FitConsent

By DIGITLOAD

Deutsch

Das CCPA/CPRA Erklärt: Kalifornischen Verbrauchern mehr Rechte im Bereich des Datenschutzes geben

Der California Consumer Privacy Act (CCPA), der am 1. Januar 2020 in Kraft trat und durch den California Privacy Rights Act (CPRA) im Jahr 2023 erheblich erweitert wurde, ist eines der umfassendsten Datenschutzgesetze auf US-Bundesstaatsebene. Während sich die DSGVO auf europäische Einwohner konzentriert, ermächtigt der CCPA/CPRA kalifornische Verbraucher, indem er ihnen umfassende Rechte über ihre persönlichen Informationen gewährt und Unternehmen, die diese sammeln und verarbeiten, strenge Pflichten auferlegt.

California Consumer Privacy Act CCPA, California Privacy Rights Act CPRA

Was ist das CCPA/CPRA?

Das CCPA (und sein Nachfolger, das CPRA) ist ein wegweisendes Datenschutzgesetz, das kalifornischen Einwohnern (Verbrauchern) neue Rechte bezüglich ihrer persönlichen Informationen einräumt. Im Gegensatz zur DSGVO, die sich auf die Rechtsgrundlage für die Verarbeitung konzentriert, geht es beim CCPA/CPRA mehr um die Kontrolle des Verbrauchers und die Transparenz darüber, wie Unternehmen seine Daten handhaben.

Es gilt im Allgemeinen für gewinnorientierte Unternehmen, die persönliche Informationen von kalifornischen Einwohnern sammeln und eine oder mehrere der folgenden Schwellenwerte erfüllen:

  • Hat jährliche Bruttoeinnahmen von über 25 Millionen US-Dollar.
  • Kauft, empfängt oder verkauft persönliche Informationen von 100.000 oder mehr kalifornischen Verbrauchern oder Haushalten.
  • Erzielt 50 % oder mehr seiner jährlichen Einnahmen aus dem Verkauf oder der Weitergabe von persönlichen Informationen kalifornischer Verbraucher.

„Persönliche Informationen“ im Rahmen des CCPA/CPRA ist weit gefasst und umfasst alles, was eine Person identifiziert, sich auf sie bezieht, sie beschreibt, vernünftigerweise mit ihr in Verbindung gebracht werden kann oder vernünftigerweise direkt oder indirekt mit einem bestimmten Verbraucher oder Haushalt verknüpft werden könnte.

Wichtige Verbraucherrechte nach CCPA/CPRA

Das CCPA/CPRA gewährt kalifornischen Verbrauchern mehrere mächtige Rechte:

  1. Recht auf Auskunft: Verbraucher haben das Recht, von einem Unternehmen die Offenlegung der Kategorien und spezifischen Teile der gesammelten persönlichen Informationen zu verlangen, die Kategorien der Quellen, aus denen die persönlichen Informationen gesammelt werden, die Zwecke der Sammlung oder des Verkaufs persönlicher Informationen und die Kategorien von Drittparteien, mit denen das Unternehmen persönliche Informationen teilt.
  2. Recht auf Löschung: Verbraucher haben das Recht, die Löschung von persönlichen Informationen zu verlangen, die vom Unternehmen gesammelt wurden.
  3. Recht auf Widerspruch gegen den Verkauf/die Weitergabe (Opt-Out): Dies ist ein Eckpfeiler des CCPA/CPRA. Verbraucher haben das Recht, ein Unternehmen, das persönliche Informationen an Dritte verkauft oder „teilt“ (für kontextübergreifende verhaltensbezogene Werbung), anzuweisen, ihre persönlichen Informationen nicht zu verkaufen oder weiterzugeben. Unternehmen müssen auf ihrer Homepage einen klaren Link „Meine persönlichen Informationen nicht verkaufen oder weitergeben“ bereitstellen.
  4. Recht auf Berichtigung: Verbraucher können verlangen, dass Unternehmen ungenaue persönliche Informationen korrigieren.
  5. Recht auf Einschränkung der Nutzung und Offenlegung sensibler persönlicher Informationen: Verbraucher können Unternehmen anweisen, die Nutzung und Offenlegung ihrer „sensiblen persönlichen Informationen“ (z. B. genaue Geolokalisierung, ethnische Herkunft, Gesundheitsdaten) auf das zu beschränken, was zur Erbringung der angeforderten Dienstleistungen oder zur Bereitstellung der angeforderten Waren notwendig ist.
  6. Recht auf Nichtdiskriminierung: Unternehmen dürfen einen Verbraucher nicht diskriminieren, weil er seine CCPA/CPRA-Rechte ausübt.

Auswirkungen auf Unternehmen

Die Einhaltung des CCPA/CPRA erfordert für viele Unternehmen eine erhebliche Umstellung der Datenverarbeitungspraktiken. Zu den wichtigsten Anforderungen gehören:

  • Bereitstellung klarer und prominenter Datenschutzerklärungen, die die Datenerfassung und -verarbeitung detaillieren.
  • Implementierung von Mechanismen, über die Verbraucher Anträge auf Auskunft betroffener Personen (DSARs) für ihre Rechte stellen können.
  • Erkennen und Beachten globaler Datenschutzsignale, wie des Browser-Signals Global Privacy Control (GPC).
  • Sicherstellung, dass Drittanbieter von Diensten und Auftragnehmer ebenfalls die CCPA/CPRA-Regeln einhalten, wenn sie im Auftrag des Unternehmens Verbraucherdaten verarbeiten.

Die Nichteinhaltung kann zu erheblichen Strafen führen, einschließlich gesetzlicher Schadensersatzforderungen von 100 bis 750 US-Dollar pro Verbraucher und Vorfall bei vorsätzlichen Verstößen oder bei Nichtbehebung von Verstößen nach Benachrichtigung, sowie tatsächlicher Schadensersatz für Verbraucher. Die Durchsetzung erfolgt durch die California Privacy Protection Agency (CPPA) und den Generalstaatsanwalt von Kalifornien.

Die Entscheidende Rolle von Einwilligungs- und Opt-out-Tools in der Modernen CCPA/CPRA-Compliance

Die Navigation durch die CCPA/CPRA-Compliance, insbesondere bei gleichzeitiger Aufrechterhaltung effektiven digitalen Marketings und effektiver Analysen, erfordert die nahtlose Integration spezialisierter Tools: eine robuste Consent Management Platform (CMP) und die Einhaltung von Signalen großer Werbeplattformen.

1. Die Consent Management Platform (CMP) – z.B. FitConsent

Eine CMP wie FitConsent ist unerlässlich für die Implementierung der durch CCPA/CPRA vorgeschriebenen Verbraucherrechte. Ihre Hauptfunktionen umfassen:

  • Erleichterung von Opt-outs: Eine CMP hilft Unternehmen, den obligatorischen Link „Meine persönlichen Informationen nicht verkaufen oder teilen“ anzuzeigen und die zugrunde liegenden Mechanismen zur Einhaltung dieser Anfragen zu verwalten, um sicherzustellen, dass Daten nach einem Opt-out nicht verkauft oder geteilt werden.
  • Verwaltung von Benutzerpräferenzen: Über einfache Opt-outs hinaus ermöglicht eine CMP eine granularere Kontrolle, insbesondere zur Begrenzung der Verwendung sensibler persönlicher Informationen, im Einklang mit den erweiterten CPRA-Anforderungen.
  • Beantwortung von DSARs (Datenauskunftsersuchen): Obwohl sie die Löschung nicht direkt ausführt, kann eine CMP den Prozess des Empfangs und der Verwaltung von Datenauskunftsersuchen (DSARs) optimieren, die notwendigen Audit-Trails bereitstellen und Unternehmen dabei helfen, relevante Daten für Lösch- oder Zugriffsanfragen zu finden.
  • Einhaltung von GPC-Signalen: Moderne CMPs sind darauf ausgelegt, von den Browsern der Benutzer gesendete Global Privacy Control (GPC)-Signale zu erkennen und automatisch zu honorieren, was das CCPA/CPRA als gültige Opt-out-Anfrage vorschreibt.

2. Google Consent Mode V2

Während der CCPA/CPRA für viele Datenverwendungen hauptsächlich ein „Opt-out“- und kein „Opt-in“-Regime ist (im Gegensatz zur starken Betonung der DSGVO auf Einwilligung), spielt der Google Consent Mode V2 dennoch eine entscheidende Rolle für Unternehmen, die global tätig sind oder solche mit gemischten Compliance-Anforderungen:

  • Globaler Compliance-Rahmen: Für Unternehmen, die sowohl kalifornische als auch EU-Bürger bedienen, bietet eine mit Google Consent Mode V2 integrierte CMP einen einheitlichen Ansatz. Auch in einem Opt-out-Kontext kann sie helfen, Signale an Google-Dienste zu verwalten und sicherzustellen, dass Analyse- und Werbetags sich entsprechend den Benutzerpräferenzen verhalten (sei es „Opt-in“ für die DSGVO oder „Opt-out“ für den CCPA).
  • Anpassung des Tag-Verhaltens: Der Google Consent Mode V2 kann das Verhalten von Google-Tags immer noch basierend auf den empfangenen expliziten Entscheidungen oder impliziten Opt-out-Signalen ändern, die Datenerfassung für Werbung bei Bedarf einschränken und somit die CCPA/CPRA-Ziele unterstützen, wo zutreffend.

3. Microsoft UET Consent Mode

In ähnlicher Weise gilt für Unternehmen, die Microsoft Advertising (Bing Ads) verwenden und kalifornische Einwohner bedienen:

  • Respektierung von Opt-outs: Der Microsoft UET Consent Mode ermöglicht es dem Universal Event Tracking (UET)-Tag, seine Datenerfassungspraktiken basierend auf den Benutzerpräferenzen oder Opt-out-Signalen anzupassen. Dies stellt sicher, dass persönliche Informationen nicht über das UET-Tag in einer Weise „verkauft“ oder „geteilt“ werden, die gegen CCPA/CPRA verstößt, wenn ein Verbraucher sich abgemeldet hat.
  • Beibehaltung eingeschränkter Funktionalität: Durch die Anpassung des Tag-Verhaltens ermöglicht der UET Consent Mode, dass das grundlegende Conversion-Tracking und die Messung der Anzeigenleistung auf datenschutzfreundliche Weise fortgesetzt werden können, selbst wenn das vollständige Tracking aufgrund von Verbraucherentscheidungen nicht zulässig ist.

Fazit zu Tools:

Für Unternehmen, die unter dem Schirm von CCPA/CPRA agieren, ist die Integration einer spezialisierten CMP wie FitConsent mit der flexiblen Signalgebung von Google Consent Mode V2 und Microsoft UET Consent Mode von entscheidender Bedeutung. Diese Tools gewährleisten nicht nur die rechtliche Einhaltung der Verbraucherrechte, sondern ermöglichen auch die Fortsetzung wesentlicher Marketing- und Analyseaktivitäten auf datenschutzfreundliche und dateninformierte Weise.