Das neue kalifornische Datenschutzgesetz, das CPRA, wurde verabschiedet: Was nun?

Am 3. November 2020 haben die kalifornischen Wähler Proposition 24, den California Privacy Rights Act (CPRA), mit rund 56-44 % angenommen. Dieses Gesetz wird den noch jungen California Consumer Privacy Act (CCPA) abändern und ersetzen, sobald es am 1. Januar 2023 in Kraft tritt.

Das Gesetz baut auf dem bestehenden Rahmen des CCPA auf, erweitert die Datenschutzrechte der Verbraucher, um sie enger an die EU-Datenschutz-Grundverordnung (GDPR) anzugleichen, erlegt den Unternehmen zusätzliche Verpflichtungen auf und richtet die landesweit erste Behörde ein, die sich mit der Regulierung und Durchsetzung des Datenschutzes befasst: die California Privacy Protection Agency (CCPA). Nachfolgend haben wir die wichtigsten Punkte aufgeführt, die Sie wissen müssen, um sich auf das CPRA vorzubereiten.

Wie so oft im Bereich des Datenschutzes gilt: Je früher die Vorbereitung, desto einfacher die Einhaltung der Vorschriften.

WAS SIE WISSEN MÜSSEN

Schlüsseldaten und unmittelbare Änderungen

Daten für die Anwendung und Durchsetzung: Das CPRA als Ganzes wird erst am 1. Januar 2023 in Kraft treten und nur für Informationen gelten, die am oder nach dem 1. Januar 2022 erhoben werden. Die Durchsetzung beginnt nicht vor dem 1. Juli 2023. Bis dahin bleibt der CCPA die maßgebliche Datenschutzregelung.

Unmittelbar bevorstehende Änderungen: Die Verabschiedung des Gesetzes wird einige unmittelbare Auswirkungen haben, darunter:

1. Verlängerung der Ausnahmeregelung für Arbeitnehmer: Die Ausnahmeregelungen für Mitarbeiterdaten und Daten zwischen Unternehmen werden bis zum 1. Januar 2023 verlängert.
2. Einrichtung der California Privacy Protection Agency (CPPA): Die Aufsichtsbehörde für den Datenschutz, die CPPA, tritt sofort in Kraft. Der fünfköpfige Vorstand der CPPA muss innerhalb von 90 Tagen nach Inkrafttreten des Gesetzes ernannt werden, was 5 Tage nach der Bestätigung der endgültigen Abstimmung durch den Secretary of State geschieht.

SCHLÜSSELBESTIMMUNGEN

Definitionsänderungen: Es gibt mehrere wichtige Änderungen der Definitionen im CPRA, darunter:

Neue Unterkategorie „sensible“ personenbezogene Daten: Das CPRA behält die elf Kategorien personenbezogener Daten (PI) des CCPA bei, fügt aber die neue Unterkategorie der „sensiblen“ personenbezogenen Daten (Sensitive PI) hinzu. Verbraucher haben nun erweiterte Rechte, wenn es sich um sensible PI handelt, einschließlich eines neuen Rechts, die Verwendung und Offenlegung solcher Daten einzuschränken. Zu den sensiblen PI gehören (1) Sozialversicherungs-, Führerschein-, Personalausweis- oder Reisepassnummer; (2) Kontoanmeldeinformationen mit Passwort; (3) der genaue geografische Standort eines Verbrauchers; (4) Rasse oder ethnische Herkunft, religiöse Überzeugung oder Gewerkschaftsmitgliedschaft; (5) Inhalt von Post, E-Mail oder SMS eines Verbrauchers, es sei denn, das Unternehmen ist der vorgesehene Empfänger; (6) genetische Informationen des Verbrauchers; (7) Verarbeitung biometrischer Informationen zur Identifizierung des Verbrauchers; (8) PI, die über die Gesundheit einer Person analysiert werden; und (9) PI, die über das Sexualleben oder die sexuelle Orientierung eines Verbrauchers analysiert werden.

Neue Definition des Begriffs „Dritter“: Das CPRA fügt eine neue Definition des Begriffs „Dritter“ hinzu, der negativ definiert ist, um Dienstleister, Auftragnehmer und jedes Unternehmen auszuschließen, mit dem der Verbraucher absichtlich interagiert und das im Rahmen der Interaktion des Verbrauchers mit dem Unternehmen Informationen vom Verbraucher sammelt. Diese Ausnahmen sind besonders wichtig in Anbetracht des neuen erweiterten Rechts der Verbraucher, der „Weitergabe“ ihrer Daten an Dritte zu widersprechen (siehe unten).

Neue Definition (und teilweise Einschränkung) von „Profiling“: Das CPRA fügt eine Definition von „Profiling“ hinzu, die „jede Form der automatisierten Verarbeitung“ von PI bedeutet, die „zur Analyse oder Vorhersage von Aspekten der Vorlieben, der wirtschaftlichen Situation, der Arbeitsleistung, der Gesundheit, der Interessen, des Verhaltens, des Aufenthaltsorts, der Zuverlässigkeit oder der Bewegungen einer Person“ verwendet wird. Profiling kann nun von den Verbrauchern teilweise durch das Recht eingeschränkt werden, die Verwendung und Offenlegung sensibler PI auf bestimmte „Geschäftszwecke“ zu beschränken (siehe unten), die Profiling ausschließen, es sei denn, der Verbraucher geht vernünftigerweise davon aus, dass Profiling erforderlich ist, um die angeforderten Dienstleistungen zu erbringen oder die angeforderten Waren zu liefern. Dies könnte erhebliche Auswirkungen auf die Art und Weise haben, wie künstliche Intelligenz genutzt und erklärt werden kann.

Änderungen der Geschäftspflichten

Beschränkt die Datenspeicherung und verlangt die Offenlegung der Speicherfristen: Das CPRA verlangt von den Unternehmen, die Verbraucher darüber zu informieren, wie lange das Unternehmen jede Kategorie von PI, einschließlich sensibler PI, zu speichern beabsichtigt. Wenn es aus irgendeinem Grund nicht möglich ist, die Dauer der Speicherung anzugeben, muss das Unternehmen die Verbraucher zumindest über die Kriterien informieren, nach denen die Dauer der Speicherung festgelegt wurde. In keinem Fall darf das Unternehmen PI oder sensible PI des Verbrauchers länger aufbewahren, als es für den offengelegten Zweck, für den sie erhoben wurden, vernünftigerweise erforderlich ist.

Fügt ein Recht auf Einschränkung der Verwendung und Offenlegung sensibler PI hinzu: Wie bereits erwähnt, kommt mit der Hinzufügung der Unterkategorie „Sensible PI“ ein neues Recht der Verbraucher hinzu, die Nutzung und Offenlegung dieser Kategorie von Informationen einzuschränken. Dieses Recht auf Einschränkung der Nutzung und Weitergabe wird ausgelöst, wenn sensible PI gesammelt oder verarbeitet werden, um Rückschlüsse auf Merkmale des Verbrauchers zu ziehen. Der Verbraucher kann die Nutzung oder Weitergabe seiner sensiblen PI auf Folgendes beschränken: (1) auf das, was für die Erbringung von Dienstleistungen oder die Lieferung von Waren erforderlich ist, und (2) auf bestimmte begrenzte „Geschäftsdienstleistungen“. Sensible PI, die nicht zu dem Zweck erhoben oder verarbeitet werden, um auf Merkmale des Verbrauchers zu schließen, werden als PI behandelt und unterliegen nicht dieser Einschränkung. Sensible PI müssen in der Datenschutzerklärung gesondert ausgewiesen werden, und die Verbraucher müssen über ihr Recht informiert werden, die Verwendung und Offenlegung ihrer sensiblen PI einzuschränken, und sie müssen die Möglichkeit haben, dieses Recht auszuüben.

Fügt ein Recht auf Berichtigung ungenauer PI hinzu: Das CPRA fügt ein neues Recht der Verbraucher auf Berichtigung ungenauer PI hinzu. Die Unternehmen sind nun verpflichtet, einen Hinweis auf dieses Recht in ihre Datenschutzrichtlinien aufzunehmen und Maßnahmen und Verfahren zur Beantwortung dieser Anfragen einzuführen.

Erweitert das Recht der Verbraucher auf Widerspruch bei der Weitergabe von PI für kontextübergreifende Werbung: Nach dem CCPA haben die Verbraucher das Recht, Unternehmen anzuweisen, ihre PI nicht zu verkaufen (das so genannte Opt-Out-Recht). Im Rahmen des CPRA wird dieses Recht dahingehend erweitert, dass die Verbraucher die Unternehmen auch daran hindern können, ihre Daten mit Dritten zu „teilen“. „Weitergabe“ bedeutet in diesem Zusammenhang, dass ein Unternehmen die PI eines Verbrauchers an einen Dritten für kontextübergreifende verhaltensbezogene Werbung weitergibt, offenlegt oder vermietet, und zwar unabhängig davon, ob dies gegen Geld oder eine andere entgeltliche Gegenleistung geschieht oder nicht, auch wenn kein Geld ausgetauscht wird. „Kontextübergreifende Werbung“ bedeutet die Ausrichtung von Werbung auf einen Verbraucher auf der Grundlage von PI, die aus den Aktivitäten des Verbrauchers in anderen Unternehmen, auf anderen Websites, in anderen Anwendungen oder bei anderen Diensten gewonnen wurden als demjenigen, mit dem der Verbraucher absichtlich interagiert. Ähnlich wie das Recht auf Ausschluss vom Verkauf im CCPA erstreckt sich das Recht auf Ausschluss von der gemeinsamen Nutzung nicht auf die gemeinsame Nutzung von PI mit Dienstleistern und Auftragnehmern.

Die Nichtdiskriminierungsklausel wird um das Verbot von Vergeltungsmaßnahmen erweitert: Das CPRA ändert das Recht der Verbraucher auf Nichtdiskriminierung, um ein Verbot von Vergeltungsmaßnahmen gegen einen Angestellten, einen Bewerber um eine Stelle oder einen unabhängigen Auftragnehmer wegen der Ausübung ihrer Rechte gemäß dem Gesetz aufzunehmen.

Fügt Vertragsanforderungen für alle Personen hinzu, die PI erhalten: Das CPRA fügt neue Vertragsanforderungen für alle Personen hinzu, die PI erhalten, einschließlich des Verkaufs und der Weitergabe, sowie für Dienstleistungsanbieter und Auftragnehmer. Der Vertrag muss nun:

1. darlegen, dass die Informationen für begrenzte und festgelegte Zwecke bereitgestellt werden;
2. die Person, die die Informationen erhält, verpflichten, das CPRA einzuhalten und „das gleiche Maß an Datenschutz zu bieten, das das CPRA verlangt“;
3. Gewähren Sie dem Unternehmen das Recht, sicherzustellen, dass die Daten „in einer Weise übermittelt werden, die mit den Verpflichtungen des Unternehmens aus diesem Titel übereinstimmt“;
4. Verpflichten Sie die Person, die die PI erhält, das Unternehmen zu benachrichtigen, wenn es seinen Verpflichtungen aus dem CPRA nicht mehr nachkommen kann;
5. Gewähren Sie dem Unternehmen das Recht, Maßnahmen zu ergreifen, um die unbefugte Verwendung von PI zu stoppen und zu beheben.

Gestärkte Rechte von Kindern

Erhöhte Bußgelder für PI von Kindern: Das CPRA erhöht die Bußgelder für Verstöße gegen das Gesetz, die die PI von Kindern unter 16 Jahren betreffen, auf bis zu 7.500 Dollar pro Verstoß. Unter dem CCPA war diese Strafe nur für vorsätzliche Verstöße vorgesehen. Die Höchststrafe von 2.500 $ für alle anderen nicht vorsätzlichen Handlungen, an denen Personen ab 16 Jahren beteiligt sind, bleibt unverändert.

Erfordert Opt-In-Zustimmung für die Weitergabe von PI von Kindern unter 16 Jahren: So wie das CPRA das Recht der Verbraucher, sich gegen den Verkauf von PI zu entscheiden, auf das Recht ausweitet, sich gegen die Weitergabe von PI an Dritte zu entscheiden, erstreckt sich die Anforderung des CCPA, dass ein Unternehmen die ausdrückliche Zustimmung zum Verkauf von PI von Kindern unter 16 Jahren einholen muss, nun auch auf die Weitergabe von PI von Kindern. Das CPRA fordert auch die Aufstellung von Regeln, um „technische Spezifikationen für ein Opt-out-Signal festzulegen, das es dem Verbraucher oder seinem Elternteil oder Erziehungsberechtigten ermöglicht, anzugeben, dass der Verbraucher jünger als 13 Jahre oder mindestens 13 und weniger als 16 Jahre alt ist.“

Neue Datenschutzbehörde, neue Regeln und erweitertes privates Klagerecht

Einführung der neuen California Privacy Protection Agency (CPPA): Wie bereits erwähnt, wird durch das CPRA eine neue Behörde, die CPPA, eingerichtet, die das CCPA und das CPRA (sobald es in Kraft tritt) „umsetzen und durchsetzen“ soll. Die CPPA wird die erste Datenschutzbehörde in den Vereinigten Staaten sein, die sich ausschließlich mit dem Datenschutz von Verbrauchern befasst, und sie wird ein weitreichendes Mandat haben, um mögliche Verstöße gegen das CPRA zu untersuchen, das CPRA durch Verwaltungsmaßnahmen durchzusetzen und Vorschriften zu erlassen.

Erfordert ein neues Regelwerk für Versicherungen: Das CPRA verlangt von der CPPA eine „Überprüfung des bestehenden kalifornischen Versicherungsgesetzes“ in Bezug auf den Verbraucherschutz, mit Ausnahme der Bestimmungen über Versicherungstarife und Preisgestaltung. Das CPPA muss feststellen, ob das Versicherungsgesetz einen größeren Schutz der Privatsphäre bietet als das CPRA, und wenn nicht, „soll“ das CPPA eine Verordnung erlassen, die den größeren Schutz des CPRA auf Versicherungsunternehmen anwendet. Der Versicherungsbeauftragte behält jedoch die Zuständigkeit für Versicherungstarife und Preisgestaltung.

Verlangt eine neue Regelung für Cybersicherheit und Datenschutz: Das CPPA soll Vorschriften erlassen, die von Unternehmen, „deren Verarbeitung personenbezogener Verbraucherdaten ein erhebliches Risiko für die Privatsphäre oder die Sicherheit der Verbraucher darstellt“, verlangen, dass sie (1) jährlich ein Cybersicherheitsaudit durchführen und (2) dem CPPA eine Risikobewertung in Bezug auf ihre Verarbeitung von PI vorlegen.

Erweitert den Anwendungsbereich des privaten Klagerechts: Das CPRA erweitert den Anwendungsbereich des privaten Klagerechts, indem es einen Klagegrund für den unbefugten Zugriff und die unbefugte Weitergabe, den Diebstahl oder die Offenlegung einer E-Mail-Adresse in Verbindung mit einem Passwort oder einer Sicherheitsfrage und -antwort, die den Zugriff auf Inhalte ermöglichen könnten, hinzufügt. Zuvor erkannte das CCPA nur einen Klagegrund in Bezug auf unverschlüsselte oder unredigierte PI an. Das CPRA stellt auch klar, dass die Einführung und Beibehaltung angemessener Sicherheitsverfahren und -praktiken nach der Verletzung keine Heilung darstellt.

Abschluss

Das CPRA ist ein weiteres Beispiel für die sich rasch entwickelnde Datenschutzlandschaft. Hinter der Volatilität verbirgt sich jedoch ein klarer Trend zu verstärkten Datenschutzverpflichtungen für Unternehmen, der sich sowohl in den Vereinigten Staaten als auch weltweit mit ziemlicher Sicherheit fortsetzen wird. In diesem Umfeld werden diejenigen, die sich frühzeitig darauf vorbereiten, und diejenigen, die das Gesetz fest im Griff haben und wissen, welche Daten sie haben, woher sie kommen, wohin sie gehen und wie lange sie sie aufbewahren, am besten in der Lage sein, die Vorschriften einzuhalten.