Im Mai letzten Jahres trat die DSGVO in Kraft. Eine Veranstaltung, die viele Fragen zur Einhaltung dieser Gesetzgebung aufwarf. Müssen sich auch amerikanische Unternehmen daran halten? Und wie sieht es mit Verarbeitungsverträgen aus? Was sind Sie? Muss ich wirklich einen Cookie-Hinweis hinzufügen? Und dies sind nur einige der häufigsten Fragen, die im Internet gestellt werden. Einige Monate später scheint sich die Hektik rund um die DSGVO abgekühlt zu haben. Aber jetzt gibt es eine neue Gesetzesankündigung für Kalifornien. Die CCPA.
Was ist also der CCPA? Wie sieht es im Vergleich zur DSGVO aus? Und erfüllen Sie bereits den CCPA, wenn Sie die DSGVO einhalten?
WICHTIG: Dies ist eine freundliche Erinnerung daran, dass wir keine Anwälte sind. Wir teilen lediglich Informationen über den CCPA und die DSGVO. Bitte wenden Sie sich an einen Rechtsanwalt oder spezialisierten Berater, um sicherzustellen, dass Ihre Website vollständig und gesetzeskonform ist.
Die DSGVO
Zuerst eine kurze Zusammenfassung zur DSGVO. Die Datenschutz-Grundverordnung (kurz DSGVO) ist eine europäische Gesetzgebung aus dem Jahr 2016. Damals wurde vereinbart, dass die Gesetzgebung ab dem 25. Mai 2018 in Kraft tritt. Die DSGVO konzentriert sich auf folgende Aspekte:
- Stärkung und Erweiterung der Datenschutzrechte
- Mehr Verantwortung für Organisationen
- Gleiche, solide Befugnisse für alle europäischen Datenschutzaufsichtsbehörden, wie zum Beispiel die Befugnis, Bußgelder von bis zu 20 Millionen Euro zu verhängen
- Und vor allem Transparenz für Besucher darüber, was mit ihren Daten passiert
Kurz gesagt, dies war eine radikale Ergänzung des Gesetzes für mehrere EU-Länder. Es war auch eine drastische Änderung für WordPress-Websites.
Beispielsweise mussten Sie auf der Website eine Cookie-Benachrichtigung anzeigen, auf der Cookies erst nach Zustimmung platziert werden. Sie mussten eine Datenschutzerklärung erstellen. Nun waren Verarbeitungsverträge erforderlich. Und natürlich müssen Sie den Benutzern immer die Möglichkeit geben, ihre persönlichen Daten anzufordern und/oder zu entfernen. Außerdem so viel mehr.
Das ist viel Regulierung. Vor allem für kleine Organisationen. Glücklicherweise sind für diejenigen, die WordPress verwenden, eine Reihe von Plugins eingesprungen, um etwas von der Lücke aufzufangen. Wenn Sie eine schnelle Google-Suche durchführen, werden Sie viele Optionen finden. Wir haben jedoch unsere eigene Liste der besten WordPress-Plugins zur DSGVO-Konformität zusammengestellt, um Ihnen zu helfen.
Da Websites gerade erst anfangen, sich mit der DSGVO vertraut zu machen, zeichnet sich jetzt eine neue Verordnung ab. Die CCPA.
Der CCPA
Die California Consumer Privacy Act (CCPA) wurde am 28. Juni 2018 vom kalifornischen Gouverneur Brown unterzeichnet. Dieses Gesetz ist wahrscheinlich eines der strengsten und weitreichendsten Verbraucherschutzgesetze des Landes. Dieses Gesetz soll 2020 in Kraft treten und den Kaliforniern neue Datenschutzrechte einräumen.
Der CCPA wurde als Reaktion auf anhaltende Datenschutzbedenken entworfen und in nur einer Woche verabschiedet. Hauptsächlich als Möglichkeit für Verbraucher, ihre personenbezogenen Daten angesichts der jüngsten Datenschutzverletzungen und damit verbundenen Datenschutzvorfällen wirksam zu schützen. Insbesondere Verstöße gegen Equifax, Target und Cambridge Analytics, von denen Millionen betroffen sind.
Der CCPA konzentriert sich hauptsächlich auf:
- Kontrolle personenbezogener Daten
- Schutz personenbezogener Daten
- Einblick in die von Unternehmen erworbenen Informationen
Im Allgemeinen sieht es also sehr nach der DSGVO aus. Aber Sie erfüllen die DSGVO nicht, wenn Sie den CCPA erfüllen und umgekehrt. Es gibt viele Unterschiede zwischen den beiden Gesetzen.
CCPA vs. DSGVO
Es liegt auf der Hand, dass sich beide Rechtsvorschriften auf den Schutz personenbezogener Daten und deren Weitergabe konzentrieren. Dennoch erscheint die DSGVO etwas strenger, wenn man sich die wichtigsten Punkte der unten behandelten Gesetze ansieht.
Kekse: Mit der DSGVO ist es zwingend erforderlich, Cookies auf Basis von Opt-In zu setzen. Beim CCPA basiert dies auf einem Opt-out. Bei letzterem sind Sie auch verpflichtet anzugeben, welche Cookies Sie setzen.
Datenschutz-Bestimmungen: Beide Gesetze verlangen, dass Sie eine Datenschutzrichtlinie auf Ihrer Website anzeigen.
Cookie-Richtlinie: Sie benötigen eine Cookie-Richtlinie mit der DSGVO, mit der CCPA können Sie diese in Ihre DNSMPI-Seite (Do Not Sell My Personal Information) integrieren.
Anwendung: Mit der DSGVO gilt die Gesetzgebung für jeden, der personenbezogene Daten verarbeitet, mit dem CCPA betrifft es Folgendes:
- Wenn Sie 24 Millionen Dollar Gewinn pro Jahr machen.
- Sie haben mehr als 50.000 Zeilen personenbezogener Daten von Haushalten, Personen oder Geräten. Dies bedeutet, dass Sie sich daran halten müssen, wenn Ihre Website mindestens 50.000 Besucher pro Jahr erhält, da Sie IP-Adressen sammeln, Tracking-Cookies platzieren usw.
- Auch wenn die Hälfte Ihres Gewinns aus dem Verkauf personenbezogener Daten besteht, müssen Sie den CCPA einhalten.
Geldbußen: Die Bußgelder der DSGVO sind höher als die des CCPA. 4 % des Jahresumsatzes oder 20 Mio. € (je nachdem, welcher Betrag höher ist). Mit dem CCPA kostet ein Verstoß 7500 US-Dollar plus 750 US-Dollar pro beteiligter Person.
Offenlegung: Ein weiterer interessanter Unterschied ist die Spezifität der Offenlegungen. Die DSGVO schreibt vor, dass den betroffenen Personen eine klare und konkrete Erklärung zu den Zwecken der Datenverwendung gegeben werden muss. Der Datenverantwortliche hat einige Freiheiten, wie dies zu tun ist.
Der CCPA ist präskriptiver. Darin heißt es, dass ein Unternehmen auf der Internet-Homepage des Unternehmens einen klaren und auffälligen Link mit dem Titel „Meine persönlichen Daten nicht verkaufen“ zu einer Internet-Webseite bereitstellen wird, die es einem Verbraucher oder einer vom Verbraucher autorisierten Person ermöglicht, sich abzumelden des Verkaufs der personenbezogenen Daten des Verbrauchers.
Altersanforderung: Schließlich noch ein Unterschied. Kinder zwischen 13 und 16 Jahren müssen dem Verkauf personenbezogener Daten ausdrücklich zustimmen. Wenn das Kind unter 13 Jahre alt ist, muss ein Elternteil dem Verkauf und der Weitergabe personenbezogener Daten zustimmen.
Wie Sie sehen können, gibt es viele Unterschiede, obwohl die beiden so ähnlich sind. Und um ehrlich zu sein, ist es ein bisschen verwirrend und überwältigend, all diese Anforderungen im Auge behalten zu müssen. Welche Auswirkungen hat dies auf Ihre WordPress-Website? Und wie können Sie sicher sein, dass Sie sowohl die DSGVO als auch den CCPA einhalten?
Wie halte ich CCPA auf meiner WordPress-Website ein?
Für die meisten WordPress-Websites mussten Sie wahrscheinlich bereits die DSGVO in irgendeiner Form oder Form einhalten. Nachfolgend finden Sie eine kurze Übersicht über die aktuellen DSGVO-Compliance-Anforderungen:
- Cookie-Richtlinie
- Cookie-Zustimmungsbanner (mit einem Link zur Cookie-Richtlinie)
- Datenschutz-Bestimmungen
- Verarbeitungsverträge
- Möglichkeit, personenbezogene Daten einzusehen und diese Daten innerhalb eines Monats zu senden
- Cookies blockieren, bis sie erlaubt sind
- Sichere Verbindung (SSL)
Glücklicherweise gibt es viele Plugins, die Ihnen bei diesem Großteil dieser Liste helfen können (wie wir oben erwähnt und verlinkt haben).
Mit dem bevorstehenden CCPA sind die folgenden Aspekte erforderlich, damit Ihre WordPress-Website den Anforderungen entspricht:
- Datenschutz-Bestimmungen
- Cookie-Zustimmungsbanner (Abmeldeoptionen mit einem Link zur Datenschutzrichtlinie und zur Seite „Meine persönlichen Daten nicht verkaufen“)
- Sichere Verbindung (SSL)
- Dokument „Meine persönlichen Daten nicht verkaufen“
- Verarbeitungsvereinbarung mit allen Auftragsverarbeitern und/oder Dienstleistern
- Altersüberprüfung
Auch hier der DSGVO sehr ähnlich, aber nicht identisch. Das bedeutet, dass Sie, wenn Sie Bedenken hinsichtlich des CCPA haben, entweder sicherstellen müssen, dass Sie manuell eine DNSMPI-Seite hinzufügen, Verarbeitungsvereinbarungen erstellen und einen Weg finden, das Alter der Benutzer zu bestätigen (um die Zustimmung von Benutzern zwischen 13 und 16 Jahren einzuholen und den Datenschutz zu gewährleisten für Benutzer unter 13). Das ist eine ziemlich große Aufgabe, aber zum Glück haben einige Entwickler ihre Plugins bereits aktualisiert, um zu helfen.
Die Lösung
Eine schnelle und einfache Lösung, um CCPA vorzubereiten, ist die Installation eines Plugins. Genauer gesagt das Complianz-Plugin.
Das Plugin enthält wichtige Einstellungen, um sicherzustellen, dass Ihre WordPress-Site DSGVO- und CCPA-fähig ist. Complianz verwendet beispielsweise Geolokalisierung, um festzustellen, welches Cookie-Banner ein Benutzer benötigt. Oder welche Datenschutzerklärung in welcher Situation angezeigt werden soll. Das Plugin unterstützt sogar die Möglichkeit, für jedes Land oder jede Gesetzgebung eine separate Verarbeitungsvereinbarung zu erstellen.
Neben der Möglichkeit, beide Gesetze einzuhalten, Konformität liefert auch:
- Ein Haftungsausschluss
- Cookie-Richtlinie
- Cookie-Zustimmungsbanner
- Seite „Meine persönlichen Daten nicht verkaufen“
- Datenschutz-Bestimmungen
- Datenschutzrichtlinie für Kinder (gemäß dem COPPA-Gesetz)
- Berichte zu Datenlecks
- Statistiken, um zu analysieren, welches Cookie-Banner am besten abschneidet
- A/B-Tests
- Tag Manager-Implementierung
Das Plugin ist auch ePrivacy-ready. Dies ist eine neue europäische Gesetzgebung, die irgendwann im Jahr 2020 in Kraft treten soll. Außerdem ist das Plugin COPPA-fähig. Dies ist ein amerikanisches Gesetz, das die Online-Privatsphäre von Kindern unter 13 Jahren garantiert. Mit einem Plugin können Sie also sicherstellen, dass Ihre WordPress-Site bereits vier Gesetze erfüllt!
Abschließender Blick auf CCPA vs. DSGVO
Nur weil Sie bereits die EU-DSGVO einhalten, bedeutet dies leider nicht, dass Sie die neue CCPA-Gesetzgebung einhalten. Es gibt weitere Anforderungen, auf die Sie achten sollten. Plus für US-Bürger (insbesondere diejenigen im Golden State) würde ich denken, dass die Wahrscheinlichkeit einer Geldstrafe höher ist. Daher ist es am besten, im Voraus zu planen und vorbereitet zu sein.
Glücklicherweise besteht die Antwort wie bei den meisten WordPress-Elementen darin, einfach ein Plugin zu installieren. Mit ein wenig Hilfe von Complianz kann Ihre Website sowohl DSGVO als auch CCPA sein. Aber es geht natürlich noch weiter. Auch der bewusstere Umgang mit Daten ist ein Aspekt, den Sie berücksichtigen müssen. Erwarten Sie, dass in den kommenden Jahren immer mehr Regierungen nachziehen werden, um die Bedeutung des Datenschutzes zu stärken. Umso wichtiger ist es für Sie, Ihre Website-Datenverwaltung eher früher als später in Ordnung zu bringen.