Der California Consumer Privacy Act (CCPA) ist das ursprüngliche Datenschutzgesetz in Kalifornien. Es hat den Ansatz des Datenschutzes in den USA revolutioniert und wurde schließlich durch den California Privacy Rights Act (CPRA) geändert und erweitert.
Da Informationen über Kunden eine Goldgrube für Marketer sind, befürchten viele von ihnen, dass diese Gesetze wertvolle Kundeneinblicke verunmöglichen werden. Aber ist das wirklich der Fall?
In diesem Beitrag besprechen wir die wichtigsten Aspekte des CCPA sowie die Änderungen, die mit dem CPRA am 1. Januar 2023 in Kraft getreten sind. Außerdem stellen wir einige Maßnahmen vor, die Marketer ergreifen sollten, um diese Vorschriften einzuhalten.
Was ist der California Consumer Privacy Act (CCPA)?
Der CCPA wurde am 28. Juni 2018 verabschiedet. Der Rechtsakt schafft eine Reihe von Datenschutzrechten für Verbraucher sowie Pflichten für Unternehmen, die die Sammlung und den Verkauf von persönlichen Daten regeln.
Ziel des CCPA ist es, den Fluss personenbezogener Daten zwischen Unternehmen zu regulieren und die Datenschutzrechte der kalifornischen Verbraucher zu. So erhielten kalifornische Verbraucher das Recht, Bescheid zu wissen und darüber zu entscheiden, welche ihrer personenbezogenen Daten, warum und wie verwendet werden. Die Bürger Kaliforniens dürfen auch Unternehmen verbieten, ihre Daten zu verkaufen. Das Gesetz ist am 1. Januar 2020 in Kraft getreten.
Die Menschen wünschen sich Privatsphäre und mehr Kontrolle über ihre Daten. Die kalifornischen Verbraucher sollten die Kontrolle über ihre personenbezogenen Daten ausüben können, und sie wollen sicher sein, dass es Schutzmaßnahmen gegen den Missbrauch ihrer personenbezogenen Daten gibt. Es ist für Unternehmen möglich, sowohl die Privatsphäre der Verbraucher zu respektieren als auch ein hohes Maß an Transparenz bei ihren Geschäftspraktiken zu gewährleisten.
ABSCHNITT 1, Punkt (h) des California Consumer Privacy Act von 2018 (CCPA)
Der CCPA blieb gültig bis zum Inkrafttreten des CPRA. Deswegen analysieren wir die Vorschriften des CCPA und die Art und Weise, wie der CPRA sie geändert hat.
Wen betreffen die CCPA- und CPRA-Vorschriften?
Der CCPA galt für jedes Unternehmen, das personenbezogene Daten von Einwohnern Kaliforniens verarbeitete und dazu:
- einen Bruttojahresumsatz von mindestens 25 Millionen Dollar hatte, oder
- jährlich Informationen von 50.000 oder mehr kalifornischen Einwohnern/Haushalten oder Geräten erhielt (nach den CPRA-Regeln ist es 100.000), oder
- mindestens 50 % seines Jahreseinkommens aus dem Verkauf von Daten kalifornischer Einwohner erzielte (das CPRA bezieht sich sowohl auf den Verkauf als auch auf die Weitergabe von Daten kalifornischer Einwohner).
Wenn man bedenkt, dass Kalifornien heute die fünftgrößte Volkswirtschaft der Welt ist, betraf das CCPA praktisch jedes mittlere bis große Unternehmen mit globaler Präsenz.
Die höhere Schwelle, die von 50.000 kalifornischen Einwohnern unter CCPA auf 100.000 unter CPRA gewachsen ist, sollte die Zahl der durch das Gesetz betroffenen Unternehmen reduzieren. Aber mit dem Hinzufügen des Begriffs „Weitergabe“ zur Vorschrift über die Erzielung von 50 % oder mehr Einnahmen aus dem Verkauf personenbezogener Daten, kann die Zahl der betroffenen Unternehmen potenziell höher sein.
Was sind personenbezogene Daten unter CCPA und CPRA?
Einige Marketer gehen vielleicht davon aus, dass das kalifornische Gesetz sie nicht betrifft, weil sie keine personenbezogenen Daten der Nutzer sammeln. In vielen Fällen werden sie sich jedoch irren. Denn der CCPA legte eine sehr weit gefasste Definition des Begriffs „personenbezogene Daten“ fest, und diese Definition gilt auch im CPRA weiter.
Die personenbezogenen Daten umfassen unter dem CCPA und CPRA Folgendes:
- Identifikatoren wie ein echter Name, ein Pseudonym, eine Postadresse, ein eindeutiger Identifikator, eine IP-Adresse, eine E-Mail-Adresse, ein Kontoname, eine Sozialversicherungsnummer, eine Führerscheinnummer, eine Reisepassnummer oder andere ähnliche Identifikatoren
- Alle Kategorien personenbezogener Daten, die im Civil Code 1798.80 ff. aufgezählt sind, mit spezifischem Hinweis auf die Kategorie der gesammelten Daten
- Alle Kategorien personenbezogener Daten, die sich auf Merkmale geschützter Klassifikationen nach kalifornischem oder bundesstaatlichem Recht beziehen, mit spezifischer Bezugnahme auf die Kategorie der erhobenen Daten, wie Rasse, ethnische Zugehörigkeit oder Geschlecht
- Kommerzielle Informationen, einschließlich Angaben über Eigentum, Produkte oder Dienste, die angeboten, erworben oder berücksichtigt werden, oder andere Kauf- oder Konsumgewohnheiten oder -tendenzen
- Biometrische Daten
- Informationen über Internet- oder andere elektronische Netzwerkaktivitäten, einschließlich, aber nicht beschränkt auf den Browserverlauf, den Suchverlauf und Informationen über die Interaktion eines Verbrauchers mit einer Website, App oder Anzeige
- Daten zur Geolokalisierung
- Audio-, elektronische, visuelle, thermische, olfaktorische oder ähnliche Informationen
- Psychometrische Informationen
- Berufs- oder beschäftigungsbezogene Informationen
- Rückschlüsse, die aus einer der oben genannten Informationen gezogen werden, und
- Jede der in diesem Unterabschnitt aufgeführten Informationskategorien, soweit sie sich auf die minderjährigen Kinder des Verbrauchers beziehen
Wie Sie sehen, ist die Liste sehr lang und umfasst viele verschiedene Kategorien von Daten. Sicherlich dienen viele von ihnen als Treibstoff für Marketingaktivitäten. Dies wird besonders deutlich, wenn wir den Begriff „eindeutiger Identifikator“ näher betrachten:
„Eindeutiger Identifikator” bedeutet eine dauerhafte Kennung, anhand derer ein Verbraucher oder ein Gerät im Laufe der Zeit und über verschiedene Dienste hinweg erkennbar ist. Dazu zählen unter anderem: Geräteidentifikatoren, IP-Adresse(n), Cookies, Beacons, Pixel-Tags, Identifikatoren für mobile Anzeigen oder ähnliche Technologien, Kundennummern, eindeutige Pseudonyme oder Nutzer-Alias, Telefonnummern oder andere Formen dauerhafter oder wahrscheinlicher Kennungen, mit dem sich ein bestimmter Verbraucher oder ein bestimmtes Gerät identifizieren lässt.
Ähnlich wie die DSGVO regulieren auch CPPA und CPRA den Einsatz von Tracking-Cookies und anderen Arten von Online-Identifikatoren.
Dies bedeutet, dass die Rechtsakte nicht nur Marketer und deren Marketing-Stack abdecken – wie CRMs, Customer Data Platforms oder E-Mail-Automatisierung-Software. Sie betreffen jeden, der nicht anonymisierte Daten zur Analyse erfasst und damit die User-Experience auf ihrer Website oder App verbessert.
Was sind sensible personenbezogene Daten?
Der CPRA sieht eine zusätzliche Kategorie von personenbezogenen Daten vor – nämlich sensible personenbezogene Daten (sensible personal information, SPI). Solche Daten erfordern angemessene Sicherheitsmaßnahmen. Verbraucher haben das Recht, von Unternehmen zu verlangen, dass sie ihre SPI eingeschränkt nutzen.
Zu den sensiblen personenbezogenen Daten gehören unter anderem:
- Sozialversicherungsnummer
- Führerschein
- Staatlicher Personalausweis
- Reisepassnummer
- Finanzkontoinformationen und Anmeldedaten
- Debitkarten- oder Kreditkartennummer und Zugangsdaten
- Genaue geografische Daten
- Religiöse oder philosophische Ansichten
- Ethnische Herkunft
- Inhalt der Kommunikation
- Genetische Daten
- Biometrische Daten zu Identifizierungszwecken
- Informationen zur Gesundheit
- Informationen über das Geschlecht oder die sexuelle Orientierung
Was ändert sich durch den CCPA und CPRA?
Der CCPA ist eines der revolutionärsten Datenschutzgesetze in den Vereinigten Staaten. Viele Experten hielten es für einen Startpunkt, der die Datenschutzrechte der US-Verbraucher zu einer Priorität machen würde. Und sie hatten Recht.
Andere Bundesstaaten wie Massachusetts, New York, Hawaii und Maryland haben sich Kalifornien zum Vorbild gemacht und ihre eigenen Datenschutzgesetze entworfen.
Deshalb ist es kein Wunder, dass die Liste der Änderungen, die die beiden Rechtsakte einführen, so lang und komplex ist.
Zuerst analysieren wir die Vorgaben, die der CCPA eingeführt hat.
Die folgenden Vorschriften sind durch den CCPA vorgeschrieben. Alle Änderungen, die der CPRA in Kraft setzt, werden ausdrücklich erwähnt und in einer Infobox wie dieser aufgeführt.
1) Verbraucher haben das Recht, ein Verzeichnis der personenbezogenen Daten zu erhalten, die Unternehmen über sie führen (aus den letzten 12 Monaten). Unternehmen müssen außerdem Folgendes offenlegen:
- die Kategorien von Quellen, aus denen die personenbezogenen Daten stammen
- den geschäftlichen oder kommerziellen Zweck für die Erhebung oder den Verkauf der personenbezogenen Daten
- die Kategorien von Drittparteien, mit denen Unternehmen die personenbezogenen Daten teilen
Unternehmen sind verpflichtet, Verbraucheranfragen innerhalb von 45 Tagen zu bearbeiten.
Der CPRA ändert diese Klausel. Er gibt Verbrauchern das Recht, Verzeichnisse aller erhobenen Daten zu erhalten. Und zwar unabhängig davon, wann sie erhoben wurden. Ausnahme besteht, wenn dies sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand benötigt.
2) Verbraucher dürfen verlangen, dass Unternehmen ihre Daten entfernen oder nicht mehr verkaufen. Unternehmen müssen auf der Startseite ihrer Website einen „klaren und auffälligen Link” einrichten, der die Überschrift „Do Not Sell My Personal Information” enthält (auf Deutsch „Meine personenbezogenen Daten nicht verkaufen”). Der Link soll die Nutzer zu einer Seite führen, auf der sie dem Verkauf oder der Weitergabe ihrer Daten widersprechen können.
Der CPRA verlangt, dass Sie in solchen Fällen neben dem Wort „Sell“ auch das Wort „Share” einfügen, sodass der Link „Do Not Sell or Share My Personal Information” lautet (auf Deutsch „Meine personenbezogen Daten nicht verkaufen oder weitergeben”). Außerdem erweitert der CPRA das Recht auf Datenlöschung auf vielfache Weise. Beispiel: Wenn ein Unternehmen einen Antrag auf Datenlöschung erhält, muss es auch alle Drittparteien, die die personenbezogenen Daten des Verbrauchers erworben oder erhalten haben, benachrichtigen und anweisen, diese zu löschen.
3) Wenn ein Unternehmen Daten nutzt, die es gestohlen oder infolge eines Datenschutzverstoßes erworben hat, haben die Einwohner Kaliforniens das Recht, das Unternehmen zu verklagen. Ferner dürfen sie auch ein Unternehmen verklagen, das fahrlässig mit ihren Daten umgeht (z. B. das ihre Daten nicht verschlüsselt).
4) Für den Verkauf personenbezogener Daten von Minderjährigen (unter 16 Jahren) ist ein Opt-in erforderlich.
5) Unternehmen, die sich nicht an diese Vorschriften halten, müssen mit Geldstrafen rechnen:
- Im Falle einer Klage von Verbrauchern: $100–750 (oder die Kosten des tatsächlichen Schadens, je nachdem, welcher Betrag höher ist) pro Einwohner und Vorfall bei Datenschutzverstößen oder Datendiebstahl – wenn die Daten nicht ordnungsgemäß geschützt waren.
- Im Falle einer Klage des Generalstaatsanwalts: $2.500 pro unbeabsichtigtem Verstoß und bis zu $7.500 pro vorsätzlicher Verletzung der Privatsphäre.
Bei den durch das kalifornische Gesetz verhängten Geldbußen handelt es sich nicht nur um potenzielle Strafen. Im Rahmen eines Vergleichs mit dem Staat Kalifornien erklärte sich Sephora bereit, 1,2 Millionen Dollar zu zahlen und eine einstweilige Verfügung zu akzeptieren. Das Unternehmen hat die Daten seiner Kunden verkauft, ohne sie darüber zu informieren. Um die Einkäufe der Kunden zu überwachen, hat Sephora es versäumt, ihnen mitzuteilen, dass sie dem Verkauf ihrer Daten an Drittunternehmen widersprechen können.
Der CPRA fügt hinzu, dass die Höchststrafe bei Minderjährigen – sowohl bei absichtlichen als auch unabsichtlichen Verstößen – $7.500 beträgt. Anders als beim CCPA, verfügen Unternehmen unter dem CPRA auch über keine 30-Tage-Frist, während dessen Sie den Verstoß beheben könnten.
6) Unternehmen dürfen Verbraucher, die von ihren Rechten Gebrauch machen, nicht diskriminieren. Folglich dürfen sie Verbrauchern den Zugang zu Waren oder Dienstleistungen nicht verweigern, andere Preise oder Tarife verlangen oder ein anderes Niveau oder eine andere Qualität anbieten.
Hier die neuen Vorschriften, die der CPRA einführt:
1) Der CPRA richtet eine dedizierte Behörde ein, die das Gesetz auslegt und reguliert – die California Privacy Protection Agency (CPPA). Sie stellt Leitlinien für den Einsatz des CPRA bereit und hat die Befugnis, Verstöße zu untersuchen, Anhörungen durchzuführen und die betroffenen Unternehmen für Verstöße haftbar zu machen. Entscheidend dabei ist, dass die CPPA die erste US-Aufsichtsbehörde ist, die sich ausschließlich mit Fragen des Datenschutzes befasst.
2) Unter dem CPRA erhalten Verbraucher ein neues Recht auf die Berichtigung unrichtiger personenbezogener Daten. Unternehmen sind somit verpflichtet, sich in wirtschaftlich vertretbarem Umfang um die Korrektur dieser Informationen zu bemühen, wenn sie eine nachweisbare Anfrage des Verbrauchers erhalten.
3) Unternehmen sind zum Erteilen einer besonderen Benachrichtigung verpflichtet, wenn sie es vorhaben, sensible personenbezogene Daten einer Person zu sammeln oder zu verwenden.
4) Unternehmen müssen mindestens 12 Monate abwarten, bevor sie erneut um die Einwilligung zur Erhebung personenbezogener Daten von Minderjährigen bitten. Dies gilt auch für Personen, die sich gegen die Verarbeitung ihrer sensiblen personenbezogenen Daten entschieden haben.
CCPA und CPRA im Vergleich mit der DSGVO: 4 wichtige Unterschiede
Die Nachricht über den CCPA machte die Runde etwa einen Monat nach Inkrafttreten des europäischen Datenschutzgesetzes – der DSGVO. Dies hat Menschen dazu bewegt, nach Gemeinsamkeiten zwischen den Gesetzen zu suchen.
In der Tat zielen sowohl die kalifornischen Rechtsakte als auch die DSGVO darauf ab, den Umgang mit personenbezogenen Daten transparenter zu gestalten. Alle geben den Menschen mehr Kontrolle darüber, wie Unternehmen Informationen über sie verwenden.
Es gibt jedoch viele bedeutende Unterschiede zwischen ihnen. Unten finden Sie eine Liste der 4 wichtigen Aspekten, die die kalifornischen Gesetze von der DSGVO unterscheiden:
1. Verbraucher haben keine Option, sich gegen das Tracking zu entscheiden
CCPA und CPRA gehen ein etwas anderes Problem als die DSGVO an. Sie legen nämlich den Schwerpunkt darauf, den Verkauf von Verbraucherdaten an Dritte ohne deren Einwilligung und Wissen zu verhindern. Anders als das EU-Gesetz geben die kalifornischen Vorschriften den Verbrauchern jedoch keine Option, sich gegen die Erfassung ihrer Daten auszusprechen.
2. Es gibt kein Widerspruchsrecht gegen die Verarbeitung
Verbraucher können von Unternehmen verlangen, dass sie ihre Daten entfernen und nicht an andere Parteien verkaufen. Sie können aber nichts dagegen tun, dass Unternehmen ihre persönlichen Daten sammeln.
Dies bedeutet, dass Unternehmen weiterhin Informationen über eine bestimmte Person sammeln dürfen, auch nachdem sie deren Daten aus ihren Datenbanken entfernt haben.
Deswegen bieten die kalifornischen Gesetze kein Äquivalent zum „Widerspruchsrecht gegen die Verarbeitung” der DSGVO.
3. Keine Einwilligung erforderlich
Ein weiterer wesentlicher Unterschied besteht darin, dass Sie nach der DSGVO die Einwilligung der Nutzer einholen müssen, bevor Sie mit der Verarbeitung ihrer Daten beginnen. Weder CCPA noch CPRA verlangen von Unternehmen, dass sie eine solche Einwilligung einholen. Der Nutzer sollte sich aktiv gegen die Weitergabe oder den Verkauf seiner Daten wenden. Wie bereits erwähnt, gilt diese Regel jedoch nicht für Minderjährige (in ihrem Fall ist eine aktive Einwilligung erforderlich).
4. Kein berechtigtes Interesse
Unter der DSGVO gibt es mehrere Rechtsgründe für eine rechtmäßige Datenverarbeitung. Eine davon ist das berechtigte Interesse.
Wenn ein Unternehmen hinreichend nachweisen kann, dass die Verarbeitung personenbezogener Daten seinem berechtigten Interesse dient, benötigt es für die Verarbeitung dieser Art von Informationen keine Einwilligung der Besucher. Außerdem müssen sie die Anträge der betroffenen Personen auf Löschung, Berichtigung oder Weitergabe von Daten nicht bearbeiten. Mehr darüber lesen Sie hier.
Der CCPA und CPRA bieten Unternehmen hingegen keine ähnlichen Klauseln. So müssen Unternehmen nicht den Verbraucherantrag zur Löschung personenbezogener Daten erfüllen, wenn es vernünftigerweise notwendig ist, seine personenbezogenen Daten zu behalten, um:
- Eine Transaktion abzuschließen, eine angeforderte Ware oder Dienstleistung bereitzustellen usw.
- Sicherheit und Integrität zu gewährleisten
- Fehler zu beheben
- Gesetzlich vorgesehene Rechte auszuüben, wie die freie Meinungsäußerung
- Wissenschaftliche und statistische Forschung im öffentlichen Interesse zu betreiben
- Ausschließlich internen Einsatz zu ermöglichen, die mit den Erwartungen der Verbraucher in Einklang steht
- Gesetzliche Pflichten einzuhalten
Natürlich bestehen noch weitere Unterschiede zwischen diesen Gesetzen. Wenn Sie diese selbst erkunden möchten, empfehlen wir Ihnen, den Text aller drei Gesetze zu lesen:
Wie stellen Sie sicher, dass Ihr Unternehmen den CCPA und CPRA einhält?
Der CCPA ist seit 2020 in Kraft, wurde aber ursprünglich 2018 eingeführt. Dies gab Unternehmen etwas Zeit, sich auf das neue Gesetz vorzubereiten. Der CPRA hat zahlreiche Aspekte des CCPA geklärt und neue Pflichten hinzugefügt.
Im Zuge der Änderungen, die der CPRA mit sich bringt, sollten Sie analysieren, wie Ihr Unternehmen die durch die kalifornischen Rechtsakte auferlegten Datenschutzrechte einhält. Dann finden Sie heraus, was Sie verbessern können.
So stellen Sie sicher, dass die Prozesse Ihres Unternehmens zukunftssicher sind und mit beiden Gesetzen übereinstimmen.
1) Mappen Sie Ihre Daten und deren Quellen
Eine Ihrer wichtigsten Aufgaben ist die sorgfältige Prüfung Ihrer Datenbestände. Sie müssen alle persönlichen Informationen über Ihre Kunden mappen, die Ihre Marketing- und Vertriebstools sammeln.
Dann stellen Sie sicher, dass Sie die Daten für die Zugriff-, Löschung- und Transferanfragen Ihrer Kunden gut vorbereiten. Deshalb sollten Sie prüfen, ob Ihre Marketing-Software-Anbieter dieser Aufgabe gewachsen sind und es Ihnen ermöglichen, diese Pflichten zu erfüllen. Falls nicht, erwägen Sie einen Wechsel zu einem anderen, datenschutzfreundlichen Anbieter.
Wenn Sie an einem datenschutzfreundlichen Marketing-Stack interessiert sind, sehen Sie sich unser Produkt an: Piwik PRO Analytics Suite hilft Ihnen bei der Compliance mit der strengsten Datenschutzvorschriften weltweit, darunter DSGVO, HIPAA und jetzt auch CCPA/CPRA.
2) Überprüfen Sie Ihre Third-Party-Datenquellen
Unternehmen, die Kundendaten von Dritten kaufen, sollten sich immer vergewissern, dass diese aus einer rechtmäßigen Quelle stammen. Denken Sie zweimal nach, bevor Sie sich entscheiden, Daten von ungeprüften Anbietern zu verwenden. Wenn Sie gestohlene oder verletzte Daten nutzen, ist dies nach dem CCPA eine Straftat, die potenziell zu hohen Geldstrafen führt.
Ein praktischer Guide zum Consent Management im Zeitalter der DSGVO
Lesen Sie in unserem umfassenden Guide, wie Sie im Zeitalter der DSGVO Einwilligungen sammeln, verwalten und speichern. Erfahren Sie, wie Sie mit einem Consent Manager datenschutzkonform bleiben.
3) Stellen Sie ein Verfahren für den Umgang mit Verbraucheranfragen bereit
Nach dem CCPA/CPRA müssen Unternehmen mindestens zwei Methoden anbieten, mit denen Verbraucher ihre Anfragen stellen können. Sie umfassen eine gebührenfreie Nummer und ein Online-Formular. Dazu sollten Websites deutlich gekennzeichnete, auffällige Opt-Out-Links in einfacher Sprache bieten. Der Link zum Opt-out-Formular sollte auf Ihrer Homepage erscheinen und den Text erhalten: Meine personenbezogenen Daten nicht verkaufen oder weitergeben.
Sie müssen den Verbrauchern auch erlauben, andere Anfragen bezüglich ihrer Daten zu stellen. Zum Beispiel um:
- Ihre personenbezogenen Daten zu löschen, wenn sie nicht mehr benötigt werden, um einen der angegebenen Zwecke zu erfüllen
- Zu erfahren, wie Sie ihre personenbezogenen Daten gesammelt haben
- Bestimmte personenbezogene Daten an ein anderes Unternehmen weiterzugeben
- Die Verwendung und Weitergabe von personenbezogenen Daten einzuschränken
Dies bedeutet, dass Sie Ihre internen Prozesse für die Bearbeitung von Verbraucheranfragen überdenken müssen. Um diese Aufgabe ein wenig zu erleichtern, überlegen Sie den Einsatz eines speziellen Tools, das diese Verfahren für Sie automatisiert.
Mehr darüber, wie Sie von einem Consent Manager profitieren, lesen Sie in diesem Vergleich: 9 führende Consent Manager im Vergleich.
4) Aktualisieren Sie Ihre Datenschutzrichtlinien
Gemäß den CCPA und CPRA muss jedes Unternehmen, das die Daten von Einwohner Kaliforniens verarbeitet, seine Datenschutzrichtlinien aktualisieren und darin die Rechte der Kalifornier beschreiben. In diesem Artikel erfahren Sie, wie Sie Ihre CCPA-Datenschutzrichtlinie an den CPRA anpassen.
Wenn Sie einige klare Beispiele dafür benötigen, wie Ihre aktualisierte Datenschutzrichtlinie aussehen sollte, lassen Sie sich auf der offiziellen Website des California Consumer Privacy Act inspirieren.
5) Bleiben Sie auf dem Laufenden
Wahrscheinlich wird es in Zukunft noch weitere Änderungen geben. Deshalb ist es notwendig, dass Sie auf dem Laufenden bleiben und sehen, was die Zukunft bringt.
Es gibt Gespräche über die Einführung eines Bundesgesetzes zum Datenschutz, das die bestehenden staatlichen Gesetze außer Kraft setzen würde. Die vorgeschlagene Gesetzesvorlage heißt American Data Privacy and Protection Act (ADPPA) und sieht viele Rechte vor, die denen der DSGVO ähneln.
Idee dahinter: Eine einheitliche, nationale Datenschutz-Basis für Verbraucher zu schaffen, die vom Staat eingeführt und kontrolliert wird. Allerdings gibt es auch einige Kritikpunkte an dem Gesetzentwurf. Kalifornien lehnt ihn entschieden ab und behauptet, er würde den Schutz der Privatsphäre durch die bestehenden staatlichen Gesetze verringern. Außerdem würde das Bundesgesetz das derzeit in Kalifornien geltende Recht weitgehend ändern.
Der Gesetzentwurf hat noch einen langen Weg vor sich. Aber es lohnt sich, seinen Status zu verfolgen, da er bahnbrechende Änderungen der Datenschutzgesetze in den USA mit sich bringen wird.
Erfahren Sie, wie Sie Ihre Website mit der Piwik PRO Analytics Suite CCPA-konform machen.
Fazit
CCPA und CPRA haben gemeinsame Ziele: Den Kaliforniern die weltweit stärksten Online-Datenschutzrechte zu geben, eine Durchsetzungsinstanz für die Verbraucher einzurichten und es schwieriger zu machen, Datenschutzgesetze künftig zu schwächen.
Mit dem Inkrafttreten des CPRA geht das Datenschutzgesetz in Kalifornien besser auf die Bedürfnisse der Verbraucher ein und gewährleistet ihnen erweiterte Rechte. Wir sollten die Situation auf jeden Fall beobachten und verfolgen, ob weitere Änderungen an dem Rechtsakt vorkommen werden.
Wir hoffen, dass dieser Blog-Beitrag Ihnen einen guten Überblick über den CCPA und CPRA sowie einige praktische Ratschläge gegeben hat, wie Sie sie einhalten. Wenn Sie jedoch mehr über den CCPA oder CPRA erfahren möchten, laden wir Sie ein, unseren Blog für Neuigkeiten und Updates zu verfolgen.