In den USA fehlt es bekanntermaßen an einem umfassenden Bundesgesetz zum Datenschutz. In diesem Zusammenhang ist das CCPA ein Schritt nach vorn und macht Kalifornien zu einem Vorreiter für den digitalen Datenschutz in den USA. Es überrascht daher nicht, dass andere Bundesstaaten den CCPA als Vorlage für ihre eigenen Gesetze nutzen.
Doch welche Rechte haben die Verbraucher nach dem CCPA und wie können sie diese ausüben? Finden wir es heraus!
- Welche Rechte haben Sie nach dem CCPA?
- Das Recht auf Auskunft
- Das Recht auf Löschung oder Berichtigung
- Das Recht auf Opt-out
- Das Recht, die Nutzung und Weitergabe sensibler Daten einzuschränken
- Wie sind diese Rechte im Vergleich zur Datenschutz-Grundverordnung?
- Schlussfolgerungen
Welche Rechte haben Sie nach dem CCPA?
Im CCPA sind mehrere Verbraucherrechte aufgeführt:
- das Recht zu erfahren, welche personenbezogenen Daten ein Unternehmen verwendet und wie
- das Recht, personenbezogene Daten löschen zu lassen
- das Recht, dem Verkauf und der Weitergabe von personenbezogenen Daten zu widersprechen
- das Recht auf Nicht-Diskriminierung bei der Ausübung der Rechte nach dem CCPA
- das Recht, unrichtige Informationen zu korrigieren
- das Recht, die Nutzung und Weitergabe sensibler Daten einzuschränken
Die ersten vier Rechte waren schon immer Bestandteil des CCPA. Die Rechte auf Berichtigung von Informationen und auf Einschränkung der Nutzung und Offenlegung sensibler Informationen wurden 2020 hinzugefügt, als das CCPA durch das CPRA geändert wurde.
Das Recht auf Auskunft
Nach dem CCPA haben Sie das Recht, Informationen über die Verwendung Ihrer Daten zu verlangen. Sie können ein Unternehmen fragen:
- welche Kategorien personenbezogener Daten gesammelt und verwendet wurden und zu welchem Zweck
- aus welchen Quellen die Daten erhoben wurden
- welche Informationen weitergegeben wurden und an wen
Sie können auch spezifische Informationen verlangen, die gesammelt wurden. Die Unternehmen müssen Anfragen innerhalb von 90 Tagen beantworten (mit einer "Basis"-Frist von 45 Tagen, die nach Ankündigung um weitere 45 Tage verlängert werden kann).
Das Recht des Verbrauchers auf Auskunft ist nicht zu verwechseln mit der Pflicht der Unternehmen, bei der Datenerhebung eine Mitteilung zu machen. Zwar zielen beide letztlich darauf ab, die Transparenz und die Kontrolle der Nutzer zu verbessern, doch muss die Benachrichtigung bei der Erhebung unabhängig von einer entsprechenden Aufforderung erfolgen.
Wenn ein Unternehmen personenbezogene Daten verkauft oder weitergibt, muss der Hinweis bei der Erfassung einen Link "Nicht verkaufen oder weitergeben" enthalten (mehr dazu weiter unten).
Das Recht auf Löschung oder Berichtigung
Verbraucher haben das Recht, die Löschung oder Berichtigung ihrer personenbezogenen Daten zu verlangen. Es gibt einige Ausnahmen von dieser Regel, z. B. öffentlich zugängliche Informationen, Informationen aus Kreditauskünften und Informationen, die zur Geltendmachung von Rechtsansprüchen benötigt werden.
Unternehmen müssen dem innerhalb von 90 Tagen nachkommen (auch hier handelt es sich um eine Frist von 45 Tagen, die bei Benachrichtigung um 45 Tage verlängert werden kann).
Das Recht auf Opt-out
Nach dem CCPA haben Verbraucher das Recht, dem Verkauf und der Weitergabe von personenbezogenen Daten zu widersprechen.
Websites, die personenbezogene Daten verkaufen oder weitergeben, müssen über einen sichtbaren Link auf ihrer Website die Möglichkeit bieten, dies abzulehnen. Websites müssen auch eine andere Methode zur Ablehnung anbieten, einschließlich der von einigen Browsern angebotenen globalen Datenschutzkontrolle.
Früher herrschte Unklarheit über die Bedeutung des Begriffs "Verkauf" im Rahmen des CCPA. Später wurde das Gesetz dahingehend geändert, dass es sich auf den Verkauf und die Weitergabe personenbezogener Daten bezieht, um die Weitergabe von Daten an Dritte wie Google und Meta zum Zwecke des Webmarketings und des Retargeting zu erfassen. Es besteht also kein Zweifel, dass diese Aktivitäten unter die Bestimmungen über das Opt-out fallen!
Das Recht, die Nutzung und Weitergabe sensibler Daten einzuschränken
Das CCPA führt bestimmte Datenkategorien als sensible Informationen auf, darunter Identifikatoren wie Sozialversicherungsnummern, genaue Geolokalisierungsdaten, E-Mails und Textnachrichten, Gesundheitsdaten, genetische Daten, Daten zum Sexualleben/zur sexuellen Orientierung usw. Die Verbraucher haben das Recht, die Verwendung und Weitergabe solcher Informationen einzuschränken.
In der Praxis ist dieses Recht vergleichbar mit dem Recht, die Weitergabe von personenbezogenen Daten abzulehnen. Websites und Dienste, die sensible Daten sammeln, müssen diese Option auf ihrer Website sichtbar und verfügbar machen. Nach Erhalt eines Antrags auf Einschränkung dürfen Unternehmen sensible Daten nur in einer Weise verarbeiten, die für die Bereitstellung der angeforderten Waren und Dienstleistungen unbedingt erforderlich ist.
Wie sind diese Rechte im Vergleich zur Datenschutz-Grundverordnung?
Einige Rechte im Rahmen des CCPA haben eine klare Parallele in der Datenschutz-Grundverordnung: Das Recht auf Auskunft, das Recht auf Löschung und das Recht auf Berichtigung von Informationen funktionieren alle auf ähnliche Weise.
Andererseits gibt es keine Entsprechung in der DSGVO für das Recht, dem Verkauf und der Weitergabe von personenbezogenen Daten zu widersprechen, und auch nicht für das Recht, die Verwendung sensibler Daten einzuschränken. Das bedeutet nicht, dass die Datenschutz-Grundverordnung in dieser Hinsicht freizügiger ist - ganz im Gegenteil.
Die Datenschutz-Grundverordnung wählt einen strengeren und präskriptiven Ansatz, indem sie strenge Anforderungen für die Verarbeitung personenbezogener Daten festlegt. Opt-out-Rechte spielen in der Verordnung eine relativ geringe Rolle, da es strenge Anforderungen für die Verarbeitung personenbezogener Daten gibt. Der Grundsatz der Rechtmäßigkeit (auf den wir in diesem Blog bereits eingegangen sind) spielt in der DSGVO eine entscheidende Rolle und findet im CCPA keine Entsprechung.
Andererseits zielt das CCPA darauf ab, die Verbraucher zu stärken, indem es ihnen das Recht einräumt, über die Verwendung ihrer personenbezogenen Daten zu entscheiden. Die Unternehmen genießen also im Rahmen des CCPA ein gewisses Maß an Freiheit, solange sich der Verbraucher nicht dagegen entscheidet.
Jeder Ansatz hat seine Vor- und Nachteile. Die Einhaltung des CCPA ist definitiv weniger aufwändig als die Einhaltung der GDPR. Gleichzeitig kann es riskant sein, die Verantwortung für den Datenschutz dem Verbraucher aufzubürden. Stellen Sie sich vor, Sie besuchen täglich 50 Websites und müssen sich für jede einzelne gegen den Verkauf Ihrer Daten entscheiden! Global Privacy Control soll hier Abhilfe schaffen, aber das System ist noch nicht allgemein eingeführt. Es gibt auch kein GPC-Gegenstück für die Beschränkung der Verwendung sensibler Daten.
Die Datenschutz-Grundverordnung verfolgt den gegenteiligen Ansatz und verlagert die Last des Datenschutzes von der Öffentlichkeit auf die Organisationen. Die Idee hinter der Datenschutz-Grundverordnung ist, dass die Menschen sich nicht manuell gegen die in die Privatsphäre eingreifenden Praktiken der unzähligen Dienste, die sie nutzen, entscheiden müssen. Aus diesem Grund enthält die Verordnung viele strenge und detaillierte Vorschriften darüber, was Unternehmen mit personenbezogenen Daten tun dürfen und was nicht.
In einer Welt, in der jeder hundert verschiedene datenhungrige Dienste nutzt und niemand wirklich die Datenschutzhinweise liest oder die Einstellungen zum Schutz der Privatsphäre verfeinert, ist die individuelle Kontrolle über die Daten oft kaum mehr als eine Farce. Daher ist es wahrscheinlich effektiver, die Verantwortung für den Schutz der Privatsphäre den Organisationen aufzuerlegen und sie an hohe Standards zu binden, als dies dem Einzelnen zu überlassen. Andererseits führt dieser präskriptive Ansatz zu sehr technischen und komplexen Vorschriften, die für Unternehmen (insbesondere kleinere) manchmal schwer zu verstehen und einzuhalten sind.
Interessant ist auch ein Vergleich des Begriffs der sensiblen Daten in den beiden Gesetzen. Zu den sensiblen Informationen im Sinne des CCPA gehören Daten wie staatliche Kennungen, die für Identitätsdiebstahl verwendet werden könnten. Das CCPA betrachtet auch präzise Geolokalisierungsdaten als sensible Daten, was eine gute Idee ist und wovon sich das EU-Recht eine Scheibe abschneiden könnte.
Gleichzeitig schränkt die Datenschutz-Grundverordnung die Verwendung sensibler Daten viel stärker ein. Auch hier verfolgt das CCPA einen verbraucherorientierten Opt-out-Ansatz, während die Datenschutz-Grundverordnung einen präskriptiven Ansatz verfolgt.
Vielleicht sind wir voreingenommen, aber wir sind der Meinung, dass die Datenschutz-Grundverordnung bei sensiblen Daten eindeutig der Gewinner ist: Ein Recht auf Opt-out ist hier einfach nicht gut genug.
Schlussfolgerungen
Letzten Endes ist der Schutz der Privatsphäre wichtig, egal wo man sich befindet. Wir sind der Meinung, dass Unternehmen die Privatsphäre ihrer Kunden und Besucher schützen sollten, unabhängig davon, ob sie gesetzlich dazu verpflichtet sind oder nicht.
Wir haben Simple Analytics entwickelt, um unseren Kunden auf der ganzen Welt zu helfen, ihr Publikum auf ethische und datenschutzfreundliche Weise zu vergrößern. Simple Analytics gibt Ihnen alle Einblicke, die Sie benötigen, ohne Cookies, Tracker oder Fingerabdrücke von Nutzern zu verwenden. Wir verfolgen Ihre Besucher nicht und sammeln kein einziges Stückchen persönlicher Daten! Wenn sich das für Sie gut anhört, probieren Sie uns doch einfach aus!