Haben Sie das neue Jahr mit Konfetti eingeläutet ... und einer neuen CCPA-Datenschutzrichtlinie?

Stacey Garrett von KY&L erklärt, warum es so wichtig ist, einen solchen Plan zu erstellen.

Stacey Garrett
Stacey Garrett Januar 7, 2020 6 min gelesen
Blogbeitrag zur Einhaltung des Datenschutzes – Überschrift

Die Kalifornier verbrachten den 1. Januar 2020 wie die meisten anderen Amerikaner: Sie fassten Neujahrsvorsätze (und brachen sie), schauten sich College-Football-Bowlspiele an und verabschiedeten sich von 2019.

Aber die Kalifornier wachten an diesem Tag auch mit neuen Datenschutzrechten auf, die ihnen durch das Kalifornisches Gesetz zum Schutz der Privatsphäre der Verbraucher, ein erstes Datenschutzgesetz in den Vereinigten Staaten, das dem Einzelnen das Recht gibt, persönliche Daten, die Unternehmen über ihn sammeln, zu erfahren, einzusehen und zu löschen.

Für Unternehmen, die dem CCPA unterliegen, sieht das Gesetz eine Reihe von Verpflichtungen vor, die ab dem 1. Januar 2020 einzuhalten sind (betrachten Sie sie als verbindliche Neujahrsvorsätze). Diese Verpflichtungen sind so einzigartig, dass der kalifornische Generalstaatsanwalt Xavier Becerra kürzlich Star Trek zitierte, um sie zu beschreiben, und sagte, das neue kalifornische Datenschutzgesetz gehe "in eine Richtung, in die noch nie jemand zuvor gegangen ist".

Die Anforderungen der CCPA-Datenschutzrichtlinie sind ein perfektes Beispiel dafür: Sie sind kompliziert, zahlreich und in einigen Fällen noch nie zuvor gesehen worden. In diesem Blog gehen wir auf die erforderlichen Elemente einer CCPA-konformen Datenschutzrichtlinie ein und erörtern, wie Unternehmen dieses neue Terrain meistern können.

Ziele der Datenschutzpolitik

Nach dem CCPA besteht der Zweck einer Datenschutzrichtlinie darin, den Verbrauchern eine umfassende Beschreibung der Online- und Offline-Praktiken eines Unternehmens in Bezug auf die Erhebung, die Verwendung, die Offenlegung und den Verkauf personenbezogener Daten sowie der Rechte der Verbraucher in Bezug auf ihre personenbezogenen Daten zu geben. (Der Verweis auf "Offline-Praktiken" bedeutet, dass die Datenschutzrichtlinie auch die personenbezogenen Daten beschreiben muss, die das Unternehmen offline sammelt, z. B. im Zusammenhang mit dem Einsatz von Sicherheitskameras und Videoüberwachung).

eBook: Datenschutz: Warum ist es gerade jetzt so wichtig? Warum sollten Rechtsteams aufpassen?

"Leicht zu lesen", "verständlich" und für alle zugänglich

Die Datenschutzerklärung sollte auch für einen durchschnittlichen Verbraucher "leicht zu lesen" und "verständlich" sein. (Angesichts der Menge an Informationen, die in der Datenschutzerklärung enthalten sein müssen, ist diese Aufgabe leichter gesagt als getan).

Die Datenschutzrichtlinie sollte in einer einfachen und verständlichen Sprache abgefasst sein. Sie muss in einem Format abgefasst sein, das die Aufmerksamkeit des Verbrauchers auf sich zieht und die Richtlinie lesbar macht, und sie muss in der/den Sprache(n) verfügbar sein, in der/denen das Unternehmen den Verbrauchern üblicherweise Verträge und Ankündigungen vorlegt.

Die Datenschutzerklärung muss auch für Verbraucher mit Behinderungen zugänglich sein und in einem separaten Dokument ausgedruckt werden können.

Profi-Tipp Nr. 1:

Die vom CCPA geforderte Datenschutzrichtlinie gilt zusätzlich zu den Datenschutzrichtlinien, die von anderen kalifornischen Gesetzen, wie dem California Online Privacy Protection Act (CalOPPA"), gefordert werden.

Sicher, aber was muss in der CCPA-Datenschutzrichtlinie stehen?

Machen Sie sich bereit. Es ist eine lange Liste. Die Datenschutzrichtlinie muss:

1 - Erläutern Sie, dass ein Verbraucher das Recht hat, von einem Unternehmen zu verlangen, dass es ihm mitteilt, welche personenbezogenen Daten es sammelt, verwendet, weitergibt und verkauft. Um dies zu tun, muss die Datenschutzrichtlinie:

  • Anleitungen für die Einreichung eines überprüfbaren Auskunftsersuchens des Verbrauchers und Links zu einem Online-Antragsformular oder einem Portal für die Einreichung des Antrags, sofern vom Unternehmen angeboten;
  • Beschreiben Sie das Verfahren, das das Unternehmen zur Überprüfung der Anfrage des Verbrauchers einsetzt, einschließlich aller Informationen, die der Verbraucher bereitstellen muss. Gibt es keine angemessene Methode, mit der ein Unternehmen die Identität des Verbrauchers mit dem vom CCPA geforderten Grad an Sicherheit überprüfen kann, und ist dies bei allen Verbrauchern der Fall, über deren personenbezogene Daten das Unternehmen verfügt, so ist dies in der Datenschutzrichtlinie anzugeben;
  • Beschreiben Sie die Praktiken des Unternehmens bei der Erhebung personenbezogener Daten. Die Datenschutzrichtlinie muss:
    • Beschreiben Sie die Kategorien personenbezogener Daten, die das Unternehmen in den vorangegangenen 12 Monaten über Verbraucher gesammelt hat, und
    • Geben Sie für jede Kategorie der erhobenen personenbezogenen Daten die Kategorien der Quellen an, aus denen diese Daten stammen (d. h. vom Verbraucher oder einer anderen Drittquelle), den geschäftlichen oder kommerziellen Zweck bzw. die Zwecke, für den bzw. die die Daten erhoben wurden, und die Kategorien der Dritten, mit denen das Unternehmen personenbezogene Daten austauscht.
  • Beschreiben Sie die Praktiken des Unternehmens in Bezug auf die Weitergabe oder den Verkauf von personenbezogenen Daten. Die Datenschutzrichtlinie muss:
    • Geben Sie an, ob das Unternehmen in den vorangegangenen 12 Monaten personenbezogene Daten zu geschäftlichen oder kommerziellen Zwecken an Dritte weitergegeben oder verkauft hat oder nicht;
    • Auflistung der Kategorien personenbezogener Daten, die in den vorangegangenen 12 Monaten zu einem geschäftlichen oder kommerziellen Zweck an Dritte weitergegeben oder verkauft wurden; und
    • Geben Sie an, ob das Unternehmen personenbezogene Daten von Minderjährigen unter 16 Jahren ohne ausdrückliche Genehmigung verkauft oder nicht.

2 - Erläutern Sie, dass ein Verbraucher das Recht hat, die Löschung seiner persönlichen Daten zu verlangen, die von dem Unternehmen gesammelt oder aufbewahrt werden. Die Datenschutzrichtlinie muss:  

A. Anweisungen für die Einreichung eines überprüfbaren Löschantrags des Verbrauchers und Links zu einem Online-Antragsformular oder einem Portal für die Einreichung des Antrags, sofern vom Unternehmen angeboten; und

B. Beschreiben Sie das Verfahren, mit dem das Unternehmen den Antrag des Verbrauchers überprüfen wird, einschließlich aller Informationen, die der Verbraucher bereitstellen muss.

Profi-Tipp #2:

Die CCPA-Datenschutzrichtlinie muss mindestens einmal alle 12 Monate aktualisiert werden.

3 - Beschreiben Sie das Recht des Verbrauchers, dem Verkauf von personenbezogenen Daten zu widersprechen. Um dies zu tun, muss die Datenschutzrichtlinie:

A. Anweisungen für die Einreichung eines überprüfbaren Löschantrags des Verbrauchers und Links zu einem Online-Antragsformular oder einem Portal für die Einreichung des Antrags, sofern vom Unternehmen angeboten; und

B. Beschreiben Sie das Verfahren, mit dem das Unternehmen den Antrag des Verbrauchers überprüfen wird, einschließlich aller Informationen, die der Verbraucher bereitstellen muss.

4 - Erläutern Sie, dass der Verbraucher ein Recht darauf hat, nicht anders behandelt zu werden, weil er von seinem Recht auf Privatsphäre Gebrauch gemacht hat, das ihm durch den CCPA verliehen wurde;

5 - Erläutern Sie, wie ein Verbraucher einen Bevollmächtigten benennen kann, der im Namen des Verbrauchers einen Antrag nach dem CCPA stellt;

6 - Geben Sie den Verbrauchern einen Ansprechpartner an die Hand, an den sie Fragen oder Bedenken bezüglich der Datenschutzrichtlinien und -praktiken des Unternehmens richten können;

7 - Geben Sie das Datum an, an dem die Datenschutzrichtlinie zuletzt aktualisiert wurde.

8 - Wenn ein Unternehmen allein oder in Kombination jährlich die personenbezogenen Daten von 4 Millionen oder mehr Verbrauchern kauft, erhält, verkauft oder weitergibt, muss die Datenschutzrichtlinie auch die folgenden Kennzahlen für das vorangegangene Kalenderjahr enthalten:

A. Die Anzahl der Anfragen zur Kenntnisnahme, Löschung und Abmeldung, die das Unternehmen erhalten hat, denen es ganz oder teilweise nachgekommen ist und die es abgelehnt hat; und

B. Die durchschnittliche Anzahl von Tagen, innerhalb derer das Unternehmen inhaltlich auf Auskunftsersuchen, Löschungsersuchen und Opt-out-Anträge geantwortet hat.

Aushang der Datenschutzrichtlinie

Unternehmen müssen ihre CCPA-Datenschutzrichtlinie auf der Startseite ihrer Website (oder auf der Landing Page einer mobilen Anwendung) über einen auffälligen Link mit dem Wort "Datenschutz" veröffentlichen. Ein Unternehmen, das keine Website betreibt, muss die Datenschutzrichtlinie den Verbrauchern deutlich sichtbar zur Verfügung stellen (z. B. durch einen gut sichtbaren Aushang am Standort des Unternehmens).

Haben Sie noch keine CCPA-Datenschutzrichtlinie?

Die Liste der CCPA-Datenschutzrichtlinien ist, gelinde gesagt, entmutigend. Aber werfen Sie nicht das Handtuch, wenn Ihr Unternehmen bis zum 1. Januar 2020 keine CCPA-konforme Datenschutzrichtlinie veröffentlichen konnte.

Generalstaatsanwalt Becerra hat erklärt, dass seine Behörde Unternehmen, die sich in gutem Glauben um die Einhaltung des Gesetzes bemühen, "wohlwollend betrachten" wird, während seine Behörde an Unternehmen, die nicht ordnungsgemäß arbeiten, "ein Exempel statuieren" wird. Bleiben Sie also am Ball. Und leben Sie lange und in Frieden.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.