Was ist der California Privacy Rights Act (CPRA)?

Veröffentlicht: 2020-06-25

Bevor der California Consumer Privacy Act (CCPA) überhaupt in die Durchsetzungsphase startete, hatten Datenschützer bereits vorgeschlagen, ihn mit strengeren Strafen zu verschärfen. Der California Privacy Rights and Enforcement Act von 2020 wurde eingereicht, um im Herbst eine landesweite Wahlinitiative zu schaffen.

Update 28. September 2021 – Die kalifornische Datenschutzbehörde bittet um Kommentare zu CPRA, insbesondere zu den 8 Punkten, die in diesem CPRA-Artikel behandelt werden.

 >>> Anstehendes IAB-Webinar zu einem Toolkit für CPRA-Compliance und -Bereitschaft. Das CPRA-Toolkit enthält eine Checkliste mit Aktionspunkten, CPRA-Vertragssprache und mehr.

Was ist CPRA?

Das CPRA (California Privacy Rights Act) ist eine Erweiterung des CCPA (California Consumer Privacy Act), das am 1. Januar 2020 eingeführt wurde. Das CPRA zielt darauf ab, mehr Arten von Datenschutzinformationen zu schützen, zusätzliche Rechte für Verbraucher bereitzustellen, eine Aufsichtsbehörde einzurichten und Rechte detailliert festzulegen spezifisch für Minderjährige.

Dieselbe Gruppe, die die Agenda des CCPA vorangetrieben hat, Californians for Consumer Privacy, reichte mehr als 900.000 Unterschriften ein, um das CPRA für die Wahl im November 2020 zu qualifizieren.

Was ist CCPA?

CCPA gewährt kalifornischen Verbrauchern bestimmte Rechte in Bezug auf die Erfassung, Verwendung, Speicherung und den Verkauf personenbezogener Daten durch Unternehmen. Es handelt sich um die bisher strengsten Datenschutzbestimmungen in den Vereinigten Staaten. Die CCPA-Durchsetzung durch die California AG begann am 1. Juli 2020. Sie gewährt Online-Benutzern diese sechs Schlüsselrechte:

  • Das Recht zu erfahren, welche personenbezogenen Daten erfasst werden
  • Das Recht zu erfahren, ob (und wie) ihre personenbezogenen Daten weitergegeben oder verkauft werden
  • Das Recht, den Verkauf personenbezogener Daten abzulehnen
  • Das Recht, auf ihre Informationen zuzugreifen
  • Das Recht auf Löschung ihrer personenbezogenen Daten (mit Ausnahmen)
  • Das Recht, wegen der Ausübung ihrer Rechte nicht diskriminiert zu werden

Nach dem Gesetz ist ein Verkauf nicht auf rein finanzielle Transaktionen beschränkt. CCPA gewährt Verbraucherrechte für alle Daten, die für das verwendet werden, was es als wertvolle Gegenleistung bezeichnet. Das regelt die California AG, das solche Punkte wie den Austausch von Daten für das Targeting oder die Anzeigenlieferung beinhaltet.

Unter dem CCPA gehen personenbezogene Daten weit über Elemente wie Name, Adresse, Telefonnummer oder biometrische Daten wie Fingerabdrücke eines Benutzers hinaus. Dazu gehören auch Cookies und Browserverlauf, IP-Adressen, Mobile Ad IDs (MAIDS), Geolokalisierungsdaten, Gerätekennungen oder andere Interaktionen mit Anzeigen, Websites oder Apps.

Weitere Informationen zum CCPA finden Sie in der Megalist of CCPA Resources, Checklists, and Guidance.

Wie unterscheidet sich CPRA von CCPA?

CPRA enthält sechs wichtige Erweiterungen des CCPA, die sowohl bei den Verbraucherrechten als auch bei den Geschäftsbeschränkungen noch weiter gehen:

  • CPRA führt eine neue Kategorie sensibler personenbezogener Daten (SPI) ein
  • Fügt Einschränkungen beim Tracking hinzu
  • Etablierung umfassenderer Rechtsbehelfe für Verbraucher
  • Fügt spezifische Schutzmaßnahmen für Minderjährige hinzu
  • Bietet Verbrauchern ein „Recht auf Berichtigung“ für personenbezogene Daten
  • Errichtet die California Privacy Protection Agency

Zusätzliche Verbraucherrechte gemäß CPRA

Neue Kategorie sensibler personenbezogener Daten (SPI)

  • Sozialversicherungsnummer
  • Führerscheine
  • Pässe
  • Religion
  • Wettrennen
  • Gemeinschaftsmitgliedsschaft
  • Persönliche Kommunikation
  • Genetische Daten und andere Gesundheitsinformationen
  • Informationen über das Sexualleben oder die sexuelle Orientierung

Einschränkungen beim Tracking

Die CPRA stärkt auch die Sprache über Geolokalisierung. Es würde Verbrauchern die Möglichkeit geben, Unternehmen daran zu hindern, die Geolokalisierung eines Verbrauchers für die meisten Zwecke – einschließlich Werbung – in einem Umkreis von etwa 250 Hektar zu verfolgen.

Breitere gesetzliche Rechte

Es gibt den Verbrauchern auch umfassendere gesetzliche Rechte. Neben der Durchsetzung von Strafen durch den Staat würde es den Verbrauchern das Recht geben, Unternehmen wegen fahrlässiger Datenschutzverletzungen zu verklagen, ohne einen tatsächlichen finanziellen Schaden nachweisen zu müssen. Wenn ein Unternehmen beim proaktiven Schutz Ihrer SPI oder von Elementen wie Ihrem E-Mail-Passwort fahrlässig vorgeht, können Sie nach dem CPRA möglicherweise klagen.

Zusätzlicher Schutz für Minderjährige

Der CCPA verbietet den Verkauf von personenbezogenen Daten von Personen unter 17 Jahren ohne ausdrückliche Zustimmung. Für Kinder unter 13 Jahren ist die Zustimmung der Eltern erforderlich. Gemäß dem kalifornischen Datenschutzgesetz müssen Websites nach dem Alter des Benutzers fragen, verlangen, dass die Zustimmung erteilt wird (anstatt sich abzumelden), und verdreifachen die Bußgelder für Verstöße.

Recht auf Berichtigung

Der CCPA erlaubt Verbrauchern, die Löschung personenbezogener Daten zu verlangen und den Verkauf personenbezogener Daten durch Unternehmen abzulehnen, erlaubt jedoch keine Korrekturen. Das CPRA würde es Verbrauchern ermöglichen, Berichtigungen gespeicherter Daten zu verlangen, wenn diese unrichtig sind.

Die kalifornische Datenschutzbehörde

Ein wichtiger Mieter der CPRA ist die Einrichtung der California Privacy Protection Agency, um den Datenschutz zu überwachen und als Verbraucheranwalt zu fungieren. Die Wahlinitiative beantragt 10 Millionen US-Dollar aus dem allgemeinen Fonds des Staates. „Diese Finanzierung“, schlägt die Initiative vor, „würde ungefähr der gleichen Anzahl an Mitarbeitern zur Durchsetzung des Datenschutzes entsprechen, wie die FTC (Federal Trade Commission) zur Überwachung des gesamten Landes benötigt.“

Für wen gilt das CPRA?

Organisationen müssen sich nicht in Kalifornien befinden, um betroffen zu sein. Sowohl CCPA als auch CPRA würden für Unternehmen gelten, die mit Einwohnern Kaliforniens Geschäfte machen.

Was sind die wichtigsten Termine für CPRA?

Unter der Annahme, dass die Initiative den Signaturüberprüfungsprozess besteht, würde die CPRA am 3. November 2020 in einer landesweiten Abstimmung sein. Sie kann mit einer einfachen Mehrheit der kalifornischen Wähler in Kraft treten.

Bei Verabschiedung treten mehrere Bestimmungen sofort in Kraft, darunter die Gründung und Finanzierung der California Privacy Protection Agency. Dazu gehören die folgenden Abschnitte:

  • 1798.145 (m) und (n)
  • 1798.160
  • 1798.185
  • 1798.199.10-.40
  • 1798.199.95

Die Einzelheiten können Sie hier nachlesen.

Der Großteil des Gesetzes würde erst am 1. Januar 2023 in Kraft treten.

Andere wichtige Daten

  • 1. Juli 2021: Das Startdatum für den Regelsetzungsprozess
  • 1. Januar 2022: Ein 12-monatiger „Rückblick“-Prozess beginnt. Obwohl das CPRA erst am 1. Januar 2023 vollständig in Kraft treten würde, würde es mit einigen Ausnahmen, wie dem Recht auf Auskunft und Berichtigung, für personenbezogene Daten gelten, die ab Januar 2022 erhoben werden.
  • 1. Juli 2022: Das letzte Datum für die Annahme von Vorschriften
  • 1. Januar 2023: Datum des Inkrafttretens und Ablauf einiger Ausnahmen

Die Idee hinter diesem komplexen Zeitplan ist es, Gesetzgebern und Administratoren Zeit zu geben, die Richtlinien fertigzustellen. Es gibt Organisationen auch Zeit, sich daran zu halten.

Selbst nachdem der ursprüngliche CCPA verabschiedet wurde, wurde er mehrmals geändert und bestimmte Teile wurden geändert, z. B. was als „personenbezogene Daten“ qualifiziert wurde. Der California Consumer Privacy Act (CCPA) wurde am 28. Juni 2018 in Kraft gesetzt. Unternehmen wurde bis Januar 2020 Zeit gegeben, sich daran zu halten, und es wurde ihnen eine 6-monatige „Nachfrist“ gewährt, bevor sie durchgesetzt wurde. Mit Wirkung zum 1. Juli 2020 könnte die Vollstreckung beginnen.

Ein ähnliches Verfahren wird von der CPRA übernommen.

Was müssen Publisher über CRPA wissen?

Genau wie beim CCPA wird das CPRA erhebliche Maßnahmen zur Einhaltung ergreifen. Personenbezogene Daten dürfen nur für die spezifischen und begrenzten Zwecke gespeichert und verwendet werden, die gemäß den Gesetzen zulässig sind. Es wird erweitern, was als personenbezogene Daten betrachtet wird, und explizite Hinweise für die Lieferung von Werbung erfordern, wenn Publisher die Informationen verkaufen oder sie verwenden, um digitale Werbung gezielt auszuliefern oder zu liefern.

Die Checkliste für die Einhaltung des CCPA muss geändert werden, um die erweiterten Vorschriften aufzunehmen, wenn das CPRA Gesetz wird. Selbst wenn es verabschiedet wird, wird es Richtlinien und Details geben, die in die zukünftige Regelsetzung einbezogen werden und die heute noch nicht verfügbar sind.

Als Consent Management Platform (CMP) überwacht Admiral Datenschutzbestimmungen, die Online-Publisher in den USA und weltweit betreffen. Bei Fragen zu CMPs besuchen Sie FAQ: Consent Management.

Weitere Datenschutzgesetze kommen

Da Nachrichten über Datenschutzverletzungen, Missbrauch von Verbraucherdaten und Datenschutz weiterhin zu öffentlichen Bedenken werden, hat dies das Profil des Datenschutzes für Verbraucher geschärft. 84 % der Teilnehmer einer Studie von Cisco gaben an, dass sie sich mehr Kontrolle über die Daten und deren Nutzung wünschen.

Für Verlage ist dies erst der Anfang. Ein Dutzend Bundesstaaten haben kürzlich Datenschutzgesetze eingeführt, darunter Illinois, Maine, Massachusetts, Nevada, New Jersey und Pennsylvania. Es gibt auch Bestrebungen, nationale Datenschutzbestimmungen zu schaffen und eine Datenschutzbehörde zu gründen.

Einhaltung von CPRA, CCPA und DSGVO

Über alle Datenschutzbestimmungen und die Nuancen von GDPR, CCPA und der möglichen Verabschiedung von CPRA auf dem Laufenden zu bleiben, kann für Publisher ein Albtraum sein. Aus diesem Grund haben sich so viele Verlage an externe Hilfe von Admiral gewandt, um die Privatsphäre und Zustimmung ihrer Besucher zu verwalten. Als eine der ersten IAB-konformen Content-Management-Plattformen (CMP) der Branche identifiziert Admiral automatisch Website-Besucher, die von kalifornischen IPs kommen, bietet Besuchern eine Benutzeroberfläche, um den Datenverkauf abzulehnen, und ist mit dem IAB-Framework zum Senden von Opt-out-Informationen kompatibel nachgelagerte Anbieter.

Admiral kann mit einem einfachen Tag installiert werden und ermöglicht es Publishern, innerhalb von fünf Minuten nach der Anmeldung mit der Verwaltung der Datenschutz- und Zustimmungseinstellungen für Besucher zu beginnen.

Kontaktieren Sie Admiral noch heute für eine Demo.