CCPA / CPRA — Datenschutzgesetz Kalifornien
CCPA (2020) und CPRA (2023) bilden Kaliforniens umfassendes Verbraucherdatenschutzgesetz und gewähren Einwohnern Rechte über ihre personenbezogenen Daten.
Zusammenfassung
Der California Consumer Privacy Act (CCPA) trat am 1. Januar 2020 in Kraft und ist das umfassendste Datenschutzgesetz der USA. Er wurde durch den California Privacy Rights Act (CPRA) erweitert, der ab dem 1. Januar 2023 gilt und unter anderem die California Privacy Protection Agency (CPPA) als eigenständige Datenschutzbehörde einrichtete.
- Recht auf Auskunft: Verbraucher können erfahren, welche Daten über sie gesammelt werden und zu welchem Zweck.
- Recht auf Löschung: Anforderung der Löschung personenbezogener Daten.
- Recht auf Opt-out: Widerspruch gegen den Verkauf oder die Weitergabe personenbezogener Daten.
- Sensitive Personal Information: CPRA führt eine neue Kategorie besonderer Datenkategorien mit erweitertem Schutz ein.
Geschichte
Der CCPA wurde im Juni 2018 verabschiedet und trat am 1. Januar 2020 in Kraft, nachdem der Bürgerinitiative-Sponsor Alastair Mactaggart drohte, eine strengere Initiative auf den Stimmzettel zu bringen. Er wurde von Anfang an als die strengste Datenschutzgesetzgebung der USA angesehen. Im November 2020 stimmten 56 % der Kalifornier für die Proposition 24 (CPRA), die den CCPA erheblich erweiterte. Die CPRA-Bestimmungen wurden ab dem 1. Januar 2023 vollständig anwendbar, und die CPPA begann 2023 mit der Durchsetzung.
Geltungsbereich
CCPA/CPRA gilt für gewinnorientierte Unternehmen, die in Kalifornien tätig sind oder Daten von Einwohnern Kaliforniens verarbeiten, und mindestens eines der folgenden Kriterien erfüllen: (1) Jahresumsatz über 25 Mio. USD; (2) Kauf, Erhalt, Verkauf oder Weitergabe von Daten von 100.000 oder mehr Verbrauchern oder Haushalten; (3) Erzielung von mehr als 50 % des Jahresumsatzes aus dem Verkauf von Verbraucherdaten. Das Gesetz schützt Einwohner Kaliforniens und gilt unabhängig davon, wo das Unternehmen seinen Sitz hat.
Kernanforderungen
- Datenschutzhinweis: Klare Offenlegung der gesammelten Datenkategorien und Verwendungszwecke.
- Verbraucherrechte: Auskunft, Löschung, Berichtigung, Portabilität, Opt-out vom Verkauf/Weitergabe, Einschränkung der Nutzung sensibler Daten.
- „Do Not Sell or Share“: Einfach zugänglicher Opt-out-Mechanismus auf der Website.
- Reaktionsfristen: Antwort auf Verbraucheranfragen innerhalb von 45 Tagen.
- Datenschutzvereinbarungen: Verträge mit Dienstleistern (Data Processing Agreements).
- Risikoabschätzungen: CPRA verpflichtet Unternehmen zu jährlichen Datenschutz-Risikoabschätzungen für hochriskante Verarbeitungen.
- Bußgelder: Bis zu 2.500 USD je unbeabsichtigter Verstoß, 7.500 USD je vorsätzlichem Verstoß.
Verwandte Frameworks
Korrekturen & Errata
CCPA ist das US-Pendant zu GDPR — Baseline-Querverbindung fehlte. lgpd↔gdpr und appi↔gdpr existierten bereits.
Alle Details auf der Errata-Seite →1 Aktualisierung:
- CCPA: Neue Verordnungen ab 1. Januar 2026 fehlen in key_dates