So machen Sie Ihre WordPress-Website CCPA-konform

Nach der Einführung der DSGVO im Jahr 2018 gibt es nun ein weiteres Gesetz, das WordPress-Webmaster in ihrem Bestreben, die Einhaltung der lokalen Datenschutzbestimmungen einzuhalten, weiter beeinflussen wird.

Seinen Namen? Der California Consumer Protection Act (kurz CCPA).

Dieses neue Gesetz soll den Kaliforniern einen verbesserten Schutz in Bezug auf die Verwendung ihrer persönlichen Daten bieten. Sie trat Anfang des Jahres 2020 in Kraft.

Dieser Leitfaden führt Sie durch die Compliance-Anforderungen der CCPA-Website. Außerdem wird erläutert, was dies für Ihre Website in der Praxis bedeutet und wie Sie die notwendigen Änderungen umsetzen. Beginnen wir also ohne weitere Umschweife damit, die Hauptthemen des CCPA zu diskutieren.

Was ist das California Consumer Privacy Act (CCPA)?

Der CCPA wurde im Jahr 2018 verabschiedet. Ursprünglich als freiwillige Initiative eingeführt, dauerte es nur sieben Tage, bis das Gesetz durch die zuständigen Gremien der kalifornischen Gesetzgeber verabschiedet wurde.

Das Gesetz wurde dramatisch durch die Gesetzgebungsgremien gedrängt, nachdem Politiker den aufkeimenden Chor der Bedenken von Wählern beachtet hatten, die der Meinung waren, dass das kalifornische Gesetz mit der Menge an personenbezogenen Daten, die Kunden unwissentlich an Unternehmen weitergeben, nicht Schritt gehalten hatte.

Zweitens haben der Cambridge-Analytica-Skandal um Facebook und die Einführung der Datenschutz-Grundverordnung (DSGVO) in der EU die Bedeutung dieser Rechtsvorschriften verstärkt.

Seit diesen Ereignissen im Juni 2018 wurde das Gesetz zweimal geändert. Der kalifornische Generalstaatsanwalt hat Leitlinien herausgegeben, um Unternehmen dabei zu helfen, besser zu verstehen, wie sie die notwendigen Anpassungen an ihrem Betrieb vornehmen können. Das Gesetz trat offiziell am 01.01.2020 in Kraft.

Was die Details des CCPA anbelangt, folgt das Gesetz größtenteils dem Vorbild seines DSGVO-Vorgängers. Es gewährt den Bürgern von Kalifornien das Recht:

• Wissen, welche persönlichen Informationen über sie gesammelt werden
• Wissen, ob ihre persönlichen Daten verkauft oder offengelegt werden und an wen
• Lehnen Sie den Verkauf ihrer persönlichen Daten ab
• Fordern Sie die Löschung ihrer persönlichen Daten an
• Greifen Sie auf ihre persönlichen Daten zu
• Gleicher Service und Preis, auch wenn sie ihre Datenschutzrechte ausüben

Nachdem Sie die Gesetze verstanden haben, fragen Sie sich wahrscheinlich, ob diese Gesetze für Sie gelten, insbesondere wenn Ihre Website oder Ihr Unternehmen außerhalb des Bundesstaates Kalifornien registriert ist.

Gilt der CCPA für Ihr Unternehmen?

Die Auswirkungen eines Datenschutzgesetzes aufzudecken, ist wahrscheinlich der schwierigste Teil. Aber jetzt war genug Zeit, damit sich der Staub legen konnte. Es gibt einige klare Richtlinien dafür, wie und wann dieses Gesetz anzuwenden ist.

Als erstes ist anzumerken, dass dieses Gesetz den Schutz personenbezogener Daten von Bürgern und Einwohnern Kaliforniens betrifft. Das bedeutet, dass für Unternehmen oder Organisationen, die mit den oben genannten Bürgern zu tun haben, unabhängig von ihrem Standort das Recht gilt.

Als Teil der vom kalifornischen Generalstaatsanwalt veröffentlichten Leitlinien gilt das Gesetz für gewinnorientierte Organisationen, die die folgenden Kriterien erfüllen:

1. Hat einen jährlichen Bruttoumsatz von mehr als 25.000.000 $
2. Kauft oder erhält jährlich für geschäftliche oder kommerzielle Zwecke, verkauft oder teilt die persönlichen Daten von 50.000 oder mehr kalifornischen Verbrauchern
3. Erzielt 50 % oder mehr seiner Jahreseinnahmen aus dem Verkauf der persönlichen Daten kalifornischer Verbraucher.

Wenn Sie dasitzen und denken: „Großartig, mein Unternehmen erfüllt keines dieser Kriterien, ich muss keine Änderungen vornehmen“, dann haben Sie nur teilweise recht. Dieses neue Gesetz kann durch Verlängerung weiterhin für Sie gelten. Wenn Sie Geschäfte mit Unternehmen tätigen, die den CCPA einhalten müssen, müssen Sie möglicherweise dennoch notwendige Änderungen vornehmen, um die Anforderungen zu erfüllen.

Wenn Sie beispielsweise eine E-Mail-Liste für Marketingzwecke von einem kalifornischen Anbieter kaufen, der Millionen von Datensätzen enthält, müssen Sie die vom CCPA vorgeschriebenen Anpassungen vornehmen. Wenn Sie großen Unternehmen WordPress-Webdesign-Dienste anbieten, müssen Sie ebenfalls darauf achten, dass Sie eine konforme Website bereitstellen.

CCPA vs. DSGVO

Die CCPA- und DSGVO-Gesetzgebung ist zwar sehr ähnlich, weist jedoch einige wesentliche Unterschiede auf. Erstens ist die DSGVO viel weitreichender als CCPA.

Die DSGVO enthält Verpflichtungen zur Bestellung von Datenschutzbeauftragten, zur Führung eines Verzeichnisses der Verarbeitungstätigkeiten und zur Notwendigkeit von Datenschutz-Folgenabschätzungen unter bestimmten Umständen. Mit dem CCPA sind keine derartigen rechtlichen Verpflichtungen verbunden, obwohl ähnliche Bestimmungen vorhanden sind.

Als nächstes arbeitet die DSGVO nach dem Grundprinzip, dass es eine Rechtsgrundlage für die Verarbeitung aller Aspekte personenbezogener Daten geben sollte. Der CCPA gilt jedoch nicht einmal für einige Sätze personenbezogener Daten. Zum Beispiel fallen Krankenakten und personenbezogene Daten, die zum Zweck der Kreditauskunft aufgezeichnet werden, nicht unter den CCPA, da sie als von separaten bestehenden Gesetzen abgedeckt gelten.

Schließlich unterscheiden sich die unterschiedlichen Gesetze in einem letzten Rechtsgrundsatz, nämlich der Frage der vorherigen Zustimmung. Der CCPA verlangt von Unternehmen nicht, eine vorherige Zustimmung zur Verarbeitung personenbezogener Daten einzuholen, was die zentrale rechtliche Säule ist, auf der die DSGVO gründet.

Tatsächlich benötigt ein Unternehmen laut CCPA keine vorherige Zustimmung eines Benutzers, bevor es seine Daten verarbeitet, noch benötigt eine Website die vorherige Zustimmung eines Benutzers, bevor sie ihre Daten an Dritte verkauft. Ein kalifornischer Staatsbürger hat jedoch das Recht, sich von dieser Verarbeitung abzumelden und sowohl die Einsichtnahme als auch die Entfernung seiner Daten zu verlangen.

Mit anderen Worten, CCPA zielt darauf ab, Datentransparenz und Schutz im Nachhinein zu gewährleisten. Im Gegensatz dazu konzentriert sich die DSGVO darauf, EU-Bürgern die Befugnis zur vorherigen Zustimmung zur Verarbeitung personenbezogener Daten zu geben.

So machen Sie Ihre Website CCPA-konform

Wenn Ihre WordPress-Website aktualisiert werden muss, um die CCPA-Website-Compliance-Anforderungen zu erfüllen, sollten Ihnen die folgenden Schritte dabei helfen, sicherzustellen, dass Sie nicht mit dem neuen Datenschutzgesetz in Konflikt geraten.

Aktualisieren Sie Ihre Datenschutzerklärung

Sie haben wahrscheinlich bereits eine Datenschutzrichtlinie eingerichtet, um Ihre Website mit der DSGVO in Einklang zu bringen, aber Sie müssen sie aktualisieren, um die vom CCPA geforderten Änderungen widerzuspiegeln. Zunächst müssen Sie die neuen Rechte der Website-Besucher gemäß CCPA einbeziehen.

Sie müssen dann mehrere Kontaktmethoden angeben, damit Verbraucher ihre Anfragen zur Ausübung ihrer gesetzlichen Rechte einreichen können. Es ist auch eine gute Idee, zu aktualisieren, welche Daten Sie sammeln, wie Sie sie erhalten und für welche Zwecke sie verwendet werden, wenn sich eine dieser Informationen seit der Einführung der DSGVO geändert hat.

Denken Sie daran, einen transparenten Schritt-für-Schritt-Prozess festzulegen, wie Kunden Zugriff auf ihre Daten erhalten und deren Entfernung beantragen können. Ändern Sie schließlich das Datum Ihrer Datenschutzerklärung, um zu zeigen, dass diese Aktualisierungen nach der Einführung des neuen Gesetzes erfolgt sind.

(Hinweis: Wenn Sie die personenbezogenen Daten von 4.000.000 oder mehr kalifornischen Verbrauchern pro Jahr verkaufen, müssen Sie möglicherweise zusätzliche Angaben machen.)

Teilen Sie Ihren Kunden mit, wo sie mehr über Ihre Datenschutzrichtlinie und den CCPA erfahren können

Kunden über die Datenschutzrichtlinie und ihre Rechte gemäß dem CCPA aufzuklären, sind Anforderungen, wenn sie ihre Daten sammeln. Beachten Sie, dass Sie keine Zustimmung benötigen (gemäß DSGVO); Stattdessen müssen Sie sie darüber informieren, wo sie mehr darüber erfahren können, was Sie sammeln und warum.

Eine hervorragende Möglichkeit, Ihre Kunden darüber zu informieren, ist eine Datenschutzerklärung oder eine Cookie-Leiste, wie Sie es bereits für DSGVO-Zwecke tun.

Konformitäts-/Datenschutzhinweis, der über die Cookie-Leiste oder Fußzeile bereitgestellt wird

Dieser Hinweis wird dem sehr ähnlich sein, den Sie bereits zur Einhaltung der DSGVO bereitstellen. Diese Compliance-/Datenschutzhinweise sind im Grunde extrem gekürzte Versionen Ihrer Datenschutzerklärung.

Stellen Sie sicher, dass Sie eine Liste der Kategorien personenbezogener Daten, die Sie von Verbrauchern sammeln, beifügen, und führen Sie für jede Kategorie den/die kommerziellen Zweck(e) auf, für den/die sie verwendet werden.

Bei der Anzeige über eine Fußzeile oder Cookie-Leiste haben Sie nur begrenzten Platz. Seien Sie also so direkt und auf den Punkt wie möglich, bevor Sie Links zu Ihrer Datenschutzrichtlinie und Ihrer Seite „Meine persönlichen Daten nicht verkaufen“ einfügen.

Stellen Sie sicher, dass Opt-in/Opt-out verfügbar ist

Wie bereits erwähnt, müssen Sie für die Zwecke des CCPA keine Zustimmung einholen. Sie müssen den Verbrauchern jedoch die Möglichkeit geben, die Erhebung personenbezogener Daten abzulehnen. Vor diesem Hintergrund ist es sinnvoll, diese Erlaubnis mit der für die DSGVO erforderlichen vorherigen Zustimmung zu bündeln, wenn Sie diese Parameter bereits eingerichtet haben.

Angesichts der für CCPA geltenden Kriterien für die Unternehmensgröße ist es wahrscheinlich, dass Sie bereits eine ähnliche Website-Architektur eingerichtet haben. Daher ist es sinnvoll, die erforderlichen Anpassungen vorzunehmen, um auch die CCPA-Anforderungen zu erfüllen.

Fügen Sie eine „Meine Informationen nicht verkaufen“-Seite hinzu und platzieren Sie einen Link dazu auf Ihrer Homepage

Wenn Sie die persönlichen Daten von Einwohnern Kaliforniens verkaufen, müssen Sie nach dem neuen Gesetz eine Webseite mit dem Titel „Meine persönlichen Daten nicht verkaufen“ oder „Meine Daten nicht verkaufen“ haben.

Auf dieser neu erstellten Webseite müssen Sie die folgenden Informationen angeben:

• Einzelheiten zum Recht des Verbrauchers, dem Verkauf seiner personenbezogenen Daten zu widersprechen
• Ein Kontaktformular zum Einreichen eines Antrags auf besagtes Opt-out
• Informationen zu weiteren Kontaktmöglichkeiten zum Opt-out
• Ein Link zu Ihrer Datenschutzerklärung
• Die Beweislast, die erforderlich ist, wenn ein Verbraucher sich dafür entschieden hat, einen bevollmächtigten Vertreter zu haben, der in seinem Namen einen Opt-out-Antrag stellt

Sie sollten einen Link zu dieser Seite in der Fußzeile Ihrer Website platzieren, damit sie nie mehr als einen Klick entfernt ist.

Holen Sie die vorherige Zustimmung von Minderjährigen im Alter von 13 bis 16 Jahren ein, bevor Sie Daten verkaufen

Noch einmal, wenn Sie im Geschäft sind, personenbezogene Daten von Einwohnern Kaliforniens zu verkaufen, dürfen Sie dies für Personen im Alter von 13 bis 16 Jahren ohne vorherige Zustimmung nicht tun. Sie können Ihre Cookie-Leiste verwenden, um eine entsprechende Nachricht mit einem begleitenden Zustimmungsfeld einzufügen.

Wenn Sie kein Interesse daran haben, Daten über Personen dieses Alters zu sammeln, können Sie eine Richtlinie zur Vernichtung aller Daten in Bezug auf Personen aufstellen, die dieses Kriterium erfüllen, was in Ihrer Datenschutzrichtlinie detailliert beschrieben werden sollte.

Zusammenfassung

Obwohl es zweifellos stimmt, dass der CCPA nicht so weitreichend ist wie die DSGVO, sollte er dennoch ernst genommen werden. Es ist wahrscheinlich nur eines von mehreren Datenschutzgesetzen auf Bundesstaatsebene, die im Laufe des Jahres 2020 in ganz Amerika in Kraft treten sollen.

Viele werden den CCPA als Ausschneide- und Einfügevorlage für die Gesetze in Bezug auf ihre jeweiligen Bundesstaaten verwenden. Daher ist es sinnvoll, Ihre WordPress-Site so zu optimieren, dass sie jetzt die CCPA-Website-Compliance-Anforderungen erfüllt, damit Sie weiterhin sowohl auf dem EU- (DSGVO) als auch auf dem nordamerikanischen Markt (CCPA et al.) konform bleiben können. Ausführlichere Informationen zum CCPA finden Sie auf der Website des Justizministeriums des US-Bundesstaates Kalifornien.

Hier bei WP White Security nehmen wir Compliance und Sicherheit ernst. Wir entwickeln hochwertige Nischensicherheits- und Admin-Utility-Plugins, die Administratoren helfen, ihre WordPress-Websites besser zu verwalten und zu sichern. Warum werfen Sie nicht einen Blick auf unser Plugin-Portfolio, um zu sehen, wie wir Ihnen helfen können, Ihre Website besser zu schützen und ihre Benutzer zu verwalten?