New call-to-action

Gesetz zum Datenschutz: A-Z über den California Consumer Privacy Act, CCPA von 2020

04-12-2024 | 8 Minute gelesen | Business to Government Compliance, Einhaltung der DSGVO

Author: Priyasha Purkayastha, Global Content Manager, TJC Group 

The ever-evolving amounts of data in today’s world undeniably raise concerns about its privacy and protection. From website cookies to social media algorithms and more, consumer data is everywhere. Fortunately, governments all across the world are putting their best foot forward to ensure that these data are protected, implementing stringent data privacy laws. At TJC Group, data protection is of utmost importance and continuing with our efforts to educate our readers about these laws, this month, we bring you the California Consumer Privacy Act (CCPA) of 2020.  

Table of contents

Introduction 

Daten helfen Unternehmen, Einblicke in ihre Kunden zu erhalten, die neue Möglichkeiten zur Wertschöpfung und mehr eröffnen. Aus diesem Grund erhalten die Zielgruppen heute bei ihren Suchanfragen mehr personalisierte Ergebnisse. Außerdem führt dies zu zufriedenstellenderen Ergebnissen sowohl für die Unternehmen als auch für die Nutzer. Aber unter all dem ist der Datenschutz ein Thema, das oft im Rampenlicht steht. Grundsätzlich ist der Schutz von Daten in der heutigen digitalen Landschaft von größter Bedeutung. In der Tat ist Datenschutz sowohl für Verbraucher als auch für Unternehmen notwendig – als Einzelpersonen, als Kunden und als Mitarbeiter. Darüber hinaus verstärken die häufigen Cyber-Bedrohungen und Cyber-Angriffe die zentrale Bedeutung des Datenschutzes.

Spotlight on the California Consumer Privacy Act, 2020 

Der Geist des Schutzes von Verbraucherdaten ist auf der ganzen Welt gleichbleibend hoch. Vom DSGVO in der EU, dem Loi 25 in Quebec, dem PDPA in Argentinien, dem DPDP in Indien und vielen anderen, setzen die Regierungen alles daran, den Datenschutz zu gewährleisten. Wir haben diese Gesetze zwar schon früher besprochen, aber diesen Monat konzentrieren wir uns auf den California Consumer Privacy Act (CCPA) von 2020.

What is the California Consumer Privacy Act 2020? 

Der California Consumer Privacy Act (CCPA) ist ein Datenschutzgesetz im US-Bundesstaat Kalifornien, das den Einwohnern neue Rechte in Bezug auf ihre persönlichen Daten gewährt. Das Gesetz schreibt Organisationen, die in Kalifornien geschäftlich tätig sind, außerdem mehrere Datenschutzbestimmungen vor. Dieses Datenschutzgesetz wurde im Jahr 2018 erlassen, trat aber erst am 1. Januar 2020 in Kraft.

Tatsächlich ist Kalifornien der erste Staat in den Vereinigten Staaten von Amerika, der über ein umfassendes Datenschutzgesetz verfügt, das den Schutz und die Sicherheit von Verbraucherdaten beinhaltet. Das CCPA enthält verschiedene Vorschriften für Unternehmen, die denen der Allgemeinen Datenschutzverordnung (DSGVO) in der EU ähneln . Dennoch kann ein Unternehmen, das ein anderes Datenschutzgesetz einhält, zusätzliche Verpflichtungen im Rahmen des CCPA haben. Angesichts der großen Reichweite und der komplizierten Natur des California Consumer Privacy Act 2020 ist es nicht nur für Unternehmen in Kalifornien, sondern auch weltweit unerlässlich, jede kritische Nuance des Gesetzes zu verstehen.

What comes under the California Consumer Privacy Act? 

Um das Gesetz zu verstehen, müssen Sie zunächst wissen, was genau unter den Schutz des CCPA fällt. Das Gesetz bietet Verbrauchern, die als Einwohner von Kalifornien definiert sind, Schutz und Rechte auf persönliche Informationen. Neben den Kunden von Haushaltswaren und Dienstleistungen definiert der CCPA auch Verbraucher, die –

  • Kontakte von Geschäftskunden oder Verkäufern.

Das kalifornische Gesetz zum Schutz der Privatsphäre von Verbrauchern definiert den Begriff „persönliche Daten“ recht weit; er kann alle Informationen umfassen, die entweder direkt oder indirekt –

  • Bezieht sich auf einen bestimmten Verbraucher oder Haushalt, beschreibt ihn oder identifiziert ihn.
  • Mit einem bestimmten Verbraucher oder Haushalt in Verbindung stehen oder vernünftigerweise mit ihm in Verbindung gebracht werden können.

Außerdem schützt das CCPA-Gesetz Daten, auch wenn sie sich nicht auf eine einzelne Person beziehen. Der Grund dafür ist, dass das Gesetz Haushalte und Geräte abdeckt und die Daten schützt, die mit einer eindeutigen Kennung und nicht mit dem Namen einer Person verbunden sind.

Who must comply with the regulations of CCPA? 

Nun, da Sie eine Vorstellung davon haben, was der CCPA abdeckt, lassen Sie uns sehen, wer die Bestimmungen dieses Datenschutzgesetzes einhalten muss.

Die Bestimmungen des California Consumer Privacy Act gelten für Unternehmen, die als „gewinnorientiert“ definiert sind. Dazu gehören Einzelunternehmen, Aktiengesellschaften, Vereine, Gesellschaften mit beschränkter Haftung oder andere juristische Personen, die –

  • die persönlichen Daten von Verbrauchern direkt oder in deren Namen sammelt
  • Bestimmt die Mittel und den Zweck der Datenverarbeitung, allein oder in Zusammenarbeit mit anderen
  • Hat ein Geschäft in Kalifornien

Darüber hinaus unterliegen Unternehmen in Kalifornien, die einen der folgenden Schwellenwerte erfüllen, den regulatorischen Anforderungen des CCPA –

  • jedes Unternehmen, das einen jährlichen Bruttoumsatz von mehr als 25 Millionen Dollar (inflationsbereinigt) hat;
  • erhält, kauft, teilt oder verkauft jährlich die persönlichen Daten von mehr als 50.000 Verbrauchern,
  • und Geräten oder Haushalten zu gewerblichen Zwecken (allein oder in Kombination); oder
  • 50% oder mehr seines Jahresumsatzes mit dem Verkauf von persönlichen Daten von Verbrauchern erzielt
DSGVO | Wie können SAP-Anwender das Risiko der Nichteinhaltung von Vorschriften minimieren?

What are the exceptions to CCPA? 

Das kalifornische Gesetz zum Schutz der Privatsphäre von Verbrauchern sieht mehrere Ausnahmen von seiner Anwendung vor, die sich auf Folgendes stützen

  • Juristische Bedenken, wenn:
  • das gesamte kommerzielle Geschäft findet komplett außerhalb von Kalifornien statt,
  • eine einzelne, einmalige Transaktion, bei der keine der erhobenen personenbezogenen Daten gespeichert werden; oder
  • branchenspezifische Gesetze zum Schutz der Privatsphäre oder des Datenschutzes decken kommerzielles Verhalten ab, wie
  • dem Health Insurance Portability and Accountability Act von 1996 (HIPAA), dem Fair Credit Reporting Act (FCRA) oder dem Gramm-Leach-Bliley Act (GLBA).
  • Anforderungen für allgemeine Geschäftsvorgänge, wie z.B. die Erlaubnis zum Verkauf personenbezogener Daten als Teil einer größeren Übernahme oder Fusion.
  • Fragen im Zusammenhang mit rechtlichen oder kollisionsrechtlichen Aspekten, wie z.B. die Einhaltung anderer Gesetze, die Abwehr von Rechtsansprüchen oder die Zusammenarbeit mit der Strafverfolgung.

What are the rights of the consumers under CCPA? 

Die Datenschutzgesetze – ob CCPA oder andere – wurden mit Blick auf die Verbraucher und deren Datenschutz geschaffen. Daher ist es nur fair, ihnen Rechte einzuräumen, die das Gesetz vorteilhaft machen. Nach dem California Consumer Privacy Act werden den Verbrauchern folgende Rechte gewährt

1. Verbraucher haben das Recht zu erfahren, wie ihre Daten von Unternehmen gesammelt, verwendet und weitergegeben werden, einschließlich Informationen auf Anfrage:

  • Alle personalisierten Datenschutzerklärungen
  • Alle spezifischen Daten von persönlichen Informationen, die von Unternehmen gehalten werden

2. Verbraucher haben das Recht, ihre persönlichen Daten, die von Unternehmen gespeichert werden, zu löschen; es gibt jedoch bestimmte Ausnahmen.

3. Das Recht, den Verkauf von persönlichen Informationen zu verhindern, gemäß –

  • Personen ab 16 Jahren haben das Recht, den Verkauf persönlicher Daten abzulehnen.
  • Personen unter 15 Jahren haben das Recht, den Verkauf persönlicher Daten abzulehnen, wenn ein Elternteil oder Erziehungsberechtigter zustimmt.

4. Verbraucher haben das Recht auf Nicht-Diskriminierung bei der Ausübung ihrer Rechte im Zusammenhang mit dem CCPA-Datenschutzgesetz.

5. Verbraucher, die ihre Rechte gemäß dem California Consumer Privacy Act 2020 wahrnehmen, werden nicht bestraft.

Lesen Sie unseren neuesten Blog über die Ausnahmeregelung für NIS2-Patches auf SAP-Altsystemen

What are the business obligations under the CCPA data protection law? 

Mit dieser kalifornischen Datenschutzverordnung sind Unternehmen verpflichtet, Maßnahmen zu ergreifen, um die Einhaltung der gesetzlichen Bestimmungen zu gewährleisten. Die Unternehmen müssen nicht nur ihren Datenbestand, sondern auch ihre Erfassungs- und Weitergabepraktiken überprüfen. Dies hilft bei der Bestimmung der Abschnitte des CCPA, die für die Unternehmen gelten, vor allem, wenn die persönlichen Daten der Verbraucher verkauft werden.

Unternehmen müssen Folgendes beachten, um den Verpflichtungen des kalifornischen Datenschutzgesetzes nachzukommen –

  • Strenge und angemessene Sicherheitspraktiken anwenden, um die persönlichen Daten aller Verbraucher zu schützen.
  • Implementieren Sie robuste und angemessene Verfahren, um Verbraucherdaten vor allen relevanten Risiken zu schützen.
  • Es ist zwingend erforderlich, dass Organisationen alle erforderlichen CCPA-Hinweise offenlegen, einschließlich:
  • Hinweise zur Offenlegung bei der Datenerhebung
  • Eine Datenschutzrichtlinie, die dem CCPA entspricht
  • Mitteilungen an die Verbraucher, in denen sie über ihr Recht informiert werden, dem Verkauf ihrer persönlichen Daten zu widersprechen
  • Hinweise auf finanzielle Anreize, falls angeboten.
  • Unternehmen müssen die CCPA-Rechte von Verbrauchern respektieren und gleichzeitig interne Verfahren einrichten, um Anfragen zu Rechten zu erhalten, zu überprüfen und zu beantworten.
  • Am wichtigsten ist, dass die Unternehmen die Preise, Dienstleistungen und Qualitätsunterschiede bei der Erhebung, der Speicherung und dem Verkauf von persönlichen Daten der Verbraucher überprüfen. Dies gewährleistet die Nichtdiskriminierung.
  • Unternehmen müssen auch ihre Verträge mit Dienstleistern und Dritten zur Weitergabe von persönlichen Daten überprüfen. Dies ermöglicht eine Anpassung an die Anforderungen des California Consumer Privacy Act von 2020.
  • Und schließlich müssen die Unternehmen die Anforderungen an die Schulung der Mitarbeiter und die Aufbewahrung von Unterlagen erfüllen.

Are there any CCPA enforcement requirements? 

Nach dem California Consumer Privacy Act von 2020 liegen die Regulierungs- und Durchsetzungsbefugnisse beim Attorney General (AG) von Kalifornien. Bevor der Generalstaatsanwalt von Kalifornien ein Verfahren wegen eines Verstoßes gegen den CCPA einleitet, muss er die Unternehmen über den mutmaßlichen Verstoß informieren und ihnen eine Frist von mindestens 30 Tagen zur Behebung des Verstoßes einräumen. Wenn das Unternehmen jedoch nicht in der Lage ist, den Verstoß innerhalb des genannten Zeitrahmens zu beheben, kann der Generalstaatsanwalt von Kalifornien Strafen in Höhe von entweder –

  • $2.500 pro Verstoß
  • $7.500 für jeden vorsätzlichen Verstoß

Diese zivilrechtlichen Strafen werden sich wahrscheinlich auf jede einzelne betroffene Person erstrecken, was zu hohen Gesamtstrafen führen wird; dies bleibt jedoch von den Behörden unklar.

Fallstudie: Fallstudie: Carlsberg SAP-Datenarchivierung und DSGVO Compliance

Private right of action under the California Consumer Privacy Act 

Interessanterweise geht der CCPA bei der Ausweitung strengerer Datenschutzgesetze noch einen Schritt weiter, indem er eine Bestimmung über private Klagerechte einführt. Diese Bestimmung hilft, gegen unbefugten Zugriff, Diebstahl oder Offenlegung von unverschlüsselten und nicht redigierten persönlichen Daten vorzugehen .

Darüber hinaus kann die enge Untergruppe der personenbezogenen Daten, die unter das private Klagerecht fallen, zu Umständen führen, in denen eine Person eine Datenverletzung melden muss. Im Rahmen des CCPA-Privatklagerechts kann ein Verbraucher den möglichen Schadenersatz einfordern:

  • Gesetzlicher Schadensersatz zwischen $100 und $750 pro Einwohner von Kalifornien und pro Vorfall oder tatsächlicher Schaden, je nachdem, welche Strafe höher ausfällt
  • Feststellungs- oder Unterlassungsanspruch
  • Jeder andere Rechtsbehelf, den ein Gericht für angemessen hält

Denken Sie daran, dass ein gesetzlicher Schadensersatz nur möglich ist, bevor eine Klage wegen Datenschutzverletzung eingereicht wird:

  • Der Verbraucher stellt dem Unternehmen eine schriftliche Mitteilung zu, in der die spezifischen CCPA-Verstöße und eine 30-tägige Frist zur Behebung dieser Verstöße (falls möglich) aufgeführt sind.
  • Das Unternehmen ist nicht in der Lage, die mutmaßlichen Verstöße zu beheben, und gibt dem Verbraucher innerhalb der 30-Tage-Frist keine schriftliche Erklärung ab, in der er –
  • Sie hat die Verletzung behoben und
  • keine weiteren Verstöße auftreten werden
  • Wenn das Unternehmen die angeblichen Verstöße fortsetzt, hat der Verbraucher das Recht, eine Klage einzureichen. Mit der Klage kann der Verbraucher Schadensersatz für die ursprünglichen Verstöße sowie für alle neuen Verstöße gegen das CCPA verlangen, die nach der Benachrichtigung auftreten können. Wenn das Unternehmen gegen seine schriftliche Erklärung verstößt, ist der Verbraucher sogar berechtigt, dies als neuen CCPA-Verstoß zu melden.

Key takeaways  

  • Nach dem kalifornischen Gesetz zum Schutz der Privatsphäre von Verbrauchern aus dem Jahr 2020 müssen die Verbraucher im Voraus über die Erhebung ihrer persönlichen Daten informiert werden.
  • Das Datenschutzgesetz schreibt vor, dass Verbraucheranfragen innerhalb eines bestimmten Zeitraums beantwortet werden müssen.
  • Das CCPA schreibt außerdem vor, dass Aufzeichnungen über alle Verbraucheranfragen und deren Beantwortung aufbewahrt werden müssen.
  • Die Unternehmen müssen dafür sorgen, dass die Verbraucher über ihre Datenschutzrichtlinien und -praktiken informiert werden und diese transparent sind.
  • Das kalifornische Verbraucherschutzgesetz schreibt vor, dass alle finanziellen Anreize, die als Gegenleistung für die Speicherung oder den Verkauf persönlicher Daten angeboten werden, den Verbrauchern gegenüber offengelegt werden müssen.

Insgesamt ist die CCPA-Datenschutzverordnung mit strengen Regeln versehen, die nicht nur die Verbraucher schützen, sondern auch Vorteile und Rechte bieten, um jede Verletzung in Bezug auf ihre Daten zu melden. Angesichts des hohen Stellenwerts, den der Datenschutz vor allem in der heutigen Welt hat, wird die TJC Group ihre Bemühungen fortsetzen, das Publikum über die verschiedenen Gesetze auf der ganzen Welt aufzuklären.

Bleiben Sie dran für weitere Artikel über Datenschutzgesetze.

Data privacy series: In a glance for you 

  • Alles über den New Jersey Data Protection Act (NJDPA) (in Kürze)
  • Alles über das südkoreanische Datenschutzgesetz (PIPA): Alles, was Sie wissen müssen (in Kürze)
  • Datenschutzgesetze im Nahen Osten (in Kürze)
Zurück zu allen Blogs
Außerbetriebnahme von Legacy-Systemen Business to Government Compliance Cybersecurity DART Datenmanagement S/4HANA-Migration Einhaltung der DSGVO Enterprise Legacy System-Applikation (ELSA) Fichier des Écritures Comptables (FEC) Globale E-Rechnung und E-Reporting IT-Trends Karriere Nachhaltigkeit SAF-T-Konformität SAP BTP SAP Information Lifecycle Management SAP-Datenarchivierung SAP-Datenverwaltung SAP-Highlights Steuer- und Prüfungsbereitschaft Unternehmen der TJC-Gruppe Vorfall
December 2024November 2024October 2024September 2024August 2024July 2024June 2024May 2024April 2024March 2024February 2024January 2024December 2023November 2023October 2023September 2023August 2023July 2023June 2023May 2023April 2023March 2023February 2023January 2023December 2022November 2022October 2022September 2022August 2022June 2022April 2022March 2022February 2022December 2021November 2021October 2021September 2021July 2021June 2021May 2021April 2021March 2021February 2021January 2021December 2020November 2020October 2020September 2020August 2020June 2020May 2020April 2020March 2020February 2020January 2020December 2019October 2019September 2019July 2019November 2018August 2018July 2018June 2018April 2018February 2018December 2017May 2017February 2016December 2015May 2015February 2014March 2013

Aktuelle Artikel

Virginia's data privacy law
Gesetz zum Datenschutz: Alles, was Sie über Virginias CDPA wissen müssen

12/12/2024 |  

5 Minute gelesen
New Jersey's Data Privacy
Das NJDPA verstehen – New Jerseys Datenschutzgesetz im Detail

11/12/2024 |  

7 Minute gelesen

Mehr wie das

Virginia's data privacy law

Gesetz zum Datenschutz: Alles, was Sie über Virginias CDPA wissen müssen

12/12/2024 |  

5 Minute gelesen
New Jersey's Data Privacy

Das NJDPA verstehen – New Jerseys Datenschutzgesetz im Detail

11/12/2024 |  

7 Minute gelesen
SAP DRC

Verstehen der wichtigsten Vorteile von SAP DRC für Unternehmen

09/12/2024 |  

5 Minute gelesen