Von CCPA zu CPRA:
Neue Regeln für den Umgang mit den Rechten der Verbraucher
Neues Jahr, neue Verbraucherrechte für die Einwohner Kaliforniens. Am 1. Januar 2023 trat das CPRA, das manchmal auch als CCPA 2.0 bezeichnet wird, in Kraft. Die wichtigsten Änderungen betreffen die Datenschutzrechte der Einwohner Kaliforniens, wobei das CPRA sowohl neue Rechte einführt als auch die bereits unter dem CCPA gewährten Rechte ändert.
Die große Bedeutung dieser Änderungen ergibt sich aus dem zunehmenden Bewusstsein der Verbraucher für Fragen des Datenschutzes. Das Verbraucherverhalten ändert sich fast so schnell wie die weltweiten Datenschutzvorschriften. Mit der zunehmenden Sensibilisierung steigt die Zahl der Anfragen, mit denen sich Unternehmen konfrontiert sehen, stetig an. Neben dem Umfang der Anfragen stellt auch die Komplexität der parallelen Bearbeitung von Anfragen aus verschiedenen Rechtsordnungen und die Notwendigkeit, die Prozesse für jede Regelung anzupassen, eine Herausforderung für die Unternehmen dar und kann den Einsatz erheblicher Ressourcen erfordern.
Dieser Artikel ist der erste in einer Reihe, die klare Leitlinien für den Umgang mit Verbraucherrechten nach dem überarbeiteten CCPA, dem neuen CPRA, bieten soll. Im Folgenden werden die allgemeinen Schritte zur Bearbeitung von CPRA-Anfragen erläutert. In den folgenden Artikeln werden wir uns mit den Mechanismen spezifischer Rechte befassen.
I. CCPA; CPRA UND DIE VERORDNUNGEN
Das CPRA ist eine Änderung des CCPA, die die Datenschutzbestimmungen im kalifornischen Zivilgesetzbuch ändert. Mit den neuen Änderungen durch das CPRA werden den in Kalifornien lebenden Personen die folgenden Rechte gewährt:
- Recht auf Löschung personenbezogener Daten
- Recht auf Berichtigung unzutreffender personenbezogener Daten
- Das Recht zu wissen:
- welche persönlichen Daten gesammelt werden und Zugang zu diesen Daten
- welche persönlichen Daten verkauft oder weitergegeben werden und an wen;
- Recht, dem Verkauf und der Weitergabe zu widersprechen
- Recht auf Einschränkung der Nutzung und Offenlegung sensibler personenbezogener Daten
- Recht auf keine Vergeltungsmaßnahmen nach einem Opt-out oder der Ausübung anderer Rechte
Das CCPA wird durch Verordnungen (CCPA-Verordnungen) ergänzt, die den Unternehmen vor allem Hinweise zur Einhaltung geben. Die Befugnis zum Erlass der CCPA-Verordnungen liegt beim Generalstaatsanwalt. Im Rahmen des CPRA wird die Befugnis zum Erlass von Vorschriften auf die neu eingerichtete California Privacy Protection Agency (CPPA) übertragen, die Änderungen der CCPA-Verordnungen vorschlug, um:
- die bestehenden CCPA-Verordnungen zu aktualisieren, um sie mit den CPRA-Änderungen des CCPA in Einklang zu bringen;
- neue Rechte und Konzepte zu operationalisieren, die durch das CPRA eingeführt wurden, um Klarheit und Spezifität bei der Umsetzung des Gesetzes zu schaffen; und
- Umstrukturierung und Konsolidierung der im Gesetz festgelegten Anforderungen, um die Vorschriften leichter nachvollziehbar und verständlich zu machen.
Die Frist für diese neuen CPRA-Verordnungen war der 1. Juli 2022, sie wurde jedoch bis 2023 verlängert, so dass das CPRA ohne die ergänzenden Verordnungen in Kraft trat. Da die Durchsetzung des CPRA erst am 1. Juli 2023 beginnt, bleibt dem CPPA noch etwas Zeit, um die überarbeiteten Verordnungen im Rahmen des CPRA zu veröffentlichen, was jedoch die verbleibende Zeit für die Unternehmen zur Einhaltung der Vorschriften verkürzt. In diesem Artikel wird davon ausgegangen, dass die vorgeschlagenen CPRA-Vorschriften keine wesentlichen Änderungen in Bezug auf die allgemeinen Schritte zur Bearbeitung von Verbraucheranfragen in Kalifornien vorsehen.
II. ALLGEMEINE SCHRITTE IM UMGANG MIT CPRA-ANFRAGEN
Die Schritte bei der Bearbeitung von Datenschutzanfragen lassen sich in allgemeine Schritte, die für mehrere Arten von Anfragen erforderlich sind, und in spezifische Schritte, die nur für eine Art von Anfrage gelten, unterteilen. Die allgemeinen Schritte sind nicht notwendigerweise für alle Arten von Rechten gleich, sondern betreffen denselben Prozessschritt:
1. Entgegennahme des Antrags
Das CPRA definiert den Begriff “benannte Methoden zur Einreichung von Anfragen”, indem es bestimmte etablierte Methoden auflistet (wie Postanschrift, E-Mail-Adresse, Internet-Webseite, Internet-Webportal, gebührenfreie Telefonnummer) und Spielraum für die Einführung neuer verbraucherfreundlicher Methoden zur Kontaktaufnahme mit einem Unternehmen lässt (technologieneutraler Ansatz). Die Unternehmen sind verpflichtet, mindestens zwei Methoden für die Einreichung von Anträgen vorzusehen. Welche Methoden sie anbieten, ist nicht allein Sache des Unternehmens, sondern wird teilweise im CPRA festgelegt. Für Löschungsanträge, Berichtigungsanträge und Auskunftsanträge gilt das folgende Schema:
- Wenn ein Unternehmen ausschließlich online tätig ist und eine direkte Beziehung zu einem Verbraucher unterhält, muss es nur eine E-Mail angeben;
- Wenn ein Unternehmen nicht ausschließlich online tätig ist, muss es zwei oder mehr Methoden für die Übermittlung von Anfragen bereitstellen:
- Wenn ein Unternehmen eine Website hat, muss eine dieser Methoden ein Webformular sein;
- mindestens eine gebührenfreie Telefonnummer;
- Wenn der Verbraucher ein Konto bei dem Unternehmen hat, kann das Unternehmen verlangen, dass der Verbraucher dieses Konto benutzt, um einen Antrag zu stellen.
Weder der Generalstaatsanwalt noch der CCPA sagen, was “ausschließlich online tätig sein” oder “eine direkte Beziehung zu einem Verbraucher haben” bedeutet, es kann jedoch angenommen werden, dass dies bedeutet:
- das Unternehmen verfügt über keine physischen Kundenräume, sondern bietet seine Dienstleistungen über eine Website an; UND
- das Unternehmen liefert seine Waren oder Dienstleistungen direkt an den Kunden und nicht über oder im Namen von Dritten.
Bei Anträgen auf Ablehnung des Verkaufs und der Weitergabe personenbezogener Daten muss eine der vorgesehenen Methoden ein interaktives Formular sein, das über einen Link auf der Website des Unternehmens zugänglich ist. Der Link muss lauten: “Do Not Sell or Share My Personal Information”.
2. Anspruchsberechtigung
Der Erhalt einer Anfrage bedeutet nicht automatisch, dass ein Unternehmen diese bearbeiten muss. Anspruch auf die vom CPRA gewährten Rechte haben nur in Kalifornien ansässige Personen. Kalifornische Einwohner umfassen:
- jede Person, die sich nicht nur vorübergehend oder vorübergehend im Bundesstaat Kalifornien aufhält, und
- jede natürliche Person, die ihren Wohnsitz im Staat Kalifornien hat und sich zu einem vorübergehenden oder vorübergehenden Zweck außerhalb des Staates aufhält.
Die Anspruchsberechtigung hängt also nicht von der geografischen Lage einer Person ab. Besteht Unklarheit über den Wohnsitz einer Person, kann ein Unternehmen von einem Verbraucher den Nachweis verlangen, dass er in Kalifornien wohnhaft ist.
3. Überprüfbare Verbraucheranfragen - Identifizierung
Das CPRA verwendet den Begriff “überprüfbare Verbraucheranfrage” und definiert ihn als eine Anfrage, die von einem Verbraucher gestellt wird, von dem das Unternehmen mit wirtschaftlich vertretbaren Methoden nachprüfen kann, dass es sich um den Verbraucher handelt, über den das Unternehmen personenbezogene Daten gesammelt hat.
Kann ein Unternehmen die Anfrage nicht verifizieren, ist es ihm untersagt, Ersuchen um (i) Kenntnisnahme, (ii) Löschung oder (iii) Berichtigung von Daten nachzukommen, was bedeutet, dass die Identifizierung des Verbrauchers eine Voraussetzung für die Bearbeitung der Anfrage ist. Es ist wichtig, darauf hinzuweisen, dass Anträge auf Ablehnung von Verkäufen oder Weitergabe sowie Anträge auf Einschränkung der Nutzung und Offenlegung sensibler personenbezogener Daten keine Identifizierung erfordern.
Ein Antrag eines Verbrauchers ist verifiziert, wenn ein Unternehmen nachweisen kann, dass es persönliche Informationen über den antragstellenden Verbraucher gesammelt hat. Ein Unternehmen ist nur verpflichtet, wirtschaftlich vertretbare Methoden anzuwenden. Der Aufwand wäre unverhältnismäßig, wenn die Zeit und/oder die Ressourcen, die das Unternehmen für die Beantwortung der Anfrage aufwenden muss, die vernünftigerweise vorhersehbaren Auswirkungen auf den Verbraucher bei Nichtbeantwortung deutlich überwiegen.
Bedient sich ein Verbraucher eines Bevollmächtigten, um eine Anfrage einzureichen, kann ein Unternehmen von dem Bevollmächtigten den Nachweis verlangen, dass der Verbraucher dem Bevollmächtigten die unterschriebene Erlaubnis erteilt hat, die Anfrage einzureichen.
4. Dritte Partei - Verarbeiter
Bei Anträgen auf Löschung, Opt-out oder Einschränkung der Nutzung oder Weitergabe sensibler personenbezogener Daten muss ein Unternehmen alle Dritten, an die das Unternehmen die personenbezogenen Daten verkauft oder weitergegeben hat, benachrichtigen, damit sie dem Antrag des Verbrauchers ebenfalls nachkommen und den Antrag an alle anderen Personen weiterleiten, an die der Dritte personenbezogene Daten weitergegeben oder weitergegeben hat.
5. Zeitplan
Die Vorschriften darüber, wann Unternehmen auf einen Antrag auf Schutz der Privatsphäre des Verbrauchers reagieren und antworten müssen, sind unterschiedlich und hängen von der Art des Rechts ab.
Bei Löschungs-, Berichtigungs- und Auskunftsersuchen muss ein Unternehmen den Eingang des Ersuchens innerhalb von 10 Werktagen bestätigen und Informationen darüber geben, wie das Unternehmen das Ersuchen bearbeiten wird. Die endgültige Antwort muss spätestens 45 Tage nach Erhalt der Anfrage erfolgen, wobei die Möglichkeit besteht, diese Frist um weitere 45 Tage auf insgesamt 90 Tage zu verlängern.
Laut Vertrag hat ein Unternehmen maximal 15 Werktage Zeit, um Anträgen auf Ablehnung des Verkaufs/der Weitergabe und Anträgen auf Einschränkung der Nutzung und Offenlegung sensibler persönlicher Daten nachzukommen.
| Rechte auf | Zeitleiste | Erforderliche Maßnahmen | | ----------- | ----------- | ----------- | | - Wissen
- Löschen
- Korrigieren
| 10 Arbeitstage | - Anfrage bestätigen
- Informationen zum Antwortprozess bereitstellen
| | - Wissen
- Löschen
- Richtig
| 45 Kalendertage
Möglichkeit der Verlängerung um weitere 45 Kalendertage
| - Anfrage überprüfen
- Endgültige Antwort bereitstellen
| - Abmeldung
- Begrenzung
| 15 Arbeitstage | Erfüllen der Anfrage |
6. Ausnahmen
Es gibt eine Reihe allgemeiner Ausnahmeregelungen, auf die sich ein Unternehmen berufen kann, um einer Verbraucheranfrage nicht nachkommen zu müssen, einschließlich, aber nicht beschränkt auf
- dass keine Verpflichtung die Fähigkeit eines Unternehmens einschränkt, einer Reihe von Verpflichtungen nachzukommen, einschließlich der Notwendigkeit, Bundes-, Landes- oder Kommunalgesetze einzuhalten, zivil-, strafrechtlichen oder behördlichen Anfragen, Untersuchungen usw. nachzukommen, mit Strafverfolgungs- und Regierungsbehörden zu kooperieren oder Rechtsansprüche geltend zu machen oder zu verteidigen; dass keine Verpflichtung die Fähigkeit eines Unternehmens einschränkt, personenbezogene Daten von Verbrauchern zu sammeln, zu verwenden, aufzubewahren, zu verkaufen, weiterzugeben oder offenzulegen, die nicht mehr identifizierbar sind, oder personenbezogene Daten von Verbrauchern zu sammeln, zu verkaufen oder weiterzugeben, wenn jeder Aspekt dieses Geschäftsgebarens vollständig außerhalb von Kalifornien stattfindet; sektorspezifische Ausnahmen, wie z. B. in Bezug auf medizinische Informationen, keine Verpflichtung für ein Unternehmen, Geschäftsgeheimnisse offenzulegen;
- Ausnahmen für Tätigkeiten im Zusammenhang mit der Kreditwürdigkeit eines Verbrauchers usw;
- Ausnahmen für bestimmte Informationen, die nach bestimmten US-Rechtsvorschriften erhoben, verarbeitet, verkauft oder weitergegeben werden;
- Ausnahmen in Bezug auf bestimmte Informationen über Fahrzeuge und Eigentümer;
- Ersuchen, die offensichtlich unbegründet oder übertrieben sind, insbesondere aufgrund ihres wiederholten Charakters. Ein Unternehmen kann entweder eine angemessene Gebühr für die Bearbeitung des Ersuchens erheben, wobei die Verwaltungskosten für die Bereitstellung der Informationen oder Mitteilungen bzw. für die Durchführung der erbetenen Maßnahmen zu berücksichtigen sind, oder es kann sich dafür entscheiden, das Ersuchen abzulehnen und den Verbraucher über die Gründe für die Ablehnung zu informieren. Das Unternehmen, das sich auf die Ausnahmeregelung berufen will, muss nachweisen, dass ein nachprüfbarer Antrag des Verbrauchers offensichtlich unbegründet oder übertrieben ist;
- Anfragen, die sich auf Haushaltsdaten beziehen.
Über Prighter
Die Prighter-Gruppe hat es sich zur Aufgabe gemacht, Unternehmen auf der ganzen Welt in die Lage zu versetzen, internationale Geschäfte unter Einhaltung der verschiedenen Datenschutzregelungen zu tätigen. Wir bieten spezialisierte Dienstleistungen zur Vertretung des Datenschutzes in Kombination mit einer SaaS-Lösung für die Verwaltung Ihrer datenschutzbezogenen Interaktionen, die es Unternehmen ermöglicht, neue Märkte unter Einhaltung der lokalen Datenschutzgesetze zu erschließen. Unser marktführendes Angebot zum Datenschutz vereint das Beste aus Software und professionellen Rechtsdienstleistungen. Erweitern Sie Ihr Geschäft mit Vertrauen, geschützt durch Prighter.
Für weitere datenschutzbezogene Nachrichten und Inhalte folgen Sie uns auf Linkedin