Für die CCPA sind die neuen AG-Verordnungen ein "How-To"-Handbuch
Ja, das kalifornische Gesetz zum Schutz der Privatsphäre der Verbraucher wird wirklich umgesetzt. Während die Uhr auf den 1. Januar 2020 als Datum des Inkrafttretens des kalifornischen Gesetzes zum Schutz der Privatsphäre von Verbrauchern zugeht, werden viele Unternehmen mit der Tatsache konfrontiert, dass das CCPA nicht verschwinden wird.
Das Gegenteil ist der Fall: Das CCPA - und die Verpflichtungen, die es den betroffenen Unternehmen auferlegt - sind gerade sehr, sehr real geworden.
Die Unternehmen wissen seit mehr als einem Jahr, dass der CCPA den Verbrauchern das Recht gibt, zu erfahren, welche personenbezogenen Daten die Unternehmen über sie sammeln und wie diese Daten verwendet werden. Der CCPA räumt den Verbrauchern auch das Recht ein, dem Verkauf ihrer personenbezogenen Daten an Dritte zu widersprechen, und gibt ihnen das Recht, von Unternehmen die Löschung ihrer personenbezogenen Daten zu verlangen. Die unter den CCPA fallenden Unternehmen wussten auch, dass der CCPA von ihnen verlangen würde, etwas zu tun, um diese neuen Rechte anzuerkennen.
Aber was genau? Das Büro des kalifornischen Generalstaatsanwalts hat am 10. Oktober 2019 versucht, diese Frage zu beantworten, als es den Entwurf einer Verordnung zur Umsetzung des CCPA veröffentlichte ( hier verfügbar). (Die Entwürfe unterliegen einer öffentlichen Kommentierungsfrist, die am 6. Dezember 2019 endet).
Auch wenn die Verordnungsentwürfe nicht alle Probleme lösen, bieten sie den Unternehmen doch einige konkrete Anhaltspunkte für ihre Compliance-Verpflichtungen. Sie sind mit anderen Worten ein Handbuch für den Aufbau eines Compliance-Programms.
Die Transparenzverpflichtung: Bekanntmachungen sind erforderlich
Der CCPA schreibt vor, dass Unternehmen die Verbraucher darüber informieren müssen, welche Daten das Unternehmen sammelt, wie es diese Daten verwendet und ob es sie an Dritte weitergibt oder verkauft. Außerdem müssen die Unternehmen die Verbraucher über ihre Rechte aus dem CCPA und deren Ausübung informieren. Der CCPA erreicht diese Ziele, indem er den Unternehmen vorschreibt, den Verbrauchern mehrere schriftliche Mitteilungen zukommen zu lassen:
- Obwohl die Bekanntmachungen jeweils einem anderen Zweck dienen, müssen sie alle eine klare, einfache Sprache verwenden und Fach- oder Juristenjargon vermeiden.
- Außerdem müssen sie so gestaltet sein, dass sie die Aufmerksamkeit des Verbrauchers auf sich ziehen und auch auf kleineren Bildschirmen lesbar sind.
- Die Hinweise müssen in der/den Sprache(n) verfügbar sein, in der das Unternehmen im Rahmen seines normalen Geschäftsbetriebs Verträge, Haftungsausschlüsse, Verkaufsankündigungen und andere Informationen für Verbraucher bereitstellt.
- Die Bekanntmachungen müssen für Verbraucher mit Behinderungen zugänglich sein oder zumindest Informationen darüber enthalten, wie ein Verbraucher mit einer Behinderung Zugang zu der Bekanntmachung in einem alternativen Format erhalten kann. (Die Web Content Accessibility Guidelines [WCAG] 2.0 sind der allgemein anerkannte Standard zur Bestimmung der Zugänglichkeit von Websites).
Ist Ihr Unternehmen dem CCPA unterworfen?
Nicht alle Organisationen müssen das CCPA einhalten. Das CCPA gilt für gewinnorientierte Organisationen, die in Kalifornien geschäftlich tätig sind, die personenbezogene Daten von Verbrauchern erheben und bestimmen, wie diese Daten verwendet werden, und die einen der folgenden drei Schwellenwerte erfüllen: (1) sie haben jährliche Bruttoeinnahmen von mehr als 25 Millionen US-Dollar; (2) sie kaufen, erhalten, verkaufen oder teilen jährlich allein oder in Kombination die personenbezogenen Daten von 50.000 oder mehr Verbrauchern zu einem kommerziellen Zweck; oder (3) sie erzielen 50 % oder mehr ihrer jährlichen Einnahmen aus dem Verkauf personenbezogener Verbraucherdaten.
Drei vom CCPA vorgeschriebene Bekanntmachungen
Der CCPA schreibt vor, dass Unternehmen den Verbrauchern drei Hinweise geben müssen: (1) einen Hinweis bei der Erhebung personenbezogener Daten, (2) einen Hinweis auf das Recht, den Verkauf personenbezogener Daten abzulehnen, und (3) einen Hinweis auf finanzielle Anreize.
1 - Hinweis bei der Erhebung von personenbezogenen Daten
Der Zweck eines Hinweises bei der Datenerhebung besteht darin, die Verbraucher darüber zu informieren, welche Kategorien personenbezogener Daten das Unternehmen von ihnen erheben wird und für welche Zwecke die Daten verwendet werden. Der Hinweis bei der Erhebung muss dem Verbraucher zu oder vor dem Zeitpunkt zugestellt werden, zu dem ein Unternehmen personenbezogene Daten erhebt.
Die Mitteilung bei der Abholung muss enthalten:
(1) Eine Liste der Kategorien personenbezogener Informationen über Verbraucher, die gesammelt werden sollen;
(2) Für jede Kategorie personenbezogener Daten die geschäftlichen oder kommerziellen Zwecke, für die die Daten verwendet werden;
(3) Wenn das Unternehmen personenbezogene Daten verkauft, einen Link mit der Überschrift "Meine personenbezogenen Daten nicht verkaufen" oder bei Offline-Hinweisen die Webadresse, unter der der Link "Nicht verkaufen" zu finden ist; und
(4) Ein Link zu den Datenschutzbestimmungen des Unternehmens.
Der Hinweis bei der Erhebung muss sichtbar oder zugänglich sein, damit die Verbraucher ihn sehen können, bevor personenbezogene Daten erhoben werden. Wenn ein Unternehmen personenbezogene Daten von Verbrauchern online erhebt, kann es auf der Startseite der Unternehmenswebsite oder auf der Download-Seite der mobilen Anwendung oder auf allen Webseiten, auf denen personenbezogene Daten erhoben werden, einen Link zu dem Hinweis bei der Erhebung anbringen.
Wenn ein Unternehmen personenbezogene Daten von Verbrauchern offline erfasst, kann es den Hinweis auf gedruckten Formularen, die die Daten erfassen, anbringen, dem Verbraucher bei der Abholung eine Papierversion des Hinweises aushändigen oder auffällige Schilder anbringen, die den Verbraucher auf die Internetadresse verweisen, unter der der Hinweis zu finden ist.
Der Erhebungshinweis ist von großer Bedeutung, da der CCPA den Unternehmen verbietet, andere Kategorien personenbezogener Daten zu erheben als die, die in dem Erhebungshinweis angegeben sind. Beabsichtigt das Unternehmen, weitere Kategorien personenbezogener Daten zu erheben, muss es nach dem CCPA bei oder vor der Erhebung der zusätzlichen Daten einen neuen Erhebungshinweis vorlegen.
Versäumt es ein Unternehmen, den Verbrauchern die vom CCPA vorgeschriebene Benachrichtigung bei der Datenerhebung zukommen zu lassen, ist es dem Unternehmen untersagt, personenbezogene Daten von den Verbrauchern zu sammeln. Wie wir in unserem letzten Beitrag zudieser Serie erörtert haben, haben Bewerber, Angestellte, unabhängige Auftragnehmer und Zeitarbeiter alle Anspruch auf eine Benachrichtigung bei der Erhebung.
2 - Hinweis auf das Recht, den Verkauf persönlicher Daten abzulehnen
Der Zweck des Hinweises auf das Recht, dem Verkauf personenbezogener Daten zu widersprechen, besteht darin, die Verbraucher über ihr Recht zu informieren, ein Unternehmen, das ihre personenbezogenen Daten verkauft (oder in Zukunft verkaufen könnte), anzuweisen, den Verkauf zu stoppen und in Zukunft davon Abstand zu nehmen.
Die Mitteilung über das Recht auf Nichtteilnahme muss enthalten:
(1) Eine Beschreibung des Rechts des Verbrauchers, dem Verkauf seiner personenbezogenen Daten zu widersprechen;
(2) Das Webformular, über das der Verbraucher seinen Antrag auf Widerruf online stellen kann, oder, falls das Unternehmen keine Website betreibt, die Offline-Methode, über die der Verbraucher seinen Antrag auf Widerruf stellen kann;
(3) Anweisungen für jede andere Methode, mit der der Verbraucher seinen Antrag auf Abmeldung stellen kann;
(4) alle Nachweise, die erforderlich sind, wenn ein Verbraucher einen Bevollmächtigten einsetzt, um sein Recht auf Widerruf auszuüben; und
(5) Ein Link oder die URL zu den Datenschutzrichtlinien des Unternehmens oder die Webseite, auf der die Verbraucher die Datenschutzrichtlinien einsehen können.
Betroffene Unternehmen, die personenbezogene Daten von Kaliforniern verkaufen, müssen auf ihrer Internet-Homepage einen klaren und auffälligen Link mit der Überschrift "Do Not Sell My Personal Information" (Verkaufe meine personenbezogenen Daten nicht) bereitstellen, über den der Verbraucher den Verkauf seiner personenbezogenen Daten ablehnen kann. Das Büro des kalifornischen Generalstaatsanwalts arbeitet an der Entwicklung eines einheitlichen Opt-out-Buttons oder -Logos, das Unternehmen verwenden können.
3 - Mitteilung über finanzielle Anreize
Der Zweck des Hinweises auf finanzielle Anreize besteht darin, dem Verbraucher jeden finanziellen Anreiz oder Preis- bzw. Leistungsunterschied zu erläutern, den ein Unternehmen als Gegenleistung für die Speicherung oder den Verkauf der personenbezogenen Daten eines Verbrauchers anbietet, damit der Verbraucher eine fundierte Entscheidung über seine Teilnahme treffen kann.
Die Mitteilung über finanzielle Anreize muss Folgendes enthalten:
(1) Eine kurze Zusammenfassung des finanziellen Anreizes oder des Preisunterschieds bei den angebotenen Dienstleistungen;
(2) Eine Beschreibung der wesentlichen Bedingungen des Preisanreizes, einschließlich der Kategorien personenbezogener Daten, die von dem finanziellen Anreiz oder dem Preis- oder Leistungsunterschied betroffen sind;
(3) Wie kann sich der Verbraucher für den finanziellen Anreiz oder die Preis- oder Leistungsunterschiede entscheiden?
(4) Belehrung über das Recht des Verbrauchers, den finanziellen Anreiz jederzeit zu widerrufen, und darüber, wie der Verbraucher dieses Recht ausüben kann; und
(5) Eine Erläuterung, warum der finanzielle Anreiz oder der Preis- oder Leistungsunterschied nach dem CCPA zulässig ist, einschließlich:
- eine gutgläubige Schätzung des Wertes der Daten des Verbrauchers, die die Grundlage für das Angebot des finanziellen Anreizes oder des Preis- oder Leistungsunterschieds bilden; und
- Eine Beschreibung der Methode, die das Unternehmen zur Berechnung des Werts der Verbraucherdaten verwendet hat.
Der Hinweis auf finanzielle Anreize muss online oder an einem anderen physischen Ort verfügbar sein, wo die Verbraucher ihn sehen können , bevor sie sich für den finanziellen Anreiz, den Preis oder den Leistungsunterschied entscheiden. Wenn das Unternehmen den finanziellen Anreiz online anbietet, kann der Hinweis auf den finanziellen Anreiz über einen Link zu dem Abschnitt der Datenschutzrichtlinie des Unternehmens erfolgen, der die erforderlichen Informationen enthält.
[bctt tweet="Das Büro des kalifornischen Generalstaatsanwalts arbeitet an einem einheitlichen CCPA-Opt-out-Button oder -Logo, das Unternehmen auf ihren Websites verwenden können." via="yes"]
Nächster Punkt: CCPA-Datenschutzrichtlinien
In unserem nächsten Beitrag werden wir auf die neuen, zahlreichen, einzigartigen und sehr spezifischen Angaben eingehen, die für CCPA-konforme Datenschutzrichtlinien erforderlich sind.
(Spoiler-Alarm: Es gibt keine "Einheitsgröße".)