Zum Inhalt springen
Alle Beiträge anzeigen

Kampf um den Datenschutz: CCPA vs. GDPR

Datenschutzvorschriften sind zu einem Eckpfeiler der digitalen Governance geworden und bestimmen, wie Unternehmen mit Verbraucherdaten umgehen. Zwei der wichtigsten Gesetze in diesem Bereich sind die Kalifornisches Verbraucherschutzgesetz (CCPA) und die Allgemeine Datenschutzverordnung (GDPR). Beide zielen zwar auf den Schutz von Verbraucherdaten ab, unterscheiden sich aber in Umfang, Anforderungen und Strafen.

Für Unternehmen, die weltweit tätig sind oder personenbezogene Daten verarbeiten, ist es wichtig, diese Vorschriften zu verstehen. In diesem Artikel werden die Bedeutung von CCPA und GDPR, ihre Auswirkungen, die wichtigsten Einschränkungen, Geldbußen, Änderungen und häufige Missverständnisse erläutert. Außerdem stellen wir Strategien vor, um die Einhaltung der Vorschriften zu gewährleisten und Datenschutzrisiken zu minimieren.

Was ist die CCPA?

Die Kalifornisches Verbraucherschutzgesetz (CCPA)die 2018 in Kraft getreten ist und ab 1. Januar 2020gibt den Einwohnern Kaliforniens mehr Kontrolle über ihre persönlichen Daten. Es verlangt von den Unternehmen Transparenz bei der Erhebung, Nutzung und Weitergabe von Daten.

Wer ist davon betroffen?

Das CCPA gilt für gewinnorientierte Unternehmen, die in Kalifornien tätig sind und eines oder mehrere der folgenden Kriterien erfüllen:

  • Jährliche Bruttoeinnahmen von über $25 Millionen
  • Verarbeitet Daten von 100.000 oder mehr kalifornischen Einwohnern, Haushalten oder Geräten
  • Mindestens 50% seiner Einnahmen aus dem Verkauf von Verbraucherdaten erzielt

Rechte der betroffenen Person gemäß CCPA

  • Recht auf Wissen: Die Verbraucher können Einzelheiten darüber anfordern, welche persönlichen Daten gesammelt, weitergegeben oder verkauft werden.
  • Recht auf Löschen: Einzelpersonen können die Löschung ihrer Daten beantragen.
  • Recht auf Opt-Out: Die Verbraucher können verhindern, dass ihre Daten verkauft werden.
  • Recht auf Nicht-Diskriminierung: Unternehmen dürfen Nutzer, die ihre CCPA-Rechte wahrnehmen, nicht diskriminieren.
Laden Sie unseren Leitfaden für Datenschutzrechte herunter

Was ist GDPR?

Die Allgemeine Datenschutzverordnung (GDPR) ist ein Gesetz der Europäischen Union (EU), das am 25. Mai 2018. Es ist eines der strengsten Datenschutzgesetze der Welt, das die personenbezogenen Daten der EU-Bürger schützen soll.

Wer ist davon betroffen?

Die DSGVO gilt für jede Organisation, unabhängig von ihrem Standort, die:

  • Verarbeitet personenbezogene Daten von Personen in der EU
  • Waren oder Dienstleistungen für in der EU ansässige Personen anbietet
  • Überwacht das Online-Verhalten der EU-Nutzer

Rechte der betroffenen Person nach GDPR

  • Recht auf Zugang: Einzelpersonen können Zugang zu ihren Daten beantragen.
  • Recht auf Berichtigung: Die Verbraucher können unzutreffende personenbezogene Daten berichtigen.
  • Recht auf Löschung (Recht auf Vergessenwerden): Die Nutzer können unter bestimmten Voraussetzungen die Löschung ihrer Daten beantragen.
  • Recht auf Einschränkung der Verarbeitung: Der Einzelne kann die Verwendung seiner Daten einschränken.
  • Recht auf Datenübertragbarkeit: Die Verbraucher können ihre Daten in einem lesbaren Format anfordern und an einen anderen Dienst übertragen.
  • Recht auf Widerspruch: Die Nutzer können der Datenverarbeitung zu Marketingzwecken widersprechen.

Änderungen und Aktualisierungen

  • CCPA 2.0 - CPRA (California Privacy Rights Act): Das am 1. Januar 2023 in Kraft tretende CPRA stärkt das CCPA durch die Einführung zusätzlicher Verbraucherrechte, wie das Recht auf Berichtigung personenbezogener Daten und verstärkte Opt-out-Kontrollen für sensible Daten.
  • Auswirkungen der GDPR nach dem Brexit: Das Vereinigte Königreich hat jetzt seine eigene Version, die UK GDPRdie sich eng an die EU-DSGVO anlehnt, aber einige regionsspezifische Änderungen enthält.

Häufige Missverständnisse über CCPA und GDPR

  1. "Nur Unternehmen in Kalifornien oder der EU müssen sich daran halten.
    • Falsch. Jedes Unternehmen, das Daten von in Kalifornien oder der EU ansässigen Personen sammelt, kann diesen Vorschriften unterliegen.
  2. "GDPR und CCPA sind dasselbe".
    • Nicht ganz. GDPR konzentriert sich auf die Zustimmung der Nutzer, während CCPA die Opt-out-Rechte betont.
  3. "Bußgelder gibt es nur für schwerwiegende Verstöße".
    • Beide Gesetze sehen erhebliche Geldstrafen vor, selbst für Verfahrensfehler. British Airways wegen eines Verstoßes gegen die Datenschutz-Grundverordnung mit einer Geldstrafe in Höhe von 20 Millionen Euro belegt, während Sephora eine Geldstrafe in Höhe von $1,2 Mio. im Rahmen des CCPA für die Nichteinhaltung der Vorschriften gezahlt.

Wie Organisationen die Einhaltung der Vorschriften sicherstellen können

1. Durchführung eines Datenaudits

  • Identifizieren Sie welche personenbezogenen Daten erhoben werden
  • Bestimmen Sie wo sie gespeichert ist
  • Verstehen Sie wie sie verarbeitet und weitergegeben werden

2. Aktualisierung der Datenschutzrichtlinien

  • Eindeutige Angabe der Datenerhebungspraktiken
  • Bereitstellung eines einfachen Mechanismus für die Nutzer zur Wahrnehmung ihrer Rechte

3. Implementierung der Verwaltung von Benutzerrechten

  • Einrichten Anfrageportale für Zugang und Löschung
  • Aktivieren Sie Opt-out Optionen für den Datenverkauf (CCPA)
  • Zustimmungsmechanismen anbieten (GDPR)

4. Stärkung der Datensicherheit

  • Verschlüsseln Sie sensible Daten
  • Begrenzung der Datenaufbewahrungsfristen
  • Regelmäßige Durchführung Sicherheitsbewertungen

5. Mitarbeiter schulen

  • Aufklärung der Mitarbeiter über CCPA- und GDPR-Verpflichtungen
  • Sicherstellen, dass die Marketing- und Vertriebsteams die Daten angemessen behandeln

Erreichen Sie die GDPR- und CCPA-Konformität mit BigID

Trotz ihrer unterschiedlichen Ansätze sind CCPA und GDPR für den Schutz der Privatsphäre der Verbraucher von zentraler Bedeutung. Die Unternehmen von heute müssen ihre Datenpraktiken bewerten, umfassende Strategien zur Einhaltung der Vorschriften umsetzen und proaktiv bleiben, um Datenschutz-Risikomanagement. BigID ist die Kreditplattform der Branche für DatenschutzSicherheit, Compliance und KI-Datenmanagement. Nutzung von fortschrittliche KI und maschinellem Lernen ermöglicht BigId Unternehmen eine bessere Sichtbarkeit und Wertschöpfung aus ihren Unternehmensdaten, sowohl in der Cloud als auch vor Ort.

  • Kennen Sie Ihre Daten: Automatisches Klassifizieren, Kategorisieren, Markieren und Kennzeichnen sensibler, personenbezogener Daten mit hoher Genauigkeit, Granularität und Umfang.
  • Durchsetzung von Datenschutzrichtlinien: Sicherstellung der Anpassung und Durchsetzung von Datenrichtlinien in Übereinstimmung mit den Datenschutzrichtlinien, um die gesetzlichen Anforderungen zu erfüllen.
  • Automatisieren Sie die Verwaltung von Datenrechten: Automatisieren Sie die Erfüllung individueller, personenbezogener Datenrechte, von Zugriff und Aktualisierung bis hin zu Einspruch und Löschung.
  • Allgemeine Zustimmung und Verwaltung von Präferenzen: Verwalten und passen Sie die Einwilligungen und Präferenzen der Verbraucher universell und zentral über verschiedene Kanäle hinweg an.
  • KI-Verstöße und Ethik verfolgen: Bewertung und Überwachung von KI-Technologie und -Verwendung im gesamten Unternehmen zum Schutz persönlicher Daten und zur Behebung von Risiken.

Um Geldbußen zu vermeiden, die sich auf bis zu 4% der weltweiten Einnahmen belaufen können. Buchen Sie noch heute eine 1:1-Demo mit unseren Datenschutzexperten.

 


Allgemeine FAQs

1. Was ist der Hauptunterschied zwischen CCPA und GDPR?

CCPA ist ein Opt-out-Modell, bei dem die Verbraucher den Verkauf ihrer Daten verhindern können, während GDPR ein Opt-in-Modell ist, das eine ausdrückliche Zustimmung vor der Datenerfassung erfordert.

2. Wer muss sich an CCPA und GDPR halten?

CCPA gilt für Unternehmen, die in Kalifornien Umsatz- oder Datenverarbeitungsschwellenwerte erreichen. Die GDPR gilt für alle Unternehmen, die Daten von in der EU ansässigen Personen erheben oder verarbeiten, unabhängig von ihrem Standort.

3. Gilt das CCPA für gemeinnützige Organisationen?

Nein, der CCPA gilt nur für gewinnorientierte Unternehmen, die bestimmte Kriterien erfüllen.

4. Kann ein Unternehmen sowohl nach der DSGVO als auch nach dem CCPA mit einer Geldstrafe belegt werden?

Ja, wenn ein Unternehmen sowohl in Kalifornien als auch in der EU tätig ist und gegen beide Vorschriften verstößt, kann es nach beiden Gesetzen mit getrennten Geldbußen belegt werden.

Verbraucherrechte und Compliance

1. Wie können Verbraucher ihre Rechte nach dem CCPA wahrnehmen?

Die Unternehmen müssen einen klaren Mechanismus (z. B. ein Webformular oder eine Telefonnummer) bereitstellen, über den die Verbraucher Zugang zu ihren Daten, deren Löschung oder die Abmeldung vom Datenverkauf beantragen können.

2. Wie behandelt die DSGVO Anfragen von Betroffenen im Vergleich zum CCPA?

Die Datenschutz-Grundverordnung sieht zusätzliche Rechte vor, wie z. B. das Recht auf Berichtigung und Übertragbarkeit, und verpflichtet die Unternehmen, die angeforderten Daten in einem strukturierten Format bereitzustellen.

Ja, wenn ein Unternehmen Verbraucherdaten verkauft, muss es diesen Link an prominenter Stelle auf seiner Website anzeigen.

4. Wie definiert der CCPA den "Verkauf" von Daten?

Jeder Austausch personenbezogener Daten gegen Geld oder eine andere entgeltliche Gegenleistung gilt als Verkauf, auch wenn die Daten zwischen Geschäftspartnern ausgetauscht werden.

Sanktionen und Vollstreckung

1. Welche Sanktionen drohen bei Nichteinhaltung des CCPA?

Die Geldstrafen können bis zu $7.500 für vorsätzliche Verstöße und $2.500 für unbeabsichtigte Verstöße betragen und werden vom kalifornischen Generalstaatsanwalt durchgesetzt.

2. Welche Strafen sieht die Datenschutz-Grundverordnung vor?

Die Geldbußen können bis zu 20 Mio. EUR oder 4% des weltweiten Umsatzes betragen, je nachdem, welcher Betrag höher ist.

3. Wurde gegen ein Unternehmen aufgrund beider Verordnungen eine Geldstrafe verhängt?

Auch wenn die Geldbußen nach jedem Gesetz unterschiedlich hoch sind, haben globale Unternehmen wie Meta, Google und Amazon erhebliche Strafen für Datenschutzverstöße hinnehmen müssen.

Praktische Umsetzung

1. Wie können sich Unternehmen auf die Einhaltung der beiden Gesetze vorbereiten?

Führen Sie ein Daten-Audit durch, aktualisieren Sie die Datenschutzrichtlinien, implementieren Sie Systeme für Verbraucheranfragen und schulen Sie Ihre Mitarbeiter im Umgang mit Daten.

2. Brauchen Unternehmen unterschiedliche Richtlinien für GDPR und CCPA?

Obwohl sie sich ähneln, benötigen Unternehmen möglicherweise separate Richtlinien, da die DSGVO Zustimmungsmechanismen vorschreibt, während der CCPA Opt-out-Mechanismen vorschreibt.

3. Wie lange müssen Unternehmen auf Anfragen von Verbrauchern nach Daten reagieren?

Nach dem CCPA haben die Unternehmen 45 Tage Zeit, um zu antworten; diese Frist kann um weitere 45 Tage verlängert werden. Nach GDPR müssen sie innerhalb von 30 Tagen antworten.

4. Können Unternehmen im Rahmen der DSGVO und des CCPA auf externe Datenverarbeiter zurückgreifen?

Ja, aber sie müssen sicherstellen, dass diese Auftragsverarbeiter die Sicherheits- und rechtlichen Anforderungen erfüllen und klare Vereinbarungen über die Datenverarbeitung treffen.

Inhalt

Richtlinien zur Datenminimierung und -aufbewahrung: Aufbau eines datengesteuerten Rahmens für Datenschutz und Compliance

Leitfaden herunterladen