Antworten auf die wichtigsten fünf Fragen zu CCPA

In diesem Beitrag gehen wir auf einige Aspekte ein, die jedes Unternehmen über den California Consumer Privacy Act (CCPA) wissen sollte.
Aktualisiert am 24. November 2021

Dieser Artikel stellt keine Rechtsberatung dar und hat nicht den Anspruch, ein Anwalts-Mandanten-Verhältnis herbeizuführen oder zu schaffen. Ihr solltet gegebenenfalls professionelle Rechtsberatung in Anspruch nehmen.

Am 1. Januar 2020 tritt in den USA ein wichtiges Datenschutzgesetz in Kraft, der California Consumer Privacy Act. Der CCPA, der den Einwohnern Kaliforniens mehr Kontrolle über ihre persönlichen Daten geben soll, könnte landesweite Auswirkungen haben, da viele Unternehmen ihn wahrscheinlich als nationalen Standard für die Einhaltung der Datenschutzbestimmungen übernehmen werden.

Criteo ist ein globales Unternehmen und hat als solches die 2016 verabschiedete und 2018 umgesetzte Datenschutz-Grundverordnung (DSGVO) der Europäischen Union als weltweiten Standard für alle seine Dienstleistungen übernommen. Folglich haben wir Verfahren für den Umgang mit Nutzerrechten entwickelt und Best-Practice-Datenschutzprinzipien eingeführt, die weit über die Anforderungen des CCPA hinausgehen.

Der CCPA enthält eine sehr weit gefasste Definition des Begriffs „personenbezogene Daten“ und definiert Anforderungen in Hinblick auf Transparenz. In diesem Beitrag gehen wir auf einige Aspekte ein, die jedes Unternehmen kennen sollte.

Wie werden personenbezogene Daten im Rahmen des CCPA definiert?

Der CCPA deckt ausdrücklich Daten wie „Online-IDs“, „IP-Adressen“, „Browserverlauf“, „Informationen über die Interaktion eines Konsumenten mit einer Website, Anwendung oder Werbung“ und „Geolokalisierungsdaten“ ab, wenn sie direkt oder indirekt mit einem bestimmten Konsumenten oder Haushalt in Verbindung gebracht werden können.

Criteo sammelt keine Daten wie Vor- und Nachname, Postanschrift oder Klartext-E-Mail-Adressen, die es uns erlauben würden, eine Person zu identifizieren. Unsere Technologie ist jedoch in der Lage, ein bestimmtes Gerät oder einen bestimmten Browser zu erkennen, und diese Art von personengebundenen Daten fällt unter den Geltungsbereich des CCPA.

Daher gehen wir davon aus, dass die meisten von Criteo erhobenen Daten, die bereits als personenbezogene Daten im Sinne der DSGVO gelten, auch als personenbezogene Daten im Sinne des CCPA gelten werden.

Welche Rechte gewährt der CCPA den Konsumenten?

Der CCPA enthält eine sehr weit gefasste Definition des Begriffs „personenbezogene Daten“ und definiert Anforderungen in Hinblick auf Transparenz. Er bietet neue Schutzmaßnahmen für die Konsumenten in Kalifornien, darunter:

  • Das Recht auf Auskunft: Die Nutzer können Zugang zu den „spezifischen persönlichen Informationen“ erhalten, „die das Unternehmen über den Nutzer gesammelt hat“.
  • Das Recht auf Löschung: Nutzer können verlangen, dass ein Unternehmen alle oder einen Teil der personenbezogenen Daten des Konsumenten, die das Unternehmen von ihm erhoben hat, löscht.
  • Das Recht auf Opt-out: Die Nutzer können ein Unternehmen anweisen, ihre persönlichen Daten nicht an Dritte zu „verkaufen“.

Wer sollte sich auf die CCPA vorbereiten?

Der territoriale und materielle Geltungsbereich des CCPA ist komplex, so dass ihr euch rechtlich beraten lassen solltet.

Die von Criteo betreuten Advertiser und Retailer, die nach Kalifornien liefern, sowie die Publisher, die Websites und Apps betreiben, die für Kalifornier von Interesse sind, können unter die Definition von „Unternehmen“ im Sinne des CCPA fallen, wenn einer der folgenden Punkte zutrifft:

  1. > 25 Millionen Dollar jährlicher Bruttoumsatz
  2. > 50.000 Unique Visitors aus Kalifornien
  3. > 50 Prozent der jährlichen Einnahmen generiert aus der Ausspielung von Ads über Criteo an kalifornische Nutzer

Das CCPA wird, zumindest in gewissem Umfang, auch für Tochtergesellschaften von Unternehmen gelten, die selbst unter die oben genannte Definition fallen.

Welchen Status hat Criteo im Rahmen des CCPA?

Da Criteo „die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Konsumenten bestimmt“, aber nicht das Unternehmen ist, mit dem die Nutzer in erster Linie zu interagieren beabsichtigen, erwarten wir, dass Criteo sowohl als „Unternehmen“ als auch als „Third-Party“ betrachtet wird.

Das Herzstück der Criteo-Technologien sind die KI-gesteuerten Algorithmen und der Shopper Graph: Beide stützen sich auf einen „Netzwerkeffekt“, um für Kunden und Partner einen gemeinsamen Mehrwert zu schaffen. Aus diesem Grund geht Criteo nicht davon aus, dass wir als Dienstanbieter auftreten werden, da dies unsere Möglichkeiten, solche Technologien zu nutzen, einschränken würde.

Was sollten Advertiser und Publisher als nächstes tun?

  • Stellt zunächst einmal fest, inwieweit das CCPA auf euch anwendbar ist, und lasst euch bei Bedarf rechtlich beraten.
  • Seid bereit, eure Datenschutzerklärungen zu aktualisieren und Mechanismen einzuführen, mit denen Konsumenten ihre Wahlmöglichkeiten wahrnehmen können.

Criteo stellt schon immer den Datenschutz in den Vordergrund. Daher halten wir uns an die höchsten Standards für die Einhaltung von Datenschutzbestimmungen und die Best Practices der Branche. Wir sehen die CCPA als einen positiven Schritt zur Förderung von Transparenz, Kontrolle und Vertrauen sowohl für Unternehmen als auch für Konsumenten. Als globales Unternehmen, das auch die strengen EU-Standards einhält, sind wir mehr als bereit, die von uns betreuten Advertiser und Publisher bei der Einhaltung neuer Datenschutzbestimmungen zu unterstützen und ihnen so zu helfen, letztendlich stärkere Beziehungen zu ihren Kunden aufzubauen.

Weitere Informationen findet ihr in unserem CCPA-Report.

Hinweis: Hier werden die wichtigsten Anforderungen im Zusammenhang mit dem CCPA zusammengefasst, ohne auf alle Einzelheiten einzugehen. Wir raten den von uns betreuten Advertisern und Publishern, sich rechtlich beraten zu lassen, um sicherzustellen, dass ihre Praktiken den Vorschriften entsprechen.