Wie stelle ich sicher, dass die Website meines Kleinunternehmens dem California Consumer Privacy Act (CCPA/CPRA) entspricht?

Damit Ihre Website dem kalifornischen Datenschutzgesetz entspricht, müssen Sie feststellen, ob das Gesetz auf Sie anwendbar ist, Verbraucher über Ihren Umgang mit ihren Daten informieren und ihnen Methoden zur Verfügung stellen, mit denen sie ihre Datenschutzrechte ausüben können. So beginnen Sie mit der CCPA/CPRA-Konformität für Ihre Website: Schritt 1: Feststellen, ob das Gesetz auf Ihr Unternehmen anwendbar ist. Stellen Sie zunächst sicher, dass Ihr gewinnorientiertes Unternehmen mindestens einen dieser Schwellenwerte erreicht: (1) Es hat einen jährlichen Bruttoumsatz von über 25 Millionen US-Dollar; (2) es kauft, verkauft oder gibt jährlich die personenbezogenen Daten von 100.000 oder mehr kalifornischen Verbrauchern oder Haushalten weiter; oder (3) es erzielt mindestens 50 % seines Jahresumsatzes durch den Verkauf oder die Weitergabe personenbezogener Daten von Verbrauchern. Wenn Sie keines dieser Kriterien erfüllen, findet CCPA/CPRA wahrscheinlich keine Anwendung. Schritt 2: Erstellen Sie eine Bestandsaufnahme Ihrer Unternehmensdaten. Führen Sie eine Bestandsaufnahme durch, um zu verstehen, welche personenbezogenen Daten Sie von Verbrauchern erheben (z. B. Namen, IP-Adressen, Cookies, E-Mail-Adressen). Dokumentieren Sie, warum Sie die Daten erheben, wie lange Sie sie aufbewahren und ob Sie sie offenlegen, verkaufen oder an Dritte weitergeben. „Teilen“ bezieht sich speziell auf die Offenlegung von Daten für kontextübergreifende verhaltensbasierte Werbung. Schritt 3: Aktualisieren Sie die Datenschutzrichtlinie Ihrer Website. Ihre Datenschutzrichtlinie muss aktualisiert werden, um spezifische CCPA/CPRA-Offenlegungen aufzunehmen. Dazu gehört eine Auflistung der Kategorien der von Ihnen gesammelten personenbezogenen Daten und der Zwecke ihrer Verwendung. Sie müssen auch die Rechte der Verbraucher erläutern, wie z. B. das Recht auf Auskunft, das Recht auf Löschung und das Recht auf Berichtigung ihrer Daten. Schritt 4: Hinzufügen der erforderlichen Website-Links. Auf der Homepage Ihrer Website muss ein klarer und auffälliger Link mit der Überschrift „Meine personenbezogenen Daten nicht verkaufen oder weitergeben“ vorhanden sein. Möglicherweise benötigen Sie auch einen Link „Verwendung meiner sensiblen personenbezogenen Daten einschränken“, wenn Sie sensible Daten (wie Standort- oder Gesundheitsinformationen) für Zwecke erheben und verwenden, die über die Bereitstellung Ihres Basisdienstes hinausgehen. Schritt 5: Erstellen Sie einen Prozess zur Erfüllung von Verbraucheranfragen. Sie müssen Verbrauchern mindestens zwei Methoden zur Einreichung von Datenschutzanfragen anbieten. Gängige Methoden sind ein interaktives Webformular auf Ihrer Website und eine gebührenfreie Telefonnummer. Sie müssen über einen Prozess verfügen, um die Identität der anfragenden Person zu überprüfen und innerhalb von 45 Tagen zu antworten. Wichtige Hinweise: CCPA/CPRA gilt nun für Daten, die Sie von Ihren in Kalifornien ansässigen Mitarbeitern und Geschäftskontakten erheben, nicht nur von Kunden. Sie müssen außerdem angemessene Sicherheitsmaßnahmen zum Schutz der von Ihnen erhobenen Daten ergreifen. Hinweis: Bei Verstößen drohen erhebliche Strafen, die bis zu 7.500 US-Dollar pro vorsätzlichem Verstoß betragen können. Dieses Gesetz ist komplex, und die Durchsetzung obliegt der California Privacy Protection Agency (CPPA). Dies sind allgemeine Informationen und stellen keine Rechtsberatung dar. Wenden Sie sich bei komplexen Situationen oder einer vollständigen Compliance-Prüfung an einen qualifizierten kalifornischen Anwalt, der auf Datenschutzrecht spezialisiert ist.