Startseite topics CCPA-Konformität Was ist der California Consumer Privacy Act (CCPA)?
IBM Security Guardium Insights erkunden Testen Sie eine interaktive Demo
Isometrische Zeichnung mit unterschiedlichen Büromitarbeitenden, die alle IBM Security nutzen
Was ist der CCPA?

Der California Consumer Privacy Act (CCPA) ist ein kalifornisches Gesetz aus dem Jahr 2020, das die Rechte der Bürger Kaliforniens im Zusammenhang mit den personenbezogenen Daten schützt und durchsetzt.

In der digitalen Welt gelten Verbraucherdaten als das neue Gold, eine Substanz von immensem potenziellen Wert für Marketingexperten. Trotz des Wunsches der Unternehmen, diese Daten zu nutzen, gibt es eine immer größer werdende Bewegung, die sich dafür einsetzt, dass die Verbraucher, die mithilfe dieser Daten ausgewertet werden, ein Mitspracherecht haben sollten, wenn es um die Verwendung der von ihnen generierten Informationen geht oder nicht.

In Kalifornien wurden die Ziele dieser Bewegung mit der Verabschiedung des CCPA in ein Gesetz umgesetzt. Es ist ein entscheidender Fortschritt für die Rechte der Verbraucher und die Cybersicherheit, da es dem US-Bundesstaat Kalifornien ein leistungsfähiges Framework für die Durchsetzung von Datenschutzgesetzen und -vorschriften an die Hand gibt und den Bürgern Kaliforniens einen Weg zu privaten Klagerechten eröffnet, um bei Datenschutzverletzungen Rechtsmittel einzulegen.
Ähnliche Inhalte

IBM Newsletter abonnieren
Rechte und Schutzbestimmungen des CCPA

Die CCPA-Richtlinien wurden entwickelt, um den kalifornischen Verbrauchern eine Reihe von Rechten einzuräumen, die sich ausdrücklich mit dem Schutz personenbezogener Daten befassen und ihnen angemessene Sicherheitsvorkehrungen bieten. Zu diesen Rechten gehört, dass die Kalifornier die Möglichkeit haben, Forderungen bezüglich ihrer Kundendaten zu stellen. Diese Forderungen können beispielsweise Folgendes beinhalten:

  • Verhinderung des Verkaufs ihrer personenbezogenen Daten an Drittunternehmen (d. h. das Recht, den Weiterverkauf zu verhindern), indem sie die so genannte „Do not sell my personal data“-Anweisung erlassen
     

  • Das Recht auf Auskunft über gesammelte personenbezogene Daten (Recht auf Zugang)
     

  • Aufforderung zur Löschung aller erfassten Daten über diesen Verbraucher (Recht auf Vergessenwerden)

Dank der kalifornischen Datenschutzbehörde (California Privacy Protection Agency) verfügen die Einwohner Kaliforniens auch über Schutzmaßnahmen, die sicherstellen sollen, dass die Einwohner in angemessener Weise über sie betreffende Datenänderungen informiert werden, sowie über Antidiskriminierungsvorschriften, die vorschreiben, dass Personen nicht benachteiligt oder anderweitig bestraft werden dürfen, weil sie von diesen Rechten Gebrauch machen wollen.
Welche Kategorien personenbezogener Daten sind geregelt?

Obwohl die meisten Verbraucher eine allgemeine Vorstellung davon haben, was mit „personenbezogenen Daten“ gemeint ist, kann der Begriff für verschiedene Personen unterschiedliche Dinge bedeuten, und zwar wesentlich mehr, als man sich zunächst vorstellt.

Im Rahmen des CCPA werden personenbezogene Daten wie folgt definiert: „Informationen, die einen bestimmten Verbraucher oder Haushalt identifizieren, sich auf ihn beziehen, ihn beschreiben oder vernünftigerweise direkt oder indirekt mit ihm in Verbindung gebracht werden könnten.“1

Die CCPA-Richtlinien decken die folgenden spezifischen Beispiele für personenbezogene Daten ab:

  • Name

  • Adresse

  • Telefonnummer

  • E-Mail-Adresse

  • IP-Adresse

  • Geburtsdatum

  • Sozialversicherungsnummer

  • Führerscheinnummer

  • Passnummer

  • Informationen zum Bankkonto

  • Kreditkarten-/Debitkartennummern

  • Bildungsdaten und Zeugnisse

Personenbezogene Daten werden für Marketingexperten sogar noch wertvoller, wenn jede Art von Information durch Datenanalyse kombiniert und für die Erstellung zusammengesetzter Ansichten über bestimmte Verbraucher oder Verbrauchergruppen verwendet werden kann, um z. B. breitere Rückschlüsse auf Verbrauchertrends im Marketing zu ziehen. Einige der anderen Formen von personenbezogenen Daten, die routinemäßig erfasst werden, können ebenso aufschlussreich sein, darunter:

  • Einkaufspräferenzen der Verbraucher

  • Persönliche Browserverläufe

  • Artikulierte persönliche Haltungen

  • Angegebenes persönliches Verhalten

Ein weiterer Problembereich betrifft Cookies und wie sie von Websites als eindeutige Identifikatoren verwendet werden. Dazu gehören sowohl Erstanbieter-Cookies (die so konzipiert sind, dass sie sich selbst löschen, sobald ihr Geschäftszweck erfüllt ist) als auch Drittanbieter-Cookies (die sich nicht automatisch selbst löschen und die die Funktion haben, verschiedene Arten von personenbezogenen Daten, einschließlich sensibler personenbezogener Daten, zu erfassen).

Da Drittanbieter-Cookies von Websites missbraucht werden können, betrachtet der CCPA Daten, die über eine Website durch die Verwendung von Cookies gesammelt werden, als personenbezogene Daten und daher als schützenswert.

 Erfahren Sie, wie Sie Ihre Daten erkennen und klassifizieren
Strategien zur Einhaltung des CCPA

Die meisten betroffenen Unternehmen betrachten die Einhaltung des CCPA nicht als einen einzelnen Schritt, sondern als einen Prozess. Der erste Teil dieses Prozesses erfordert häufig ein Umdenken gegenüber den Verbrauchern und die Einsicht, dass deren Datenschutzbedürfnisse wichtig sind und durchsetzbare Rechte beinhalten.

Zur Einhaltung des CCPA gehört es, die verschiedenen kalifornischen Verbraucher zu schützen, indem man ihnen die Möglichkeit gibt, zu entscheiden, wie ihre personenbezogenen Daten verwaltet werden sollen (einschließlich Opt-in-Möglichkeiten). Es bedeutet auch, dass Sie mit allen im Zuge der Weiterentwicklung des CCPA vorgenommenen Änderungen Schritt halten müssen, um neue Technologien (wie z. B. Biometrie) und Änderungen der CCPA-Richtlinien zu berücksichtigen.

Damit ein Unternehmen CCPA-konform wird, sind eine Reihe von Schritten erforderlich, die sechs Monate oder sogar ein Jahr in Anspruch nehmen können, bis sie vollständig umgesetzt sind. Nichtsdestotrotz spielt jeder einzelne Schritt eine wichtige Rolle bei der Einhaltung des CCPA. (Da bestimmte Compliance-Anforderungen gleichzeitig erfüllt werden können, sind die Schritte mit Aufzählungspunkten und nicht mit Nummern gekennzeichnet).
Auffinden aller Kundendaten

Der erste Schritt besteht darin, sich ein genaues Bild davon zu machen, welche Verbraucherdaten gesammelt wurden, sowie die verschiedenen Speicherorte zu katalogisieren. Dies gilt sowohl für die „externen“ Verbraucherdaten, die von Verbrauchern außerhalb des Unternehmens erhoben werden, als auch für die „internen“ Verbraucherdaten, die von Mitarbeitern und Bewerbern des Unternehmens erhoben werden.
Schutz aller erfassten Daten

Es ist wichtig, alle erfassten persönlichen Daten sicher aufzubewahren, egal ob sie von Verbrauchern oder Bewerbern stammen. Es gibt auch zusätzliche Bestimmungen zum Schutz von Informationen, die von Minderjährigen erfasst wurden.

Erfahren Sie mehr über Datensicherheit und -schutz
Verbraucher über die Erfassung ihrer Daten informieren

Alle Verbraucher (oder auch Mitarbeiter des Unternehmens und Arbeitssuchende) sollten einen „Hinweis bei der Datenerhebung“ erhalten. Wichtig ist, dass dieser Datenschutzhinweis vor oder zum Zeitpunkt des Beginns der Datenerfassung übermittelt wird – und nicht erst, nachdem diese bereits begonnen hat.
Erstellung und Bekanntgabe einer Datenschutzerklärung für das Unternehmen

Die meisten Unternehmen verfügen heute über eine detaillierte Datenschutzerklärung und veröffentlichen diese auf ihrer Website.
Festlegung, wie Anfragen nach Verbraucherdaten verwaltet werden sollen

Es ist auch wichtig, ein effektives und zeitnahes Verfahren für die Bearbeitung von Anfragen im Zusammenhang mit Verbraucherinformationen einzurichten.
Begrenzung der Menge der erfassten personenbezogenen Daten auf das Nötigste

Es sollten Regeln zur Datenminimierung entwickelt und umgesetzt werden, um sicherzustellen, dass das Unternehmen nur das Minimum an personenbezogenen Daten erfasst, das zum Erreichen eines bestimmten Zwecks erforderlich ist. Unternehmen sollten auch mögliche Gefahren für Verbraucher in Betracht ziehen, wenn die erfassten Daten verletzt werden, und geeignete Präventivmaßnahmen ergreifen (z. B. automatische Löschung der erfassten Daten nach ihrer Verwendung). 
Alle auf dem gleichen Stand halten

Ein wichtiger Aspekt bei der Einhaltung der Vorschriften ist die Sicherstellung, dass die Unternehmensleiter und alle Mitarbeiter die CCPA-Anforderungen kennen, insbesondere die Anforderungen, die sich direkt auf ihren Arbeitsbereich auswirken. Durch Schulungen und Webinare können alle auf den neuesten Stand gebracht werden.
Über die Entwicklungen der CCPA auf dem Laufenden bleiben

Gesetze und Verordnungen werden häufig geändert und ergänzt. (Der CCPA selbst wurde vor seiner Neueinführung im Jahr 2023 solchen Überarbeitungen unterzogen.) Daher ist es empfehlenswert, über CCPA-Entwicklungen auf dem Laufenden zu bleiben.
CCPA-Durchsetzung und Strafen bei Nichteinhaltung

Datenbrokerage – der Kauf und Verkauf von personenbezogenen Daten – ist ein boomendes Geschäft, das von Experten im Jahr 2021 weltweit auf 240 Milliarden US-Dollar geschätzt wurde. Es wird erwartet, dass sich dieser Wert bis zum Ende des Jahrzehnts fast verdoppeln und auf mehr als 450 Milliarden USD jährlich ansteigen wird.2

Alles, was so wertvoll ist wie Daten, muss streng geschützt werden. Dementsprechend ist die kalifornische Datenschutzbehörde (California Privacy Protection Agency, CPPA) befugt, Unternehmen, die gegen die Bestimmungen des CCPA verstoßen, zu bestrafen. Und obwohl die CCPA-Strafen auf einen relativ niedrigen Satz begrenzt sind (entweder 2.500 US-Dollar für einen nachweislich unbeabsichtigten Kontakt oder 7.500 US-Dollar für einen vorsätzlichen Verstoß), ist es erwähnenswert, dass diese CCPA-Strafen nur für ein einziges Vergehen gelten, z. B. für eine Datenverletzung, an der eine Person beteiligt ist.

In der Praxis ist es jedoch so, dass Datenschutzverletzungen selten eine einzelne geschädigte Person betreffen. Stattdessen handelt es sich in der Regel um Massenvorfälle, von denen Tausende oder sogar Hunderttausende von Verbrauchern betroffen sind. Wenn Sie also mögliche CCPA-Bußgelder mit einer großen Anzahl von Einwohnern Kaliforniens multiplizieren, könnten Sie bald mit gigantischen Strafen rechnen.

Der CCPA bietet zuwiderhandelnden Unternehmen einen Ausweg aus der Zahlung dieser hohen Bußgelder, indem er ihnen eine 30-tägige Frist zur Behebung des Fehlers einräumt, den sie begangen haben. Wenn ein zuwiderhandelndes Unternehmen seine Sicherheitsmaßnahmen verbessern und das Problem innerhalb eines Monats „beheben“ kann, besteht die Möglichkeit, die Strafgebühr zu erlassen. Natürlich sind Unternehmen verpflichtet, solche Verstöße finanziell zu kompensieren, aber das kann sich in manchen Situationen als schwierig oder sogar unmöglich erweisen, wenn man bedenkt, dass Verstöße wie Datenschutzverletzungen oft mit Datenoffenlegungen einhergehen, die nicht mehr rückgängig gemacht werden können.
Aktuelle Nachrichten und Trends rund um den CCPA

Der Geltungsbereich des CCPA wird ständig erweitert und weiterentwickelt, um mit dem explosionsartigen Wachstum der Technologie, wie dem Internet der Dinge (IoT), Schritt zu halten.

So hat der CPPA vor Kurzem einen neuen Schwerpunkt angekündigt – „vernetzte“ Fahrzeuge (Connected Vehicles, CVs), die mit Datenerfassungsmechanismen ausgestattet sind. Moderne Fahrzeuge sind in der Lage, eine Vielzahl von Informationen über den Fahrer sowie Geolokalisierungsdaten zu sammeln und diese Daten zu übermitteln. Wenn man bedenkt, dass es in Kalifornien mehr als 35 Millionen zugelassene Fahrzeuge gibt, ist dies ein gewaltiges Unterfangen. Aber nach Ansicht des Executive Director vom CPPA muss dieses Problem angegangen werden.

„Moderne Fahrzeuge sind praktisch vernetzte Computer auf Rädern“, erklärte Ashkan Soltani im Juli 2023. „Sie können über integrierte Apps, Sensoren und Kameras, die Personen im und in der Nähe des Fahrzeugs überwachen können, eine Fülle von Informationen erfassen.“3

Die Formulierung „in der Nähe des Fahrzeugs“ ist bemerkenswert, weil sie impliziert, dass nicht nur die Daten des Fahrers geschützt werden müssen, sondern auch die Daten aller Personen, die in dem Fahrzeug mitfahren, und sogar von Personen, die nur in der Nähe des Fahrzeugs spazieren gehen und deren Momentaufnahmen von den Bordkameras aufgezeichnet werden.

Diese Ankündigung scheint auch deshalb von Bedeutung zu sein, weil der CCPA zum Schutz personenbezogener Daten eingesetzt wird, die über das Internet der Dinge (IoT) generiert werden, in diesem Fall von vernetzten Fahrzeugen. Die Ankündigung könnte sich als noch bedeutsamer erweisen, wenn sie die Absicht der Behörde signalisiert, in den kommenden Jahren über eine zunehmende Anzahl von Fällen zu entscheiden, die mit dem IoT zusammenhängen.
CCPA vs. DSGVO

Als die Europäische Union (EU) im Mai 2018 die Datenschutz-Grundverordnung (DSGVO) in Kraft setzte, schuf sie das proaktivste Framework für den Schutz von personenbezogenen und/oder Verbraucherdaten. Der CCPA gilt als die strengste in den USA geltende Datenschutzrichtlinie. Daher möchten einige Beobachter wissen, wie die beiden Vorschriften im Vergleich zueinander abschneiden.

In vielerlei Hinsicht haben die beiden Vorschriften den gleichen Inhalt. Sowohl die DSGVO als auch der CCPA umfassen die folgenden Aspekte:

  • Sie werden von dem Bestreben geleitet, den einzelnen Bürger zu schützen und zu stärken
     

  • Sie geben dem Verbraucher das Recht, gegen die erhobenen Daten Einspruch zu erheben und sie korrigieren zu lassen, wenn die erhobenen Daten fehlerhaft sind
     

  • Sie geben dem Verbraucher das Recht, auf seine personenbezogenen Daten zuzugreifen, sie zu übertragen oder (falls er dies wünscht) unwiderruflich zu löschen.
     

  • Sie fordern, dass die Verbraucher persönlich benachrichtigt werden, wenn die Sicherheit der von ihnen erfassten Daten verletzt wird

Es gibt allerdings auch Unterschiede. Die DSGVO enthält Anforderungen für die grenzüberschreitende Übermittlung, die im US-Bundesstaat Kalifornien nicht erforderlich sind. Ebenso gelten nach dem CCPA Beschränkungen für den Verkauf von personenbezogenen Daten, was die DSGVO nicht vorsieht.

Dennoch gibt es mehr Ähnlichkeiten als Unterschiede zwischen der DSGVO und dem CCPA. Beide Vorschriften müssen sich mit dem heiklen Thema der Risiken durch Dritte auseinandersetzen, bei denen ein Unternehmen seine Verwaltung personenbezogener Daten im Wesentlichen an eine externe Firma auslagert. In diesem Fall muss dieses Drittunternehmen bereit und rechtlich in der Lage sein, die gleiche Verantwortung für personenbezogene Daten zu übernehmen, die das ursprüngliche Unternehmen nach der Erhebung oder dem Erwerb der fraglichen Daten übernommen hat, wie der CCPA. Sowohl der CCPA als auch die DSGVO verlangen von den Unternehmen, dass sie die Kategorien von Dritten, mit denen sie Daten austauschen, mitteilen und Auskunft darüber geben, welche Daten sie mit jedem von ihnen austauschen und warum.

Die DSGVO und der CCPA haben noch eine weitere wichtige Eigenschaft gemeinsam: die Möglichkeit, Service-Anbieter und andere Unternehmen, die gegen die Vorschriften verstoßen, finanziell zu bestrafen. Dies hat sich vor Kurzem in dramatischer Weise mit der höchsten bisher verhängten Geldstrafe für Datenschutzverstöße gezeigt.

Im Mai 2023 verhängte die irische Datenschutzkommission (DPC) eine Rekordstrafe in Höhe von 1,2 Mrd. Euro (ca. 1,3 Mrd. USD) gegen Meta (das Unternehmen, das früher unter dem Namen Facebook bekannt war), weil es unrechtmäßig europäische Daten in seinen amerikanischen Unternehmen, zu denen auch Instagram gehört, verwendet hat.
Weiterführende Lösungen
IBM Security Guardium Insights

Automatisierung von Compliance-Auditing und -Berichterstellung, Erkennen und Klassifizieren von Daten und Datenquellen, Überwachung von Benutzeraktivitäten und Reaktion auf Bedrohungen nahezu in Echtzeit. Guardium Insights unterstützt einen modernen Zero-Trust-Ansatz für die Datensicherheit, indem es dazu beiträgt, ungewöhnliche Aktivitäten im Zusammenhang mit sensiblen Daten aufzudecken und das Risiko einer Offenlegung zu reduzieren.

 Guardium Insights kennenlernen
Datensicherheits- und Datenschutzlösungen

Verschaffen Sie sich einen besseren Überblick und genaue Erkenntnisse, um Cyber-Bedrohungen zu untersuchen und abzuwehren. Setzen Sie Sicherheitsrichtlinien und Zugriffskontrollen nahezu in Echtzeit durch, um die Einhaltung gesetzlicher Vorschriften zu gewährleisten.

 Lösungen für Datensicherheit und -schutz kennenlernen
Datenschutzlösungen

Sorgen Sie für eine vertrauenswürdige Customer Experience und bauen Sie Ihr Geschäft mit einem ganzheitlichen, anpassungsfähigen Ansatz für den Datenschutz aus, der auf Zero-Trust-Prinzipien und erprobten Datenschutzmaßnahmen basiert. Mit den Datenschutzlösungen von IBM können Sie den Datenschutz stärken, das Vertrauen Ihrer Kunden gewinnen und gleichzeitig Ihr Geschäft ausbauen.

 Mehr über Datenschutzlösungen erfahren
Ressourcen Kosten einer Datenschutzverletzung 2023

Ursachen für Datenschutzverletzungen zu kennen und über die Faktoren informiert zu sein, die Kosten erhöhen bzw. senken, hilft, besser vorbereitet zu sein. Lernen Sie aus den Erfahrungen von mehr als 550 Organisationen, die von einem Datenschutzverstoß betroffen waren.

 Was sind personenbezogene Daten?

Personenbezogene Daten sind Informationen, die dazu verwendet werden können, die Identität einer bestimmten Person zu ermitteln, z. B. Sozialversicherungsnummern, vollständige Namen und Telefonnummern.

 Was ist Informationssicherheit?

Die Informationssicherheit schützt die wichtigen digitalen Dateien und Daten eines Unternehmens, Papierdokumente, physische Medien und vieles mehr vor unbefugtem Zugriff, Offenlegung, Verwendung oder Veränderung.

Machen Sie den nächsten Schritt

IBM Security Guardium Insights bietet eine einheitliche Datensicherheitslösung, die sowohl als SaaS als auch lokal genutzt werden kann, um Daten überall dort zu schützen, wo sie gespeichert sind. Verbessern Sie mit zentralisierter Transparenz, kontinuierlicher Datenüberwachung und erweiterten Compliance-Funktionen Ihren Datensicherheitsstatus, und das mit automatisierten Workflows. Verbinden und schützen Sie Daten in mehr als 19 Cloud-Umgebungen und erkennen Sie Datensicherheitsschwachstellen von einem einzigen Standort aus.

 Guardium Insights kennenlernen Buchen Sie eine Live-Demo
Fußnoten

14 Types of Personal Data Under the California Consumer Privacy Act (CCPA)“, Eric Andrews, Website von securiti (Link befindet sich außerhalb von ibm.com)

2Data Brokers Market Outlook 2031“, Data Brokers Market, Website von Transparency Market Research (Link befindet sich außerhalb von ibm.com)

3CPPA to Review Privacy Practices of Connected Vehicles and Related Technologies“, Bericht vom 23. Juli 2023 auf der Website der California Privacy Protection Agency (Link befindet sich außerhalb von ibm.com)