Blog
Hinweis: Beiträge werden automatisch aus dem Englischen übersetzt. Für den Originalinhalt besuchen Sie bitte unsere englische Seite. Einige Übersetzungen sind möglicherweise nicht perfekt; wir danken Ihnen für Ihr Verständnis.
picture

CCPA: Verwaltung von Verbraucherrechten - CPRA-Verordnungen jetzt durchsetzbar

Diejenigen Organisationen, die sich vor dem 1. Juli 2023 beeilen, um rechtzeitig vor dem ursprünglichen Durchsetzungstermin der Vorschriften des California Privacy Rights Act (CPRA) Maßnahmen zu ergreifen, werden sich mit der Entscheidung des Sacramento County Superior Court vom letzten Juni getröstet haben, die Durchsetzung auf den 29. März 2024 zu verschieben. Die Entscheidung des dritten kalifornischen Berufungsgerichts von letzter Woche bedeutet jedoch, dass die kalifornische Datenschutzbehörde (California Privacy Protection Agency, CPPA) sofort mit der Durchsetzung der CPRA-Vorschriften beginnen kann, die detaillierte Regeln für die Bearbeitung von Anträgen auf Datenschutzrechte der Verbraucher, Opt-out-Mechanismen für den Verkauf/die Weitergabe von Daten und die obligatorische Anerkennung von Opt-out-Signalen enthalten. Von nun an ist mit einer Intensivierung der Durchsetzungsmaßnahmen und einer Verschärfung der Sanktionen zu rechnen. Und wie kürzlich durch die geplante Untersuchung des Generalstaatsanwalts zur Einhaltung der Opt-out-Vorschriften für Unternehmen, die personenbezogene Verbraucherdaten verkaufen oder weitergeben, durch Streaming-Plattformen signalisiert wurde, können wir sicher davon ausgehen, dass die Einhaltung der Verbraucherrechte ganz oben auf der Liste der Durchsetzungsprioritäten stehen wird. Wir fassen hier die Palette der Verbraucherrechte zusammen, die im Rahmen des CCPA zur Verfügung stehen (unter Berücksichtigung der Änderungen durch das CPRA und der Anforderungen der CPRA-Verordnungen), und befassen uns mit den praktischen Schritten, die Unternehmen unternehmen müssen, um die ordnungsgemäße Bearbeitung von Anfragen zu Verbraucherrechten sicherzustellen.

I. CCPA-VERBRAUCHERRECHTE

Der CCPA (in der durch das CPRA geänderten Fassung) gewährt den Einwohnern Kaliforniens sechs wichtige Datenschutzrechte:

| Datenschutzrechte | Beschreibung | | — | | | | Löschen | Verbraucher können verlangen, dass ein Unternehmen die persönlichen Daten, die es über sie gesammelt hat (oder von einem Dritten sammeln ließ), löscht. Ausnahmen von der Verpflichtung zur Löschung von Daten gibt es, z. B. wenn das Unternehmen gesetzlich verpflichtet ist, die Daten aufzubewahren oder den Vertrag mit dem Verbraucher zu erfüllen. | Richtigstellen | Eine Person kann verlangen, dass ein Unternehmen unrichtige Informationen, die es über den Verbraucher gespeichert hat, berichtigt, und das Unternehmen muss sich in wirtschaftlich vertretbarem Umfang bemühen, diese Korrekturen vorzunehmen. | Ein Verbraucher kann ein Unternehmen zweimal innerhalb eines Zeitraums von 12 Monaten auffordern, ihm Auskunft zu erteilen:

- die Kategorien personenbezogener Daten, die es über ihn gesammelt hat

- die spezifischen personenbezogenen Daten, die es über ihn gesammelt hat

- die Kategorien von Quellen, aus denen die Daten stammen

- die Zwecke, für die das Unternehmen die Daten verwendet

- die Kategorien von Dritten, denen das Unternehmen die Daten offenlegt

- die Kategorien von Informationen, die das Unternehmen verkauft, teilt oder an Dritte weitergibt. | Eine Einzelperson kann verlangen, dass ein Unternehmen den Verkauf oder die Weitergabe (für kontextübergreifende verhaltensbezogene Werbung) ihrer persönlichen Daten einstellt. Nach Erhalt eines solchen Antrags ist es dem Unternehmen untersagt, die Daten weiter zu verkaufen oder weiterzugeben, es sei denn, der Betroffene stimmt später zu. | | Begrenzung der Weitergabe sensibler Daten | Verbraucher können Unternehmen anweisen, ihre sensiblen persönlichen Daten (z. B. genetische Daten, genaue Ortsangaben, Sozialversicherungsnummer, Finanzdaten) nur für begrenzte Zwecke zu verwenden, z. B. um dem Einzelnen die von ihm angeforderten Dienstleistungen zu erbringen oder für bestimmte, aufgezählte Geschäftszwecke. | Gleichbehandlung | Unternehmen dürfen Verbraucher nicht diskriminieren, wenn sie ihre CCPA-Rechte wahrnehmen. |

Der CCPA gewährt diese Rechte den Einwohnern Kaliforniens. Ein Einwohner Kaliforniens ist eine Person, die in Kalifornien wohnt, auch wenn sie sich vorübergehend oder vorübergehend außerhalb des Staates aufhält. Die Anspruchsberechtigung hängt also nicht von der geografischen Lage einer Person ab. Ein Unternehmen, das einen Antrag bearbeitet, kann vom Verbraucher gegebenenfalls den Nachweis verlangen, dass er in Kalifornien wohnhaft ist.

II. ALLGEMEINE SCHRITTE BEI DER BEARBEITUNG VON ANFRAGEN ZU CCPA-RECHTEN

Bei der Bearbeitung von Anträgen auf Gewährung von Verbraucherdatenschutzrechten im Rahmen des CCPA gibt es Schritte, die allen Rechten gemeinsam sind, wie z. B. die Entgegennahme von Anträgen und die Identifizierung des Antragstellers (allgemeine Schritte), und es gibt Aktivitäten, die für bestimmte individuelle Rechte spezifisch sind (spezifische Schritte). In diesem Artikel befassen wir uns mit den allgemeinen Schritten, die bei der Bearbeitung von CCPA-Anfragen erforderlich sind.

(A) Entgegennahme von Anfragen

Die Unternehmen sind verpflichtet, die Verbraucher in ihren Datenschutzrichtlinien über ihre Rechte zu informieren und ihnen Anweisungen zu geben, wie sie Anträge stellen können. Je nach Art des Rechts, das ausgeübt werden soll, müssen die Unternehmen dem Einzelnen auch spezielle Methoden zur Beantragung von Datenschutzrechten anbieten.

Rechte auf Löschung, Berichtigung und Auskunft/Zugang

Unternehmen sind verpflichtet, eine bestimmte Anzahl von “benannten Methoden für die Einreichung von Anfragen” (Postanschrift, E-Mail-Adresse, Internetseite, Internetportal, gebührenfreie Telefonnummer) und alle neuen verbraucherfreundlichen Mittel zur Kontaktaufnahme mit einem Unternehmen, die von der

AG) wie folgt:

- Wenn ein Unternehmen ausschließlich online tätig ist und eine direkte Beziehung zu einem Verbraucher unterhält, muss es nur eine E-Mail-Adresse für die Entgegennahme von Anfragen zur Verfügung stellen; - wenn ein Unternehmen nicht ausschließlich online tätig ist, muss es zwei oder mehr festgelegte Methoden zur Verfügung stellen, vorausgesetzt: - jedes Unternehmen muss eine gebührenfreie Telefonnummer anbieten; - wenn ein Unternehmen eine Website hat, muss eine dieser Methoden über diese Website erfolgen, z. B. ein Webformular; - wenn der Verbraucher ein Konto bei dem Unternehmen hat, kann das Unternehmen verlangen, dass der Verbraucher dieses Konto verwendet, um eine Anfrage zu stellen.

Weder der Generalstaatsanwalt noch das CCPA sagen, was “ausschließlich online tätig sein” oder “eine direkte Beziehung zu einem Verbraucher haben” bedeutet, es kann jedoch angenommen werden, dass dies bedeutet:

- das Unternehmen hat keine physischen Kundenräume, sondern bietet seine Dienstleistungen über eine Website an; UND - das Unternehmen liefert seine Waren oder Dienstleistungen direkt an den Kunden und nicht über oder im Namen von Dritten.

Recht auf Ablehnung des Verkaufs/der Weitergabe und Einschränkung der Offenlegung sensibler Daten

Ein Unternehmen, das (i) personenbezogene Daten verkauft/teilt oder (ii) sensible personenbezogene Daten verwendet/offenlegt, muss außerdem zwei oder mehr Methoden zur Verfügung stellen, um dem Verkauf/der Weitergabe zu widersprechen und die Verwendung oder Offenlegung solcher Daten einzuschränken. Mindestens eine der angebotenen Methoden muss die Art und Weise widerspiegeln, wie das Unternehmen hauptsächlich mit dem Verbraucher interagiert. Der Opt-out-Mechanismus muss für den Verbraucher einfach zu handhaben sein und nur wenige Schritte erfordern (weitere Einzelheiten sind in den CCPA-Verordnungen enthalten).

In den meisten Fällen muss ein Unternehmen auf seiner Website einen klaren und auffälligen Link mit der Aufschrift “Meine persönlichen Daten nicht verkaufen oder weitergeben” und/oder “Die Verwendung meiner sensiblen persönlichen Daten einschränken” (je nach Fall) bereitstellen, über den Einzelpersonen ihr(e) Recht(e) ausüben können. Ein Klick auf diesen Link muss entweder die gewünschte unmittelbare Wirkung für den Verbraucher haben oder ihn zu einer Webseite führen, auf der er sich über den Verkauf/die Weitergabe oder die Nutzung/Weitergabe seiner Daten informieren und seine Entscheidung treffen kann. Um dies zu vereinfachen, können die Unternehmen den Verbrauchern einen “alternativen Opt-Out-Link” anbieten. Dabei handelt es sich um einen einzigen, klar gekennzeichneten Link, über den Einzelpersonen auf einfache Weise sowohl ihr Recht auf Widerspruch gegen den Verkauf/die Weitergabe als auch ihr Recht auf Einschränkung der Nutzung/Weitergabe ihrer Daten über einen einzigen Mechanismus ausüben können. Unternehmen, die sich für die Verwendung des alternativen Opt-Out-Links entscheiden, müssen den Link mit “Your Privacy Choices” oder “Your California Privacy Choices” betiteln und das folgende Opt-Out-Symbol neben dem Titel einfügen:

Picture1d.png

Unternehmen müssen auch Opt-Out-Präferenzsignale (“OOPS”) wie die Globale Datenschutzkontrolle als gültige Aufforderung zum Verzicht auf den Verkauf/die Weitergabe von Daten anerkennen, die bestimmte Anforderungen als gültige Aufforderung zum Verzicht auf den Verkauf/die Weitergabe von Daten erfüllen.

B) Identifizierung

Wie bei jedem Versuch, das Recht auf Privatsphäre auszuüben, ist es wichtig, dass das Unternehmen, das eine Anfrage erhält, die Identität des Antragstellers bestätigen kann, um eine unrechtmäßige Verarbeitung der betreffenden Daten zu vermeiden, indem es beispielsweise einer Person die personenbezogenen Daten einer anderen Person zur Verfügung stellt.

Um das Recht auf Kenntnisnahme, Löschung oder Berichtigung personenbezogener Daten zu erhalten, muss ein Unternehmen eine “überprüfbare Anfrage eines Verbrauchers” erhalten. Die Unternehmen müssen wirtschaftlich angemessene Methoden anwenden, um die Person als den Verbraucher zu identifizieren, über den das Unternehmen personenbezogene Daten gesammelt hat. Anträge auf Ablehnung des Verkaufs/der Weitergabe von Daten sowie Anträge auf Einschränkung der Nutzung/Weitergabe sensibler personenbezogener Daten erfordern keinen überprüfbaren Antrag des Verbrauchers.

Bedient sich ein Verbraucher eines Bevollmächtigten, um einen Antrag zu stellen, kann ein Unternehmen von dem Bevollmächtigten den Nachweis verlangen, dass der Verbraucher dem Bevollmächtigten eine unterzeichnete Erlaubnis erteilt hat, den Antrag zu stellen.

C) Antwortzeiten

Das CCPA legt fest, innerhalb welcher Zeit Unternehmen auf eine Verbraucheranfrage reagieren müssen, wobei diese Fristen je nach Art des Rechts unterschiedlich sind.

Für die Rechte auf Löschung, Berichtigung oder Kenntnis/Zugang zu Informationen muss ein Unternehmen:

- innerhalb von 10 Werktagen den Eingang der Anfrage bestätigen und Informationen darüber geben, wie das Unternehmen die Anfrage bearbeiten wird; und - innerhalb von 45 Tagen nach Eingang der Anfrage eine endgültige Antwort geben (wobei das Unternehmen diese Frist um weitere 45 Tage auf insgesamt 90 Tage verlängern kann).

Im Gegensatz dazu haben die Unternehmen bei Anträgen auf Ablehnung des Verkaufs/der Weitergabe von Daten und bei Anträgen auf Einschränkung der Nutzung/Weitergabe sensibler personenbezogener Daten maximal 15 Arbeitstage Zeit, um dem Antrag nachzukommen.

(D) Benachrichtigung von Dienstleistern, Auftragnehmern und Dritten

Unternehmen, die Anträge auf Löschung oder Berichtigung personenbezogener Daten und/oder Anträge auf Ablehnung des Verkaufs/der Weitergabe von Daten oder auf Einschränkung der Nutzung/Weitergabe sensibler personenbezogener Daten erhalten, müssen die betreffenden Dienstleister, Auftragnehmer und alle Dritten, an die die Daten verkauft, weitergegeben oder offengelegt wurden, benachrichtigen.

(E) Ausnahmeregelungen

Es gibt mehrere allgemeine Ausnahmen, auf die sich ein Unternehmen berufen kann, um einer Verbraucheranfrage nicht nachkommen zu müssen. Ein Beispiel hierfür sind Fälle, in denen die durch den CCPA auferlegten Verpflichtungen das Unternehmen in seiner Fähigkeit einschränken würden, Bundes-, Landes- oder Kommunalgesetzen, zivil-, strafrechtlichen oder behördlichen Untersuchungen, Ermittlungen usw. nachzukommen oder mit Strafverfolgungs- und Regierungsbehörden zusammenzuarbeiten oder Rechtsansprüche geltend zu machen oder zu verteidigen. Es gibt auch sektorspezifische Ausnahmen, z. B. in Bezug auf medizinische Informationen. Ein Unternehmen ist nicht verpflichtet, Geschäftsgeheimnisse preiszugeben, und für Haushaltsdaten gelten die Verbraucherrechte. Bei offensichtlich unbegründeten oder übermäßigen Anfragen (z. B. bei wiederholten Anfragen) kann ein Unternehmen (i) eine angemessene Gebühr für die Bearbeitung der Anfrage erheben (die die damit verbundenen Kosten widerspiegelt) oder (ii) die Anfrage ablehnen und den Verbraucher über die Gründe informieren. Die Beweislast dafür, dass eine Anfrage offensichtlich unbegründet oder übertrieben ist, liegt bei dem Unternehmen, das sich auf die Ausnahmeregelung berufen möchte.

Schlussfolgerung

Die zunehmende Bedeutung dieser Änderungen ergibt sich aus dem wachsenden Bewusstsein der Verbraucher für Fragen des Datenschutzes und ihrer Rechte in Bezug auf die Verwendung ihrer Daten. In dem Maße, wie das Bewusstsein zunimmt, steigt auch die Häufigkeit der Anfragen, mit denen sich Unternehmen konfrontiert sehen, weiter an. Abgesehen von der schieren Menge stellen die Komplexität der gleichzeitigen Bearbeitung von Anfragen in verschiedenen Rechtsordnungen und die Notwendigkeit, die Prozesse an die jeweiligen rechtlichen Rahmenbedingungen anzupassen, eine Herausforderung für die Unternehmen dar, die oft erhebliche Investitionen in Ressourcen erfordert. Angesichts der drohenden behördlichen Untersuchung und Durchsetzung ist es für Unternehmen jetzt an der Zeit, sicherzustellen, dass sie über die richtigen Richtlinien, Verfahren und Instrumente verfügen, um die strengen Anforderungen des CCPA zu erfüllen.