Was ist CPRA? California Privacy Rights Act: Grundlagen und Überblick

Veröffentlicht: 2021-05-27

Das CPRA wird sich in den kommenden Jahren auf die Privatsphäre und die Verbraucherrechte auswirken. Im November 2020 billigten die kalifornischen Wähler den California Privacy Rights Act von 2020, auch bekannt als CPRA. Dies ist eine Änderung des California Consumer Privacy Act (CCPA), der die Wähler 2018 zugestimmt haben.

Die CPRA hat die Datenschutzrechte der Einwohner Kaliforniens modifiziert, erweitert und präzisiert und lässt sich auf vielfältige Weise von der EU-DSGVO-Richtlinie inspirieren.

Beispielsweise schafft die CPRA eine neue Durchsetzungsbehörde. Zuvor wurde der CCPA vom kalifornischen Büro des Generalstaatsanwalts durchgesetzt. In der EU wird die DSGVO jedoch von Datenschutzbehörden durchgesetzt – und jetzt hat Kalifornien auch eine: die California Privacy Protection Agency (CPPA).

Diese Behörde erhält Ermittlungs-, Durchsetzungs- und Regelsetzungsbefugnisse. Noch wichtiger für Unternehmen ist, dass diese Behörde keine 30-tägige Heilungsfrist einräumen muss, und Strafen für einige Richtlinienverstöße können jetzt bis zu 7.500 US-Dollar pro Verstoß betragen. Das ist eine 3-fache Steigerung.

Was ist CPRA? CPRA erklärt

Der Zweck von CPRA besteht darin, den California Consumer Privacy Act (CCPA) neu zu definieren und zu erweitern, um die Rechte der Einwohner Kaliforniens zu stärken. Es bietet Verbrauchern eine größere Möglichkeit, sich abzumelden, und erfordert von Unternehmen ein bewusstes Datenschutzmanagement.

Da so viel auf dem Spiel steht, fragen Sie sich vielleicht, was sich geändert hat und was dies für Ihr Unternehmen bedeutet. Du bist nicht allein. Während sich das Bußgeldpotenzial um das Dreifache erhöht hat, hat Ihr Unternehmen bis zum 1. Januar 2023 Zeit, um die Einhaltung der Vorschriften zu erreichen. Hier ist, was Unternehmen über CPRA wissen müssen .

California Privacy Rights Act erklärt: Was Ihr Unternehmen wissen muss

Der CCPA war bereits das robusteste verbraucherorientierte Datenschutzgesetz der Vereinigten Staaten. Das CPRA geht noch einen Schritt weiter – und macht es für zukünftige Nachsichten schwieriger, es sei denn, die gesamte Richtlinie wird widerrufen.

Mit anderen Worten, Sie möchten Ihr Unternehmen in CPRA-Form bringen. Bei dieser Datenschutzerklärung lässt sich die Uhr nicht zurückdrehen. Stattdessen ist es wahrscheinlich, dass mehr Staaten beginnen werden, ähnliche Richtlinien zu übernehmen.

Lassen Sie uns die Grundlagen behandeln.

Was ist die Kundendatenplattform? Kann es CX verbessern?

Ein Computer präsentiert verwertbare Daten. Kundendatenplattform / CDP erstellt Lösungen für cx. Eine Kundendatenplattform ist eine Software, die entwickelt wurde, um Ihre Kundendaten zu verstehen, damit Sie auf einer persönlicheren, effektiveren (und wertvolleren) Ebene mit ihnen interagieren können. Aber was bedeutet das für Marketer? Führungskräfte? Kunden? Wie ändern CDPs ihre Erfahrungen?

Wann müssen Sie CPRA einhalten?

Die meisten Bestimmungen des California Privacy Rights Act von 2020 treten erst am 2. Januar 2023 in Kraft. Personenbezogene Daten, die am oder nach dem 1. Januar 2022 erfasst werden, werden jedoch Teil der Erweiterung des Abschnitts „Right to Know“ sein.

Ihr Unternehmen muss den Verbrauchern ab dem 1. Januar 2022 das „Recht zu wissen“ einräumen, welche Daten Sie über sie gesammelt haben und wie diese verwendet werden, zurück zu allen Informationen, die Sie gesammelt haben.

Wer muss CPRA einhalten?

Nicht jeder, und tatsächlich ist dies einer der Bereiche, in denen das CPRA tatsächlich nachsichtiger ist als das ursprüngliche CCPA.

Im CCPA mussten Unternehmen mit einer Gesamtzahl von Verbrauchern von 50.000 oder mehr die Anforderungen erfüllen. In der CPRA wird diese Zahl verdoppelt. CPRA gilt nur für Unternehmen mit mehr als 100.000 Verbrauchern.

Wenn Sie ein Unternehmen mit mehr als 100.000 Kunden sind, gilt das CPRA für Sie, wenn Sie mindestens 50 % Ihres Jahresumsatzes aus dem Verkauf oder der Weitergabe personenbezogener Verbraucherdaten (PI) generieren. Dies ist eine weitere Aktualisierung des CPRA im Vergleich zum CCPA. Im CCPA wurde nur der Verkauf von personenbezogenen Verbraucherdaten abgedeckt. Im CPRA wurde dies auf „Teilen“ erweitert, d. h. mit Dritten.

Welche neuen Vorschriften führt die CPRA ein?

Ein Großteil des CPRA ist eine Modifikation des CCPA, aber ein Bereich der Einführung betrifft „sensible persönliche Informationen“. Dies wird nun ein regulierter Datensatz im Bundesstaat Kalifornien sein.

Zu den sensiblen personenbezogenen Daten für CPRA gehören:

  1. Staatliche Kennungen: Beispiele sind Sozialversicherungsnummern und Führerscheine
  2. Finanzkonto- und Login-Informationen: Beispiele sind Kredit- oder Debitkartennummer zusammen mit Login-Daten
  3. Präzise Geolokalisierung
  4. Rasse, ethnische Zugehörigkeit, religiöse oder weltanschauliche Überzeugungen oder Gewerkschaftszugehörigkeit
  5. Inhalt nichtöffentlicher Mitteilungen: Beispiele hierfür sind Post, E-Mail und Textnachrichten
  6. Genetische Daten, biometrische oder Gesundheitsinformationen
  7. Informationen zum Sexualleben oder zur sexuellen Orientierung.

Organisationen, die diese Informationen sammeln, verkaufen oder weitergeben, müssen dies offenlegen und den Verbrauchern die Möglichkeit geben, sich an- und abzumelden.

Die brandneuen Rechte, die von der CPRA festgelegt wurden

  • Recht auf Berichtigung
  • Recht auf Zugang zu Informationen über automatisierte Entscheidungsfindung
  • Recht auf Opt-out der Technologie zur automatisierten Entscheidungsfindung
  • Prüfungspflichten

Was bedeutet CPRA für Ihr Datenschutzprogramm?

Wenn Sie ein Unternehmen mit mehr als 100.000 Kunden oder mit Daten zu mehr als 100.000 Verbrauchern sind und diese Daten für Marketing oder Werbung verwenden oder Einnahmen für Ihr Unternehmen generieren, dann bedeutet CPRA mehrere Dinge für Ihr Datenschutzprogramm.

Der Imperativ der Kundendaten: Was Marken wissen müssen

Kundendaten_imperativ.jpg Marken erkennen, dass sich das Kundenerlebnis direkt auf Umsatz und Marge auswirkt und in naher Zukunft bald den Preis und das Produkt als Unterscheidungsmerkmale übertrumpfen wird, wenn dies noch nicht geschehen ist.

Zustimmung und fortlaufende Opt-out-Richtlinien

Die Einwilligungsregelungen wurden im CPRA insbesondere für Minderjährige verschärft. Dies bedeutet, dass die Erhebung der Daten eines Benutzers ausdrücklich zugestimmt werden muss, mit dem Wissen, wie und für welchen Zeitraum seine Daten verwendet werden.

Darüber hinaus können Verbraucher verlangen, und Unternehmen müssen ihre Ablehnung bestimmter Programme bestätigen, einschließlich der Löschung ihrer Daten, selbst wenn zuvor eine Einwilligung erteilt wurde.

Für Unternehmen wird es von entscheidender Bedeutung sein, Tools wie eine Kundendatenplattform (CDP) zu verwenden, um zu automatisieren, wofür Verbraucher sich entscheiden, wovon sie sich abmelden, und um Daten auf Anfrage zu löschen. Dadurch werden die in diesem Gesetzentwurf eingeführten Prüfungspflichten für Organisationen auch viel einfacher zu handhaben, da CDP dabei hilft, Datenschutz- und Governance-Anforderungen einzuhalten .

Recht auf Auskunft

Unter dem CPRA haben Verbraucher jetzt das Recht zu sehen, welche Informationen Sie über sie gesammelt haben und wie sich dies auf ihre personalisierte Erfahrung mit Ihrer Marke auswirkt. Tatsächlich können Verbraucher eine aussagekräftige Beschreibung der Logik anfordern, die am Entscheidungsprozess für automatisierte Kampagnen, Anzeigen und dergleichen beteiligt ist. Es ist wichtig, einen Datenschutzplan zu haben.

Um Teams dies zu erleichtern, ist wiederum ein CDP hilfreich – insbesondere eines, das in eine CRM-Lösung integriert ist. Zusammen können diese Tools verwendet werden, um personalisierte Logins und Seiten zu erstellen, auf denen Verbraucher alle ihre Daten sehen können, in welchen Streams sie sich als Ergebnis befinden und ihre eigenen Datenpräferenzen verwalten können.

Zweck- und Speicherbeschränkungen

Wie bereits erwähnt, lässt sich die CPRA von der DSGVO-Politik in der EU inspirieren. Diese schließen ein:

  1. Datenminimierung
  2. Zweckbindung
  3. Speicherbeschränkung

Diese Anforderungen bedeuten, dass Unternehmen die geringstmögliche Menge an Informationen sammeln müssen, die sie benötigen, und sie müssen den Zweck für ihre Sammlung der Daten angeben (dh wie sie verwendet werden) und wie lange sie sie aufbewahren.

Warum Sie eine Datenplattform brauchen: Die 5 wichtigsten Datenschutzprobleme

Eine überwältigende Mehrheit der Verbraucher gibt an, dass sie bei einer Marke bleiben und mehr für eine Marke bezahlen werden, der sie vertrauen. Erfahren Sie mehr über die wichtigsten Datenschutzprobleme, die ihr Vertrauen fördern oder brechen. Eine überwältigende Mehrheit der Verbraucher gibt an, dass sie bei einer Marke bleiben und mehr für eine Marke bezahlen werden, der sie vertrauen. Erfahren Sie mehr über die wichtigsten Datenschutzprobleme, die ihr Vertrauen fördern oder brechen.

Unabhängig davon, für welche Richtlinie sich Ihr Unternehmen entscheidet, sollten Sie sicherstellen, dass Ihre Datenschutzrichtlinie mit Ihrem System automatisiert wird. Wenn Sie beispielsweise angeben, dass Sie Daten zwei Jahre lang im System aufbewahren, sollten Sie die Entfernung dieser Informationen automatisieren, sobald diese 24 Monate abgelaufen sind.

Auch dies wird für Audits unglaublich hilfreich sein und sicherstellen, dass keine manuellen Fehler oder Vergesslichkeit seitens der Mitarbeiter auftreten.

Proaktive nächste Schritte zur Einhaltung des California Privacy Rights Act (CPRA)

Für Organisationen, die einen Jahresumsatz von mehr als 25 Millionen US-Dollar erzielen, Daten von mehr als 100.000 Verbrauchern sammeln und mindestens 50 % ihrer Gewinne aus dem Verkauf oder der Weitergabe dieser Daten erzielen, ist es jetzt an der Zeit, ein CDP zu erwerben.

Die Zentralisierung von Kundendaten aus allen Quellen mithilfe eines CDP hilft Ihrem Team, mehrere der neuen Richtlinien zu automatisieren, Audits zu vereinfachen und Kunden zufrieden zu stellen – ohne die Arbeitsbelastung des Teams für Marketing, Vertrieb, Werbung oder andere Abteilungen erhöhen zu müssen.

Denken Sie daran, dass das CPRA bei weitem das robusteste Verbraucherschutzgesetz in den USA ist, aber es wird nicht das letzte sein – und diese Änderung wird es auch nicht. Da das Internet, bei dem der Datenschutz an erster Stelle steht, weiter voranschreitet und an Zugkraft gewinnt, müssen Unternehmen intelligenter und transparenter werden, was sie sammeln, über wen und wie sie es verwenden. Wenn Sie jetzt investieren, ersparen Sie sich in Zukunft Bußgelder und Kopfschmerzen.