CCPA vs. CPRA: Wie sich Kaliforniens Datenschutzgesetz weiterentwickelt hat und was sich geändert hat
CCPA vs. CPRA: Wie sich Kaliforniens Datenschutzgesetz weiterentwickelt hat und was sich geändert hat
TL;DR — Kurzantwort
1 Min. LesezeitDer CPRA hat den CCPA erheblich gestärkt, indem er Anforderungen an Datenminimierung, Schutz sensibler Daten, erweiterte Opt-out-Rechte und eine eigene Durchsetzungsbehörde eingeführt hat.
Der California Privacy Rights Act (CPRA) von 2020 hat den ursprünglichen California Consumer Privacy Act (CCPA) von 2018 erheblich geändert. Der CPRA, der aus einer Volksabstimmungsinitiative hervorging, die starke öffentliche Unterstützung für den Datenschutz demonstrierte, führte mehrere wichtige Änderungen ein.
Wichtige Änderungen durch den CPRA
Datenminimierung: Personenbezogene Daten dürfen nur dann verarbeitet und gespeichert werden, wenn dies für den Erhebungszweck oder einen kompatiblen Zweck, über den der Verbraucher informiert wurde, angemessen notwendig und verhältnismäßig ist. Dieses einzelne Prinzip deckt effektiv ab, was die DSGVO durch zwei separate Grundsätze (Datenminimierung und Zweckbindung) regelt.
Schutz sensibler Daten: Der CPRA führte eine rechtliche Definition sensibler Informationen ein, die genaue Standortdaten, religiöse Überzeugungen, ethnische Herkunft, Kommunikationsinhalte, genetische und biometrische Daten, Gesundheitsinformationen und sexuelle Orientierung umfasst. Verbraucher erhielten das Recht, die Nutzung dieser Daten auf das unbedingt Notwendige zu beschränken.
Erweiterte Opt-out-Rechte: Der ursprüngliche CCPA erlaubte Verbrauchern, dem "Verkauf" von Daten zu widersprechen. Der CPRA erweiterte dies auf Verkauf und Weitergabe und stellte ausdrücklich klar, dass die Datenweitergabe für kontextübergreifende verhaltensbasierte Werbung in den Geltungsbereich fällt. Damit wurde eine Debatte beigelegt, ob die Nutzung von Analytics-Cookies einen Verkauf darstellt.
Recht auf Berichtigung: Der CCPA enthielt ursprünglich Rechte auf Auskunft und Löschung, ließ aber seltsamerweise das Recht auf Berichtigung personenbezogener Daten aus. Der CPRA schloss diese Lücke mit einer Compliance-Frist von 45 Tagen (verlängerbar um weitere 45 Tage).
Global Privacy Control-Pflicht: Unternehmen müssen GPC-Signale von Browsern berücksichtigen, was den Opt-out-Prozess für Verbraucher vereinfacht.
Einrichtung einer eigenen Durchsetzungsbehörde: Die California Privacy Protection Agency (CPPA) wurde geschaffen, um das Gesetz neben dem Attorney General durchzusetzen. Die Behörde kann Verordnungen erlassen, um die Bestimmungen des CCPA zu konkretisieren.
Zeitplan der Durchsetzung
Der CPRA trat am 1. Januar 2023 in Kraft, obwohl eine Gerichtsentscheidung die Durchsetzung der CPPA-Verordnungen bis März 2024 verzögerte.
War dieser Artikel hilfreich?
Teilen Sie uns Ihre Meinung mit!
Bevor Sie gehen...
Verwandte Artikel
Ihre Datenschutzrechte unter dem CCPA: Ein Verbraucher-Leitfaden
Ein umfassender Leitfaden zu den sechs wichtigsten Verbraucherrechten unter dem California Consumer Privacy Act, einschließlich eines Vergleichs zwischen CCPA und DSGVO.
Kaliforniens Delete Act: Eine zentrale Anlaufstelle zur Löschung Ihrer Daten bei Datenhändlern
Wie Kaliforniens Delete Act ein zentralisiertes System schafft, über das Verbraucher mit einem einzigen Antrag die Löschung personenbezogener Daten bei allen registrierten Datenhändlern verlangen können.
Das Argument für ein Verbot gezielter Werbung
Gezielte Werbung erfordert Massenüberwachung und ihre Kosten für Privatsphäre, Demokratie und Gesellschaft überwiegen zunehmend den Nutzen. Warum ein Verbot sinnvoll ist.