Löschungsanträge angeben.
  • Die Unternehmen müssen den Erhalt von Verbraucheranfragen immer noch innerhalb von 10 Tagen bestätigen, aber sie können die Anfragen in der gleichen Weise bestätigen, in der die Anfrage eingegangen ist. Mit anderen Worten: Die Unternehmen können ihr Bestätigungsverfahren automatisieren, so dass die Bestätigung sofort nach Eingang des Antrags des Verbrauchers versandt wird.
  • Unternehmen, die Verbraucherdaten löschen , sind nicht mehr verpflichtet, den Verbrauchern mitzuteilen, wie ihre Daten gelöscht wurden.
  • Unter bestimmten Umständen sind die Unternehmen nicht einmal verpflichtet, auf ein Auskunftsersuchen hin nach personenbezogenen Daten zu suchen. Dieser Unterabschnitt wurde hinzugefügt, um die Belastung der Unternehmen zu verringern, wenn sie unstrukturierte oder nicht durchsuchbare Daten aufbewahren, die Informationen ausschließlich für rechtliche oder Compliance-Zwecke aufbewahrt werden, das Unternehmen die Informationen nicht verkauft oder für kommerzielle Zwecke verwendet und das Unternehmen dem Verbraucher die Kategorien von Datensätzen beschreibt, die personenbezogene Informationen enthalten können, die es nicht durchsucht hat, weil es diese Bedingungen erfüllt.

4 - Die endgültige CCPA-Verordnung definiert endlich den Begriff "zugänglich".

Frühere Fassungen der CCPA-Vorschriften verlangten, dass CCPA-Hinweise und Datenschutzrichtlinien für Menschen mit Behinderungen "in angemessener Weise zugänglich" sein müssen. In der endgültigen Fassung wird erklärt, dass die Unternehmen bei online veröffentlichten Hinweisen und Datenschutzrichtlinien allgemein anerkannte Industriestandards, wie die Web Content Accessibility Guidelines (WCAG) Version 2.1, einhalten müssen.

5 - Die Verwendung personenbezogener Daten durch die Dienstleister ist auf die Erbringung von Dienstleistungen beschränkt.

Obwohl das CCPA es Unternehmen erlaubt, personenbezogene Daten an "Dienstleister" zu übermitteln, ohne dass die Übermittlung einen "Verkauf" der personenbezogenen Daten darstellt, war es etwas vage, was Dienstleister mit den personenbezogenen Daten tun können, sobald sie sie erhalten haben. Die endgültigen Bestimmungen verbieten es Dienstleistern nun ausdrücklich, personenbezogene Daten, die sie im Rahmen ihrer Tätigkeit als "Dienstleister" erhalten haben, aufzubewahren, zu nutzen oder weiterzugeben, es sei denn, dies ist für die Erbringung von Dienstleistungen in Übereinstimmung mit ihrem schriftlichen Vertrag und unter vier anderen begrenzten Umständen erforderlich.

Was kommt als nächstes, Kalifornien?

Am 3. November 2020 haben die kalifornischen Wähler die Möglichkeit, über den California Privacy Rights Act of 2020 abzustimmen, ein neues Datenschutzgesetz, das dem CCPA ähnelt, aber einige Ergänzungen enthält (man könnte es als "CCPA 2.0" bezeichnen). Unter anderem würde das CPRA eine neue Regulierungsbehörde mit einem Budget von 10 Millionen Dollar (die "California Privacy Protection Agency") schaffen, die das Büro des Generalstaatsanwalts als Aufsichtsbehörde zur Durchsetzung des CPRA ersetzen würde. Das CPRA würde den Verbrauchern zusätzliche Rechte einräumen, Unternehmen verpflichten, Verträge mit allen Stellen abzuschließen, an die sie personenbezogene Daten weitergeben, und die derzeitige 30-tägige "Heilungsfrist" des CCPA abschaffen.

Und eine gute Nachricht für die Unternehmen ist, dass das CPRA die Beschränkungen des CCPA für Arbeitnehmer und Geschäftskunden bis zum 1. Januar 2023 verlängern würde. Aktuelle Umfragen zeigen, dass das CPRA bei den kalifornischen Wählern eine 90-prozentige Zustimmung erfährt. (Die Ausnahmeregelungen für Angestellte und B2B genießen übrigens breite Unterstützung. Am 2. September 2020 stimmte die kalifornische Legislative dafür, die derzeitigen Ausnahmeregelungen für Arbeitnehmer und B2B bis zum 1. Januar 2022 zu verlängern, auch wenn das CPRA nicht von den Wählern angenommen wird (AB 1281). Gouverneur Gavin Newsom hat bis zum 30. September 2020 Zeit, AB 1281 zu unterzeichnen).

[bctt tweet="Die kalifornischen Wähler werden die Möglichkeit haben, über den California Privacy Rights Act of 2020 abzustimmen, ein neues Datenschutzgesetz, das dem CCPA ähnelt, aber einige Ergänzungen enthält." via="yes"]