Was ist der CCPA (California Consumer Privacy Act)?

Der California Consumer Privacy Act (CCPA) gibt den Einwohnern Kaliforniens die Kontrolle über die persönlichen Daten, die Unternehmen über sie sammeln.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Erfahren, welche Rechte Einwohner Kaliforniens gemäß dem CCPA haben
  • Erklären, wann das CCPA für ein Unternehmen gilt
  • Den CCPA mit anderen Datenschutzgesetzen vergleichen

Link zum Artikel kopieren

Was ist der California Consumer Privacy Act (CCPA)?

Der California Consumer Privacy Act (CCPA) ist ein kalifornisches Datenschutzgesetz zum Schutz von Verbrauchern. Es gilt für die meisten Unternehmen, die persönliche Daten von Einwohnern Kaliforniens verarbeiten. Der CCPA gibt den Einwohnern Kaliforniens ein gewisses Maß an Kontrolle über die persönlichen Daten, die Unternehmen über sie sammeln.

Der CCPA trat am 1. Januar 2020 in Kraft. Ende 2020 verabschiedeten die kalifornischen Wähler eine Gesetzesvorlage, den California Privacy Rights Act (CPRA), der den CCPA änderte und erweiterte. Der CCPA wird im Laufe der Zeit weiter überarbeitet werden.

Welche Rechte gewährt der CCPA den Verbrauchern?

Der CCPA gewährt Verbrauchern die folgenden wichtigen Rechte:

  • Das Recht auf Auskunft: Verbraucher müssen darüber informiert werden, welche personenbezogenen Informationen ein Unternehmen über sie sammelt und wie diese Informationen verwendet werden.
  • Das Recht auf Löschung: Von einigen Ausnahmen abgesehen, können Verbraucher die über sie gesammelten Informationen löschen.
  • Das Recht auf Widerspruch: Verbraucher können den Verkauf ihrer Daten an Dritte verhindern.
  • Das Recht auf Nichtdiskriminierung: Ein Unternehmen darf Nutzer, die ihre CCPA-Rechte ausüben, nicht anders behandeln – etwa indem es ihnen mehr für reguläre Dienste berechnet. Es kann jedoch vorkommen, dass die Ausübung der CCPA-Rechte Auswirkungen darauf hat, welche Dienste eine Organisation anbieten kann. Wenn ein Nutzer einer E-Commerce-Website beispielsweise von seinem „Recht auf Löschung“ Gebrauch macht und sein Konto löscht, kann er seine Lieferadresse oder Kreditkarteninformationen auf dieser Website möglicherweise nicht mehr speichern.

Angenommen, Alice besucht die Website news.example.com. Diese Website verwendet Browser-Cookies und trackt den Nutzerstandort. Alice lädt diese Website auf ihrem Laptop in ihrer Wohnung im kalifornischen San Jose. Da sie sich in Kalifornien befindet, wird beim Laden von news.example.com ein Banner eingeblendet. Der Banner informiert Alice darüber, dass die Website Cookies und Standortdaten verwendet. Dies geschieht, weil Alice das Recht auf Auskunft hat.

Das Banner bietet Alice auch eine Wahlmöglichkeit: Sie kann dem Verkauf von Informationen über ihren Standort für Werbenetzwerke durch news.example.com widersprechen. Dafür klickt sie auf eine Schaltfläche mit der Aufschrift „Do Not Sell My Personal Info“ (Meine persönlichen Informationen nicht verkaufen). Oder sie kann auf „Accept and Continue“ (Akzeptieren und fortfahren) klicken, um diesen Datenverkauf zuzulassen. Das Recht auf Widerspruch gibt ihr diese Wahlmöglichkeit.

Stellen Sie sich nun vor, Alice klickt auf „Do Not Sell My Personal Info“, weil sie ihren Standort lieber so privat wie möglich halten möchte. Plötzlich werden alle Inhalte auf news.example.com gesperrt, Alice kann keine Videos mehr ansehen und keine Artikel mehr auf der Website lesen. Dies wäre ein Verstoß gegen den CCPA, denn Alice hat ein Recht auf Nichtdiskriminierung – news.example.com muss Alice die gleichen Dienste zum gleichen Preis anbieten wie den anderen Nutzern, die den Verkauf ihrer Daten erlauben.

Wo gilt der CCPA?

Der CCPA gilt nur für die persönlichen Daten der Einwohner Kaliforniens. Allerdings kann jede Organisation dem CCPA unterliegen, wenn sie Daten über in Kalifornien ansässige Personen sammelt, unabhängig davon, wo die Organisation ihren Sitz hat.

Der CCPA gilt für Organisationen, die in Kalifornien geschäftlich tätig sind und auf die eine der folgenden Beschreibungen zutrifft:

  1. Sie erzielen einen Bruttojahresumsatz von 25 Millionen Dollar oder mehr.
  2. Sie kaufen, erhalten oder verkaufen die personenbezogenen Informationen von mindestens 50.000 kalifornischen Einwohnern, Haushalten oder Geräten.
  3. Sie erzielen 50 % oder mehr ihres Jahresumsatzes mit dem Verkauf personenbezogener Informationen von Einwohnern Kaliforniens.

Der CCPA gilt nicht für gemeinnützige Organisationen, Regierungsbehörden oder bestimmte Arten von Finanzinstituten. So kann ein in Kalifornien ansässiger Bürger die Rückzahlung seiner Schulden nicht vermeiden, indem er das Inkassobüro bittet, seine personenbezogenen Informationen zu löschen.

Wie sind „personenbezogene Informationen“ gemäß CCPA definiert?

Der CCPA definiert „personenbezogene Informationen“ wie folgt:

„Personenbezogene Informationen“ sind Informationen, die einen bestimmten Verbraucher oder Haushalt identifizieren, sich auf ihn beziehen, ihn beschreiben, ihm in angemessener Weise zugeordnet werden können oder direkt oder indirekt mit ihm in Verbindung gebracht werden können.“

Das CCPA listet auch viele Arten von Daten auf, die als personenbezogene Informationen gelten, darunter:

  • Name
  • IP-Adresse
  • Postanschrift
  • Biometrische Informationen
  • Internetbrowserverlauf oder Suchverlauf
  • Geolocation
  • Alle Rückschlüsse, die aus einer der aufgeführten Arten personenbezogener Informationen gezogen werden

Die vollständige Liste finden Sie im California Consumer Privacy Act, Abschnitt 1798.140.

Der CCPA präzisiert auch, dass öffentlich zugängliche Informationen, wie z. B. Informationen in rechtmäßig erlangten staatlichen Aufzeichnungen, nicht als personenbezogene Informationen gelten.

Beachten Sie, dass diese Definition von „personenbezogenen Informationen“ nur im CCPA enthalten ist. Andere Datenschutzregelungen, wie die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union, verwenden eigene Definitionen.

Hält man bei der Einhaltung des CCPA auch die DSGVO ein?

Abgesehen von der Tatsache, dass diese beiden Datenschutzregelungen für unterschiedliche Regionen gelten, sind CCPA und DSGVO nicht identisch. Sie definieren Begriffe unterschiedlich, haben unterschiedliche Anforderungen an Unternehmen und sehen unterschiedliche Bußgelder und Strafen vor. Die Einhaltung der DSGVO garantiert nicht die Einhaltung des CCPA und umgekehrt.

Hat der CCPA Vorrang vor dem HIPAA?

Der Health Insurance Portability and Accountability Act (HIPAA) ist ein US-Bundesgesetz, das den Schutz von Gesundheitsdaten regelt. Der CCPA gilt nicht für personenbezogene Gesundheitsinformationen, die bereits durch den HIPAA geregelt sind.

Wie wirkt sich der CCPA auf die Cookie-Nutzung aus?

Ein „Cookie“ ist eine kleine Datei mit Informationen, die eine Website erzeugt und an den Webbrowser eines Nutzers sendet, wenn dieser die Website besucht. Einige Cookies erfassen den Browserverlauf des Nutzers, seinen Suchverlauf oder seine Interaktionen mit einer Website. Alle diese Daten gelten als „personenbezogene Informationen“ im Sinne des CCPA. Aufgrund des Rechts auf Auskunft müssen Unternehmen die Nutzer darüber informieren, welche Daten sie mittels Cookies sammeln und wie diese Daten verwendet werden.

Im Gegensatz zu einigen anderen Datenschutzbestimmungen verlangt der CCPA jedoch nicht, dass Unternehmen die Zustimmung des Nutzers für Cookies einholen müssen.

Erfahren Sie mehr über Cookies oder über Datenschutz.