DSGVO vs CPRA: Wie Kaliforniens neustes Gesetz im Vergleich abschneidet
Der CPRA (California Privacy Rights Act) hat den CCPA geändert und erweitert und ist seit Januar 2023 in Kraft. Obwohl er das kalifornische Datenschutzrecht durch Datenminimierungs- und Zweckbindungsprinzipien näher an die DSGVO-Standards herangebracht hat, behält er das Opt-out-Einwilligungsmodell bei. Der CPRA hat auch die California Privacy Protection Agency (CPPA) als eigenständige Durchsetzungsbehörde geschaffen.
| Merkmal | GDPR | CPRA |
|---|---|---|
| Geografischer Geltungsbereich | Europäische Union und EWR-Mitgliedstaaten | Kalifornien, Vereinigte Staaten (in Kraft seit Januar 2023) |
| Für wen es gilt | Jede Organisation, die Daten von EU-Bürgern verarbeitet | Gewinnorientierte Unternehmen, die CCPA-Schwellenwerte erfüllen, umfasst jetzt auch Weitergabe zusätzlich zum Verkauf |
| Einwilligungsanforderungen | Opt-in: ausdrückliche Einwilligung vor der Verarbeitung erforderlich | Opt-out: Verbraucher können dem Verkauf und der Weitergabe personenbezogener Daten widersprechen |
| Cookie- und Tracking-Regeln | Nicht wesentliche Cookies erfordern eine ausdrückliche vorherige Einwilligung | Keine spezifischen Cookie-Regeln, aber kontextübergreifende verhaltensbasierte Werbung löst Opt-out-Rechte aus |
| Individuelle Rechte | Auskunft, Berichtigung, Löschung, Übertragbarkeit, Einschränkung, Widerspruch | Auskunft, Löschung, Berichtigung, Widerspruch gegen Verkauf/Weitergabe, Einschränkung der Nutzung sensibler Daten, Übertragbarkeit |
| Höchststrafen | Bis zu 20 Millionen EUR oder 4 % des weltweiten Jahresumsatzes | Bis zu 7.500 $ pro vorsätzlichem Verstoß, durchgesetzt von CPPA und Generalstaatsanwalt |
| Aufsichtsbehörde | Nationale Datenschutzbehörden in jedem EU-Mitgliedstaat | California Privacy Protection Agency (CPPA) und Generalstaatsanwalt von Kalifornien |
Wichtige Unterschiede
Der CPRA hat mehrere DSGVO-ähnliche Konzepte in das kalifornische Recht eingeführt. Er hat Anforderungen zur Datenminimierung hinzugefügt, was bedeutet, dass Unternehmen nur personenbezogene Daten erheben sollten, die für den offengelegten Zweck vernünftigerweise erforderlich sind. Er hat auch eine Zweckbindung eingeführt, die Unternehmen verpflichtet, Verbraucher über die Aufbewahrungsdauer ihrer Daten zu informieren und diese nicht über den ursprünglichen Zweck hinaus zu verwenden.
Eine wichtige Änderung war die Einführung der Kategorie sensibler personenbezogener Daten unter dem CPRA. Dazu gehören Sozialversicherungsnummern, Finanzkontodetails, genaue Geolokalisierung, rassische oder ethnische Herkunft und biometrische Daten. Verbraucher können die Verwendung und Offenlegung sensibler Daten einschränken. Die DSGVO hat ein ähnliches Konzept mit ihren besonderen Datenkategorien, obwohl sich die spezifischen Kategorien leicht unterscheiden.
Der CPRA hat auch die California Privacy Protection Agency (CPPA) geschaffen, eine eigenständige Regulierungsbehörde mit Rechtsetzungs- und Durchsetzungsbefugnissen. Zuvor lag die CCPA-Durchsetzung allein beim Generalstaatsanwalt von Kalifornien. Die DSGVO-Durchsetzung wird von Datenschutzbehörden in jedem Mitgliedstaat übernommen, von denen viele seit Jahrzehnten bestehen.
Wie Pryvii Ihnen hilft
Pryvii erkennt, ob Ihre Website die neueren CPRA-Anforderungen erfüllt, einschließlich der Überprüfung von Offenlegungen sensibler personenbezogener Daten, Datenaufbewahrungsrichtlinien und dem Vorhandensein von Opt-out-Links sowohl für den Verkauf als auch für die Weitergabe personenbezogener Daten. Es vergleicht Ihre Website in einem einzigen Scan mit DSGVO- und CPRA-Standards.
Häufig gestellte Fragen
Wie unterscheidet sich der CPRA vom CCPA?
Der CPRA hat den CCPA erweitert, indem er Anforderungen zur Datenminimierung und Zweckbindung hinzufügte, eine Kategorie sensibler personenbezogener Daten schuf, die CPPA-Durchsetzungsbehörde einrichtete, Berichtigungsrechte hinzufügte und Opt-out-Rechte auf die Weitergabe von Daten für kontextübergreifende verhaltensbasierte Werbung ausdehnte.
Bedeutet CPRA-Konformität auch DSGVO-Konformität?
Nicht unbedingt. Obwohl der CPRA sich der DSGVO angenähert hat, verwendet er immer noch ein Opt-out-Modell anstelle von Opt-in. Die DSGVO verlangt eine ausdrückliche Einwilligung vor der Datenverarbeitung, hat umfassendere Betroffenenrechte und wendet andere Rechtsgrundlagen für die Verarbeitung an. Sie müssen jede Vorschrift separat behandeln.
Was gilt als sensible personenbezogene Daten unter dem CPRA?
Der CPRA definiert sensible personenbezogene Daten als Sozialversicherungsnummern, Führerscheinnummern, Finanzkontodetails, genaue Geolokalisierung, rassische oder ethnische Herkunft, religiöse Überzeugungen, Gewerkschaftsmitgliedschaft, Post-/E-Mail-/SMS-Inhalte, genetische Daten, biometrische Daten, Gesundheitsdaten und Daten zur sexuellen Orientierung.
Verwandte Vergleiche
Überprüfen Sie Ihre Compliance
Scannen Sie Ihre Website in wenigen Minuten auf Konformität mit mehreren Vorschriften.