CCPA vs. CPRA: was ist neu?

Image of Iron Brands

Veröffentlicht am 12. Sept. 2023 von Iron Brands

  1. Was ist das CPRA?
  2. Wie wird das CPRA durchgesetzt?
  3. Warum sind all diese Akronyme so verwirrend?
  4. Wann ist das CPRA in Kraft getreten?
  5. Wie hat das CPRA das CPPA geändert?
  6. Minimierung der Datenmenge
  7. Schutz sensibler Informationen
  8. Das Recht auf Opt-out: "Nicht verkaufen oder weitergeben"
  9. Das Recht auf Berichtigung von Informationen
  10. Das CPRA und Global Privacy Control
  11. Das CPPA
  12. Schlussfolgerungen
Logo of MichelinMichelin chose Simple AnalyticsJoin them

Was ist das CPRA?

Der California Privacy Rights Act (CPRA) ist ein kalifornisches Gesetz und eine geänderte Fassung des California Consumer Privacy Act (CCPA). Mit anderen Worten, es handelt sich um eine Änderung des bereits bestehenden kalifornischen Datenschutzgesetzes.

Es ist erwähnenswert, dass das CPRA das Ergebnis einer Wahlinitiative ist. Dies zeigt, dass die Einwohner Kaliforniens um ihre Privatsphäre besorgt sind und dass Datenschutzbestimmungen in diesem Bundesstaat große Unterstützung finden.

Wie wird das CPRA durchgesetzt?

Das CPRA wird durch den Generalstaatsanwalt von Kalifornien durchgesetzt. Ab 2024 wird es auch von der California Privacy Protection Agency (CPPA) durchgesetzt werden.

Darüber hinaus sieht das CPRA ein privates Klagerecht bei Datenschutzverletzungen vor, das es Kunden ermöglicht, Unternehmen direkt zu verklagen (nicht aber deren Partner und Dienstleister).

Warum sind all diese Akronyme so verwirrend?

Wir haben keine Ahnung, und wir hassen sie auch. Hier ist eine praktische Referenz:

  • Der CCPA (California Consumers Privacy Act) ist das alte kalifornische Datenschutzgesetz von 2018.
  • das CPRA (California Privacy Rights Act) ist das neue Gesetz von 2020
  • die CPPA (California Privacy Protection Agency) ist die durch das CPRA eingerichtete Durchsetzungsbehörde.

Wann ist das CPRA in Kraft getreten?

Das CPRA ist am 1. Januar 2023 in Kraft getreten. Einige der Bestimmungen des CPRA sind jedoch vage und müssen von der CPPA durch ihre Verordnungen präzisiert werden. Diese Verordnungen werden aufgrund eines kürzlich ergangenen Gerichtsurteils erst im März 2024 in Kraft treten.

In der Praxis bedeutet dies, dass die Verordnung als Ganzes bereits in Kraft ist, bestimmte Regeln aber erst im nächsten Jahr durchsetzbar werden.

Wie hat das CPRA das CPPA geändert?

Das CPRA brachte wichtige Änderungen für das CPPA, darunter

  • die Einführung des Grundsatzes der Datenminimierung
  • Einführung eines stärkeren Schutzes für sensible Daten
  • Ausweitung des Rechts auf Widerspruch gegen den Verkauf oder die Weitergabe von personenbezogenen Daten
  • Einführung der Verpflichtung, die globalen Datenschutzkontrollen des Verbrauchers zu beachten
  • Einführung eines Rechts auf Berichtigung personenbezogener Daten
  • Einrichtung der kalifornischen Datenschutzbehörde

Minimierung der Datenmenge

Nach dem CRPA dürfen personenbezogene Daten von Verbrauchern nur dann verarbeitet und aufbewahrt werden, wenn dies für den Zweck der Verarbeitung erforderlich und verhältnismäßig ist, oder für einen anderen, offengelegten und kompatiblen Zweck.

Kurz gesagt: 1) Verarbeiten Sie nur die Daten, die Sie benötigen, und 2) verarbeiten Sie sie nur für den ursprünglichen Zweck, für den sie erhoben wurden, oder für einen kompatiblen Zweck, von dem der Verbraucher weiß.

(Das ist die kurze, vereinfachte Version. Der Text der Vorschrift enthält viel mehr rechtliche Substanz: " Die Erhebung, Verwendung, Speicherung und Weitergabe der personenbezogenen Daten eines Verbrauchers durch ein Unternehmen muss vernünftigerweise notwendig und verhältnismäßig sein, um die Zwecke zu erreichen, für die die personenbezogenen Daten erhoben oder verarbeitet wurden, oder für einen anderen offengelegten Zweck, der mit dem Kontext, in dem die personenbezogenen Daten erhoben wurden, vereinbar ist, und darf nicht in einer Weise weiterverarbeitet werden, die mit diesen Zwecken unvereinbar ist")

Die Datenminimierung versucht, mit nur einem Prinzip viel zu erreichen. Tatsächlich deckt die CPRA-Datenminimierung zwei verschiedene Grundsätze der DSGVO ab - Datenminimierung und Zweckbindung. Aus diesem Grund ist der Grundsatz so kompliziert.

Vor allem enthält die CPRA detaillierte Regeln darüber, was als kompatibler Zweck gilt. Die europäische Datenschutz-Grundverordnung enthält keine solchen Regeln und lässt den Begriff offen für Interpretationen.

Schutz sensibler Informationen

Mit dem CPRA wurden eine rechtliche Definition des Begriffs " sensible Daten" sowie spezifische Regeln für die Verarbeitung dieser Daten eingeführt.

Nach dem CPRA umfasst der Begriff der sensiblen Informationen:

  • genaue Geolokalisierungsdaten
  • religiöse Überzeugungen
  • ethnische Herkunft
  • Inhalte der Kommunikation
  • genetische Daten
  • biometrische Informationen zum Zwecke der Identifizierung
  • Informationen über die Gesundheit
  • Informationen über das Geschlecht oder die sexuelle Ausrichtung
  • einige andere Daten, die für Betrug oder Identitätsdiebstahl verwendet werden können (Sozialversicherungsnummer, Zugangsdaten, Kredit-/Debitkartendaten usw.)

Die Verbraucher haben das Recht, von den Unternehmen zu verlangen, dass sie die Verwendung und Weitergabe ihrer sensiblen Daten auf das für die Erbringung der Dienstleistung unbedingt erforderliche Maß beschränken. Mit anderen Worten: Sie können der Verwendung ihrer sensiblen Daten, die nicht unbedingt erforderlich ist, widersprechen.

Wir sind kein großer Freund von Opt-out-Systemen, da sie die Last des Datenschutzes auf den Verbraucher abwälzen, anstatt einfach gute Datenschutzpraktiken von den Unternehmen zu verlangen. Dennoch ist das CPRA ein Schritt in die richtige Richtung, denn das CCPA enthielt überhaupt keine Vorschriften für sensible Daten.

Das Recht auf Opt-out: "Nicht verkaufen oder weitergeben"

Nach dem CPRA haben die Verbraucher das Recht, dem Verkauf und der Weitergabe ihrer persönlichen Daten zu widersprechen. Unter dem CCPA konnten die Verbraucher nur den Verkauf von personenbezogenen Daten ablehnen. Das CPRA erweitert also den Geltungsbereich eines bereits bestehenden Widerspruchsrechts.

Diese Änderung wurde durch die Debatte innerhalb der Rechtsgemeinschaft über die Bedeutung des Verkaufs beeinflusst. Der Verkauf personenbezogener Daten wurde im Rahmen des CCPA sehr weit gefasst: Die Offenlegung von Informationen im Austausch gegen Geld oder eine andere wertvolle Gegenleistung wurde als Verkauf angesehen. Der Begriff der entgeltlichen Gegenleistung war weit genug gefasst, um kontextübergreifende verhaltensbezogene Werbung unter Beteiligung eines Dritten (in der Regel Google oder Meta) zu erfassen.

Dennoch behaupteten einige Unternehmen, dass die Verwendung von Analyse-Cookies keinen Verkauf darstelle. Das CPRA beendete die Debatte ein für alle Mal: Es erweiterte den Geltungsbereich des Rechts auf Widerspruch auf den Verkauf und die Weitergabe von Informationen und stellte klar, dass die Verwendung von Cookies für kontextübergreifende verhaltensbezogene Werbung eine Form der Datenweitergabe ist.

Es besteht also kein Zweifel daran, dass die Verbraucher das Recht haben, dem Tracking zum Zwecke der kontextbezogenen Werbung gemäß dem CPRA zu widersprechen!

Auch hier sind wir keine Fans dieses Opt-out-Systems, aber es ist dennoch gut, dass die Verbraucher zumindest die Möglichkeit haben, "nein danke" zu sagen.

Das Recht auf Berichtigung von Informationen

Seltsamerweise enthielt der CCPA zwar ein Recht auf Kenntnisnahme und ein Recht auf Löschung, nicht aber ein Recht auf Berichtigung personenbezogener Daten. Das CPRA füllt diese Lücke.

Das Recht auf Berichtigung funktioniert im Wesentlichen genauso wie das Recht auf Kenntnisnahme und Löschung: Unternehmen müssen innerhalb von 45 Tagen der Aufforderung nachkommen und können die Frist um weitere 45 Tage verlängern, sofern sie den Verbraucher informieren.

Das CPRA und Global Privacy Control

Global Privacy Control (GPC) ist ein technischer Standard, der in Browsern und Plug-ins integriert ist. GPC informiert Websites über die Datenschutzpräferenzen der Verbraucher, einschließlich der Weigerung, ihre Daten zu verkaufen oder weiterzugeben. Nach dem CPRA müssen Unternehmen die GPC-Signale des Browsers des Verbrauchers befolgen.

Wie wir bereits sagten, sind die meisten Datenschutzrechte im CCPA/CPRA Opt-out-Rechte. Durch die Vereinfachung des mühsamen Opt-out-Verfahrens kann die GPC die Belastung für den Verbraucher verringern und die Ausübung seiner Datenschutzrechte erleichtern. Es wird interessant sein zu sehen, wie weit sich die GPC durchsetzen wird und inwieweit Websites ihr nachkommen werden.

Mehr über GPC erfahren Sie unter https://globalprivacycontrol.org/.

Das CPPA

Wie wir bereits erläutert haben, wurde mit dem CPRA die California Privacy Protection Agency (CPPA) eingerichtet. In gewisser Weise kann man sich die CPPA als kalifornisches Pendant zu den europäischen Datenschutzbehörden vorstellen: Die Agentur ist zusammen mit dem Generalanwalt für die Durchsetzung des CCPA zuständig und kann auf der Grundlage des CCPA Verordnungen erlassen.

Die Agentur ist bereits tätig, wird aber aufgrund eines kürzlich ergangenen Gerichtsurteils erst 2024 in der Lage sein, ihre Vorschriften durchzusetzen.

Schlussfolgerungen

Wir bei Simple Analytics versuchen, Datenschutzgesetze auf einfache Weise zu erklären, weil uns der Datenschutz am Herzen liegt. Aus diesem Grund haben wir Simple Analytics entwickelt: ein leichtgewichtiges, benutzerfreundliches Analysetool, das Ihnen alle erforderlichen Einblicke bietet und gleichzeitig die Privatsphäre der Benutzer schützt. Wenn sich das für Sie gut anhört, probieren Sie uns doch einfach mal aus!

GA4 ist komplex. Versuchen Sie Simple Analytics

GA4 ist wie im Cockpit eines Flugzeugs zu sitzen, ohne einen Pilotenschein zu haben

14-Tage-Testversion starten