CCPA: Was Marketer über den kalifornischen Consumer Privacy Act wissen müssen

Veröffentlicht: 2018-07-03

Angetrieben von der anhaltenden Zunahme von Datenschutzverletzungen bei Verbrauchern und wachsenden Datenschutzbedenken hat der US-Bundesstaat Kalifornien den California Consumer Privacy Act (CCPA) verabschiedet. Das Gesetz wird den Datenschutz in den USA mit seinem Inkrafttreten am 1. Januar 2020 erheblich stärken.

Das Gesetz ist Teil eines globalen Trends zu stärkerem Datenschutz und größerer Datentransparenz, zu dem auch das kanadische Anti-Spam-Gesetz (CASL) und die Datenschutz-Grundverordnung (DSGVO) gehören. Der CCPA erwähnt jedoch kaum E-Mails und erwähnt die Erlaubnis überhaupt nicht.

Ein separater Gesetzentwurf, der in Kalifornien noch in Erwägung gezogen wird, AB-2546, würde sich mit der Stärkung der Anti-Spam-Gesetze und der Abkehr von Kalifornien – und damit auch dem Rest von Amerika – von dem von CAN-SPAM festgelegten Opt-Out-Standard für Marketinggenehmigungen und einer stärkeren Einführung befassen mit internationalen Anti-Spam-Gesetzen synchronisieren.

Der CCPA konzentriert sich ausschließlich auf die Datenerhebung und den Datenschutz und entspricht in etwa den Bestimmungen der DSGVO zu diesen Themen. Das Gesetz erwähnt ausdrücklich, dass es eine Reaktion auf die widerrechtliche Aneignung von Facebook-Daten von mindestens 87 Millionen Menschen durch Cambridge Analytica ist.

Schlüsselkomponenten von CCPA

Gemäß dem Text des Consumer Privacy Act, der auch als AB-375 bekannt ist, gibt das Gesetz den Kaliforniern das Recht auf:

  1. Wissen, welche personenbezogenen Daten über sie gesammelt werden.
  2. Wissen, ob ihre personenbezogenen Daten verkauft oder weitergegeben werden und an wen.
  3. Sagen Sie Nein zum Verkauf personenbezogener Daten.
  4. Greifen Sie auf ihre persönlichen Daten zu.
  5. Gleicher Service und gleicher Preis, auch wenn sie ihre Datenschutzrechte ausüben.

Unternehmen, die den folgenden Beschreibungen entsprechen, müssen die den Kaliforniern gewährten Rechte respektieren:

  • Unternehmen mit einem Jahresbruttoumsatz von mindestens 25 Millionen US-Dollar
  • Datenmakler und andere Unternehmen, die personenbezogene Daten von 50.000 oder mehr Verbrauchern, Haushalten oder Geräten kaufen, empfangen, verkaufen oder weitergeben
  • Unternehmen, die den Großteil ihres Jahresumsatzes aus dem Verkauf personenbezogener Daten von Verbrauchern erzielen.

Der CCPA gibt Bürgern das Recht, eine Zivilklage gegen Unternehmen einzuleiten, die gegen das Gesetz verstoßen, und sieht vor, dass der Schaden zwischen 100 und 750 US-Dollar liegt – oder höher, wenn ein höherer Schaden nachgewiesen werden kann. Außerdem kann der Staat ein Unternehmen direkt anklagen und eine Geldstrafe in Höhe von 7.500 US-Dollar für jeden mutmaßlichen Verstoß erheben, der nicht innerhalb von 30 Tagen behoben wird.

Wie sich der CCPA auf Vermarkter auswirkt

Wie CASL und GDPR betrifft CCPA Unternehmen außerhalb der Gerichtsbarkeit des Gesetzes. Das liegt daran, dass es oft einfacher ist, den höheren Standard einzuhalten, als zu versuchen, einige Ihrer Zielgruppen anders anzusprechen.

In Kalifornien leben fast 40 Millionen Menschen, das sind etwa 12% der US-Bevölkerung und mehr Menschen als in Kanada leben. Kaliforniens Wirtschaft ist mit 2,7 Billionen Dollar ebenfalls überdimensioniert. Wenn Kalifornien ein Land wäre, wäre es die fünftgrößte Volkswirtschaft der Welt und würde Großbritannien schlagen

Kalifornien ist also ein Marktplatz, den viele Marken innerhalb und außerhalb der USA einfach nicht ignorieren können. Sie haben keine andere Wahl, als das Verbraucherdatenschutzgesetz einzuhalten. Allerdings sollte die Compliance für Marken, die bereits die DSGVO einhalten, relativ einfach sein.

Es lohnt sich, für das Protokoll darauf hinzuweisen: Wir sind keine Anwälte und nichts in diesem Beitrag sollte als Rechtsberatung angesehen werden. Bitte wenden Sie sich an einen Anwalt, um auf die individuellen Bedürfnisse Ihres Unternehmens einzugehen.

Nachdem diese Haftungsausschlüsse aus dem Weg geräumt wurden, möchten wir auf einige bewährte Verfahren für die Datenerhebung hinweisen, die durch das Verbraucherdatenschutzgesetz informiert sind:

  1. Überlegen Sie noch einmal, ob Sie Daten von Drittanbietern verwenden möchten. Der CCPA gibt Verbrauchern das Recht, „die Kategorien von Quellen zu erfahren, aus denen die personenbezogenen Daten erhoben werden“. Wenn Ihr Unternehmen Daten von Drittanbietern kauft, die über die öffentlich verfügbaren Daten Ihrer Kunden oder Interessenten hinausgehen, wird dies schließlich über eine CCPA-Anfrage ans Licht kommen. Wenn es Ihrem Unternehmen unangenehm wäre, dies den Kunden zu erklären, sollten Sie die Praxis möglicherweise einstellen.
  2. Bewerten Sie die Datenfelder in Ihren Formularen und Profilen neu. Der CCPA ist Teil eines klaren Wandels in Richtung Datentransparenz, der Unternehmen dazu anspornt, Daten, die direkt von ihren Kunden erhoben werden, stärker zu nutzen. Gibt es Informationen, die Sie derzeit über Dritte erhalten, nach denen Sie Kunden und Interessenten direkt fragen könnten? Längere Formulare erhöhen die Abbruchraten, aber intelligentes progressives Profiling im richtigen Moment kann die Abschlussraten maximieren.
  3. Sammeln Sie nur Daten, für die Sie eine eindeutige unmittelbare Verwendung haben. Daten sind Macht, aber zunehmend auch eine Belastung. Begrenzen Sie diese Haftung, indem Sie selektiv auswählen, welche Daten Sie speichern, insbesondere wenn es um persönlich identifizierbare Informationen (PII) geht.
  4. Erstellen Sie einen Mechanismus, der die Informationen eines Verbrauchers auf Anfrage löschen kann. Sowohl CCPA als auch die DSGVO schreiben vor, dass Verbraucher das Recht haben, vergessen zu werden und zu verlangen, dass alle Daten, die Ihr Unternehmen über sie hat, gelöscht werden. Es gibt einige Vorbehalte bezüglich der Daten, die ein Unternehmen aus rechtlichen, Compliance- und geschäftlichen Gründen aufbewahren darf, aber es muss ein Mechanismus vorhanden sein, um alle anderen Informationen über einen Verbraucher schnell zu löschen.
  5. Verkaufen Sie keine Informationen über Ihre Kunden oder Benutzer. Wenn Sie Benutzerinformationen an andere Unternehmen verkaufen möchten, müssen Sie laut CCPA alle Verkäufe 12 Monate lang aufzeichnen und auf Ihrer Website einen „klaren und auffälligen“ Link mit der Aufforderung „Nicht verkaufen“ bereitstellen Meine personenbezogenen Daten“, damit Personen dieser Praxis widersprechen können. Der Verkauf der Daten von Kindern im Alter von 16 Jahren und jünger stellt noch mehr Anforderungen. Eine solche Schaltfläche und andere Berechtigungsanfragen würden bei potentiellen Kunden sicherlich Datenschutz- und Sicherheitsbedenken aufwerfen. Ihr Unternehmen kann die Notwendigkeit einer solchen Schaltfläche vermeiden, indem es keine Kundeninformationen verkauft.

Wie sich der CCPA entwickeln könnte

Das Verbraucherschutzgesetz wurde sehr schnell geschrieben und verabschiedet, und es wurden bereits viele Fragen zu verschiedenen Schlupflöchern und zur Durchsetzung bestimmter Bestimmungen aufgeworfen. Zum Beispiel wurden ernsthafte Bedenken hinsichtlich der Bestimmung geäußert, die es einem Unternehmen erlaubt, „dem Verbraucher einen anderen Preis, Satz, Niveau oder Qualität von Waren oder Dienstleistungen anzubieten, wenn dieser Preis oder diese Differenz in direktem Zusammenhang mit dem dem Verbraucher gebotenen Wert steht“. durch die Daten des Verbrauchers.“ Diese Bestimmung steht in direktem Widerspruch zum Recht auf gleiche Leistung und gleichen Preis.

Sie können davon ausgehen, dass der Staat Kalifornien Überarbeitungen und Ergänzungen herausgibt, bevor das Verbraucherdatenschutzgesetz im Jahr 2020 in Kraft tritt.

Solange die Republikanische Partei die Präsidentschaft und beide Kammern des Kongresses kontrolliert, ist die Wahrscheinlichkeit, dass sich nationale Datenschutz- und Anti-Spam-Gesetze ändern, gleich null. Sollten sich die Machtverhältnisse nach den Wahlen im Jahr 2020 jedoch ändern, könnte der CCPA ein Katalysator für nationale Veränderungen sein.

Erfahren Sie mehr über andere Gesetze, die Marketingfachleute betreffen

Weitere Informationen zu Vorschriften, die E-Mail-Vermarkter in den USA und weltweit betreffen, finden Sie unter:

  • Was CAN-SPAM erfordert und wie dieser niedrige Balken US-Unternehmen schadet
  • DSGVO: Was Europas neues Datenschutzgesetz für E-Mail-Marketer bedeutet
  • 5 Dinge, die Sie über die E-Mail-Einwilligung gemäß der DSGVO wissen müssen
  • DSGVO-Kampagnen zur erneuten Genehmigung: 6 Tipps, um sie zum Erfolg zu führen
  • CASL entlarvt: Alles, was Sie über das kanadische Anti-Spam-Gesetz wissen müssen
  • Der ultimative Leitfaden zum internationalen E-Mail-Recht