Der California Privacy Rights Act (CPRA): Sind Sie bereit für CCPA 2.0?

Im Mai 2020 gab die Datenschutzgruppe Californians for Consumer Privacy bekannt, dass sie 900.000 Unterschriften gesammelt hat, um den California Privacy Rights Act (auch bekannt als CPRA, CCPA 2.0, Proposition 24 oder Prop 24) in die Abstimmung im November 2020 aufzunehmen.

Am 3. November stimmten 56 % der Kalifornier bei den Parlamentswahlen für die CPRA. Das Gesetz soll den California Consumer Privacy Act (CCPA) überarbeiten und ersetzen, sobald es am 1. Januar 2023 in Kraft tritt.

Kurz gesagt erweitert das Gesetz die Datenschutzrechte der Benutzer, um sie an die DSGVO anzupassen, erlegt Unternehmen zusätzliche Pflichten auf und richtet die erste Regierungsbehörde ein, die sich der Umsetzung und Durchsetzung des Datenschutzes in den USA widmet, der California Privacy Protection Agency (CPPA) .

Der CCPA hat außerhalb Kaliforniens bereits erhebliche Auswirkungen gehabt und ist zum Standard für den Datenschutz in den gesamten USA geworden. Aus diesem Grund muss dieser Gesetzentwurf genau beobachtet werden – er könnte sich auf Unternehmen auswirken, selbst wenn sie nicht in Kalifornien ansässig sind. Im Folgenden haben wir die wichtigsten Punkte skizziert, die Vermarkter wissen müssen, um sich auf die neuen Compliance-Anforderungen vorzubereiten.

Eine neue Datenschutzbehörde

Als die Datenschutz-Grundverordnung (DSGVO) in Kraft trat, ernannte die EU die Datenschutzbehörde zur Durchsetzung der Gesetze. Die USA haben keine vergleichbare Autorität, um die neuen Verbraucherdatenschutzrechte durchzusetzen.

Hier kommt die California Privacy Protection Agency (CPPA) ins Spiel. Ihre Aufgabe ist es, die neuen Richtlinien zu klären, Bußgelder zu verhängen und Anhörungen zu Datenschutzverletzungen durchzuführen.

Neue Verbraucherrechte und PII-Konzepte

Die CPRA führt neue Konzepte (die dank der DSGVO bereits in der EU existieren) in die Datenschutzlandschaft in Kalifornien ein.

Hier sind einige davon erklärt:

• Recht auf Berichtigung – Gewährung des Verbraucherrechts auf Berichtigung unrichtiger personenbezogener Daten.
• Recht auf Einschränkung – Verbrauchern das Recht einräumen, die Verwendung und Offenlegung sensibler personenbezogener Daten einzuschränken.
• „Sensible“ personenbezogene Daten – Nach dem neuen Gesetz werden bestimmte Arten von Informationen wie Sozialversicherungsnummern, Passnummern, genaue geografische Lage, biometrische Daten usw. als „sensibel“ gekennzeichnet.

Was hat sich geändert?

Neue Definition des Verkaufs personenbezogener Daten

Die CPRA wird auf neue Weise definieren, was Unternehmen mit den personenbezogenen Daten tun dürfen, die sie von Einwohnern Kaliforniens sammeln. Unter dem CCPA wurde ein Verkauf als „Austausch von Daten gegen irgendeine Art von finanzieller Gegenleistung“ definiert, eine Definition, die von vielen als zu vage angesehen wird. Das CPRA löst dieses Problem, indem es die Weitergabe und den Verkauf persönlicher Daten von Personen in zwei verschiedene Kategorien aufteilt.

Was hat sich geändert?

Mehr Rechte für Kinder unter 16

• Erhöhte Bußgelder für die rechtswidrige Weitergabe personenbezogener Daten von Kindern : Bei Verstößen gegen die personenbezogenen Daten von Kindern unter 16 Jahren wird eine Geldstrafe von 7.500 USD pro Verstoß verhängt. Nach dem aktuellen Gesetz war diese Strafe nur vorsätzlichen Verstößen vorbehalten. Die Höchststrafe von 2.500 $ für alle anderen nicht vorsätzlichen Handlungen, an denen Personen über 16 Jahre beteiligt sind, bleibt gleich.
• Opt-in-Zustimmungsanforderungen für die Weitergabe personenbezogener Daten von Kindern unter 16 Jahren: Unter dem CPRA können Verbraucher nicht nur den Verkauf ihrer PI ablehnen, sondern auch ausdrücklich den Verkauf an Dritte. In ähnlicher Weise befasst sich die CCRA mit der Notwendigkeit für Unternehmen, eine positive Opt-in-Zustimmung einzuholen, um die PI von Kindern unter 16 Jahren entweder zu teilen oder zu verkaufen Verbraucher oder die Eltern oder Erziehungsberechtigten des Verbrauchers angeben, dass der Verbraucher jünger als 13 Jahre oder mindestens 13 Jahre und jünger als 16 Jahre alt ist.“

Was gibt es Neues für Auftragnehmer? Vertragliche Pflichten für Dienstleister

Das CPRA führt den Begriff „Auftragnehmer“ ein, um diejenigen zu beschreiben, denen ein Unternehmen die personenbezogenen Daten eines Verbrauchers für einen geschäftlichen Zweck gemäß einem schriftlichen Vertrag zur Verfügung stellt (ähnlich wie die „Dienstleister“ des CCPA, wo es sich um Personen handelt, die personenbezogene Daten verarbeiten. im Namen eines Unternehmens).

Während der CCPA in seinen Definitionen von Dienstanbietern und Unterdienstanbietern zweideutig war, legt der CPRA die neuen Regeln sehr klar fest. Jeder Auftragnehmer oder Dienstleister ist durch einen schriftlichen Vertrag verpflichtet, hinsichtlich der Zusammenarbeit mit anderen Unterauftragsverarbeitern transparent zu sein. Dienstanbieter dürfen keine anderen Verbraucherdaten hinzufügen oder speichern, was Unternehmen das Recht gibt, „angemessene und angemessene Schritte zu unternehmen“, um sicherzustellen, dass personenbezogene Daten nicht auf unethische Weise erlangt oder verwendet werden.

Was Marketer über das CPRA wissen müssen

Im Jahr 2023 müssen Vermarkter den Daten, die sie sammeln und verwenden, um Verbraucher zu erreichen, mehr Aufmerksamkeit schenken, unabhängig davon, ob es sich um Daten von Erstanbietern oder Drittanbietern handelt, wie z. B. Zielgruppenaufbau und Targeting-Informationen, die von Werbetreibenden verwendet werden. Jegliche Datenerhebung, ob direkt oder über andere Dienstleister oder Auftragnehmer, erfordert die ausdrückliche Zustimmung des Verbrauchers . Jede spätere Verwendung, Weitergabe oder der Verkauf personenbezogener Daten muss ebenfalls offengelegt werden.

Folgendes müssen Marketer tun, um sich auf das CPRA vorzubereiten:

1. Priorisieren Sie Transparenz in Ihrem Unternehmen

Das CPRA macht deutlich, dass Unternehmen hinsichtlich der von ihnen gesammelten Daten transparent sein müssen. Wenn Sie bereits darauf achten, wie Sie Daten sammeln, wo Sie sie speichern, wie lange Sie sie aufbewahren und wie Sie sie während des gesamten Lebenszyklus verwalten, ist es jetzt an der Zeit, all diese Maßnahmen mit Ihren Benutzern zu teilen. In gleicher Weise werden Unternehmen unter dem CPRA eingeschränkt, wie sie Einwilligungsstrukturen verwenden, um Benutzer dazu zu bringen, bestimmte Aktionen auszuführen. Wenn dies etwas ist, was Ihre Marketingabteilung tut, beginnen Sie mit der Analyse, wie Sie Einwilligungen einholen, um dunkle Muster und implizite Einwilligungen zu vermeiden.

2. Lesen Sie die Cookie- und Update-Richtlinien

Ähnlich wie die DSGVO schränkt die CPRA bestimmte Funktionen zum Teilen von Daten ein, die die Verwendung von Cookies beinhalten. Beginnen Sie mit der Bestandsaufnahme von Cookies, die auf Ihrer Website vorhanden sind, und aktualisieren Sie Ihre Richtlinien, um sicherzustellen, dass sie den neuesten Vorschriften entsprechen. Stellen Sie sicher, dass Sie Ihren Wortschatz aktualisieren, um alle neuen Klauseln des CPRA aufzunehmen – sammeln Sie „sensible“ PI? Wie können Benutzer sich von der automatisierten Entscheidungsfindungstechnologie abmelden? Stellen Sie sicher, dass diese Überlegungen den Verbrauchern klar sind.

3. Überprüfen Sie alle Verträge mit Partnern (einschließlich Publishern)

Als CPRA-gebundenes Unternehmen müssen Sie sicherstellen, dass Ihre Partner die Datenschutzgesetze genauso einhalten wie Sie. Überprüfen Sie alle Ihre Verträge gründlich (ggf. mit Rechtsbeistand), um sicherzustellen, dass alle Benutzerdaten durch ausdrückliche Zustimmung erhalten und ethisch korrekt verwaltet werden.

Das CPRA schränkt die Praktiken des Datenverkaufs ein, insbesondere wenn es um Zielgruppen- und Verhaltens-Targeting geht. Stellen Sie sicher, dass Sie Ihre Partnerschaften mit Herausgebern prüfen und diejenigen bevorzugen, die Datenpools von Erstanbietern verwenden und die Daten unter Einhaltung dieser Datenschutzbestimmungen erhalten haben.

4. Arbeiten Sie mit einem Datenschutzexperten zusammen

Unabhängig davon, ob Sie jemanden einstellen oder mit einem externen Berater oder einer Agentur zusammenarbeiten, Sie brauchen einen Spezialisten, der Ihnen hilft, mit den neuesten Vorschriften Schritt zu halten. CPRA ist wahrscheinlich nicht das letzte Datenschutzgesetz, das sich auf Ihr Unternehmen auswirkt. Vielmehr setzt das Gesetz neue Maßstäbe, die künftig voraussichtlich bundesweit Anwendung finden werden.

Bist du bereit?

Nachdem das Gesetz verabschiedet wurde, müssen sich Unternehmen mit den neuen Compliance-Anforderungen vertraut machen. Das Gesetz tritt am 1. Januar 2023 in Kraft und wird am 1. Juli 2023 durchsetzbar, könnte aber bereits ab dem 1. Januar 2022 für die von Unternehmen erfassten personenbezogenen Daten gelten.

Eine so lange Vorlaufzeit zur Anpassung an die neuen Datenschutzbestimmungen mag übertrieben klingen, aber in größeren Unternehmen kann es schnell kompliziert werden, insbesondere wenn Sie mit vielen Partnern zusammenarbeiten. Deshalb empfehlen wir, gleich loszulegen.

Haben Sie Fragen? Convert ist das datenschutzkonformste A/B-Testtool auf dem Markt. Unsere Experten kennen alle Einzelheiten der Datenschutzbestimmungen und was es braucht, um vollständig konform zu sein – senden Sie uns hier Ihre Fragen.