CCPA vs CPRA: Was sich im kalifornischen Datenschutzrecht geändert hat
Der CPRA (California Privacy Rights Act) wurde 2020 von den kalifornischen Wählern genehmigt und trat am 1. Januar 2023 in Kraft. Er hat den ursprünglichen CCPA erheblich geändert und erweitert, indem er sensible personenbezogene Daten als Kategorie einführte, Anforderungen zur Datenminimierung und Zweckbindung hinzufügte, die CPPA-Durchsetzungsbehörde schuf und die Verbraucherrechte einschließlich Berichtigung und Widerspruch gegen automatisierte Entscheidungsfindung erweiterte.
| Merkmal | CCPA | CPRA |
|---|---|---|
| Geografischer Geltungsbereich | Kalifornien, Vereinigte Staaten (in Kraft seit Januar 2020) | Kalifornien, Vereinigte Staaten (in Kraft seit Januar 2023, Änderung des CCPA) |
| Für wen es gilt | Gewinnorientierte Unternehmen, die Umsatz-, Datenvolumen- oder Datenverkaufsschwellen erfüllen | Dieselben Schwellenwerte wie CCPA, deckt aber auch die Weitergabe personenbezogener Daten ab |
| Einwilligungsanforderungen | Opt-out aus dem Verkauf personenbezogener Daten | Opt-out aus Verkauf und Weitergabe; Recht auf Einschränkung der Nutzung sensibler personenbezogener Daten |
| Cookie- und Tracking-Regeln | Keine spezifischen Cookie-Regeln; Opt-out-Recht wird durch Datenverkauf via Tracking ausgelöst | Opt-out-Rechte auf kontextübergreifende verhaltensbasierte Werbung über Cookies ausgeweitet |
| Individuelle Rechte | Auskunft, Löschung, Widerspruch gegen Verkauf, Nichtdiskriminierung | Auskunft, Löschung, Berichtigung, Widerspruch gegen Verkauf/Weitergabe, Einschränkung der Nutzung sensibler Daten, Übertragbarkeit |
| Höchststrafen | 7.500 $ pro vorsätzlichem Verstoß, 2.500 $ pro unbeabsichtigtem Verstoß | 7.500 $ pro vorsätzlichem Verstoß, 2.500 $ pro unbeabsichtigtem; zusätzliche CPPA-Durchsetzung |
| Aufsichtsbehörde | Generalstaatsanwalt von Kalifornien | California Privacy Protection Agency (CPPA) und Generalstaatsanwalt von Kalifornien |
Wichtige Unterschiede
Der CPRA führte das Konzept sensibler personenbezogener Daten ein, eine neue Datenkategorie, die Sozialversicherungsnummern, genaue Geolokalisierung, rassische oder ethnische Herkunft, biometrische Daten, Gesundheitsinformationen und Inhalte von Post- oder Textnachrichten umfasst. Verbraucher erhielten das Recht, die Verwendung und Offenlegung dieser sensiblen Informationen einzuschränken. Der ursprüngliche CCPA unterschied nicht zwischen sensiblen und nicht sensiblen personenbezogenen Daten.
Datenminimierung und Zweckbindung sind neue Anforderungen unter dem CPRA. Unternehmen dürfen nun nur personenbezogene Daten erheben, die für die offengelegten Zwecke vernünftigerweise erforderlich und verhältnismäßig sind, und dürfen sie nicht länger als nötig aufbewahren. Der CCPA hatte keine solchen Anforderungen und erlaubte breitere Datenerhebungspraktiken.
Der CPRA schuf auch die California Privacy Protection Agency (CPPA), die erste eigenständige Datenschutz-Durchsetzungsbehörde in den Vereinigten Staaten. Unter dem CCPA wurde die Durchsetzung ausschließlich vom Generalstaatsanwalt von Kalifornien wahrgenommen. Die CPPA hat Rechtsetzungsbefugnis und kann unabhängig ermitteln und Durchsetzungsmaßnahmen ergreifen. Der CPRA erweiterte auch das Widerspruchsrecht auf die Weitergabe von Daten für kontextübergreifende verhaltensbasierte Werbung, nicht nur den Verkauf von Daten.
Wie Pryvii Ihnen hilft
Pryvii überprüft Ihre Website sowohl auf die ursprünglichen CCPA-Anforderungen als auch auf die erweiterten CPRA-Pflichten. Es verifiziert, dass Opt-out-Links sowohl Verkauf als auch Weitergabe abdecken, prüft auf Offenlegungen sensibler personenbezogener Daten und stellt sicher, dass Ihre Datenschutzrichtlinie die aktualisierten Rechte und Anforderungen unter dem CPRA widerspiegelt.
Häufig gestellte Fragen
Muss ich meine Website für den CPRA aktualisieren, wenn ich bereits CCPA-konform war?
Ja. Der CPRA hat neue Anforderungen eingeführt, die über den ursprünglichen CCPA hinausgehen. Sie müssen Ihre Datenschutzrichtlinie aktualisieren, um neue Rechte (Berichtigung, Übertragbarkeit) widerzuspiegeln, Opt-out-Mechanismen für die Datenweitergabe hinzufügen, Offenlegungen sensibler personenbezogener Daten einschließen und Datenaufbewahrungszeitpläne implementieren.
Was ist der Unterschied zwischen Verkauf und Weitergabe unter dem CPRA?
Unter dem CCPA galt das Widerspruchsrecht nur für den Verkauf personenbezogener Daten gegen Geld. Der CPRA erweiterte dies auf die "Weitergabe", definiert als das Zugänglichmachen personenbezogener Daten für kontextübergreifende verhaltensbasierte Werbung, auch ohne Geldzahlung. Dies erfasst viele Ad-Tech- und Analysepraktiken.
Wann ist der CPRA in Kraft getreten?
Der CPRA trat am 1. Januar 2023 in Kraft, mit einem Rückblickzeitraum bis zum 1. Januar 2022. Die CPPA begann am 1. Juli 2023 mit der formellen Durchsetzung. Unternehmen sollten ihre Praktiken vor diesen Daten aktualisiert haben, aber Durchsetzungsmaßnahmen können sich auf Datenpraktiken aus dem Rückblickzeitraum beziehen.
Verwandte Vergleiche
Überprüfen Sie Ihre Compliance
Scannen Sie Ihre Website in wenigen Minuten auf Konformität mit mehreren Vorschriften.