Falls das CCPA für Sie gilt (Sie können hier eine kurze Einschätzung vornehmen, um festzustellen, ob dieser auf Sie zutrifft), können Sie die nachstehende Checkliste verwenden, um Ihre grundlegende CCPA-Konformität schnell zu überprüfen oder zu bewerten.
Lassen Sie uns zunächst einmal zusammenfassen: Was ist das CCPA? Das California Consumer Privacy Act (CCPA) ist das neueste kalifornische Datenschutzgesetz, das darauf ausgerichtet ist, die Datenschutzrechte von Verbrauchern mit Wohnsitz in Kalifornien, USA, zu verbessern. Das CCPA stellt neue Anforderungen an die Verarbeitung personenbezogener Daten und gewährt kalifornischen Verbrauchern zusätzliche Rechte.
Eine der wichtigsten Maßnahmen, wenn es um Compliance geht, ist die ehrliche Überprüfung Ihrer Prozesse und Systeme.
Hier sind einige Fragen, die bei der Einschätzung helfen. Sie können die Fragen abhaken, nachdem Sie diese beantworten haben.
Welche Kategorien personenbezogener Daten erfasse ich und mit welchen Kategorien von Drittparteien teile ich diese Daten?
Aus welchen Quellen erfasse ich diese Informationen und zu welchen Kategorien gehören sie (z. B. Analytics)?
Was sind die Gründe oder Zwecke meiner Datenerfassung?
Welche CCPA-Verbraucherrechte (falls vorhanden) gelten nicht für meine Datenverarbeitungsaktivitäten?
Welche Ausnahmen treffen sinnvollerweise und tatsächlich auf meinen Fall zu?
Behalte ich den Überblick über alle Dienstanbieter*, die in meinem Auftrag auf die personenbezogenen Daten der Verbraucher zugreifen?
Kann ich diese Beteiligten zuverlässig kontaktieren, um Dinge wie Löschanfragen zu erfüllen?
Führe ich verlässliche Aufzeichnungen über die Informationen und die Kategorien personenbezogener Daten, die ich für jeden Verbraucher erfasse?
Verfüge ich über die Dokumente (z. B. Datenschutzerklärung oder AGBs), die ich benötige, um die gesetzlich vorgeschriebenen Angaben auf meiner Website einzubauen?
*Dienstleister sind Unternehmen, die personenbezogene Daten im Auftrag des Unternehmens und nicht für eigene Zwecke erfassen – es ist ähnlich wie ein Auftragsverarbeiter nach der DSGVO. Vollständige Definition und Ausnahmen finden Sie hier https://www.oag.ca.gov/sites/all/files/agweb/pdfs/privacy/ccpa-proposed-regs.pdf (S.14)
Führen Sie interne Aufzeichnungen über die Art der Datenverarbeitung, die Sie durchführen (einschließlich der Namen Ihrer Dienstleister), so dass Sie in der Lage sind, relevante Details in Ihrer Datenschutzerklärung und ggf. zum Zeitpunkt der Datenerfassung (z. B. in einem Kontaktformular) aufzunehmen.
Anzeige von CCPA-bezogener Formulierungen, Angaben und Anweisungen in Ihrer Datenschutzerklärung
Aktualisierung der Datenschutzerklärung in Abständen von 12 Monaten
Richten Sie ein Verfahren zum Abrufen von Informationen ein, die über bestimmte Verbraucher verarbeitet wurden. Eine Vorgehensweise ist, sich einfach bewusst zu machen, welche Prozesse typischerweise für bestimmte Nutzergruppen oder Transaktionen anfallen. Von dort aus können Sie einen Vergleich mit Ihren internen Datenschutz-, Verkaufs-, Datenbank- oder Einwilligungsverzeichnisse durchführen, um die relevanten Informationen abzurufen.
Halten Sie Mittel bereit, um Zugriffsanfragen entweder auf dem Postweg oder elektronisch (z. B. per E-Mail, Dateidownload usw.) in einem Format zu erfüllen, das einfach zu handhaben ist und die problemlose Weitergabe der Informationen an eine andere Person oder Firma ermöglicht.
Zeigen Sie eine CCPA-Datenerfassungsmitteilung an;
Anzeige eines „Meine personenbezogenen Daten nicht verkaufen“-Links (Do Not Sell My Personal Information), der dem Verbraucher die Möglichkeit zum Opt-Out gibt
Das Opt-Out tatsächlich erleichtern und die Verkaufsaktion für den jeweiligen Verbraucher stoppen
Stellen Sie sicher, dass in Fällen, in denen Ihnen bekannt ist, dass der Verbraucher ein Minderjähriger unter 16 Jahren ist, Sie dessen Daten nicht verkaufen, es sei denn, Sie haben die ausdrückliche Erlaubnis eines Elternteils oder Erziehungsberechtigten (bei Minderjährigen unter 13 Jahren) oder die ausdrückliche Erlaubnis des minderjährigen Verbrauchers in Fällen, in denen der Minderjährige zwischen 13 und 16 Jahre alt ist.
Diskriminieren Sie nicht gegen Verbraucher, die ihre Rechte ausüben.
