Sephora erhielt kein California Love, da es eine Durchsetzungsmaßnahme nicht bestand fegen von Online-Händlern, die Generalstaatsanwalt Rob Bonta im vergangenen Winter durchgeführt hat. Am 24. August verkündete Generalstaatsanwalt Bonta einen Vergleich mit dem Kosmetikunternehmen in Höhe von $1,2 Millionen für dessen Verstoß gegen die Kalifornischer Verbraucherdatenschutzgesetz (CCPA).
Zusätzlich zur Geldstrafe muss Sephora außerdem:
- Sagen Sie den Verbrauchern ausdrücklich, dass es Daten „verkauft“
- Passen Sie Ihre Service-Provider-Vereinbarungen an die Anforderungen des CCPA an
- Bieten Sie Opt-out-Mechanismen für den Verkauf an und achten Sie dabei auf die Einhaltung globaler Datenschutzbestimmungen.
- Berichten Sie dem AG regelmäßig über den Verkauf personenbezogener Daten, den Status Ihrer Beziehungen zu Dienstleistern und Ihre Bemühungen, die GPC einzuhalten.
Die Definition von „Verkauf“ wird erweitert
In der Klage gegen Sephora wurde festgestellt, dass Sephora gegen die CCPA Durch den „Verkauf“ personenbezogener Daten kalifornischer Verbraucher, ohne diese ordnungsgemäß zu informieren oder ihnen die Möglichkeit zu geben, dem zu widersprechen. Obwohl Sephora keine direkte finanzielle Zahlung von Dritten erhielt, die Zugriff auf Verbraucherinformationen – wie Standortdaten und die Artikel, die sie in ihren Online-Einkaufswagen gelegt hatten – hatten, deutet die Beschwerde darauf hin, dass Sephora „andere Vorteile“ erhalten hat, was gegen die CCPA-Definition von Verkauf verstößt.
Gemäß diesem Vergleich definiert die Generalstaatsanwaltschaft „Verkauf“ als die Weitergabe oder Bereitstellung personenbezogener Daten des Verbrauchers an Dritte durch ein Unternehmen mittels Online-Tracking-Technologien wie Pixeln, Web Beacons, Software Developer Kits, Drittanbieter-Bibliotheken und Cookies gegen Geld oder andere wertvolle Gegenleistungen, einschließlich, aber nicht beschränkt auf (1) personenbezogene Daten oder andere Informationen wie Analysedaten; oder (2) kostenlose oder preisreduzierte Dienstleistungen. In diesem Fall erhielt Sephora die Möglichkeit, Online-Werbung von Dritten zu erwerben, die sich gezielt an Verbraucher richtete. Das Unternehmen speicherte die Daten dann häufig und nutzte sie „zum Nutzen anderer Unternehmen, ohne das Wissen oder die Zustimmung des Verbrauchers“. Sephora widersprach dieser weit gefassten Definition (Hinweis: Die Annahme dieses Vergleichs bedeutet KEIN Eingeständnis eines Fehlverhaltens).
Während die Interpretation des Generalstaatsanwalts in diesem Vergleich eindeutig ist, scheint es einige Überschneidungen mit der Definition von „nicht an der Kalifornisches Datenschutzgesetz (CPRA)Die Definition von „Teilen“ ist die Weitergabe personenbezogener Daten an Dritte für kontextübergreifende verhaltensbasierte Werbung. Kontextübergreifende verhaltensbasierte Werbung bedeutet, dass ein Verbraucher anhand personenbezogener Daten, die aus seinen Aktivitäten in verschiedenen Unternehmen, auf verschiedenen Websites, in verschiedenen Anwendungen usw. gewonnen wurden, profiliert und gezielt angesprochen wird. Kontextübergreifende verhaltensbasierte Werbung muss KEINE finanzielle Gegenleistung beinhalten.
Universelle Opt-Outs und Global Privacy Control (GPC)
GPC ist eine technische Spezifikation für die Übermittlung von Opt-out-Signalen. Manchmal auch als „universeller Opt-out-Mechanismus“ bezeichnet, laden Benutzer ein Browser oder Erweiterung Das Signal unterstützt das Signal und kann es dann für alle oder einzelne Websites aktivieren. Wenn der Nutzer eine Website besucht, die GPC unterstützt, registriert die Website automatisch die Aufforderung des Browsers, keine personenbezogenen Daten zu verkaufen. Einige Browser (Brave und DuckDuckGo) sowie Herausgeber (NYTimes und Washington Post) haben öffentlich ihre Unterstützung für GPC erklärt. Obwohl GPC derzeit auf den CCPA zugeschnitten ist, glauben die Entwickler von GPC, dass es in Zukunft auch für andere datenschutzrechtliche Zwecke relevant sein könnte, da ein „GPC-Signal, das die Verarbeitung ablehnt, eine rechtlich bindende Verpflichtung für Datenverarbeiter schaffen könnte“.
Neben dem obligatorischen Link „Meine persönlichen Daten nicht verkaufen“ erwartet die kalifornische Regulierungsbehörde, dass alle in Kalifornien tätigen Unternehmen auch der GPC-Anforderung nachkommen. Generalstaatsanwalt Bonta erklärte außerdem: „Technologien wie die Global Privacy Control sind für Verbraucher, die ihre Datenschutzrechte wahrnehmen möchten, von entscheidender Bedeutung. Diese Rechte sind jedoch bedeutungslos, wenn Unternehmen verschleiern, wie sie die Daten ihrer Kunden verwenden, und Aufforderungen zum Widerspruch gegen deren Verkauf ignorieren.“
Die Zukunft für kalifornische Unternehmen
Die Einigung signalisiert, dass der Generalstaatsanwalt plant, aggressiver gegen Unternehmen vorzugehen, die sich nicht an das Gesetz halten. Bonta sagte gegenüber Reportern: „Heute geht es nicht nur um Sephora. Die heutige Einigung sendet ein starkes Signal an Unternehmen über die anhaltenden Bemühungen des kalifornischen Justizministeriums, den CCPA durchzusetzen.“
Neben dem Vergleich verschickte Generalstaatsanwalt Bonta auch Mitteilungen an eine Reihe von Unternehmen, in denen er ihnen Verstöße vorwarf, da sie die über die GPC gestellten Opt-out-Anfragen der Verbraucher nicht bearbeitet hätten. Die Mitteilungs- und Heilungsregelung des CCPA, die Unternehmen verpflichtet, eine Mitteilung und die Möglichkeit zur Abhilfe zu erhalten, bevor sie für CCPA-Verstöße zur Verantwortung gezogen werden können, läuft am 1. Januar 2023 aus.
Das Büro des Generalstaatsanwalts veröffentlichte außerdem ein jährliches Update zum CCPA Beispiele für Nichteinhaltung, zu dem Sephora als Anwendungsfall gehörte, zusätzlich zu fehlenden „Meine persönlichen Daten nicht verkaufen“-Links, fehlerhafter Behandlung von Verbraucherrechtsanfragen, nicht konformen Datenschutzrichtlinien und fehlenden Offenlegungshinweisen sowie nicht konformen Hinweisen auf finanzielle Anreize für Treueprogramme.
Und über den großen Teich …
Während es sich bei der Einigung mit dem Generalstaatsanwalt um die erste größere Durchsetzungsmaßnahme im Rahmen des CCPA handelt, ist es nicht die erste Klage gegen Sephora im Jahr 2022. Sephora geriet Anfang des Jahres auch in rechtliche Schwierigkeiten, als die französische Datenschutzbehörde CNIL die Verwendung von Google Analytics- und Facebook Connect-Integrationen für illegal erklärte.
Diese kombinierten Durchsetzungsmaßnahmen gegen Sephora in diesem Jahr sollten Unternehmen dazu motivieren, die neuen und strengeren Vorschriften vollständig einzuhalten.
Wie Bigid Sie bei der Vorbereitung auf die Durchsetzung des CCPA unterstützen kann
Da der Generalstaatsanwalt von Kalifornien die Messlatte für die Durchsetzung höher legt, ist es jetzt mehr als notwendig, regulatorische Standards für Ihr Datenschutzprogramm festzulegen. .
So kann BigID Ihr Unternehmen auf die CCPA- und die aktualisierte CPRA-Konformität vorbereiten:
- Datenermittlung und -prüfungen: Der CCPA regelt personenbezogene Daten, einschließlich direkter und abgeleiteter Identifikatoren. BigID hilft beim Aufbau einer automatisierte Dateninventur Zu entdecken, Karte und einordnen. CCPA-betroffene Daten zur Vorbereitung auf mögliche behördliche Prüfungen.
- Datenzuordnung: Vereinfachen Sie die CCPA-Compliance, indem Sie Ihre Datenbestände abbilden und Ihre Dateninventur unternehmensweit automatisieren. BigID hilft Ihnen zu verstehen Datenfreigabeflüsse mit Drittanbietern und Dienstanbietern mit zusammenfassender Berichterstattung über die Weitergabe von Daten an Drittanbieter und die Verarbeitung von Opt-outs von Daten.
- Datenrechteverwaltung: Um die Datenschutzrechte aller Einwohner Kaliforniens zu erfüllen, bietet BigID Organisationen eine öffentlich zugängliche Self-Service-Datenschutzportal um einen umfassenden Verbraucherrechtsprozess abzuschließen, vom „Recht auf Kenntnis“ Ihrer Daten bis zum „Recht auf Löschung“ Ihrer Daten. BigID ermöglicht auch die Berücksichtigung von CCPA-Opt-out-Anfragen, insbesondere im Hinblick auf den „Verkauf“ von Daten.
- Cookie-Zustimmung und -Einstellungen: It’s time to get serious about cookie consent and preferences, as easy-to-use consumer consent is highlighted in this settlement. BigID provides end-to-end cookie consent and privacy preference management to automatically capture and manage consent/preferences that will help build trust with your consumers and avoid fines from the AG’s office.
Sind die Erwartungen von Verwaltung von CCPA (und bald CPRA) Compliance-Herausforderungen in Ihrem Unternehmen? Erfahren Sie, wie BigID Unternehmen die Automatisierung ihres gesamten Datenschutzprogramms ermöglicht., erreichen Sie die Einhaltung der Vorschriften und bleiben Sie dem Generalstaatsanwalt von Kalifornien immer einen Schritt voraus.
Autor
