California Consumer Privacy Act (CCPA) – häufig gestellte FragenCalifornia Consumer Privacy Act (CCPA) Frequently Asked Questions

Hinweis

Dieser Artikel wird im „Istzustand“ bereitgestellt.This topic is provided "as-is." Die in diesem Artikel enthaltenen Informationen und zum Ausdruck gebrachten Ansichten, auch URL- und andere Internet-Websitebezüge, können ohne vorherige Ankündigung geändert werden.Information and views expressed in this topic, including URL and other Internet Web site references, may change without notice. Das Risiko der Produktnutzung liegt allein beim Nutzer.You bear the risk of using it. Dieser Artikel wurde als Leitfaden erstellt und sollte nicht als rechtlicher Ratschlag interpretiert werden.This topic has been created as a guide and should not be construed as legal advice. Sie sollten sich mit Ihren eigenen Rechtsexperten beraten.You should consult with your own legal professionals. Dieser Artikel gewährt keine Rechte an dem geistigen Eigentum für Microsoft-Produkte.This topic does not provide you with any legal rights to any intellectual property in any Microsoft product. Er darf für interne Zwecke und als Referenz kopiert und verwendet werden.You may copy and use this topic for your internal, reference purposes.

Kurze häufig gestellte FragenFast FAQs

Was ist das CCPA?What is the CCPA?

Das California Consumer Privacy Act (CCPA) ist das erste umfassende Datenschutzgesetz in den Vereinigten Staaten.The California Consumer Privacy Act (CCPA) is the first comprehensive privacy law in United States. Es wurde Ende Juni 2018 in Kraft gesetzt und bietet den Verbrauchern in Kalifornien eine Vielzahl von Datenschutzrechten.It was signed into law at the end of June 2018 and provides a variety of privacy rights to California consumers. Die durch das CCPA regulierten Unternehmen haben gegenüber diesen Verbrauchern eine Reihe von Verpflichtungen, darunter Offenlegungen, die Rechte für Verbraucher ähnlich der Allgemeinen Datenschutzverordnung (DSGVO), ein „Opt-out“ für bestimmte Datentransfers und eine „Opt-in“-Anforderung für Minderjährige.Businesses regulated by the CCPA will have a number of obligations to those consumers, including disclosures, General Data Protection Regulation (GDPR)-like rights for consumers, an “opt-out” for certain data transfers and an “opt-in” requirement for minors.

Wer sollte über das CCPA informiert sein?Who needs to know about the CCPA?

Das CCPA (kalifornische Gesetz zum Schutz der Privatsphäre von Verbrauchern) gilt nur für Unternehmen, die in Kalifornien geschäftlich tätig sind und jährlich einen oder mehrere der folgenden Punkte erfüllen: (1) einen Bruttoumsatz von mehr als 25 Millionen USD erwirtschaften, (2) 50 % oder mehr ihres Jahresumsatzes aus dem Verkauf persönlicher Verbraucherinformationen erzielen oder (3) die persönlichen Informationen von mehr als 50.000 Verbrauchern kaufen, verkaufen oder weitergeben.The CCPA only applies to companies doing business in California, which annually satisfy one or more of the following: (1) have a gross revenue of more than $25 million, (2) derive 50% or more of its annual revenue from the sale of consumer personal information, or (3) buys, sells, or shares the personal information of more than 50,000 consumers.

Wann tritt das CCPA in Kraft?When will the CCPA come into effect?

Das CCPA tritt am 1. Januar 2020 in Kraft.The CCPA goes into effect on January 1, 2020. Die Vollstreckung durch die Generalstaatsanwaltschaft wird jedoch erst am 1. Juli 2020 beginnen.However, enforcement by the Attorney General (AG) will not begin until July 1, 2020.

Wie wirkt sich das CCPA auf mein Unternehmen aus?How will the CCPA affect my company?

Viele der Rechte, die das CCPA den Kaliforniern gewährt, ähneln den Rechten, welche die DSGVO bietet, einschließlich der Offenlegungs- und Verbraucheranfragen, die denen von DSR-Anträgen (Rechte der Betroffenen) ähneln, wie Zugang, Löschung und Portabilität.Many of the CCPA’s rights afforded to Californians are similar to the rights the GDPR provides, including the disclosure and consumer requests similar to data subject right (DSR) requests, such as access, deletion, and portability. Somit kann der Kunde auf unsere bestehenden DSGVO-Lösungen zurückgreifen, um sie bei der CCPA-Compliance zu unterstützen.As such, customer can look to our existing GDPR solutions to help them with their CCPA compliance.

Um Ihren Weg durch das CCPA zu beginnen, sollten Sie sich auf fünf wichtige Schritte konzentrieren:To begin your CCPA journey, you should focus on five key steps:

  • Entdecken: Herausfinden, welche pesönlichen Informationen Sie haben und wo sie sich befinden.Discover: Identify what Personal Information you have and where it resides.
  • Zuordnen: Bestimmen Sie, wie Sie persönliche Informationen an Drittanbieter weitergeben und ob der Dritte einer Ausnahme von den Opt-out-Anforderungen des CCPA unterworfen ist.Map: Determine how you are sharing Personal Information with third parties and identify if the third party is subject to an exception from the CCPA opt-out requirements.
  • Verwalten: Legen Sie fest, wie die Daten genutzt werden und wie darauf zugegriffen wird.Manage: Govern how the data is used and accessed.
  • Schützen: Richten Sie Sicherheitskontrollen ein, um Schwachstellen und Datenschutzverletzungen zu verhindern, zu erkennen und darauf zu reagieren.Protect: Establish security controls to prevent, detect, and respond to vulnerabilities and data breaches.
  • Dokumentieren: Dokumentieren Sie ein Reaktionsprogramm gegen Datenverstöße und stellen Sie sicher, dass Ihre Verträge mit geeigneten Dritten in der Lage sind, die Vorteile der Opt-out-Ausnahmen zu nutzen.Document: Document a data breach response program and ensure your contracts with applicable third parties are able to take advantage of the opt-out exceptions.

Sie müssen die spezifischen Verpflichtungen Ihres Unternehmens gemäß CCPA kennen und wissen, wie Sie diese einhalten. Microsoft unterstützt Sie auf Ihrem Weg.You need to understand what your organization’s specific obligations are under the CCPA and how you meet them, though Microsoft is here to help you on your journey.

Umfassende häufig gestellte FragenComprehensive FAQs

Welche Rechte müssen Unternehmen laut der CCPA gewähren?What rights must companies enable under the CCPA?

Das CCPA verlangt von regulierten Unternehmen, die persönliche Informationen erheben, verwenden, übertragen und verkaufen unter anderem:The CCPA requires regulated businesses that collect, use, transfer, and sell personal information to, among other things:

  • Den Verbrauchern vor der Erfassung Informationen über die Kategorien und Zwecke der Erfassung zur Verfügung zu stellen.Provide disclosures to consumers, prior to collection, regarding the categories and purposes of collection.
  • Detaillierte Angaben in einer Datenschutzrichtlinie zu den Quellen, Geschäftszwecken und Kategorien der erfassten persönlichen Informationen, einschließlich der Frage, wie diese Kategorien verkauft oder an andere Unternehmen übertragen werden.Provide detailed disclosures in a privacy policy regarding the sources, business purposes, and categories of personal information that is collected, including how those categories are sold or transferred to other entities.
  • Aktivieren Sie den Verbrauchern Rechte in Bezug auf den Zugriff, die Löschung und die Übertragbarkeit der spezifischen persönlichen Informationen, die von Ihnen erfasst wurden.Enable Consumer rights relating to access, deletion, and portability of the specific pieces of personal information that has been collected by you.
  • Aktivieren Sie ein Steuerelement, das es den Verbrauchern ermöglicht, sich aus dem „Verkauf“ der Verbraucherdaten zurückzuziehen.Enable a control that will permit consumers to opt out of the “sale” of the consumer’s data. Bestimmte Übertragungen, wie z. B. Übertragungen an Dienstanbieter, bleiben jedoch zulässig.However, certain transfers, like transfers to service providers, remain permitted.
  • Für Minderjährige unter 16 Jahren sollte ein Opt-in-Prozess aktiviert werden, damit kein Verkauf der persönlichen Informationen des Minderjährigen stattfinden kann, ohne sich aktiv für den Verkauf zu entscheiden.For minors, under 16, enable an opt-in process so that no sale of the minor’s personal information can occur without actively opting in to the sale.
  • Stellen Sie sicher, dass die Verbraucher nicht wegen der Ausübung ihrer Rechte aus dem CCPA diskriminiert werden.Ensure that consumers are not discriminated against for exercising any of their rights under CCPA.

Was sind die erforderlichen CCPA-Offenlegungen?What are the CCPA required disclosures?

Das CCPA verlangt die Offenlegung der folgenden Punkte:The CCPA requires disclosure of the following:

  • Kategorien von persönlichen Informationen des Verbrauchers, die erfasst wurden.Categories of personal information of the consumer that have been collected.
  • Kategorien von Quellen, die bei der Erfassung verwendet wurden.Categories of sources used in collection.
  • Die geschäftlichen oder kommerziellen Zwecke der Erfassung.The business or commercial purposes for collecting.
  • Die Kategorien von Drittanbietern, mit denen die persönlichen Informationen „geteilt“ werden.The categories of third parties with whom the personal information is “shared”.
  • Kategorien von personenbezogenen Daten, die „verkauft“ wurden, und die Kategorien von „Drittanbietern“, an die jede Kategorie von personenbezogenen Daten verkauft wurde.Categories of personal information that has been “sold” and the categories of “third parties” to whom each category of personal information was sold.
  • Kategorien von personenbezogenen Daten, die „für einen Geschäftszweck offengelegt“ wurden (d. h. übertragen, aber nicht „verkauft“), und die Kategorien von „Drittanbietern“, an die jede Kategorie von personenbezogenen Daten übertragen wurde.Categories of personal information that has been “disclosed for a business purpose” (that is, transferred but not a “sale”) and the categories of “third parties” to whom each category of personal information was transferred.
  • Die spezifischen personenbezogenen Daten, die über diesen Verbraucher erfasst wurden.The specific pieces of personal information that has been collected about that consumer.

Wie werden die Daten unter dem CCPA „verkauft“?How is data “sold” under the CCPA?

Die Definition von „verkaufen“ im CCPA ist unglaublich weit gefasst, einschließlich der „Bereitstellung persönlicher Informationen für Drittanbieter“ für monetäre oder andere wertvolle Gegenleistungen.The definition of “sell” in the CCPA is incredibly broad, including “making personal information available to” a third party for monetary or other valuable consideration. Wenn ein Verbraucher sich für ein „Opt-out“ entschieden hat, ist das Unternehmen verpflichtet, den Datenverkehr persönlicher Informationen an Dritte zu deaktivieren.Where a consumer has elected to “opt-out”, the business will be required to turn off the flow of personal information to any third party.

Das CCPA bietet eine Reihe von Ausgliederungen für dieses Opt-out-Steuerelement des „Verkaufs“ an.The CCPA does provide a number of carve-outs to this “sale” opt-out control. Die drei wichtigsten Ausgliederungen sind Übertragungen (i) an einen Dienstanbieter, (ii) an einer „freigestellten Institution“ oder „Auftragnehmer“ und (iii) in Richtung des Verbrauchers.The three primary carve-outs are transfers (i) to a Service Provider, (ii) to an “exempted entity” or “contractor”, and (iii) at the direction of the consumer. Selbst wenn ein Verbraucher sich für ein „Opt-out“ entschieden hat, können personenbezogene Daten weiterhin an Drittanbieter weitergegeben werden, die in diese Ausgliederungen passen.Even if a consumer has elected to “opt-out”, personal information can continue to transfer to third parties who fit into those carve-outs.

Um die ersten beiden Ausnahmen in Anspruch nehmen zu können, müssen die Unternehmen sicherstellen, dass die Datenübertragung durch schriftliche Verträge geregelt ist, welche die vom CCPA geforderten besonderen Bedingungen enthalten.To take advantage of the first two exemptions, businesses will have to ensure that the transfers are governed by written contracts containing the specific terms required by the CCPA.

Was bedeuten Unternehmen und Dienstleister im Kontext von CCPA?What do Businesses and Service Providers mean in the context of CCPA?

Im Kontext von CCPA sind Unternehmen natürliche oder juristische Personen, die den Zweck und die Mittel der Verarbeitung personenbezogener Daten des Verbrauchers bestimmen, und Dienstleister sind natürliche oder juristische Personen, die Informationen im Namen eines Unternehmens verarbeiten.In the context of CCPA, Businesses are individuals or entities that determine the purposes and means of the processing of consumer’s personal data, and Service Providers are individuals or entities that process information on behalf of a business. Diese sind weitgehend gleichbedeutend mit den Begriffen Verantwortliche und Auftragsverarbeiter, die in der DSGVO verwendet werden.These are broadly synonymous with the terms Controllers and Processors used in GDPR.

Wie hoch können die Strafen bei Nichteinhaltung sein?How much can companies be fined for noncompliance?

Das private Klagerecht im CCPA beschränkt sich auf Datenverstöße.The private right of action in the CCPA is limited to data breaches. Im Rahmen des privaten Klagerechts kann der Schaden zwischen $ 100 und $ 750 pro Vorfall und Verbraucher liegen.Under the private right of action, damages can come in between $100 and $750 per incident per consumer. Die California AG kann das CCPA auch in ihrer Gesamtheit durchsetzen, mit der Möglichkeit, eine Zivilstrafe von nicht mehr als $ 2.500 pro Verstoß oder $ 7.500 pro vorsätzlichem Verstoß zu erheben.The California AG also can enforce the CCPA in its entirety with the ability to levy a civil penalty of not more than $2,500 per violation or $7,500 per intentional violation.

Was unternimmt Microsoft zur Einhaltung der CCPA-Compliance?What is Microsoft doing to achieve CCPA compliance?

Da Microsoft DSGVO-bezogene DSRs weltweit implementiert hat, sind wir derzeit hervorragend positioniert, um die damit verbundenen CCPA-Anforderungen zu erfüllen.As Microsoft has implemented GDPR-related DSRs globally, we are currently in an excellent position to meet the related CCPA requirements. Wir haben auch unsere Vereinbarungen über den Datenaustausch mit Drittanbietern überprüft und Maßnahmen ergriffen, um festzustellen, ob die erforderlichen Vertragsbedingungen vorhanden sind, um sicherzustellen, dass wir keine persönlichen Informationen „verkaufen“.We have also reviewed our third-party data sharing agreements and taken steps to establish that the necessary contractual terms are in place to ensure that we do not “sell” personal information.

Was sind einige Tools, die meiner Organisation bei der Vorbereitung für CCPA helfen können?What are some tools that can help my organization to start preparing for CCPA?

  • Nutzen Sie die DSGVO-Bewertung im Compliance-Manager als Teil Ihres CCPA-Datenschutzprogramms.Start leveraging the GDPR assessment in Compliance Manager as part of your CCPA privacy program.
  • Richten Sie einen Prozess ein, um effizient auf Verbraucheranfragen zu reagieren.Establish a process to efficiently respond to Consumer Requests.
  • Richten Sie Etiketten und Richtlinien ein, um vertrauliche Daten mit Microsoft Information Protection zu erkennen, zu klassifizieren und zu kennzeichnen und zu schützen.Set up label and policies to discover, classify & label, and protect sensitive data with Microsoft Information Protection.
  • Verwenden Sie E-Mail-Verschlüsselungsfunktionen, um vertrauliche Informationen weiter zu kontrollieren.Use email encryption capabilities to further control sensitive information.
  • Erfahren Sie mehr in diesem Blogbeitrag.Learn more in this blog post.

Worin unterscheiden sich DSGVO und CCPA?What are the differences between GDPR and CCPA?

Es gibt viele Unterschiede.There are many differences. Es ist einfacher, sich auf die Gemeinsamkeiten zu konzentrieren, einschließlich:It’s easier to focus on the similarities, including:

  • Transparenz- und Offenlegungspflichten.Transparency/disclosure obligations.
  • Das Recht der Verbraucher auf Zugang, Löschung und Erhalt einer Kopie der Daten.Consumer rights to access, delete, and receive a copy of data.
  • Definition von „Dienstanbieter“, ähnlich wie „Auftragsverarbeiter“ in der DSGVO mit ähnlicher vertraglicher Verpflichtung.Definition of “service providers” that is similar to how GDPR defines “processors” with a similar contractual obligation.
  • Definition von „Unternehmen“, welche die DSGVO-Definition von „Verantwortliche“ umfasst.Definition of “businesses” that encompasses the GDPR definition of “controllers”.

Der größte Unterschied im CCPA besteht in der Kernanforderung, ein Opt-out vom Verkauf von Daten an Drittanbieter zu ermöglichen (wobei „Verkauf“ allgemein definiert ist, um die gemeinsame Nutzung von Daten als wertvolle Gegenleistung zu beinhalten).The biggest difference in CCPA is the core requirement to enable an opt-out from sales of data to third parties (with “sale” broadly defined to include sharing of data for valuable consideration). Dies ist eine begrenztere und spezifischere Verpflichtung als das breite DSGVO-Recht, der Verarbeitung zu widersprechen, das diese Art des „Verkaufs“ umfasst, sich aber nicht ausdrücklich auf diese Art von Freigabe beschränkt.This is a narrower and more specific obligation than the broad GDPR right to object to processing, which encompasses this type of “sale,” but is not specifically limited to covering this type of sharing.

Was sind Auftragsverarbeiter und Verantwortliche?What are Processors and Controllers?

Ein Verantwortlicher ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.A controller is a natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data. Ein Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, welche personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.A processor is a natural or legal person, public authority, agency, or other body that processes personal data on behalf of the controller.

Was gilt insbesondere als persönliche Informationen?What specifically is deemed personal information?

Persönliche Informationen sind alle Informationen, die eine identifizierte oder identifizierbare Person betreffen.Personal information is any information relating to an identified or identifiable person. Es wird nicht zwischen privaten, öffentlichen oder beruflichen Rollen einer Person unterschieden.There is no distinction between a person’s private, public, or work roles. Der definierte Begriff „persönliche Informationen“ entspricht in etwa dem Begriff „persönliche Daten“ unter der DSGVO.The defined term “personal information” roughly lines up with “personal data” under GDPR. Allerdings umfasst das CCPA auch Familien- und Haushaltsdaten.However, CCPA also includes family and household data.

Beispiele für personenbezogene Daten:Examples of personal data include:

IdentitätIdentity

  • NameName
  • Private AdresseHome address
  • Geschäftliche AdresseWork address
  • TelefonnummerTelephone number
  • MobiltelefonnummerMobile number
  • E-Mail-AdresseEmail address
  • ReisepassnummerPassport number
  • PersonalausweisnummerNational ID card
  • Sozialversicherungsnummer (oder ähnlich)Social Security Number (or equivalent)
  • FührerscheinDriver's license
  • Physische, physiologische oder genetische InformationenPhysical, physiological, or genetic information
  • Medizinische InformationenMedical information
  • Kulturelle IdentitätCultural identity

FinanzenFinance

  • Bankverbindung/KontonummernBank details / account numbers
  • SteuernummerTax file number
  • Kreditkartennummer/EC-KartennummerCredit/Debit card numbers
  • Beiträge in sozialen NetzwerkenSocial media posts

OnlineartefakteOnline Artifacts

  • Beiträge in sozialen NetzwerkenSocial media posts
  • IP-Adresse (EU-Raum)IP address (EU region)
  • Standort/GPS-DatenLocation / GPS data
  • CookiesCookies

Wie gilt das CCPA für Kinder?How does the CCPA apply to children?

  • CCPA führt elterliche Zustimmungsverpflichtungen im Einklang mit dem Children's Online Privacy Protection Act (COPPA) für Kinder unter 13 Jahren ein.CCPA introduces parental consent obligations consistent with The Children's Online Privacy Protection Act (COPPA) for children under the age of 13.
  • Für Kinder zwischen 13 und 16 Jahren erlegt das CCPA eine neue Verpflichtung auf, die Opt-in-Einwilligung des Kindes für jeden „Verkauf“ seiner persönlichen Informationen einzuholen.For children between 13 and 16 years old, CCPA imposes a new obligation to obtain opt-in consent from the child for any “sale” of their personal information.

Wie sieht es mit den personenbezogenen Daten meiner Mitarbeiter aus?What about personal data from my employees?

Im Oktober 2019 wurden eine Reihe von Änderungen am CCPA beschlossen.In October 2019, a number of amendments were passed to the CCPA. In einer Änderung wurde klargestellt, dass die CCPA-Verpflichtungen nicht für die persönlichen Informationen von Mitarbeitern des Unternehmens gelten.One amendment clarified that the CCPA obligations do not apply to the personal information of employees of the business. Allerdings haben die Gesetzgeber eine einjährige Befristung auf diese Ausnahmeregelung gesetzt.However, legislators put a one-year sunset on that exemption. Wir gehen davon aus, dass Kalifornien im Jahr 2020 ein neues Datenschutzgesetz für Mitarbeiter einführen wird.We expect California to legislate a new data protection law for employees in 2020.

Muss ich als Microsoft-Kunde das Opt-out-Steuerelement für Übertragungen an Microsoft implementieren?As a Microsoft customer, do I need to implement the opt-out control for transfers to Microsoft?

Nein.No. Als Anbieter von Online-Dienstleistungen ergreifen wir Maßnahmen, um uns als „Dienstlanbieter“ nach CCPA zu qualifizieren.As a provider of online services, we are taking steps to ensure that we qualify as a “Service Provider” under CCPA. Wie vorstehend erwähnt, ist die Übertragung persönlicher Informationen an Dienstanbieter zulässig, auch wenn ein Verbraucher sich entschieden hat, dies nicht zu tun.As noted above, transfers of personal information to service providers are permitted, even where a consumer has opted out.