Angesichts der neuen Gesetzgebung, die Anfang 2023 in Kraft trat, ist es wichtig, die wesentlichen Unterschiede zwischen dem CCPA und dem CPRA zu verstehen und zu wissen, was sie für den Schutz von personenbezogenen Daten bedeuten.
Kalifornien war 2018 der erste Bundesstaat, der mit dem California Consumer Privacy Act (CCPA) ein umfassendes Datenschutzgesetz verabschiedete. Nur zwei Jahre später verabschiedete der Bundesstaat jedoch das California Privacy Rights Act (CPRA), welches das CCPA erheblich novellierte und erweiterte.
Kurz gesagt, der Anwendungsbereich des CPRA ist weiter gefasst als der des CCPA.
Die Vorschriften des CCPA gelten nur für Unternehmen, die bestimmte Kriterien erfüllen, z. B. Unternehmen mit einem Jahresbruttoumsatz von mehr als 25 Millionen US-Dollar.
Im Gegensatz dazu gelten die CCPA-Änderungen, das CPRA, für Unternehmen jeder Größe, die personenbezogene Daten von Einwohnern Kaliforniens verarbeiten und bestimmte Schwellenwerte erfüllen.
Mit den CCPA-Änderungen fügt das CPRA neue Kategorien sensibler personenbezogener Informationen hinzu, wie z. B.:
👀 Hier finden Sie alles, was Sie über sensible personenbezogene Informationen im Rahmen des CPRA wissen müssen.
Durch die CCPA-Änderungen, das CPRA, werden die Rechte von Verbrauchern gestärkt.
Während die CCPA-Vorschriften den Verbrauchern das Recht einräumen, zu erfahren, welche personenbezogenen Informationen Unternehmen erheben, und das Recht, die Löschung dieser Informationen zu verlangen, fügt das CPRA neue Rechte hinzu, wie z. B.:
👀 Hier finden Sie die vollständige Liste der Verbraucherrechte.
Eine weitere wichtige Änderung ist die Einrichtung einer neuen Vollzugsbehörde, der California Privacy Protection Agency (CPPA), die über mehr Ressourcen und Befugnisse zur Durchsetzung der Datenschutzgesetze verfügt.
Die CCPA-Vorschriften wurden von der Generalstaatsanwaltschaft des Bundesstaates durchgesetzt, während das CPRA der CPPA die alleinige Befugnis zur Durchsetzung des Gesetzes und zur Verhängung von Geldbußen bei Verstößen gibt.
Was die Pflichten der Unternehmen betrifft, so stellt das CPRA zusätzliche Anforderungen an Unternehmen, wie zum Beispiel:
Das CPRA führt auch eine neue Kategorie von „Auftragnehmern“ ein, die mit Unternehmen zusammenarbeiten und bestimmte Datenschutzanforderungen erfüllen müssen.
Das CPRA trat im Januar 2023 in Kraft.
CCPA vs. CPRA: Es kann entmutigend sein, sich in der veränderlichen Datenschutzlandschaft Kaliforniens zurechtfinden zu müssen, aber die Unterschiede zwischen dem CCPA und dem CPRA zu verstehen, ist entscheidend für den Schutz personenbezogener Daten.
Sowohl Unternehmen als auch Verbraucher sollten sich bereits mit den neuen Rechtsvorschriften vertraut gemacht und die notwendigen Schritte unternommen haben, um die jeweiligen Anforderungen zu erfüllen.