Skip to main content

WEBINARNavigating Consent Mode V2: How Should I Prepare?

|

30 April, 2024

3 pm CET (8 am CT)

Register now

Datenschutzsichere Verbraucherdaten und Bleiben Sie der CPRA-Konformität voraus

Zeigen Sie Ablehnungs-Hinweise und Links mit dem Text „Nicht verkaufen oder weitergeben“ an und berücksichtigen Sie mit der Plattform für Einwilligungsmanagement Nr. 1 alle Browsersignale.

Werden Sie CPRA-konform

14 Tage kostenlos testen Jederzeit kündigen

Die Nr. 1-Lösung für die Cookie-Einwilligung, der 1.5 Million+ Websites vertrauen

Brand logos of global companies that are CookieYes customers.
Forbes
Decathlon
Dominos
Heineken
Toyota
Renault
KFC

Der California Privacy Rights Act (CPRA) ist eine Änderung des California Consumer Privacy Act (CCPA). Es handelt sich dabei um ein landesweites Datenschutzgesetz, das die Bestimmungen des CCPA erweitert und die den Einwohnern Kaliforniens gewährten Datenschutzrechte stärkt. Der CPRA regelt, wie Unternehmen die personenbezogenen Daten von Verbrauchern in Kalifornien verarbeiten, und gibt den Verbrauchern die Kontrolle über ihre Daten. Der CPRA trat am 1. Januar 2023 in Kraft.

Der CPRA ist eine Änderung des bestehenden CCPA. Sie müssen die neuen Verpflichtungen des CPRA ab dem Vollzugsdatum am 01. Juli 2023 erfüllen.

Checkliste zur CPRA-Konformität für Websites

  • Anzeige eines Banners zur Ablehnung des Verkaufs oder der Weitergabe von personenbezogenen Daten
  • Bieten Sie einen Link „Meine personenbezogenen Daten nicht verkaufen oder weitergeben“ auf Ihrer Website an
  • Fügen Sie eine aktuelle und zugängliche Datenschutzerklärung und Cookie-Richtlinie ein
  • Beschränken Sie die Datenerhebung nur auf relevante Daten und legitime Zwecke

Bereiten Sie sich mit CookieYes auf die Einhaltung des CPRA vor

Implementieren Sie Ablehnungs-Anträge

Nach dem CPRA müssen Unternehmen, die personenbezogene Daten verkaufen oder weitergeben (einschließlich der Nutzung von Cookies von Drittanbietern), diese Informationen klar und deutlich offenlegen und die Verbraucher darüber informieren, wie sie sich dagegen entscheiden können.

Mit CookieYes können Sie den Hinweis

  • auf den Abmeldungshinweis auf Besucher von Kalifornien/den USA beschränken
  • auf die GPC-Signale (Global Privacy Control) von Browsern berücksichtigen
  • Fügen Sie einen Link „Meine personenbezogenen Daten nicht verkaufen oder weitergeben“ auf Ihrer Website ein

Automatisieren Sie Einwilligungsmanagement

Um das Recht der Nutzer auf Ablehnung gemäß CPRA zu respektieren, muss sichergestellt werden, dass Websites Cookies von Drittanbietern nur auf der Grundlage der von den Nutzern erteilten Einwilligung setzen und die kontinuierliche Einhaltung der Vorschriften gewährleisten.

Mit CookieYes können Sie

  • Ihre Website auf Cookies gegen eine Datenbank mit über 100.000 Cookies scannen
  • das Scannen von Cookies für aktuelle Informationen über Cookies planen
  • Protokolle über die Einwillung der Nutzer als Nachweis aufzeichnen

eine konforme Datenschutzerklärung generieren

Nach dem CPRA müssen Unternehmen eine leicht zugängliche und klare Datenschutzerklärung einführen, die Auskunft über die erhobenen Daten, den Zweck der Erhebung, die Ausübung der Nutzerrechte und mehr gibt.

Mit CookieYes können Sie den Hinweis

  • Nutzen Sie unsere vorgefertigten, rechtskonformen Richtlinienvorlagen
  • Erstellen Sie Ihre Datenschutzerklärung und Cookie-Richtlinien in wenigen Minuten
  • Kopieren Sie die Rechtsgrundsätze einfach auf Ihre Website

Übergang von der CCPA- zur CPRA-Konformität
mit unserer einfachen Cookie-Einwilligungslösung

Werden Sie CPRA-konform

14 Tage kostenlos testen Jederzeit kündigen

Erfahren Sie mehr über den CPRA und machen Sie den
nächsten Schritt zur Einhaltung der Vorschriften

Was ist CPRA?

CPRA oder California Privacy Rights Act ist ein bundesweites Datenschutzgesetz, das den California Consumer Privacy Act (CCPA) abändert und als CCPA 2.0 bezeichnet wird. Der CPRA erweitert die Bestimmungen des CCPA und stellt neue Anforderungen an Unternehmen, die personenbezogene Daten erheben und verarbeiten, einschließlich neuer Datenschutzrechte für kalifornische Verbraucher und einer neuen Behörde, die für die Durchsetzung der Datenschutzgesetze in Kalifornien zuständig ist, der California Privacy Protection Agency.

Der CPRA verlangt von den Unternehmen unter anderem, dass sie den Verbrauchern die Möglichkeit geben, unrichtige personenbezogene Daten zu korrigieren, die Nutzung sensibler personenbezogener Daten einzuschränken und die ausdrückliche Einwilligung einzuholen, bevor sie bestimmte Arten personenbezogener Daten erheben oder nutzen. Der CPRA trat am 1. Januar 2023 in Kraft und enthält eine einjährige Rückwirkungsfrist für personenbezogene Daten, die ab dem 1. Januar 2022 erhoben wurden.

Für wen gilt der CPRA?

Der CPRA gilt für gewinnorientierte Unternehmen, die in Kalifornien geschäftlich tätig sind oder ihre Waren und Dienstleistungen an in Kalifornien ansässige Personen vermarkten und entweder

  • einen jährlichen Bruttoumsatz von über 25 Millionen Dollar haben,
  • personenbezogene Daten von 100.000 oder mehr Verbrauchern oder Haushalten kauft, verkauft oder weitergibt,
  • 50 % oder mehr seines Jahresumsatzes mit dem Verkauf oder der Weitergabe von personenbezogenen Daten von Verbrauchern erwirtschaftet.

Der CPRA gilt nicht für gemeinnützige Organisationen und personenbezogene Daten, die im Rahmen bestimmter Gesetze zum Schutz der Gesundheit und der Privatsphäre in der Medizin (z. B. HIPAA) erhoben werden.

Welche Rechte haben Verbraucher nach dem CPRA?

Recht auf Wissen

Das Recht, zu erfahren, welche personenbezogenen Daten ein Unternehmen über sie erhebt und wie diese genutzt und weitergegeben werden.

Recht auf Löschung

Das Recht, personenbezogene Daten zu löschen, die ein Unternehmen von ihnen erhoben hat.

Recht auf Korrektur

Das Recht, von Unternehmen zu verlangen, dass sie unzutreffende personenbezogene Daten korrigieren.

Recht auf Ablehnung

Das Recht, dem Verkauf ihrer personenbezogenen Daten durch ein Unternehmen zu widersprechen.

Recht auf Einschränkung der Verarbeitung:

Das Recht, von Unternehmen zu verlangen, dass sie die Nutzung und Verarbeitung ihrer personenbezogenen Daten einschränken.

Recht auf Nicht-Diskriminierung

Das Recht, nicht diskriminiert zu werden, wenn sie ihre Verbraucherrechte gemäß dem CPRA wahrnehmen.

Recht auf Datenportabilität

Das Recht, eine Kopie ihrer personenbezogenen Daten in einem tragbaren und leicht nutzbaren Format zu erhalten.

Was ist die Strafe für die Nichteinhaltung?

Unternehmen, die sich nicht an den CPRA halten, können mit zivilrechtlichen Strafen von bis zu 7.500 USD belegt werden. Es liegt im Ermessen der kalifornischen Datenschutzbehörde (California Privacy Protection Agency), einem Unternehmen eine Frist zur Behebung des angeblichen Verstoßes einzuräumen. Die Behörde hat auch das Recht, Unterlassungsklagen und andere billigkeitsrechtliche Maßnahmen zur Durchsetzung des Gesetzes zu beantragen.

Der CPRA sieht auch ein privates Klagerecht für bestimmte Arten von Datenschutzverletzungen vor, die auf Fahrlässigkeit seitens eines Unternehmens zurückzuführen sind. Betroffene Einwohner Kaliforniens können unter Umständen Schadensersatz in Höhe von bis zu 750 Dollar pro Vorfall oder den tatsächlichen Schaden geltend machen, je nachdem, welcher Betrag höher ist.

Häufige Fragen zur Einhaltung des CPRA

Der California Privacy Rights Act (CPRA) ist ein neues Datenschutzgesetz, das den bestehenden California Consumer Privacy Act (CCPA), der am 1. Januar 2020 in Kraft trat, ändert und erweitert. Der CPRA wurde von den kalifornischen Wählern im November 2020 bestätigt und trat am 1. Januar 2023 in Kraft, wobei die Durchsetzung am 1. Juli 2023 begann.

Der CPRA enthält mehrere neue Bestimmungen und Änderungen des CCPA, darunter die Einrichtung einer neuen Durchsetzungsbehörde, das Recht der Verbraucher, der Weitergabe ihrer personenbezogenen Daten zu widersprechen, nicht nur dem Verkauf ihrer personenbezogenen Daten, und höhere Geldstrafen bei Verstößen.

Nein, der California Privacy Rights Act (CPRA) ersetzt den CCPA nicht, sondern ergänzt ihn. Der CPRA ist eine Erweiterung des CCPA, da er bestehende Bestimmungen ändert und zusätzliche Anforderungen für Unternehmen und neue Rechte für kalifornische Verbraucher einführt. Der CPRA trat am 1. Januar 2023 in Kraft. Unternehmen, die dem CCPA unterliegen, müssen jetzt die neuen Anforderungen des CPRA erfüllen.

Mehr lesen: Vollständiger Leitfaden zu CPRA

Nach dem California Privacy Rights Act (CPRA) sind „personenbezogene Daten“ Informationen, die einen bestimmten Verbraucher oder Haushalt identifizieren, sich auf ihn beziehen, ihn beschreiben, mit ihm assoziiert werden oder direkt oder indirekt mit ihm in Verbindung gebracht werden könnten. Der CPRA erweitert die Definition von personenbezogenen Daten im Sinne des CCPA um Informationen wie Geolokalisierungsdaten, Rasse, ethnische Zugehörigkeit, religiöse oder philosophische Überzeugungen und biometrische Daten.

Darüber hinaus führt der CPRA „sensible personenbezogene Daten“ ein, die bestimmte Kategorien personenbezogener Daten umfassen, z. B. Finanzdaten, Identifikationsnummern wie Sozialversicherungsnummer, Führerschein und Reisepass sowie personenbezogene Daten, die Aufschluss über den genauen Standort eines Verbrauchers geben, Gesundheitsdaten, genetische Daten und biometrische Daten.

Die California Privacy Protection Agency (CPPA), die im Rahmen der neuen CPRA-Bestimmungen neu geschaffene Vollzugsbehörde, ist das Vollzugsorgan für den CPRA. Das CPPA ist die erste staatliche Behörde in Kalifornien, die die Durchsetzungs- und Regelungsbefugnisse des kalifornischen Generalstaatsanwalts (CAG) übernehmen wird, der bisher die Regulierungsbehörde für den CCPA war.

Das CPPA und der CAG können erst ab dem 1. Juli 2023 mit der Durchsetzung des CPRA und etwaiger endgültiger Verordnungen beginnen. 

Das kalifornische Datenschutzgesetz (California Privacy Rights Act, CPRA) gilt für alle gewinnorientierten Einrichtungen oder Unternehmen, die in Kalifornien tätig sind oder personenbezogene Daten von Einwohnern Kaliforniens erheben. Der CPRA kann für eine Einrichtung gelten, die:

  • in Kalifornien tätig ist
  • die personenbezogenen Daten von in Kalifornien ansässigen Personen erhebt, und
  • bestimmte Umsatzanforderungen oder Schwellenwerte für die Datenverarbeitung erfüllt.

Wenn ein Unternehmen eines dieser Kriterien erfüllt, unterliegt es den Anforderungen des CPRA, auch wenn es nicht in Kalifornien ansässig ist.

Der CPRA enthält mehrere neue Bestimmungen und Änderungen des CCPA, darunter:

  • Schaffung einer neuen Vollzugsbehörde: Mit dem CPRA wird eine neue Behörde namens California Privacy Protection Agency (CPPA) geschaffen, die für die Durchsetzung der Datenschutzgesetze in Kalifornien zuständig sein wird.
  • Einführung von sensiblen personenbezogenen Daten: Der CPRA erweitert die Definition sensibler personenbezogener Daten um neue Kategorien wie Finanzdaten, genaue geografische Lage, Rasse, ethnische Herkunft und Gesundheitsdaten.
  • Einführung der „Weitergabe“ von personenbezogenen Daten und von Rechten zur Ablehnung: Als Weitergabe gilt jede Weitergabe personenbezogener Daten an Dritte für kontextübergreifende verhaltensbezogene Werbung, unabhängig davon, ob dafür eine finanzielle oder sonstige Gegenleistung erbracht wird oder nicht. 
  • Neue Verbraucherrechte: Der CPRA räumt den Verbrauchern das Recht ein, unzutreffende personenbezogene Daten im Besitz von Unternehmen zu korrigieren.
  • Erhöhte Bußgelder bei Verstößen: Der CPRA erhöht die Bußgelder für Verstöße gegen die Datenschutzgesetze, wobei die Bußgelder zwischen 2.500 und 7.500 USD pro Verstoß liegen.

Hier sind einige Links, die Sie für weitere Informationen nutzen können:

Verfolgen Sie Ihre CPRA-Konformität in wenigen Minuten

Richten Sie in drei einfachen Schritten ein Opt-out-Banner ein und automatisieren Sie Ihre Compliance.

Werden Sie CPRA-konform

14 Tage kostenlos testen Jederzeit kündigen