Der California Consumer Protection Act (CCPA)

Der California Consumer Protection Act (CCPA)

02/2020

Was ist der CCPA?

Der California Consumer Privacy Act (CCPA) ist ein Datenschutzgesetz des kalifornischen Bundesstaates, das regelt, wie Unternehmen auf der ganzen Welt mit den personenbezogenen Daten von in Kalifornien ansässigen Personen umgehen dürfen.

Das Inkrafttreten des CCPA ist der 1. Januar 2020. Es ist das erste Gesetz seiner Art in den Vereinigten Staaten.

 

Die drei CCPA-Grenzwerte für Unternehmen

CCPA gilt für jedes gewinnorientierte Unternehmen auf der Welt, das die personenbezogenen Daten von mehr als 50.000 Einwohnern Kaliforniens jährlich verkauft oder einen Jahresumsatz von mehr als 25 Millionen US-Dollar erzielt oder mehr als 50 Prozent seines Jahresumsatzes aus dem Verkauf der personenbezogenen Daten von Einwohnern Kaliforniens erzielt.

Wenn ein Unternehmen ein gemeinsames Branding (d.h. einen gemeinsamen Namen, eine Dienstleistungsmarke oder eine Handelsmarke) mit einem anderen Unternehmen teilt, das nach der CCPA haftet, unterliegt auch das Unternehmen der CCPA-Konformität.

Nach dem CCPA haben in Kalifornien ansässige Personen ("Verbraucher") das Recht, den Verkauf ihrer Daten an Dritte abzulehnen, das Recht, die Offenlegung bereits erfasster Daten zu verlangen, und das Recht, die Löschung der erfassten Daten zu verlangen.

Darüber hinaus haben in Kalifornien ansässige Personen das Recht auf Benachrichtigung und das Recht auf gleiche Dienstleistungen und Preise (d.h. sie dürfen nicht aufgrund ihrer Entscheidung, ihre Rechte auszuüben, diskriminiert werden).

Die Nichteinhaltung des CCPA kann zu Geldbussen für Unternehmen in Höhe von 7.500 USD pro Verstoss und 750 USD pro von zivilrechtlichen Schäden betroffenem Nutzer führen.

Die Befugnis zur Durchsetzung des CCPA liegt beim Büro des Generalstaatsanwalts von Kalifornien, der bis Juli 2020 Zeit hat, um die Durchsetzungsvorschriften festzulegen.

Die Übergangszeit zwischen Januar und Juli 2020 ist jedoch keine Gnadenfrist, und Unternehmen sind ab dem 1. Januar 2020 für Zivilklagen aus ihrer Datenerhebung und dem Verkauf verantwortlich.

Bitte beachten Sie, dass die nachfolgende Übersetzung des CCPA keine Fachübersetzung ist, sondern rein unverbindlich zu Informationszwecken erstellt wurde.

DIE BEVÖLKERUNG DES STAATES KALIFORNIEN ERLÄSST FOLGENDE VORSCHRIFTEN:

 

ABSCHNITT 1

Diese Massnahme ist bekannt als und kann als "The California Consumer Privacy Act of 2018" zitiert werden.

 

ABSCHNITT 2

Die Legislative befindet und erklärt, dass:

  1. 1972 änderten die kalifornischen Wähler die kalifornische Verfassung, um das Recht auf Privatsphäre zu den "unveräusserlichen" Rechten aller Menschen hinzuzufügen. Mit der Änderung wurde ein gesetzliches und durchsetzbares Recht auf Privatsphäre für jeden Kalifornier geschaffen. Grundlegend für dieses Recht auf Privatsphäre ist die Möglichkeit des Einzelnen, die Nutzung, einschliesslich des Verkaufs, seiner persönlichen Daten zu kontrollieren.
  2. ...
  3. Gleichzeitig ist Kalifornien weltweit führend in der Entwicklung neuer Technologien und verwandter Industrien. Doch die Verbreitung von persönlichen Informationen hat die Fähigkeit der Kalifornier, ihre Privatsphäre angemessen zu schützen und zu sichern, eingeschränkt. Es ist fast unmöglich, sich für einen Job zu bewerben, ein Kind zu erziehen, in Auto zu fahren oder einen Termin zu vereinbaren, ohne persönliche Informationen zu teilen.
  4. ...
  5. Viele Unternehmen sammeln persönliche Informationen von kalifornischen Verbrauchern. Sie können wissen, wo ein Verbraucher wohnt und wie viele Kinder er hat, wie schnell er fährt, die Persönlichkeit des Verbrauchers, seine Schlafgewohnheiten, biometrische und gesundheitliche Informationen, Finanzinformationen, genaue Informationen zur Geolokalisierung und soziale Netzwerke, um nur einige Kategorien zu nennen.
  6. Die unbefugte Offenlegung persönlicher Daten und der Verlust der Privatsphäre kann für den Einzelnen verheerende Auswirkungen haben, die von Finanzbetrug, Identitätsdiebstahl und unnötigen Kosten über persönliche Zeit und Finanzen bis hin zur Zerstörung von Eigentum, Belästigung, Rufschädigung, emotionalem Stress und sogar möglichen körperlichen Schäden reichen.
  7. Im März 2018 wurde bekannt, dass zig Millionen Menschen ihre persönlichen Daten von einer Data-Mining-Firma namens Cambridge Analytica missbraucht haben. Eine Reihe von Anhörungen des Kongresses hat gezeigt, dass unsere persönlichen Daten bei der Weitergabe im Internet möglicherweise missbraucht werden können. Dadurch wird unser Wunsch nach Datenschutzkontrollen und Transparenz in der Datenpraxis verstärkt.
  8. Die Menschen wünschen sich Privatsphäre und mehr Kontrolle über ihre Informationen. Kalifornische Verbraucher sollten die Kontrolle über ihre persönlichen Daten ausüben können und sie wollen sicher sein, dass es Schutzmassnahmen gegen den Missbrauch ihrer persönlichen Daten gibt. Die Unternehmen können sowohl die Privatsphäre der Verbraucher respektieren als auch ein hohes Mass an Transparenz in ihren Geschäftspraktiken gewährleisten.
  9. Daher ist es die Absicht des Gesetzgebers, das Recht der Kalifornier auf Privatsphäre zu fördern, indem den Verbrauchern ein wirksames Mittel zur Kontrolle ihrer persönlichen Daten an die Hand gegeben wird, indem die folgenden Rechte gewährleistet werden:
    1. Das Recht der Kalifornier zu erfahren, welche persönlichen Informationen über sie gesammelt werden.
    2. Das Recht der Kalifornier zu erfahren, ob ihre persönlichen Daten verkauft oder weitergegeben werden und an wen.
    3. Das Recht der Kalifornier, den Verkauf von persönlichen Informationen abzulehnen.
    4. Das Recht der Kalifornier auf Zugang zu ihren persönlichen Daten.
    5. Das Recht der Kalifornier auf gleichen Service und gleichen Preis, auch wenn sie ihr Recht auf Privatsphäre ausüben.

Kalifornischer Consumer Privacy Act von 2018

1798.100.

  1. Ein Unternehmen stellt die in Unterabschnitt (a) genannten Informationen einem Verbraucher nur dann zur Verfügung, wenn es eine überprüfbare Verbraucheranfrage erhält.
  2. Ein Verbraucher hat das Recht, von einem Unternehmen, das die persönlichen Daten eines Verbrauchers sammelt, zu verlangen, dass es diesem Verbraucher die Kategorien und spezifischen Bestandteile der persönlichen Daten, die das Unternehmen gesammelt hat, offenlegt.
  3. Ein Unternehmen, das personenbezogene Daten eines Verbrauchers sammelt, muss den Verbraucher zum oder vor dem Zeitpunkt der Sammlung über die Kategorien der zu sammelnden personenbezogenen Daten und die Zwecke, für die diese Kategorien von personenbezogenen Daten verwendet werden sollen, informieren. Ein Unternehmen darf keine zusätzlichen Kategorien von persönlichen Daten sammeln oder die gesammelten persönlichen Daten für zusätzliche Zwecke verwenden, ohne den Verbraucher entsprechend diesem Abschnitt zu informieren.
  4. Ein Unternehmen, das von einem Verbraucher eine nachprüfbare Aufforderung erhält,

Zugang zu personenbezogenen Daten zu erhalten, hat unverzüglich Massnahmen zu ergreifen, um die in diesem Abschnitt geforderten personenbezogenen Daten dem Verbraucher offenzulegen und kostenlos zur Verfügung zu stellen. Die Informationen können auf dem Postweg oder elektronisch übermittelt werden, und wenn sie elektronisch übermittelt werden, müssen sie in einem tragbaren und, soweit technisch möglich, in einem leicht verwendbaren Format vorliegen, das es dem Verbraucher ermöglicht, diese Informationen ungehindert an eine andere Einrichtung zu übermitteln.

Ein Unternehmen kann einem Verbraucher jederzeit persönliche Informationen zur Verfügung stellen, ist aber nicht verpflichtet, einem Verbraucher mehr als zweimal innerhalb eines Zeitraums von 12 Monaten persönliche Informationen zur Verfügung zu stellen.

  1. Dieser Abschnitt verpflichtet ein Unternehmen nicht dazu, persönliche Daten, die für eine einzelne, einmalige Transaktion gesammelt wurden, aufzubewahren, wenn diese Daten nicht verkauft oder vom Unternehmen aufbewahrt werden, oder um Informationen, die nicht in einer Weise aufbewahrt werden, die als persönliche Daten angesehen werden, neu zu identifizieren oder anderweitig zu verknüpfen.
    1. Persönliche Informationen, die für eine einzelne, einmalige Transaktion gesammelt wurden, aufbewahren, wenn die Informationen nicht verkauft oder vom Unternehmen aufbewahrt werden.
    2. Daten, die im Rahmen der normalen Geschäftstätigkeit nicht in einer Weise aufbewahrt werden, die als personenbezogene Daten gelten würde, neu zu identifizieren oder anderweitig zu verknüpfen.

 

1798.105.

  1. Ein Unternehmen oder ein Dienstleister ist nicht verpflichtet, der Aufforderung eines Verbrauchers nachzukommen, die personenbezogenen Daten des Verbrauchers zu löschen, wenn es für das Unternehmen oder den Dienstleister notwendig ist, die personenbezogenen Daten des Verbrauchers zu pflegen, um:
  2. Ein Unternehmen, das personenbezogene Daten über Verbraucher sammelt, muss gemäss Paragraph (5) Unterabschnitt (a) Teil (A) von Abschnitt 1798.130 die Rechte des Verbrauchers offenlegen, die Löschung der personenbezogenen Daten des Verbrauchers zu verlangen.
  3. Ein Verbraucher hat das Recht, von einem Unternehmen zu verlangen, dass es alle persönlichen Informationen über den Verbraucher löscht, die das Unternehmen vom Verbraucher gesammelt hat.
  4. Ein Unternehmen, das von einem Verbraucher eine nachprüfbare Aufforderung erhält, die personenbezogenen Daten des Verbrauchers gemäss Unterabschnitt (a) dieses Abschnitts zu löschen, muss die personenbezogenen Daten des Verbrauchers aus seinen Aufzeichnungen löschen und alle Dienstleister anweisen, die personenbezogenen Daten des Verbrauchers aus ihren Aufzeichnungen zu löschen.
    1. die Transaktion, für die die personenbezogenen Daten erhoben wurden, abzuschliessen, eine vom Verbraucher angeforderte oder vernünftigerweise erwartete Ware oder Dienstleistung im Rahmen einer laufenden Geschäftsbeziehung des Unternehmens mit dem Verbraucher zu erbringen oder anderweitig einen Vertrag zwischen dem Unternehmen und dem Verbraucher zu erfüllen.
    2. Sicherheitsvorfälle zu erkennen, vor böswilligen, betrügerischen, betrügerischen oder illegalen Aktivitäten zu schützen oder die für diese Aktivitäten Verantwortlichen zu verfolgen.
    3. Fehler zu erkennen und zu beheben, die die bestehende beabsichtigte Funktionalität beeinträchtigen.
    4. die Redefreiheit auszuüben, Rechte eines anderen Verbrauchers zu gewährleisten, das Recht auf freie Meinungsäusserung oder ein anderes gesetzlich vorgesehenes Recht auszuüben.
    5. den California Electronic Communications Privacy Act gemäss Teil 2 Titel 12 Kapitel 3.6 (beginnend mit Abschnitt 1546) des Strafgesetzbuches einzuhalten.
    6. öffentliche oder von Fachleuten überprüfte wissenschaftliche, historische oder statistische Forschung im öffentlichen Interesse unter Einhaltung aller anderen geltenden Ethik- und Datenschutzgesetze durchzuführen, wenn die Löschung der Informationen durch die Unternehmen die Durchführung dieser Forschung unmöglich machen oder ernsthaft beeinträchtigen könnte, sofern der Verbraucher seine Einwilligung nach Aufklärung erteilt hat.
    7. ausschliesslich internen Gebrauch zu ermöglichen, der in angemessener Weise mit den Erwartungen des Verbrauchers aufgrund der Beziehung des Verbrauchers zum Unternehmen in Einklang stehen.
    8. einer gesetzlichen Verpflichtung nachzukommen.
    9. die persönlichen Daten des Verbrauchers intern in einer rechtmässigen Weise, die mit dem Kontext, in dem der Verbraucher die Informationen zur Verfügung gestellt hat, vereinbar ist, zu benutzen.

 

1798.110.

  1. Ein Verbraucher hat das Recht, von einem Unternehmen, das personenbezogene Daten über den Verbraucher sammelt, zu verlangen, dass es dem Verbraucher Folgendes offenlegt:
    1. Die Kategorien von persönlichen Informationen, die es über diesen Verbraucher gesammelt hat.
    2. Die Kategorien von Quellen, aus denen die persönlichen Informationen gesammelt werden.
    3. Der geschäftliche oder kommerzielle Zweck für das Sammeln oder den Verkauf von persönlichen Informationen.
    4. Die Kategorien von Dritten, mit denen das Unternehmen persönliche Daten austauscht.
    5. Die spezifischen persönlichen Informationen, die es über diesen Verbraucher gesammelt hat.
  2. Ein Unternehmen, das persönliche Informationen über einen Verbraucher sammelt, muss dem Verbraucher gemäss Absatz (3) des Unterabschnitts (a) des § 1798.130 die in Unterabschnitt (a) genannten Informationen nach Erhalt einer nachprüfbaren Anfrage des Verbrauchers offenlegen.
  3. Ein Unternehmen, das personenbezogene Daten über Verbraucher sammelt, muss gemäss Abschnitt 1798.130 Unterabschnitt a) Absatz (5) Unterabsatz (B) offenlegen:
    1. Die Kategorien von persönlichen Informationen, die es über diesen Verbraucher gesammelt hat.
    2. Die Kategorien von Quellen, aus denen die persönlichen Informationen gesammelt werden.
    3. Der geschäftliche oder kommerzielle Zweck für das Sammeln oder den Verkauf von persönlichen Informationen.
    4. Die Kategorien von Dritten, mit denen das Unternehmen persönliche Daten austauscht.
    5. Die spezifischen persönlichen Informationen, die das Unternehmen über diesen Verbraucher gesammelt hat.
  4. In diesem Abschnitt wird von einem Unternehmen nicht verlangt, dass es Folgendes tut:
    1. Persönliche Informationen über einen Verbraucher, die für eine einmalige Transaktion gesammelt wurden, zu speichern, wenn diese Informationen über den Verbraucher im Rahmen des normalen Geschäftsbetriebs nicht gespeichert werden.
    2. Daten, die im Rahmen der normalen Geschäftstätigkeit nicht in einer Weise aufbewahrt werden, die als personenbezogene Daten gelten würde, neu zu identifizieren oder anderweitig zu verknüpfen.

 

1798.115.

  1. Ein Verbraucher hat das Recht, von einem Unternehmen, das die persönlichen Daten des Verbrauchers verkauft oder sie für einen geschäftlichen Zweck weitergibt, die Offenlegung dieser Daten zu verlangen:
    1. Die Kategorien von persönlichen Informationen, die das Unternehmen über den Verbraucher gesammelt hat.
    2. Die Kategorien der persönlichen Daten, die das Unternehmen über den Verbraucher verkauft hat und die Kategorien von Dritten, an die die persönlichen Daten verkauft wurden, nach Kategorie oder Kategorien von persönlichen Daten für jede dritte Partei, an die die persönlichen Daten verkauft wurden.
    3. Die Kategorien von persönlichen Informationen, die das Unternehmen über den Verbraucher für einen geschäftlichen Zweck offenbart hat.
  2. Ein Unternehmen, das persönliche Informationen über einen Verbraucher verkauft oder die persönlichen Informationen eines Verbrauchers für einen geschäftlichen Zweck weitergibt, muss gemäss Paragraph (4) des Unterabschnitts (a) des § 1798.130 die in Unterabschnitt (a) genannten Informationen dem Verbraucher auf eine nachprüfbare Anfrage des Verbrauchers hin offenlegen.
  3. Ein Unternehmen, das persönliche Daten von Verbrauchern verkauft oder persönliche Daten von Verbrauchern für Geschäftszwecke offenlegt, muss gemäss Abschnitt 1798.130 Unterabschnitt (a) Absatz (C) Unterabsatz (5) offenlegen:
    1. Die Kategorie oder Kategorien der persönlichen Daten der Verbraucher, die es verkauft hat, oder wenn das Unternehmen die persönlichen Daten der Verbraucher nicht verkauft hat, muss es diese Tatsache offenlegen.
    2. Die Kategorie(n) der persönlichen Daten der Verbraucher, die sie für einen geschäftlichen Zweck offengelegt hat (haben), oder, falls das Unternehmen die persönlichen Daten der Verbraucher nicht für einen geschäftlichen Zweck offengelegt hat, muss es diese Tatsache offenlegen.
  4. Ein Dritter darf keine persönlichen Daten über einen Verbraucher verkaufen, die von einem Unternehmen an den Dritten verkauft wurden, es sei denn, der Verbraucher hat eine ausdrückliche Mitteilung erhalten und erhält die Möglichkeit, das Recht auf ein Opt-out gemäss 1798.120 auszuüben.

 

1798.120.

  1. Ein Verbraucher hat jederzeit das Recht, ein Unternehmen, das persönliche Daten des Verbrauchers an Dritte verkauft, diese persönlichen Daten nicht zu verkaufen. Dieses Recht kann als Opt-out-Recht bezeichnet werden.
  2. Ein Unternehmen, das persönliche Daten von Verbrauchern an Dritte verkauft, muss die Verbraucher gemäss Unterabschnitt (a) von Abschnitt 1798.135 darüber informieren, dass diese Informationen verkauft werden können und dass die Verbraucher das Recht haben, sich gegen den Verkauf ihrer persönlichen Daten zu entscheiden.
  3. Einem Unternehmen, das von einem Verbraucher die Anweisung erhalten hat, die persönlichen Daten des Verbrauchers nicht zu verkaufen, oder, im Falle der persönlichen Daten eines minderjährigen Verbrauchers, das nicht die Zustimmung zum Verkauf der persönlichen Daten des minderjährigen Verbrauchers erhalten hat, ist es gemäss § 1798.135 Unterabschnitt a) Absatz (4) untersagt, die persönlichen Daten des Verbrauchers nach Erhalt der Anweisung des Verbrauchers zu verkaufen, es sei denn, der Verbraucher erteilt anschliessend eine ausdrückliche Genehmigung für den Verkauf der persönlichen Daten des Verbrauchers.
  4. Ungeachtet Unterabschnitt (a) darf ein Unternehmen die persönlichen Daten von Verbrauchern nicht verkaufen, wenn das Unternehmen tatsächlich Kenntnis davon hat, dass der Verbraucher weniger als 16 Jahre alt ist, es sei denn, der Verbraucher, im Falle von Verbrauchern zwischen 13 und 16 Jahren, oder die Eltern oder der Vormund des Verbrauchers, im Falle von Verbrauchern, die weniger als 13 Jahre alt sind, hat den Verkauf der persönlichen Daten des Verbrauchers bejahend genehmigt. Bei einem Unternehmen, das das Alter des Verbrauchers vorsätzlich missachtet, wird davon ausgegangen, dass es das Alter des Verbrauchers tatsächlich kannte. Dieses Recht kann als "Opt-in-Recht" bezeichnet werden.

 

1798.125.

    1. Ein Unternehmen darf einen Verbraucher nicht diskriminieren, weil der Verbraucher eines seiner Rechte aus diesem Titel ausgeübt hat, insbesondere, aber nicht ausschliesslich, durch
        1. Verweigerung von Waren oder Dienstleistungen für den Verbraucher.
        2. die Erhebung unterschiedlicher Preise oder Tarife für Waren oder Dienstleistungen, auch durch die Inanspruchnahme von Rabatten oder anderen Vergünstigungen oder die Verhängung von Strafen.
        3. Bereitstellung eines anderen Niveaus oder einer anderen Qualität von Waren oder Dienstleistungen für den Verbraucher, wenn der Verbraucher seine Rechte aus diesem Titel ausübt.
        4. Nahelegung, dass der Verbraucher einen anderen Preis oder Tarif für Waren oder Dienstleistungen oder ein anderes Niveau oder eine andere Qualität von Waren oder Dienstleistungen erhält.
      1. Nichts in diesem Abschnitt verbietet es einem Unternehmen, von einem Verbraucher einen anderen Preis oder Tarif zu verlangen oder dem Verbraucher ein anderes Niveau oder eine andere Qualität von Waren oder Dienstleistungen anzubieten, wenn dieser Unterschied in einem angemessenen Verhältnis zu dem Wert steht, der dem Verbraucher durch die Daten des Verbrauchers geboten wird.
    1.  Ein Unternehmen kann finanzielle Anreize, einschliesslich Zahlungen an Verbraucher als Entschädigung, für die Erhebung personenbezogener Daten, den Verkauf personenbezogener Daten oder die Löschung personenbezogener Daten anbieten. Ein Unternehmen kann dem Verbraucher auch einen anderen Preis, eine andere Rate, ein anderes Niveau oder eine andere Qualität von Waren oder Dienstleistungen anbieten, wenn dieser Preis oder Unterschied in direktem Zusammenhang mit dem Wert steht, der dem Verbraucher durch die Daten des Verbrauchers geboten wird.
    2. Ein Unternehmen, das finanzielle Anreize gemäss Unterabschnitt (a) anbietet, hat die Verbraucher über die finanziellen Anreize gemäss § 1798.135 zu informieren.
    3. Ein Unternehmen kann einen Verbraucher nur dann in ein finanzielles Anreizprogramm aufnehmen, wenn der Verbraucher dem Unternehmen zuvor eine Einwilligung gemäss § 1798.135 erteilt, die die wesentlichen Bedingungen des finanziellen Anreizprogramms klar beschreibt und die vom Verbraucher jederzeit widerrufen werden kann.
    4. Ein Unternehmen darf keine finanziellen Anreize setzen, die ungerecht, unangemessen, zwanghaft oder wucherisch sind.

 

1798.130.

  1. Um den Abschnitten 1798.100, 1798.105, 1798.110, 1798.115 und 1798.125 in einer für Verbraucher vernünftigerweise zugänglichen Form nachzukommen, muss ein Unternehmen
    1. den Verbrauchern zwei oder mehrere bezeichnete Methoden zur Einreichung von Anfragen für Informationen, die gemäss den §§ 1798.110 und 1798.115 offengelegt werden müssen, zur Verfügung stellen, einschliesslich mindestens einer gebührenfreienTelefonnummer und, falls das Unternehmen eine Website im Internet unterhält, einer Website-Adresse.
    2. die erforderlichen Informationen innerhalb von 45 Tagen nach Erhalt einer nachprüfbaren Anfrage des Verbrauchers offenzulegen und dem Verbraucher kostenlos zuzustellen. Das Unternehmen ergreift unverzüglich Massnahmen, um festzustellen, ob es sich bei dem Antrag um einen nachprüfbaren Antrag handelt; dies verlängert jedoch nicht die Pflicht des Unternehmens, die Informationen innerhalb von 45 Tagen nach Eingang des Antrags des Verbrauchers offenzulegen und zu liefern. Die Frist für die Bereitstellung der erforderlichen Informationen kann einmal um weitere 45 Tage verlängert werden, wenn dies vernünftigerweise erforderlich ist, sofern der Verbraucher innerhalb der ersten 45-Tage-Frist über die Verlängerung informiert wird. Die Offenlegung erstreckt sich auf den Zeitraum von 12 Monaten vor Eingang des nachprüfbaren Antrags beim Unternehmen und erfolgt schriftlich und über das Konto des Verbrauchers beim Unternehmen, wenn der Verbraucher ein Konto beim Unternehmen unterhält, oder nach Wahl des Verbrauchers per Post oder elektronisch, wenn der Verbraucher kein Konto beim Unternehmen unterhält, in einem leicht zu verwendenden Format, das es dem Verbraucher ermöglicht, diese Informationen ungehindert von einer Stelle an eine andere Stelle zu übermitteln. Der Unternehmer darf vom Verbraucher nicht verlangen, dass er bei dem Unternehmen ein Konto eröffnet, um einen überprüfbaren Antrag zu stellen.
    3. Für die Zwecke des Unterabschnitts b) des § 1798.110:
      1. Um den Verbraucher zu identifizieren, verbinden Sie die vom Verbraucher in der überprüfbaren Anfrage gelieferten Informationen mit allen persönlichen Informationen, die das Unternehmen zuvor über den Verbraucher gesammelt hat.
      2. Ermittlung der in den vorangegangenen 12 Monaten über den Verbraucher gesammelten personenbezogenen Daten nach Kategorie(n) unter Bezugnahme auf die aufgezählte(n) Kategorie(n) in Unterabsatz (c), die die gesammelten personenbezogenen Daten am besten beschreibt (beschreiben).
    4. Für die Zwecke des Unterabschnitts b) des Abschnitts 1798.115:
      1. Identifizierung des Verbrauchers und Zuordnung der vom Verbraucher in der überprüfbaren Anfrage gelieferten Informationen zu allen zuvor vom Unternehmen über den Verbraucher gesammelten persönlichen Informationen.
      2. Identifizieren Sie nach Kategorie(n) die persönlichen Daten des Verbrauchers, die das Unternehmen in den vorangegangenen 12 Monaten verkauft hat, unter Bezugnahme auf die aufgezählte Kategorie in Unterabschnitt (c), die die persönlichen Daten am genauesten beschreibt, und geben Sie die Kategorien von Dritten an, an die die persönlichen Daten des Verbrauchers in den vorangegangenen 12 Monaten verkauft wurden, unter Bezugnahme auf die aufgezählte(n) Kategorie(n) in Unterabschnitt (c), die die verkauften persönlichen Daten am genauesten beschreibt. Das Unternehmen legt die Informationen in einer Liste offen, die von einer für die Zwecke des Unterabschnitts (C) erstellten Liste getrennt ist.
    5. Veröffentlichen Sie die folgenden Informationen in Ihrer oder Ihren Online-Datenschutzrichtlinien, wenn das Unternehmen über eine oder mehrere Online-Datenschutzrichtlinien verfügt, und in jeder kalifornienspezifischen Beschreibung der Datenschutzrechte der Verbraucher oder wenn das Unternehmen diese Richtlinien nicht aufrechterhält, auf seiner Internet-Website und aktualisieren Sie diese Informationen mindestens einmal alle 12 Monate:
      1. Eine Beschreibung der Rechte eines Verbrauchers gemäss den Abschnitten 1798.110, 1798.115 und 1798.125 sowie eine oder mehrere festgelegte Methoden zur Einreichung von Anträgen.
      2. Für die Zwecke des Unterabschnitts (c) des Abschnitts 1798.110 eine Liste der Kategorien von persönlichen Daten, die es in den letzten 12 Monaten über Verbraucher gesammelt hat, unter Bezugnahme auf die aufgezählte(n) Kategorie(n) in Unterabschnitt (c), die die gesammelten persönlichen Daten am genauesten beschreiben.
      3. Für die Zwecke der Absätze 1 und 2 des Unterabschnitts c) des Abschnitts 1798.115 zwei getrennte Listen:
        1. Eine Liste der Kategorien von personenbezogenen Daten, die es in den vorangegangenen
        2. 12 Monaten über Verbraucher verkauft hat, unter Bezugnahme auf die aufgezählte(n) Kategorie(n) in Unterabschnitt (c), die die verkauften personenbezogenen Daten am genauesten beschreiben, oder, falls das Unternehmen in den vorangegangenen 12 Monaten keine personenbezogenen Daten von Verbrauchern verkauft hat, muss das Unternehmen diese Tatsache offenlegen.
        3. Eine Liste der Kategorien personenbezogener Daten, die es in den vorangegangenen 12 Monaten über Verbraucher für einen Geschäftszweck unter Bezugnahme auf die aufgezählte Kategorie in Unterabschnitt (c) offengelegt hat, die die offengelegten personenbezogenen Daten am genauesten beschreiben, oder, falls das Unternehmen in den vorangegangenen 12 Monaten keine personenbezogenen Daten von Verbrauchern für einen Geschäftszweck offengelegt hat, muss das Unternehmen diese Tatsache offenlegen.
    6. Stellen Sie sicher, dass alle Personen, die für die Bearbeitung von Verbraucheranfragen über die Datenschutzpraktiken des Unternehmens oder die Einhaltung dieses Titels durch das Unternehmen verantwortlich sind, über alle Anforderungen der Abschnitte 1798.110, 1798.115, 1798.125 und dieses Abschnitts informiert werden und darüber, wie die Verbraucher angewiesen werden, ihre Rechte gemäss diesen Abschnitten auszuüben.
    7. Alle vom Verbraucher gesammelten persönlichen Informationen in Verbindung mit der Überprüfung der Anfrage des Verbrauchers durch das Unternehmen ausschliesslich zum Zwecke der Überprüfung zu verwenden.
  2. Ein Unternehmen ist nicht verpflichtet, die in den Abschnitten 1798.110 und 1798.115 geforderten Informationen an denselben Verbraucher mehr als zweimal innerhalb eines Zeitraums von 12 Monaten zu erteilen.
  3. Die Kategorien von personenbezogenen Daten, die gemäss den Abschnitten 1798.110 und 1798.115 offengelegt werden müssen, folgen der Definition von personenbezogenen Daten in Abschnitt 1798.140.

 

1798.135

  1. Ein Unternehmen, das verpflichtet ist, Abschnitt 1798.120 zu erfüllen, muss in einer Form, die für Verbraucher angemessen zugänglich ist:
    1. Einen klaren und auffälligen Link auf der Internet-Homepage des Unternehmens mit dem Titel "Do Not Sell My Personal Information" zu einer Internet-Webseite bereitstellen, die es einem Verbraucher oder einer vom Verbraucher bevollmächtigten Person ermöglicht, sich gegen den Verkauf der persönlichen Daten des Verbrauchers zu entscheiden. Ein Unternehmen darf von einem Verbraucher nicht verlangen, ein Konto einzurichten, um das Unternehmen zu instruieren, die persönlichen Daten des Verbrauchers nicht zu verkaufen.
    2. Fügen Sie eine Beschreibung der Rechte eines Verbrauchers gemäss § 1798.120,
      1. zusammen mit einem separaten Link zur Internetseite "Meine persönlichen Daten nicht verkaufen" in: den Online-Datenschutzrichtlinien, wenn das Unternehmen eine oder mehrere Online-Datenschutzrichtlinien hat.
      2. Jede kalifornienspezifische Beschreibung der Datenschutzrechte der Verbraucher.
    3. Stellen Sie sicher, dass alle Personen, die für die Bearbeitung von Verbraucheranfragen über die Datenschutzpraktiken des Unternehmens oder die Einhaltung dieses Titels durch das Unternehmen verantwortlich sind, über alle Anforderungen in Abschnitt 1798.120 und diesem Abschnitt informiert werden und darüber, wie die Verbraucher instruiert werden, ihre Rechte gemäss diesen Abschnitten auszuüben.
    4. Bei Verbrauchern, die von ihrem Recht Gebrauch machen, sich gegen den Verkauf ihrer persönlichen Daten zu entscheiden, sollten sie von dem Verkauf der vom Unternehmen über den Verbraucher gesammelten persönlichen Daten absehen.
    5. Bei einem Verbraucher, der sich gegen den Verkauf der persönlichen Daten des Verbrauchers entschieden hat, ist die Entscheidung des Verbrauchers, sich gegen den Verkauf der persönlichen Daten des Verbrauchers zu entscheiden, mindestens 12 Monate lang zu respektieren, bevor das Unternehmen den Verbraucher wieder um die Genehmigung des Verkaufs der persönlichen Daten des Verbrauchers ersucht.
    6. Nutzung aller persönlichen Informationen, die vom Verbraucher im Zusammenhang mit der Einreichung des Opt-out-Antrags des Verbrauchers gesammelt wurden, ausschliesslich zum Zweck der Erfüllung des Opt-out-Antrags.
  2. Nichts in diesem Titel darf so ausgelegt werden, dass ein Unternehmen verpflichtet ist, den Titel durch die Aufnahme der erforderlichen Links und Texte auf der Homepage, die das Unternehmen der Öffentlichkeit allgemein zur Verfügung stellt, einzuhalten, wenn das Unternehmen eine separate und zusätzliche Homepage unterhält, die den kalifornischen Verbrauchern gewidmet ist und die erforderlichen Links und Texte enthält, und das Unternehmen angemessene Schritte unternimmt, um sicherzustellen, dass kalifornische Verbraucher auf die Homepage für kalifornische Verbraucher und nicht auf die der Öffentlichkeit allgemein zur Verfügung gestellte Homepage geleitet werden.
  3. Ein Verbraucher kann eine andere Person ausschliesslich dazu ermächtigen, sich gegen den Verkauf der persönlichen Daten des Verbrauchers im Namen des Verbrauchers auszusprechen, und ein Unternehmen muss einer Opt-out-Anforderung nachkommen, die es von einer vom Verbraucher bevollmächtigten Person erhält, die gemäss den vom Generalstaatsanwalt erlassenen Vorschriften im Namen des Verbrauchers handelt.

 

 1798.140.

Für die Zwecke dieses Titels:

  1. "Aggregierte Verbraucherinformationen" sind Informationen, die sich auf eine Gruppe oder Kategorie von Verbrauchern beziehen, aus denen die individuellen Verbraucheridentitäten entfernt wurden, und die nicht mit einem Verbraucher oder Haushalt, auch nicht über ein Gerät, verknüpft sind oder sich vernünftigerweise damit in Verbindung bringen lassen. Unter "aggregierten Verbraucherinformationen" sind nicht ein oder mehrere einzelne Verbraucherdatensätze zu verstehen, die deidentifiziert wurden.
  2. "Biometrische Informationen" sind die physiologischen, biologischen oder Verhaltensmerkmale einer Person, einschliesslich der Desoxyribonukleinsäure (DNS), die einzeln oder in Kombination miteinander oder mit anderen Identifizierungsdaten zur Feststellung der individuellen Identität verwendet werden können. Zu den biometrischen Informationen gehören unter anderem Bilder der Iris, der Netzhaut, des Fingerabdrucks, des Gesichts, der Hand, der Handfläche, der Venenmuster und der Sprachaufzeichnungen, aus denen eine Identifizierungsvorlage, wie z. B. ein Gesichtsabdruck, eine Minuzienvorlage oder ein Stimmabdruck, extrahiert werden kann, sowie Tastenanschlagsmuster oder -rhythmen, Gangmuster oder -rhythmen und Schlaf-, Gesundheits- oder Bewegungsdaten, die identifizierende Informationen enthalten.
  3. "Unternehmen" bedeutet:
    1. Ein Einzelunternehmen, eine Personengesellschaft, eine Gesellschaft mit beschränkter Haftung, eine Körperschaft, eine Vereinigung oder eine andere juristische Person, die für den Gewinn oder den finanziellen Vorteil ihrer Aktionäre oder anderer Eigentümer organisiert oder betrieben wird, die persönliche Daten von Verbrauchern sammelt oder in deren Auftrag solche Daten gesammelt werden und die allein oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung persönlicher Daten von Verbrauchern bestimmt, die im Staat Kalifornien geschäftlich tätig ist und die einen oder mehrere der folgenden Schwellenwerte erfüllt:
      1. Hat jährliche Bruttoeinnahmen von mehr als fünfundzwanzig Millionen Dollar ($25.000.000), wie gemäss Absatz (5) des Unterabschnitts (a) von Abschnitt 1798.185 angepasst.
      2. Alleine oder in Kombination, kauft, erhält jährlich für kommerzielle Zwecke des Unternehmens, verkauft oder teilt für kommerzielle Zwecke, allein oder in Kombination, die persönlichen Daten von 50.000 oder mehr Verbrauchern, Haushalten oder Geräten.
      3. Erzielt 50 Prozent oder mehr seiner jährlichen Einnahmen aus dem Verkauf von persönlichen Daten der Verbraucher.
    2. Jedes Unternehmen, das ein Unternehmen im Sinne des Absatzes (1) kontrolliert oder von diesem kontrolliert wird und das mit dem Unternehmen eine gemeinsame Marke teilt. "Kontrolle" oder "kontrolliert" bedeutet das Eigentum an oder die Stimmberechtigung für mehr als 50 Prozent der im Umlauf befindlichen Aktien einer beliebigen Klasse von Stimmrechtsaktien eines Unternehmens; die Kontrolle in irgendeiner Weise über die Wahl der Mehrheit der Direktoren oder von Personen, die ähnliche Funktionen ausüben; oder die Macht, einen kontrollierenden Einfluss auf das Management eines Unternehmens auszuüben. "Gemeinsames Branding" bedeutet einen gemeinsamen Namen, eine gemeinsame Dienstleistungsmarke oder ein gemeinsames Warenzeichen.
  4. "Geschäftszweck" ist die Verwendung personenbezogener Daten für die betrieblichen Zwecke des Unternehmens oder eines Dienstleisters oder für andere mitgeteilte Zwecke, sofern die Verwendung personenbezogener Daten vernünftigerweise notwendig und verhältnismässig ist, um den betrieblichen Zweck zu erreichen, für den die personenbezogenen Daten erhoben oder verarbeitet wurden, oder für einen anderen betrieblichen Zweck, der mit dem Kontext, in dem die personenbezogenen Daten erhoben wurden, vereinbar ist. Geschäftszwecke sind:
    1. Prüfung in Bezug auf eine laufende Interaktion mit dem Verbraucher und gleichzeitige Transaktionen, einschliesslich, aber nicht beschränkt auf die Zählung der AdImpressions an einzelne Besucher, die Überprüfung der Positionierung und Qualität der AdImpressions und die Prüfung der Einhaltung dieser Spezifikation und anderer Standards.
    2. Erkennung von Sicherheitsvorfällen, Schutz vor böswilligen, täuschenden, betrügerischen oder illegalen Aktivitäten und Verfolgung der für diese Aktivitäten Verantwortlichen.
    3. Debugging, um Fehler zu erkennen und zu beheben, die die bestehende beabsichtigte Funktionalität beeinträchtigen.
    4. Kurzfristige, vorübergehende Nutzung, sofern die persönlichen Daten nicht an Dritte weitergegeben werden und nicht dazu verwendet werden, ein Profil über einen Verbraucher zu erstellen oder die Erfahrung eines einzelnen Verbrauchers ausserhalb der aktuellen Interaktion auf andere Weise zu verändern, einschliesslich, aber nicht beschränkt auf die kontextbezogene Anpassung von Anzeigen, die als Teil derselben Interaktion gezeigt werden.
    5. Erbringung von Dienstleistungen im Namen des Unternehmens oder des Dienstleisters, einschliesslich der Führung oder Pflege von Konten, der Bereitstellung von Kundendienstleistungen, der Bearbeitung oder Erfüllung von Bestellungen und Transaktionen, der Überprüfung von Kundeninformationen, der Bearbeitung von Zahlungen, der Bereitstellung von Finanzierungen, der Bereitstellung von Werbe- oder Marketingdienstleistungen, der Bereitstellung von Analysedienstleistungen oder der Bereitstellung ähnlicher Dienstleistungen im Namen des Unternehmens oder des Dienstleisters.
    6. Durchführung interner Forschungsarbeiten zur technologischen Entwicklung und Demonstration.
    7. Durchführung von Tätigkeiten zur Überprüfung oder Aufrechterhaltung der Qualität oder Sicherheit einer Dienstleistung oder Einrichtung, die sich im Eigentum des Unternehmens befindet, für das Unternehmen hergestellt oder davon hergestellt wurde oder von ihm kontrolliert wird, sowie zur Verbesserung, Aufrüstung oder Erweiterung der Dienstleistung oder Einrichtung, die sich im Eigentum des Unternehmens befindet, für das Unternehmen hergestellt oder davon hergestellt wurde oder von ihm kontrolliert wird.
  5. "Sammeln", "sammelte" oder "einholen" bedeutet Kauf, Vermietung, Sammlung, Erhalt, Erhalt oder Zugriff auf persönliche Informationen über einen Verbraucher mit allen Mitteln. Dazu gehört auch die aktive oder passive Information des Verbrauchers oder die Beobachtung des Verbraucherverhaltens.
  6. "Kommerzielle Zwecke": Förderung der geschäftlichen oder wirtschaftlichen Interessen einer Person, z.B. durch Veranlassung einer anderen Person, Produkte, Waren, Eigentum, Informationen oder Dienstleistungen zu kaufen, zu mieten, zu leasen, sich anzuschliessen, zu abonnieren, bereitzustellen oder auszutauschen, oder durch Ermöglichung oder Durchführung eines Geschäftsvorgangs, direkt oder indirekt. "Kommerzielle Zwecke" schliessen nicht den Zweck ein, sich an Reden zu beteiligen, die von Staats- oder Bundesgerichten als nichtkommerzielle Rede anerkannt wurden, einschliesslich politischer Rede und Journalismus.
  7. "Verbraucher" ist eine natürliche Person, die in Kalifornien ansässig ist, wie in Abschnitt 17014 von Titel 18 des California Code of Regulations in der Fassung des genannten Abschnitts vom 1. September 2017 definiert, wie auch immer sie identifiziert wird, einschliesslich eines eindeutigen Identifikators.
  8. "Deidentifiziert" sind Informationen, die nicht in angemessener Weise einen bestimmten Verbraucher direkt oder indirekt identifizieren, sich auf ihn beziehen, ihn beschreiben oder mit ihm in Verbindung gebracht werden können, vorausgesetzt, dass ein Unternehmen, das deidentifizierte Informationen verwendet:
    1. hat technische Vorkehrungen getroffen, die eine erneute Identifizierung des Verbrauchers, auf den sich die Informationen beziehen können, verbieten.
    2. hat Geschäftsprozesse implementiert, die eine erneute Identifizierung der Informationen ausdrücklich verbieten.
    3. hat Geschäftsprozesse implementiert, um die versehentliche Freigabe von deidentifizierten Informationen zu verhindern.
    4. Versucht nicht, die Informationen neu zu identifizieren.
  9. "Bestimmte Methoden zur Einreichung von Anfragen" bedeutet eine Postanschrift, E-Mail-Adresse, Internet-Webseite, Internet-Webportal, gebührenfreie Telefonnummer oder andere anwendbare Kontaktinformationen, wobei Verbraucher eine Anfrage oder Anweisung unter diesem Titel einreichen können, sowie alle neuen, verbraucherfreundlichen Mittel zur Kontaktaufnahme mit einem Unternehmen, wie vom Generalstaatsanwalt gemäss Abschnitt 1798.185 genehmigt.
  10. "Gerät" ist jedes physische Objekt, das direkt oder indirekt eine Verbindung zum Internet oder zu einem anderen Gerät herstellen kann.
  11. "Krankenversicherungsinformationen": die Versicherungspolicen- oder Abonnenten-Identifikationsnummer eines Verbrauchers, jede eindeutige Kennung, die von einem Krankenversicherer zur Identifizierung des Verbrauchers verwendet wird, oder jede Information in der Antrags- und Schadenshistorie des Verbrauchers, einschliesslich etwaiger Aufzeichnungen über Einsprüche, wenn die Information mit einem Verbraucher oder Haushalt, auch über ein Gerät, durch einen Geschäfts- oder Dienstleistungsanbieter verknüpft oder vernünftigerweise verknüpfbar ist.
  12. "Homepage" ist die Einführungsseite einer Internet-Website und jede Internet-Website, auf der personenbezogene Daten erfasst werden. Im Falle eines Online-Dienstes, wie z.B. einer mobilen Anwendung, bedeutet Homepage die Plattformseite oder Downloadseite der Anwendung, einen Link innerhalb der Anwendung, z.B. von der Konfiguration der Anwendung, "Über", "Informationen" oder der Einstellungsseite, und jede andere Stelle, die es dem Verbraucher ermöglicht, den durch Unterabschnitt (a) von Abschnitt 1798.145 geforderten Hinweis zu überprüfen, einschliesslich, aber nicht beschränkt auf, vor dem Herunterladen der Anwendung.
  13. "Schlussfolgerung" oder "Rückschluss" ist die Ableitung von Informationen, Daten, Annahmen oder Schlussfolgerungen aus Fakten, Beweisen oder einer anderen Informations-oder Datenquelle.
  14. "Person" bedeutet eine Einzelperson, ein Unternehmen, eine Firma, eine Partnerschaft, ein Joint Venture, ein Syndikat, eine Treuhandgesellschaft, eine Gesellschaft, eine Körperschaft, eine Gesellschaft mit beschränkter Haftung, eine Vereinigung, ein Komitee und jede andere Organisation oder Gruppe von Personen, die gemeinsam handeln.

    1. "Persönliche Informationen" sind Informationen, die einen bestimmten Verbraucher oder Haushalt identifizieren, sich auf ihn beziehen, ihn beschreiben, mit ihm in Verbindung gebracht werden können oder vernünftigerweise direkt oder indirekt mit ihm in Verbindung gebracht werden könnten. Zu den persönlichen Informationen gehören unter anderem die folgenden:
        1. Identifizierungsmerkmale wie z.B. realer Name, Alias, Postanschrift, eindeutige persönliche Kennung, Online-Identifikationsnummer, Internetprotokoll-Adresse, E-Mail-Adresse, Kontoname, Sozialversicherungsnummer, Führerscheinnummer, Passnummer oder andere ähnliche Identifizierungsmerkmale.
        2. Alle Kategorien von persönlichen Daten, die in Unterabschnitt (e) von Abschnitt 1798.80 beschrieben sind.
        3. Merkmale geschützter Klassifikationen nach kalifornischem oder Bundesrecht.
        4. Kommerzielle Informationen, einschliesslich Aufzeichnungen über persönliches Eigentum, gekaufte, erhaltene oder in Betracht gezogene Produkte oder Dienstleistungen oder andere Kauf- oder Verbrauchsgeschichten oder -tendenzen.
        5. Biometrische Informationen.
        6. Informationen über Internet- oder andere elektronische Netzwerkaktivitäten, einschliesslich, aber nicht beschränkt auf den Browserverlauf, den Suchverlauf und Informationen über die Interaktion eines Verbrauchers mit einer Internet-Website, - Anwendung oder -Werbung.
        7. Audio-, elektronische, visuelle, thermische, olfaktorische oder ähnliche Informationen.
        8. Berufs- oder beschäftigungsbezogene Informationen.
        9. Bildungsinformationen, definiert als Informationen, die nicht öffentlich zugänglich sind, persönlich identifizierbare Informationen, wie sie im Family Educational Rights and Privacy Act (20 U.S.C. section 1232g, 34 C.F.R. Part 99) definiert sind.
        10. Schlussfolgerungen, die aus den in diesem Abschnitt identifizierten Informationen gezogen werden, um ein Profil über einen Verbraucher zu erstellen, das die Präferenzen, Merkmale, psychologischen Trends, Vorlieben, Veranlagungen, Verhalten, Einstellungen, Intelligenz, Fähigkeiten und Fertigkeiten des Verbrauchers widerspiegelt.
      1. "Persönliche Informationen" umfasst keine öffentlich zugänglichen Informationen. Für diese Zwecke bedeutet "öffentlich zugänglich" Informationen, die rechtmässig aus den Aufzeichnungen der Bundes-, Landes- oder Kommunalbehörden zur Verfügung gestellt werden, sofern die Bedingungen für diese Informationen erfüllt sind. "Öffentlich verfügbar" bedeutet nicht, dass biometrische Informationen, die von einem Unternehmen über einen Verbraucher ohne dessen Wissen gesammelt wurden, öffentlich zugänglich sind. Informationen sind nicht "öffentlich zugänglich", wenn diese Daten für einen Zweck verwendet werden, der nicht mit dem Zweck vereinbar ist, für den die Daten in den staatlichen Aufzeichnungen aufbewahrt und zur Verfügung gestellt werden oder für den sie öffentlich aufbewahrt werden. "Öffentlich zugänglich" umfasst weder identifizierte Verbraucherinformationen noch aggregierte Verbraucherinformationen.
  15. "Probabilistischer Identifikator": die Identifizierung eines Verbrauchers oder eines Geräts mit einem Grad an Sicherheit, der wahrscheinlicher ist als der, der auf Kategorien personenbezogener Daten beruht, die in den in der Definition der personenbezogenen Daten aufgeführten Kategorien enthalten oder diesen ähnlich sind.
  16. "Verarbeitung" ist jeder Vorgang oder jede Vorgangsreihe, die mit personenbezogenen Daten oder mit Sätzen von personenbezogenen Daten durchgeführt wird, unabhängig davon, ob sie automatisiert sind oder nicht.
  17. "Pseudonymisieren" oder "Pseudonymisierung" ist die Verarbeitung personenbezogener Daten in einer Weise, die es ermöglicht, dass die personenbezogenen Daten ohne Verwendung zusätzlicher Informationen nicht mehr einem bestimmten Verbraucher zugeordnet werden können, sofern die zusätzlichen Informationen getrennt aufbewahrt werden und durch technische und organisatorische Massnahmen sichergestellt ist, dass die personenbezogenen Daten nicht einem identifizierten oder identifizierbaren Verbraucher zugeordnet werden können.
  18. "Forschung": wissenschaftliche, systematische Untersuchungen und Beobachtungen, einschliesslich Grundlagenforschung oder angewandte Forschung, die im öffentlichen Interesse liegt und die alle anderen geltenden Ethik- und Datenschutzvorschriften einhält, oder Studien, die im öffentlichen Interesse im Bereich der öffentlichen Gesundheit durchgeführt werden. Forschung mit persönlichen Informationen, die möglicherweise von einem Verbraucher im Laufe der Interaktion des Verbrauchers mit einem Dienst oder Gerät eines Unternehmens für andere Zwecke gesammelt wurden, muss:
    1. Kompatibel sein mit dem Geschäftszweck, für den die persönlichen Daten gesammelt wurden.
    2. Anschliessend pseudonymisiert und deidentifiziert werden oder in der Gesamntheit deidentifiziert werden, so dass die Informationen nicht vernünftigerweise einen bestimmten Verbraucher direkt oder indirekt identifizieren, sich auf ihn beziehen, ihn beschreiben oder mit ihm in Verbindung gebracht werden können.
    3. Sie werden technischen Sicherheitsvorkehrungen unterworfen, die eine erneute Identifizierung des Verbrauchers, auf den sich die Informationen beziehen können, verunmöglichen.
    4. Teil von Geschäftsprozessen sein, die eine erneute Identifizierung der Informationen ausdrücklich verbieten.
    5. Unterliegen Geschäftsprozessen, um die versehentliche Freigabe von deidentifizierten Informationen zu verhindern.
    6. Geschützt vor jeglichen Reidentifizierungsversuchen.
    7. ausschliesslich für Forschungszwecke verwendet werden, die mit dem Kontext, in dem die personenbezogenen Daten erhoben wurden, vereinbar sind.
    8. Sie dürfen nicht für kommerzielle Zwecke verwendet werden.
    9. Unterwirft das forschende Unternehmen zusätzliche Sicherheitskontrollen, so beschränkt es den Zugang zu den Forschungsdaten auf die Personen in einem Unternehmen, die für die Durchführung des Forschungszwecks erforderlich sind.

    1. "Verkaufen", "Verkauf" oder "verkauft" bedeutet den Verkauf, die Vermietung, die Freigabe, die Offenlegung, die Verbreitung, die Bereitstellung, die Übertragung oder sonstige mündliche, schriftliche oder elektronische oder sonstige Kommunikation von persönlichen Informationen eines Verbrauchers durch das Unternehmen an ein anderes Unternehmen oder einen Dritten gegen eine finanzielle oder sonstige wertvolle Gegenleistung.
    2. Für die Zwecke dieses Titels verkauft ein Unternehmen keine persönlichen Daten, wenn:
      1. Ein Verbraucher benutzt oder leitet das Unternehmen an, um absichtlich persönliche Daten offenzulegen, oder benutzt das Unternehmen, um absichtlich mit einer dritten Partei zu interagieren, vorausgesetzt, dass die dritte Partei die persönlichen Daten nicht auch verkauft, es sei denn, diese Offenlegung wäre mit den Bestimmungen dieses Titels vereinbar. Eine bewusste Interaktion liegt vor, wenn der Verbraucher beabsichtigt, mit dem Dritten über eine oder mehrere bewusste Interaktionen zu interagieren. Das Überfahren, Stummschalten, Anhalten oder Schliessen eines bestimmten Inhalts stellt keine Absicht des Verbrauchers dar, mit einem Dritten zu interagieren.
      2. Das Unternehmen verwendet oder teilt eine Kennung für einen Verbraucher, der sich gegen den Verkauf der persönlichen Daten des Verbrauchers entschieden hat, um Dritte darauf hinzuweisen, dass der Verbraucher sich gegen den Verkauf der persönlichen Daten des Verbrauchers entschieden hat.
      3. Das Unternehmen verwendet persönliche Daten eines Verbrauchers, die zur Erfüllung eines Geschäftszwecks notwendig sind, oder gibt sie an einen Dienstleister weiter, wenn beide der folgenden Bedingungen erfüllt sind: Dienstleistungen, die der Dienstleister im Auftrag des Unternehmens erbringt, vorausgesetzt, dass der Dienstleister die persönlichen Daten auch nicht verkauft.
        1. Das Unternehmen hat mitgeteilt, dass Informationen, die in seinen Geschäftsbedingungen verwendet oder weitergegeben werden, mit Abschnitt 1798.135 vereinbar sind.
        2. Der Dienstanbieter sammelt, verkauft oder verwendet die persönlichen Daten des Verbrauchers nur dann, wenn dies zur Erfüllung des Geschäftszwecks erforderlich ist.
      4. Das Unternehmen überträgt die persönlichen Daten eines Verbrauchers als Vermögenswert an einen Dritten, der Teil einer Fusion, Übernahme, eines Konkurses oder einer anderen Transaktion ist, bei der der Dritte die Kontrolle über das gesamte Unternehmen oder einen Teil des Unternehmens übernimmt, vorausgesetzt, dass die Informationen in Übereinstimmung mit den Abschnitten 1798.110 und 1798.115 verwendet oder weitergegeben werden. Ändert ein Dritter die Art und Weise, wie er die persönlichen Daten eines Verbrauchers verwendet oder weitergibt, in einer Weise, die in erheblichem Widerspruch zu den zum Zeitpunkt der Erhebung gemachten Zusagen steht, so hat er den Verbraucher vorab über die neue oder geänderte Praxis zu informieren. Die Bekanntmachung muss hinreichend deutlich und robust sein, um sicherzustellen, dass die bestehenden Verbraucher ihre Wahlmöglichkeiten in Übereinstimmung mit Abschnitt 1798.120 leicht ausüben können. Dieser Unterabsatz ermächtigt ein Unternehmen nicht, wesentliche, rückwirkende Änderungen der Datenschutzpolitik oder andere Änderungen seiner Datenschutzpolitik in einer Weise vorzunehmen, die gegen das Gesetz über unlautere und betrügerische Praktiken (Kapitel 5 (beginnend mit § 17200) von Teil 2 der Abteilung 7 des Kodex für Unternehmen und Berufe) verstossen würde.
  19. "Dienstleistung" oder "Dienstleistungen" sind Arbeiten, Arbeitskräfte und Dienstleistungen, einschliesslich Dienstleistungen, die im Zusammenhang mit dem Verkauf oder der Reparatur von Waren erbracht werden.
  20. "Diensteanbieter" ist ein Einzelunternehmen, eine Personengesellschaft, eine Gesellschaft mit beschränkter Haftung, eine Körperschaft, eine Vereinigung oder eine andere juristische Person, die für den Gewinn oder finanziellen Vorteil ihrer Aktionäre oder anderer Eigentümer organisiert oder betrieben wird, die Informationen im Auftrag eines Unternehmens verarbeitet und der das Unternehmen die persönlichen Daten eines Verbrauchers für einen geschäftlichen Zweck gemäss einem schriftlichen Vertrag offenlegt, vorausgesetzt, dass der Vertrag dem Unternehmen, das die Informationen erhält, verbietet, die personenbezogenen Daten für andere Zwecke als für den spezifischen Zweck der Durchführung der im Vertrag für das Unternehmen festgelegten Dienstleistungen oder wie anderweitig durch diesen Titel erlaubt, einschliesslich der Aufbewahrung, Verwendung oder Offenlegung der personenbezogenen Daten für einen anderen kommerziellen Zweck als die Erbringung der im Vertrag mit dem Unternehmen festgelegten Dienstleistungen, zu behalten, zu verwenden oder offenzulegen.
  21. "Dritte" ist eine Person, die keine der folgenden Personen ist:
    1. Das Unternehmen, das im Rahmen dieses Titels persönliche Informationen von Verbrauchern sammelt.
    2. Eine Person, der das Unternehmen die persönlichen Daten eines Verbrauchers für einen geschäftlichen Zweck aufgrund eines schriftlichen Vertrags offenbart, sofern der Vertrag
      1. Verbietet der Person, die die persönlichen Informationen erhält:
        1. Verkauf der persönlichen Informationen.
        2. die Aufbewahrung, Verwendung oder Offenlegung der persönlichen Daten für einen anderen Zweck als für den spezifischen Zweck der Durchführung der im Vertrag festgelegten Dienstleistungen, einschliesslich der Aufbewahrung, Verwendung oder Offenlegung der persönlichen Daten für einen anderen kommerziellen Zweck als die Erbringung der im Vertrag festgelegten Dienstleistungen.
        3. die Informationen ausserhalb der direkten Geschäftsbeziehung zwischen der Person und dem Unternehmen aufzubewahren, zu verwenden oder offenzulegen.
      2. Umfasst eine von der Person, die die persönlichen Daten erhält, ausgestellte Bescheinigung, dass die Person die Einschränkungen in Unterabsatz (A) versteht und diese einhalten wird.
  22. Eine unter Absatz (2) fallende Person, die gegen eine der in diesem Titel festgelegten Einschränkungen verstösst, haftet für die Verstösse. Ein Unternehmen, das personenbezogene Daten gemäss Absatz (2) an eine unter Absatz (2) fallende Person weitergibt, haftet nicht nach diesem Titel, wenn die Person, die die personenbezogenen Daten erhält, diese unter Verletzung der in diesem Titel festgelegten Einschränkungen verwendet, vorausgesetzt, dass das Unternehmen zum Zeitpunkt der Weitergabe der personenbezogenen Daten keine tatsächliche Kenntnis davon hat oder Grund zu der Annahme hat, dass die Person beabsichtigt, eine solche Verletzung zu begehen.
  23. "Eindeutige Kennung" oder "Eindeutige persönliche Kennung" ist eine dauerhafte Kennung, die verwendet werden kann, um einen Verbraucher, eine Familie oder ein Gerät, das mit einem Verbraucher oder einer Familie verbunden ist, im Laufe der Zeit und über verschiedene Dienste hinweg zu erkennen, einschliesslich, aber nicht beschränkt auf eine Gerätekennung, eine Internetprotokolladresse, Cookies, Beacons, Pixel-Tags, mobile Werbekennungen oder ähnliche Technologien, Kundennummer, eindeutiges Pseudonym oder Benutzer-Alias, Telefonnummern oder andere Formen dauerhafter oder probabilistischer Kennungen, die zur Identifizierung eines bestimmten Verbrauchers oder Geräts verwendet werden können. Für die Zwecke dieser Unterteilung bedeutet "Familie" einen sorgeberechtigten Elternteil oder Vormund und alle minderjährigen Kinder, über die der Elternteil oder Vormund das Sorgerecht hat. Überprüfbare Verbraucheranfrage" ist eine Anfrage, die von einem Verbraucher, von einem Verbraucher im Namen des minderjährigen Kindes des Verbrauchers oder von einer natürlichen Person oder einer beim Secretary of State registrierten Person gestellt wird, die vom Verbraucher bevollmächtigt wurde, im Namen des Verbrauchers zu handeln, und die das Unternehmen gemäss den vom Generalstaatsanwalt gemäss Absatz (7) der Unterabteilung (a) des Abschnitts 1798.185 angenommenen Vorschriften in angemessener Weise überprüfen kann, um der Verbraucher zu sein, über den das Unternehmen persönliche Informationen gesammelt hat. Ein Unternehmen ist nicht verpflichtet, dem Verbraucher gemäss den Abschnitten 1798.110 und 1798.115 Informationen zur Verfügung zu stellen, wenn das Unternehmen gemäss diesem Unterabschnitt und den vom Generalstaatsanwalt gemäss Absatz (7) der Unterabschnitt (a) des Abschnitts 1798.185 erlassenen Vorschriften nicht überprüfen kann, dass der Verbraucher, der den Antrag stellt, der Verbraucher ist, über den das Unternehmen Informationen gesammelt hat oder eine vom Verbraucher bevollmächtigte Person ist, die im Namen des Verbrauchers handelt.

 

1798.145.

  1. Die den Unternehmen durch diesen Titel auferlegten Verpflichtungen dürfen die Fähigkeiten eines Unternehmens nicht einschränken:
    1. Bundes-, Landes- oder lokale Gesetze einzuhalten
    2. einer zivil-, strafrechtlichen oder behördlichen Untersuchung, Ermittlung, Vorladung oder Vorladung durch Bundes-, Landes- oder Lokalbehörden nachzukommen.
    3. mit den Strafverfolgungsbehörden in Bezug auf ein Verhalten oder eine Aktivität zusammenzuarbeiten, von dem/der das Unternehmen, der Dienstleister oder ein Dritter vernünftigerweise und in gutem Glauben annimmt, dass es/er gegen Bundes-, Landes- oder örtliche Gesetze verstossen könnte.
    4. Rechtsansprüche geltend zu machen oder abzuwehren.
    5. Sammlung, Verwendung, Aufbewahrung, Verkauf oder Offenlegung von Verbraucherinformationen, die als solche oder in der Gesamtheit der Verbraucherinformationen identifiziert werden.
    6. Persönliche Informationen eines Verbrauchers zu sammeln oder zu verkaufen, wenn jeder Aspekt dieses geschäftlichen Verhaltens vollständig ausserhalb Kaliforniens stattfindet. Für die Zwecke dieses Titels findet das kommerzielle Verhalten vollständig ausserhalb Kaliforniens statt, wenn das Unternehmen diese Informationen gesammelt hat, während der Verbraucher ausserhalb Kaliforniens war, kein Teil des Verkaufs der persönlichen Daten des Verbrauchers in Kalifornien stattfand und keine persönlichen Daten verkauft werden, die gesammelt wurden, während der Verbraucher in Kalifornien war. Dieser Absatz erlaubt es einem Unternehmen nicht, persönliche Informationen über einen Verbraucher zu speichern, auch nicht auf einem Gerät, wenn sich der Verbraucher in Kalifornien befindet, und diese persönlichen Informationen dann zu sammeln, wenn sich der Verbraucher und die gespeicherten persönlichen Informationen ausserhalb Kaliforniens befinden.
  2. Die Verpflichtungen, die Unternehmen gemäss den Abschnitten 1798.110 bis einschliesslich 1798.135 auferlegt werden, gelten nicht, wenn die Einhaltung des Titels durch das Unternehmen ein Beweisprivileg nach kalifornischem Recht verletzen würde, und hindern ein Unternehmen nicht daran, die persönlichen Daten eines Verbrauchers an eine Person, die nach kalifornischem Recht unter ein Beweisprivileg fällt, als Teil einer privilegierten Kommunikation zu übermitteln.
  3. Dieses Gesetz gilt nicht für geschützte oder gesundheitsbezogene Informationen, die von einer versicherten Stelle gesammelt werden, die dem Confidentiality of Medical Information Act (Teil 2.6 (beginnend mit Abschnitt 56 der Abteilung 1)) unterliegt oder die den Regeln für Datenschutz, Sicherheit und Benachrichtigung bei Sicherheitsverletzungen unterliegen, die vom Bundesgesundheitsministerium (Federal Department of Health and Human Services), Teil 160 und 164 von Titel 45 des Code of Federal Regulations, herausgegeben werden, der gemäss dem Health Insurance Portability and Availability Act von 1996 erstellt wurde. Für die Zwecke dieser Unterteilung gilt die Definition von "medizinische Informationen" in Abschnitt 56.05 und es gelten die Definitionen von "geschützten Gesundheitsinformationen" und "betroffene Stelle" aus der Bundesdatenschutzvorschrift.
  4. Dieser Titel gilt nicht für den Verkauf von persönlichen Daten an oder von einer Verbrauchermeldeagentur, wenn diese Daten in einem Verbraucherbericht gemäss der Definition in Abschnitt (d) des Titels 15 des United States Code gemeldet oder zur Erstellung eines Verbraucherberichts verwendet werden sollen und die Verwendung dieser Daten durch den Federal Fair Credit Reporting Act (15 U.S.C. Sec. 1681 ff.) beschränkt ist.
  5. Dieser Titel gilt nicht für personenbezogene Daten, die gemäss dem bundesstaatlichen Gramm-Leach-Bliley Act (Public Law 106-102) und den Durchführungsbestimmungen gesammelt, verarbeitet, verkauft oder offengelegt werden, wenn sie mit diesem Gesetz in Widerspruch stehen.
  6. Dieser Titel gilt nicht für personenbezogene Daten, die gemäss dem Driver's Privacy Protection Act von 1994 (18 U.S.C. Sec. 2721 ff.) gesammelt, verarbeitet, verkauft oder offengelegt werden, wenn sie im Widerspruch zu diesem Gesetz stehen.
  7. Ungeachtet der Verpflichtung eines Unternehmens, Anfragen zu Verbraucherrechten gemäss diesem Titel zu beantworten und zu berücksichtigen:
    1. Die Frist, innerhalb derer ein Unternehmen auf eine überprüfte Verbraucheranfrage zu antworten hat, kann unter Berücksichtigung der Komplexität und Anzahl der Anfragen gegebenenfalls um bis zu 90 zusätzliche Tage verlängert werden. Das Unternehmen informiert den Verbraucher über eine solche Verlängerung innerhalb von 45 Tagen nach Eingang des Antrags unter Angabe der Gründe für die Verzögerung.
    2. Trifft das Unternehmen auf die Aufforderung des Verbrauchers hin keine Massnahmen, so hat das Unternehmen den Verbraucher unverzüglich, spätestens jedoch innerhalb der nach diesem Abschnitt zulässigen Antwortfrist, über die Gründe für die Untätigkeit und die Rechte des Verbrauchers, gegen die Entscheidung beim Unternehmen Rechtsmittel einzulegen, zu unterrichten.
    3. Sind Anfragen eines Verbrauchers offensichtlich unbegründet oder übertrieben, insbesondere wegen ihres repetitiven Charakters, kann ein Unternehmen entweder eine angemessene Gebühr unter Berücksichtigung der Verwaltungskosten für die Bereitstellung der Informationen oder die Mitteilung oder die Durchführung der angeforderten Massnahmen verlangen oder es ablehnen, der Anfrage nachzukommen und den Verbraucher über den Grund für die Ablehnung der Anfrage informieren. Das Unternehmen trägt die Beweislast dafür, dass jeder überprüfte Antrag des Verbrauchers offensichtlich unbegründet oder übertrieben ist.
  8. Ein Unternehmen, das personenbezogene Daten an einen Dienstanbieter weitergibt, haftet nicht nach diesem Titel, wenn der Dienstanbieter, der die personenbezogenen Daten erhält, diese unter Verletzung der im Titel festgelegten Einschränkungen verwendet, vorausgesetzt, dass das Unternehmen zum Zeitpunkt der Weitergabe der personenbezogenen Daten keine tatsächliche Kenntnis davon hat oder Grund zu der Annahme hat, dass der Dienstanbieter eine solche Verletzung beabsichtigt. Ein Diensteanbieter haftet ebenfalls nicht nach diesem Titel für die in diesem Titel festgelegten Verpflichtungen eines Unternehmens, für das er Dienstleistungen erbringt.
  9. Dieser Titel ist nicht so auszulegen, dass ein Unternehmen verpflichtet ist, Informationen, die nicht in einer Weise aufbewahrt werden, die als personenbezogene Daten gelten würde, neu zu identifizieren oder anderweitig zu verknüpfen.
  10. Die den Verbrauchern gewährten Rechte und die dem Unternehmen in diesem Titel auferlegten Verpflichtungen dürfen die Rechte und Freiheiten anderer Verbraucher nicht beeinträchtigen.

 

1798.150.


    1. Jeder Verbraucher, dessen unverschlüsselte oder nicht abgespeicherte persönliche Daten, wie in Absatz (1) Unterabschnitt (A) des Unterabsatzes (d) von Abschnitt 1798.81.5 definiert, einem unbefugten Zugang und der Exfiltration, dem Diebstahl oder der Offenlegung unterliegen, weil das Unternehmen gegen die Pflicht zur Implementierung und Aufrechterhaltung angemessener Sicherheitsverfahren und -praktiken verstossen hat, die der Art der Informationen zum Schutz der persönlichen Daten angemessen sind, kann eine Zivilklage wegen einer der folgenden Punkte einreichen:
      1. Schadenersatz in einer Höhe von mindestens hundert Dollar ($100) und nicht mehr als siebenhundertfünfzig ($750) pro Verbraucher pro Vorfall oder tatsächlichen Schaden, je nachdem, welcher Betrag höher ist.
      2. Unterlassungs- oder Feststellungsklage.
      3. Jede andere Entlastung, die das Gericht für angemessen hält.
    2. Bei der Festsetzung der Höhe des gesetzlichen Schadensersatzes hat das Gericht einen oder mehrere der von einer der Parteien vorgetragenen relevanten Umstände zu berücksichtigen, einschliesslich, aber nicht beschränkt auf, die Art und Schwere des Fehlverhaltens, die Anzahl der Verstösse, das Fortbestehen des Fehlverhaltens, die Dauer des Zeitraums, in dem das Fehlverhalten stattgefunden hat, die Absicht des Beklagten, sowie das Vermögen, die Verbindlichkeiten und die Vermögenslage des Beklagten.
  1. Klagen gemäss diesem Abschnitt können von einem Verbraucher erhoben werden, wenn alle folgenden Voraussetzungen erfüllt sind
    1. Vor der Einleitung von Klagen gegen ein Unternehmen wegen gesetzlicher Schadensersatzforderungen auf individueller oder klassenübergreifender Basis hat ein Verbraucher eine 30-tägige schriftliche Mitteilung an ein Unternehmen zu richten, in der er die spezifischen Bestimmungen dieses Titels angibt, die nach seiner Behauptung verletzt wurden oder werden. Ist eine Heilung möglich, so kann, wenn das Unternehmen innerhalb der 30 Tage den festgestellten Verstoss tatsächlich heilt und dem Verbraucher eine ausdrückliche schriftliche Erklärung gibt, dass die Verstösse geheilt sind und keine weiteren Verstösse auftreten werden, keine Klage auf individuellen oder klassenübergreifenden gesetzlichen Schadenersatz gegen das Unternehmen erhoben werden. Bevor ein einzelner Verbraucher eine Klage ausschliesslich wegen tatsächlicher Vermögensschäden, die er aufgrund der angeblichen Verstösse gegen diesen Titel erlitten hat, einleitet, ist keine Benachrichtigung erforderlich. Wenn ein Unternehmen weiterhin gegen diesen Titel verstösst, indem es gegen die ausdrückliche schriftliche Erklärung, die dem Verbraucher gemäss diesem Abschnitt zur Verfügung gestellt wurde, verstösst, kann der Verbraucher gegen das Unternehmen ein Verfahren zur Durchsetzung der schriftlichen Erklärung einleiten und für jeden Verstoss gegen die ausdrückliche schriftliche Erklärung sowie für jede andere Verletzung des Titels, die nach der schriftlichen Erklärung erfolgt, gesetzlichen Schadenersatz verlangen.
    2. Ein Verbraucher, der eine Klage im Sinne des Absatzes (1) des Unterabschnitts (c) erhebt, muss den Generalstaatsanwalt innerhalb von 30 Tagen darüber informieren, dass die Klage eingereicht wurde.
    3. Der Generalbundesanwalt hat nach Erhalt einer solchen Mitteilung innerhalb von 30 Tagen eine der folgenden Massnahmen zu ergreifen:
      1. Benachrichtigung des Verbrauchers, der die Klage einreicht, über die Absicht des Generalstaatsanwalts, eine Klage gegen die Verletzung zu verfolgen. Wenn der Generalbundesanwalt nicht innerhalb von sechs Monaten strafrechtlich gegen den Verbraucher vorgeht, kann er die Klage erheben.
      2. Innerhalb der 30 Tage nicht zu handeln, so dass der klagende Verbraucher die Möglichkeit hat, die Klage zu erheben.
      3. Benachrichtigung des klagenden Verbrauchers, dass der Verbraucher die Klage nicht weiter verfolgen soll.
  2. Dieser Rechtsakt ist nicht so auszulegen, dass er als Grundlage für ein privates Klagerecht nach einem anderen Recht dienen könnte. Dies ist nicht so auszulegen, dass eine Partei von Pflichten oder Verpflichtungen entbunden wird, die sich aus anderen Gesetzen oder der Verfassung der Vereinigten Staaten oder Kaliforniens ergeben.

 

1798.155.

Jedes Unternehmen oder jede dritte Partei kann die Meinung des Generalstaatsanwalts einholen, um sich über die Einhaltung der Bestimmungen dieses Titels zu informieren.

  1. Ein Unternehmen verstösst gegen diesen Titel, wenn es eine angebliche Verletzung nicht innerhalb von 30 Tagen, nachdem es über die angebliche Nichteinhaltung informiert wurde, behebt. Jedes Unternehmen, jeder Dienstleister oder jede andere Person, die gegen diesen Titel verstösst, wird in einer vom Generalstaatsanwalt im Namen der Bevölkerung des Staates Kalifornien angestrengten Zivilklage zivilrechtlich bestraft, wie in Abschnitt 17206 des Business and Professions Code vorgesehen. Die in diesem Abschnitt vorgesehenen zivilrechtlichen Sanktionen werden ausschliesslich in einer vom Generalstaatsanwalt im Namen des Volkes des Staates Kalifornien angestrengten Zivilklage bewertet und eingetrieben.
  2. Ungeachtet des § 17206 des Geschäfts- und Berufsgesetzbuches kann jede Person, jedes Unternehmen oder jeder Dienstleister, der absichtlich gegen diesen Titel verstösst, für jeden Verstoss mit einer zivilrechtlichen Strafe von bis zu siebentausendfünfhundert Dollar ($7.500) belegt werden.
  3. Unbeschadet des § 17206 des Handels- und Berufsgesetzbuches wird jede zivilrechtliche Strafe, die gemäss § 17206 für eine Verletzung dieses Titels verhängt wird, sowie der Erlös aus der Beilegung einer nach Unterabschnitt (a) erhobenen Klage wie folgt aufgeteilt:
    1. Zwanzig Prozent an den Consumer Privacy Fund, der innerhalb des General Fund gemäss Unterabschnitt (a) von Section 1798.109 eingerichtet wurde, mit der Absicht, alle Kosten, die den Staatsgerichten und dem Attorney General in Verbindung mit diesem Titel entstehen, vollständig auszugleichen.
    2. Achtzig Prozent an das Gericht, in dessen Namen die Klage, die zur Zivilstrafe führt, erhoben wurde.
  4. Es ist die Absicht der Legislative, dass die in der Unterabteilung (c) angegebenen Prozentsätze nach Bedarf angepasst werden, um sicherzustellen, dass alle zivilrechtlichen Strafen, die für eine Verletzung dieses Titels verhängt werden, alle Kosten, die den staatlichen Gerichten und dem Generalstaatsanwalt in Verbindung mit diesem Titel entstehen, einschliesslich eines ausreichenden Betrags zur Deckung eines Defizits aus einem früheren Geschäftsjahr, vollständig ausgleichen.

 

1798.160.

  1. Hiermit wird innerhalb des Allgemeinen Fonds in der Staatskasse ein Sonderfonds mit der Bezeichnung "Consumer Privacy Fund" eingerichtet, der nach der Aneignung durch die Legislative zur Verfügung steht, um alle Kosten auszugleichen, die den Staatsgerichten im Zusammenhang mit Klagen zur Durchsetzung dieses Titels entstehen, sowie alle Kosten, die dem Generalstaatsanwalt bei der Ausübung seiner Pflichten unter diesem Titel entstehen.
  2. Die an den Consumer Privacy Fund überwiesenen Mittel werden ausschliesslich zum Ausgleich der Kosten verwendet, die den staatlichen Gerichten und dem Generalstaatsanwalt im Zusammenhang mit diesem Titel entstehen. Diese Mittel dürfen vom Gesetzgeber nicht für andere Zwecke verwendet oder übertragen werden, es sei denn, der Finanzdirektor stellt fest, dass die Mittel über die Mittel hinausgehen, die zum vollständigen Ausgleich der Kosten der staatlichen Gerichte und des Generalstaatsanwalts im Zusammenhang mit diesem Titel erforderlich sind; in diesem Fall kann der Gesetzgeber die überschüssigen Mittel für andere Zwecke verwenden.

 

1798.175.

Dieser Titel soll das verfassungsmässige Recht auf Privatsphäre fördern und die bestehenden Gesetze bezüglich der persönlichen Daten der Verbraucher ergänzen, einschliesslich, aber nicht beschränkt auf Kapitel 22 (beginnend mit Abschnitt 22575) der Abteilung 8 des Geschäfts und Berufskodex und Titel 1.81 (beginnend mit Abschnitt 1798.80). Die Bestimmungen dieses Titels sind nicht auf elektronisch oder über das Internet gesammelte Informationen beschränkt, sondern gelten für die Sammlung und den Verkauf aller persönlichen Informationen, die ein Unternehmen von Verbrauchern sammelt. Wo immer möglich, sollte das Recht in Bezug auf die persönlichen Daten der Verbraucher so ausgelegt werden, dass es mit den Bestimmungen dieses Titels harmonisiert, aber im Falle eines Konflikts zwischen anderen Gesetzen und den Bestimmungen dieses Titels gelten die Bestimmungen des Gesetzes, die den grössten Schutz für das Recht auf Privatsphäre der Verbraucher bieten.

 

1798.180.

Dieser Titel ist eine Angelegenheit von landesweiter Bedeutung und ersetzt und präjudiziert alle Regeln, Vorschriften, Codes, Verordnungen und andere Gesetze, die von einer Stadt, einem Landkreis, einer Stadt und einem Landkreis, einer Gemeinde oder einer lokalen Behörde in Bezug auf die Sammlung und den Verkauf von persönlichen Daten der Verbraucher durch ein Unternehmen verabschiedet wurden.

 

1798.185.

 

  1. Am oder vor dem 1. Januar 2020 wird der Generalstaatsanwalt eine breite Öffentlichkeitsbeteiligung zur Annahme von Regelungen zur Förderung der Zwecke dieses Titels, einschliesslich, aber nicht beschränkt auf die folgenden Bereiche, einfordern:
    1. Bei Bedarf Aktualisierung zusätzlicher Kategorien personenbezogener Daten zu den in Abschnitt 1798.130 Unterabschnitt (c) und Abschnitt 1798.140 Unterabschnitt (o) aufgeführten Kategorien, um Änderungen der Technologie, der Datenerhebungspraktiken, der Hindernisse für die Umsetzung und der Bedenken hinsichtlich des Datenschutzes Rechnung zu tragen.
    2. Erforderliche Aktualisierung der Definition der eindeutigen Identifikatoren, um Änderungen in der Technologie, der Datenerfassung, den Hindernissen für die Umsetzung und den Bedenken hinsichtlich des Schutzes der Privatsphäre Rechnung zu tragen, sowie zusätzliche Kategorien zur Definition der benannten Methoden für die Einreichung von Anträgen, um die Möglichkeit eines Verbrauchers zu erleichtern, Informationen von einem Unternehmen gemäss Abschnitt 1798.130 zu erhalten.
    3. Festlegung aller Ausnahmen, die zur Einhaltung von Landes- oder Bundesgesetzen erforderlich sind, einschliesslich, aber nicht beschränkt auf solche, die sich auf Geschäftsgeheimnisse und Rechte an geistigem Eigentum beziehen, innerhalb eines Jahres nach Verabschiedung dieses Titels und nach Bedarf danach.
    4. Festlegung von Regeln und Verfahren für Folgendes innerhalb eines Jahres nach Verabschiedung dieses Titels und bei Bedarf danach
      1. Um die Einreichung eines Antrags eines Verbrauchers zu erleichtern und zu regeln, sich gegen den Verkauf von persönlichen Informationen gemäss Absatz (1) des Unterabschnitts (a) von Section 1798.145 zu entscheiden.
      2. Regelung der Einhaltung des Opt-out-Wunsches des Verbrauchers durch die Unternehmen.
      3. Die Entwicklung und Verwendung eines erkennbaren und einheitlichen Opt-Out-Logos oder -Buttons durch alle Unternehmen, um das Bewusstsein der Verbraucher für die Möglichkeit zu fördern, sich gegen den Verkauf von persönlichen Informationen zu entscheiden.
    5. Anpassung des Schwellenwerts in Absatz (1) Buchstabe A des Unterabschnitts (b) des Abschnitts 1798.106 im Januar jedes ungeraden Jahres, um einen Anstieg des Verbraucherpreisindexes widerzuspiegeln.
    6. Festlegung von Regeln, Verfahren und etwaigen Ausnahmen, die erforderlich sind, um sicherzustellen, dass die Mitteilungen und Informationen, die die Unternehmen gemäss diesem Titel zu liefern haben, in einer für den Durchschnittsverbraucher leicht verständlichen Weise bereitgestellt werden, für Verbraucher mit Behinderungen zugänglich sind und in der Sprache verfügbar sind, die hauptsächlich für die Interaktion mit dem Verbraucher verwendet wird, einschliesslich der Festlegung von Regeln und Leitlinien für finanzielle Anreizangebote innerhalb eines Jahres nach Verabschiedung dieses Titels und bei Bedarf danach.
    7. Festlegung von Regeln und Verfahren zur Förderung der Zwecke der §§ 1798.110 und 1798.115 und zur Erleichterung der Informationsbeschaffung eines Verbrauchers oder seines Bevollmächtigten gemäss § 1798.130, mit dem Ziel, den Verwaltungsaufwand für die Verbraucher unter Berücksichtigung der verfügbaren Technologie, der Sicherheitsbedenken und des Aufwands für das Unternehmen so gering wie möglich zu halten, um die Feststellung eines Unternehmens zu regeln, dass ein von einem Verbraucher erhaltenes Auskunftsersuchen ein nachprüfbares Ersuchen ist, einschliesslich der Behandlung eines Antrags, der über ein passwortgeschütztes Konto gestellt wird, das der Verbraucher bei dem Unternehmen führt, während der Verbraucher in das Konto eingeloggt ist, als überprüfbare Anfrage und die Bereitstellung eines Mechanismus für einen Verbraucher, der kein Konto bei dem Unternehmen führt, um Informationen durch die Authentifizierung der Identität des Verbrauchers durch das Unternehmen innerhalb eines Jahres nach der Verabschiedung dieses Titels und bei Bedarf danach anzufordern.
  2. Der Generalstaatsanwalt kann zusätzliche Vorschriften erlassen, die zur Förderung der Zwecke dieses Titels erforderlich sind.

 

1798.190.

Wenn eine Reihe von Schritten oder Transaktionen Bestandteile einer einzigen Transaktion waren, die von Anfang an mit der Absicht vorgenommen werden sollten, die Reichweite dieses Titels zu vermeiden, einschliesslich der Weitergabe von Informationen durch ein Unternehmen an einen Dritten, um die Definition des Begriffs "Verkauf" zu vermeiden, lässt ein Gericht die Zwischenschritte oder Transaktionen für die Zwecke der Verwirklichung der Zwecke dieses Titels ausser Acht.

 

1798.192.

Jede Bestimmung eines Vertrags oder einer Vereinbarung jeglicher Art, die vorgibt, auf die Rechte des Verbrauchers nach diesem Titel zu verzichten oder sie in irgendeiner Weise zu beschränken, einschliesslich, aber nicht beschränkt auf das Recht auf einen Rechtsbehelf oder auf Durchsetzungsmittel, gilt als gegen die öffentliche Ordnung verstossend und ist nichtig und nicht durchsetzbar. Dieser Abschnitt hindert einen Verbraucher nicht daran, sich zu weigern, Informationen von einem Unternehmen anzufordern, sich zu weigern, sich gegen den Verkauf der persönlichen Daten des Verbrauchers durch ein Unternehmen zu entscheiden oder ein Unternehmen zu ermächtigen, die persönlichen Daten des Verbrauchers zu verkaufen, nachdem er zuvor seine Zustimmung erteilt hat.

 

1798.194.

Dieser Titel ist zur Erreichung seiner Ziele frei auszulegen.

 

1798.196.

Dieser Titel soll, sofern zulässig, Bundes- und Landesrecht ergänzen, gilt jedoch nicht, wenn eine solche Anwendung durch Bundesgesetz oder die Verfassung von Kalifornien verhindert wird oder im Widerspruch dazu steht.

 

 

Abgerufen am 02.02.2020 von https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201720180AB375

 

Swiss Infosec AG; 05.02.2020
Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch

 

datenschutz fingerabdruck

 

Datenschutz

Datenschutz greift auch in unsere Lebensprozesse ein

 

Datenschutz ist allgegenwärtig und begleitet uns im Berufsalltag wie auch im Privatleben. Erfahren Sie bei uns alles über Beratung, Ausbildung und Services im Fachbereich Datenschutz und wie wir Sie als erfahrene Datenschutzspezialisten unterstützen können.

 

Kontaktieren Sie uns, denn wir wissen, welche Daten wie zu schützen sind! Wir beraten Sie gerne. +41 41 984 12 12, infosec@infosec.ch

 

Mehr