Häufig gestellte Fragen zum CCPA und CPRA

Du wirst lernen

Informiere dich über häufig gestellte Fragen zum CCPA (California Consumer Privacy Act) und CPRA (California Privacy Rights Act).

Was ist die CCPA?

Das CCPA ist ein Gesetz, das am 1. Januar 2020 in Kraft getreten ist und regelt, wie Unternehmen mit den persönlichen Daten der Einwohner/innen Kaliforniens umgehen.

Das CCPA ist eine Antwort auf eine wahrgenommene Lücke im Schutz der Privatsphäre in den Vereinigten Staaten. Unternehmen, die personenbezogene Daten von Einwohnern Kaliforniens verarbeiten, sind verpflichtet, die Einwohner über die Datenschutzpraktiken des Unternehmens und die Datenschutzrechte der Einwohner zu informieren, einschließlich des Rechts auf:

• wissen, welche persönlichen Daten ein Unternehmen über sie sammelt und wie sie verwendet werden
• die gesammelten persönlichen Daten zu löschen (mit einigen Ausnahmen)
• dem Verkauf ihrer persönlichen Daten widersprechen
• Nicht-Diskriminierung bei der Ausübung ihrer CCPA-Rechte

Was ist das CPRA?

Das CPRA ist ein Gesetz, das die Anforderungen des CCPA ändert und erweitert, unter anderem:

• Hinzufügen einer Kategorie "sensible persönliche Informationen" 
• Das Recht auf Einschränkung der Nutzung und Offenlegung sensibler personenbezogener Daten festschreiben
• Festlegung des Rechts auf Berichtigung unrichtiger personenbezogener Daten
• Ausweitung der "Do Not Sell"-Anforderung auf die "Weitergabe" personenbezogener Daten zum Zwecke kontextübergreifender Werbung (oder Werbung von Dritten)

Das CPRA tritt am 1. Januar 2023 in Kraft.

Wer muss sich an das CCPA und das CPRA halten?

Unternehmen

Die meisten CCPA- und CPRA-Anforderungen gelten für "Unternehmen", d.h. für Firmen, die persönliche Daten kalifornischer Verbraucherinnen und Verbraucher entweder selbst oder mit Hilfe von Anbietern sammeln. 

Das CCPA gilt für Unternehmen, die eine der folgenden Bedingungen erfüllen:

• Verarbeitet persönliche Daten von Einwohnern Kaliforniens
• in Kalifornien "geschäftlich tätig" ist (einschließlich der Kontaktaufnahme mit in Kalifornien ansässigen Personen über eine E-Commerce- oder interaktive Website oder Anwendung)
• Erfüllt eine oder mehrere der folgenden Schwellenwerte:
• Hat einen jährlichen Bruttoumsatz von mehr als 25 Millionen Dollar
• Persönliche Daten von 50.000 oder mehr kalifornischen Einwohnern, Haushalten oder Geräten jährlich kauft, erhält oder verkauft
• 50 Prozent oder mehr seines Jahresumsatzes aus dem "Verkauf" von personenbezogenen Daten der Einwohner Kaliforniens erzielt (d.h. der Verkauf umfasst die Offenlegung, Bereitstellung, Weitergabe oder Übermittlung personenbezogener Daten an Dritte gegen Geld oder eine andere Gegenleistung)

Das CPRA ändert diese Anwendbarkeit wie folgt ab:

• Erfüllt eine oder mehrere der folgenden Schwellenwerte:
• Im letzten Jahreinen Bruttojahresumsatz von mehr als 25 Millionen US-Dollar erzielt haben
• Persönliche Daten von 100.000 oder mehr kalifornischen Einwohnern oder Haushalten jährlich kauft, verkauft oder weitergibt
• 50 Prozent oder mehr seines Jahresumsatzes aus dem Verkauf oder der Weitergabe von personenbezogenen Daten von Einwohnern Kaliforniens erzielt (die Weitergabe umfasst die Offenlegung, Bereitstellung, Übertragung oder Übermittlung personenbezogener Daten an Dritte für inhaltsübergreifende verhaltensbezogene Werbung, unabhängig davon, ob dafür eine finanzielle oder sonstige Gegenleistung erbracht wird).

Serviceanbieter und Auftragnehmer 

Um als Dienstleistungsanbieter zu gelten, muss eine natürliche oder juristische Person:

• Persönliche Daten im Namen eines Unternehmens verarbeiten 
• Du musst an einen schriftlichen Vertrag gebunden sein, der bestimmte Einschränkungen und Verpflichtungen in Bezug auf die Verwendung personenbezogener Daten vorsieht:

• • Sammeln
  • Verkaufen
  • Verwendung der personenbezogenen Daten, außer wenn dies für die Erfüllung des Geschäftszwecks erforderlich ist

Ähnlich wie bei Dienstleistungsanbietern gilt die Ausnahme für einen Verkauf oder eine Aufteilung auch für Auftragnehmer nach dem CPRA. Auftragnehmer sind Personen oder Einrichtungen, denen personenbezogene Daten von einem Unternehmen gemäß einem schriftlichen Vertrag zur Verfügung gestellt werden, der ähnliche Beschränkungen und Verpflichtungen auferlegt, wie sie für einen Dienstleistungsanbieter gelten. Die Auftragnehmer müssen außerdem eine Bescheinigung vorlegen, in der sie bestätigen, dass sie die Beschränkungen verstanden haben und sie einhalten werden.

Beachte, dass die Weitergabe von Daten durch ein Unternehmen an einen Dienstleister oder Auftragnehmer nicht als Verkauf oder Weitergabe gilt, wenn sie zur Erfüllung eines Geschäftszwecks erforderlich ist.

Was wird als persönliche Compliance eingestuft?

Das CCPA definiert personenbezogene Daten sehr weit und umfasst Informationen, die einen bestimmten Verbraucher oder Haushalt identifizieren, beschreiben oder vernünftigerweise mit ihm in Verbindung gebracht werden können. In der Praxis bedeutet diese weit gefasste Definition, dass Informationen wie Kontaktinformationen, Transaktionsdaten, Internetprotokolladressen (IP-Adressen), Kennungen mobiler Geräte, Clickstream-Daten und Bestelldetails in den Geltungsbereich der CCPA-Definition personenbezogener Daten fallen und den Anforderungen des CCPA unterliegen können.

Das CPRA schafft eine neue Kategorie persönlicher Daten, die "sensiblen persönlichen Daten", und gibt den Verbrauchern ein neues Recht, die Nutzung und Weitergabe ihrer sensiblen Daten einzuschränken. 

Zu den sensiblen persönlichen Daten im Sinne des CPRA gehören: 

• Sozialversicherungsnummer
• Nummer des Führerscheins 
• Reisepassnummer
• Konto-Anmeldeinformationen
• Präzise Geolokalisierung
• Rasse oder ethnische Herkunft
• Religiöse Überzeugungen
• Biometrische Daten
• Genetische Daten
• Gesundheitsdaten 
• Informationen über das Sexualleben oder die sexuelle Orientierung eines Verbrauchers
• Der Inhalt der Post, E-Mails und Textnachrichten eines Verbrauchers, es sei denn, das Unternehmen ist der beabsichtigte Empfänger der Kommunikation 

Was muss ich tun, um mich vorzubereiten?

Das CCPA und das CPRA sind komplexe Gesetze. In diesem Artikel werden die wichtigsten Verpflichtungen aus dem CCPA und dem CPRA erläutert, die sich auf die Nutzung der Klaviyo-Dienste beziehen können. Bitte kontaktiere deinen Rechtsbeistand für eine konkrete Beratung. 

Wenn das CCPA und CPRA auf dein Unternehmen anwendbar ist, solltest du die folgenden Rechte und Offenlegungen berücksichtigen.

Hinweis

Dein Unternehmen muss eine Datenschutzerklärung auf deiner Website haben, die an allen Stellen zugänglich ist, an denen du personenbezogene Daten erhebst, z. B. im Anmeldeformular. Die Richtlinie sollte unter anderem Folgendes beinhalten:

• Kategorien personenbezogener Daten, die für einen Geschäftszweck erhoben, verkauft oder anderweitig offengelegt werden
• Kategorien der Quellen der persönlichen Informationen 
• Geschäftliche oder kommerzielle Zwecke für die Erhebung oder den Verkauf der persönlichen Daten
• Beschreibung der folgenden Verbraucherrechte und der vorgesehenen Methoden zur Einreichung von Anträgen:
• Das Recht, persönliche Informationen zu löschen
• Das Recht auf Zugang zu Kategorien und bestimmten persönlichen Daten
• Das Recht, dem Verkauf oder der Weitergabe von persönlichen Daten zu widersprechen
• Das Recht auf Nichtvergeltung

Das CPRA erweitert diese Liste der Verbraucherrechte um folgende Punkte: 

• Das Recht auf Berichtigung ungenauer Informationen
• Das Recht, die Nutzung und Weitergabe sensibler persönlicher Daten einzuschränken
• Das Recht, die automatisierte Entscheidungsfindung abzulehnen

Das CPRA verlangt von den Unternehmen außerdem, die folgenden zusätzlichen Angaben zu machen:

• Ob die persönlichen Daten der Person verkauft oder weitergegeben werden
• Die Dauer, die das Unternehmen beabsichtigt, jede Kategorie personenbezogener Daten aufzubewahren, oder die Kriterien, die es verwendet, um zu bestimmen, wie lange es diese Daten aufbewahren wird
• Wenn das Unternehmen "sensible persönliche Daten" sammelt:
• Eine separate Offenlegung, die die Kategorien der gesammelten sensiblen Informationen identifiziert
• Die Verwendung und der Zweck dieser Daten
• Ob solche Informationen verkauft oder weitergegeben werden

Opt-out Rechte

Verbraucher/innen haben jederzeit das Recht, dem Verkauf ihrer persönlichen Daten an Dritte zu widersprechen. Dein Unternehmen muss den Verkauf personenbezogener Daten nach Erhalt der Anfrage einstellen, es sei denn, der Verbraucher erteilt nachträglich eine ausdrückliche Genehmigung. Unternehmen müssen mindestens 12 Monate warten, bevor sie einen Verbraucher auffordern, dem Verkauf von persönlichen Daten wieder zuzustimmen. Um dieses Opt-out-Recht zu ermöglichen, müssen Unternehmen unter anderem:

• Stelle auf der Homepage des Unternehmens einen klaren und auffälligen Link mit der Überschrift "Meine persönlichen Daten nicht verkaufen" bereit. Der Link sollte es dem Verbraucher oder einer von ihm bevollmächtigten Person ermöglichen, dem Verkauf seiner persönlichen Daten zu widersprechen.
• Von einem Verbraucher nicht verlangen, dass er ein Konto einrichtet, um das Unternehmen anzuweisen, die persönlichen Daten des Verbrauchers nicht zu verkaufen.

Verbraucher/innen haben außerdem das Recht, jederzeit zu widersprechen, dass ihre persönlichen Daten von einem Dritten verkauft werden, der die persönlichen Daten der Verbraucher/innen von einem Unternehmen erworben hat. Der Dritte muss den Verkauf nach Erhalt der Opt-out-Anfrage einstellen, es sei denn, der Verbraucher erteilt nachträglich eine ausdrückliche Genehmigung.

Andere Verbraucherrechte

Unternehmen müssen über Verfahren verfügen, mit denen sie die Identität einer in Kalifornien ansässigen Person überprüfen können, wenn sie auf Anfragen zum Zugriff oder zur Löschung persönlicher Daten reagieren. Wenn du eine Anfrage von einem Einwohner Kaliforniens erhältst und seine Identität bestätigt ist, musst du beim Ausfüllen der Anfrage die folgenden Angaben machen, um seine Rechte zu wahren. 

Recht auf Information: Ein Verbraucher kann verlangen, dass das Unternehmen die Erhebung und Verarbeitung seiner persönlichen Daten offenlegt, einschließlich der: 

• Kategorien personenbezogener Daten, die über diesen Verbraucher gesammelt wurden (in den vorangegangenen 12 Monaten)
• Kategorien von Quellen, aus denen die persönlichen Daten gesammelt werden 
• Geschäftliche oder kommerzielle Zwecke für das Sammeln oder den Verkauf persönlicher Daten
• Kategorien von Dritten, an die das Unternehmen personenbezogene Daten weitergegeben hat
• Kategorien von Informationen, die das Unternehmen verkauft oder an Dritte weitergibt
• Spezifische persönliche Informationen, die er über den Verbraucher gesammelt hat

Das CPRA ändert und erweitert dieses Recht und verlangt:

• Bereitstellung von Informationen über die Kategorien personenbezogener Daten, die mit Dritten "geteilt" werden
• Aufhebung der 12-Monats-Rückblick-Beschränkung, indem ein Unternehmen verpflichtet wird, mehr als 12 Monate an Informationen zur Verfügung zu stellen, solange eine solche Offenlegung nicht "" unmöglich oder "mit einem unverhältnismäßigen Aufwand verbunden wäre" (diese Anforderung würde nicht für Daten gelten, die das Unternehmen vor dem 1. Januar 2022 erhoben hat)

Recht auf Löschung: Das Unternehmen muss die Daten des Verbrauchers löschen (vorbehaltlich bestimmter Ausnahmen) und seinen Dienstanbieter benachrichtigen, die Daten des Verbrauchers zu löschen. Nach dem CPRA muss das Unternehmen seine Dienstanbieter und Auftragnehmer benachrichtigen und auch alle Dritten, an die das Unternehmen die personenbezogenen Daten des Verbrauchers verkauft oder weitergegeben hat (für kontextübergreifende Werbezwecke), es sei denn, dies "erweist sich als unmöglich oder ist mit unverhältnismäßigem Aufwand verbunden". Außerdem muss jeder Anbieter auch seinen eigenen nachgelagerten Anbieter benachrichtigen, damit dieser die Daten des Verbrauchers löscht. 

Recht auf Berichtigung ungenauer personenbezogener Daten: Sobald ein Unternehmen eine überprüfte Aufforderung zur Korrektur unrichtiger personenbezogener Daten erhält, muss das Unternehmen "wirtschaftlich vertretbare Anstrengungen" unternehmen, um die personenbezogenen Daten gemäß den Anweisungen des Verbrauchers zu korrigieren. Der Generalstaatsanwalt von Kalifornien wird voraussichtlich weitere Hinweise zu dieser Verpflichtung geben.

Du solltest auch beachten, dass die ausdrückliche Zustimmung eines Elternteils oder Erziehungsberechtigten (Opt-in) erforderlich ist, wenn der Verbraucher unter 13 Jahre alt ist, bevor er oder sie seine oder ihre persönlichen Daten verkauft. Wenn der/die Verbraucher/in zwischen 13 und 16 Jahre alt ist, muss er/sie ausdrücklich zustimmen, bevor er/sie seine/ihre persönlichen Daten verkauft.

Erfüllen von Verbraucherwünschen 

Du musst mindestens 2 Methoden haben, mit denen die Verbraucher Informationen anfordern können.

Diese sollten mindestens Folgendes umfassen:

• Eine gebührenfreie Telefonnummer (bestimmte Unternehmen, die ausschließlich online tätig sind und eine direkte Beziehung zu den Verbrauchern haben, von denen sie personenbezogene Daten erheben, sind von der Pflicht zur gebührenfreien Telefonnummer ausgenommen)
• Webadresse, falls das Unternehmen eine Website hat 

Verbraucheranfragen müssen innerhalb von 45 Tagen nach Erhalt der Anfrage per Post oder elektronisch (in einem Format, das es dem Verbraucher ermöglicht, sie an eine andere Stelle weiterzuleiten) oder über ein Benutzerkonto gestellt werden. Die Beantwortungsfrist kann um weitere 45 Tage verlängert werden, wenn dies aufgrund der Komplexität und der Anzahl der Anfragen notwendig ist und wenn der Antragsteller über die Verlängerung informiert wird (unter Angabe der Gründe). Das Antragsverfahren muss außerdem kostenlos sein.

Unternehmen sind nicht verpflichtet, mehr als zwei Anfragen pro Verbraucher in einem Zeitraum von 12 Monaten zu stellen.

Welche Rolle spielt Klaviyo im Rahmen des CCPA und des CPRA, wenn es um den Klaviyo-Dienst geht?

Klaviyo hat keine direkte Beziehung zu den Personen, deren persönliche Daten von unserem Kunde und Laden auf unserer Plattform erfasst werden. Klaviyo dient als Dienstleistungsanbieter, während unsere Kunden die Unternehmen sind, weil wir die personenbezogenen Daten im Auftrag unserer Kunden verarbeiten.

KlaviyoDie Verpflichtungen, die wir als Anbieter gegenüber Kunde haben, sind in unserer Datenverarbeitungsvereinbarung festgehalten. 

Was unternimmt Klaviyo, damit Kunde die Vorschriften einhalten kann?

Klaviyo Kunde hat die Möglichkeit und die Instrumente, um Anfragen von in Kalifornien ansässigen Personen nachzukommen, die ihr Recht auf Zugang, Löschung oder Berichtigung personenbezogener Daten nach dem CCPA und CPRA ausüben wollen. Genauer gesagt:

• Die Plattform ermöglicht es Kunde, über die persönlichen Informationen zu berichten, die es über die Endnutzerinnen und Endnutzer aufbewahrt, um auf Anfragen zu antworten.
• Die Plattform ermöglicht die Löschung von personenbezogenen Daten, die sie über Endnutzer/innen speichert, als Reaktion auf Löschungsanträge und die Korrektur unrichtiger personenbezogener Daten auf Profil in Klaviyo.
• Klaviyo nicht unterstützt und die Erhebung und Speicherung sensibler personenbezogener Daten gemäß unserer Richtlinie zur akzeptablen Nutzung einschränkt .

Zusätzliche Ressourcen

• Wie man mit GDPR- und CCPA-Anfragen umgeht
• Kalifornisches Verbraucherschutzgesetz
• Zustimmung im Profil verstehen