Leitfaden zur Einhaltung des CCPA

Dies ist ein Teil einer Reihe von Themen, die Adobe Commerce- und Magento-Open-Source-Händlern und -Entwicklern helfen sollen, die Auswirkungen des California Consumer Privacy Act zu verstehen. Die Informationen beruhen auf dem Wortlaut des Gesetzes. Wenden Sie sich an Ihren Anwalt, um festzustellen, ob der CCPA auf Ihr Unternehmen zutrifft, bevor Sie Maßnahmen zur Einhaltung der Vorschriften ergreifen.

Dieses Thema bietet einen Überblick über die Schritte, die für Händler erforderlich sind, um Datenschutzbestimmungen wie das California Consumer Privacy Act (CCPA) einzuhalten.

DSGVO und CCPA

Wenn Ihr Unternehmen sowohl die Datenschutz Grundverordnung (DSGVO) als auch das CCPA einhalten muss, können Sie einen Teil der Arbeit aus Ihrem DSGVO-Compliance-Programm für das CCPA nutzen. Obwohl die Verordnungen einige Ähnlichkeiten aufweisen, gibt es einige Unterschiede:

  • Die Definition des Begriffs “personenbezogene Daten” ist für jede Verordnung unterschiedlich.
  • Die DSGVO verlangt von den Verbrauchern, dass sie zustimmen, bevor ihre personenbezogenen Daten für bestimmte Zwecke verwendet werden dürfen, während die CCPA den Verbrauchern das Recht einräumt, sich dagegen zu entscheiden.
  • Der CCPA enthält zusätzliche Anforderungen an die Dateninventarisierung und -zuordnung.
  • Die Verordnungen enthalten unterschiedliche Anforderungen an die Datenschutzpolitik.

Unternehmen, die die Datenschutz-Grundverordnung (DSGVO) einhalten, haben möglicherweise zusätzliche Verpflichtungen im Rahmen des CCPA. Weitere Informationen finden Sie im CCPA Fact Sheet.

Roadmap zur Einhaltung der Vorschriften

Es bedarf koordinierter Anstrengungen, um einen Plan zur Einhaltung der Vorschriften zu entwickeln und umzusetzen. Nutzen Sie diesen Fahrplan als Leitfaden für die Mobilisierung von Ressourcen und die Priorisierung von Aufgaben, damit Sie an mehreren Fronten vorankommen. Der Prozess ist im Wesentlichen für alle Commerce-Installationen gleich, mit der folgenden Ausnahme:

  • Adobe Commerce auf einer Cloud-Infrastruktur: Händler, deren Shops auf unserer Cloud-Infrastruktur gehostet werden, können sich bei der Beantwortung von Kundenanfragen an ihren Adobe Commerce Technical Account Manager oder den Kundendienst wenden.

  • Vor-Ort: Händler mit Vor-Ort-Installationen von Adobe Commerce oder Magento Open Source müssen ihre eigenen Prozesse und Werkzeuge entwickeln, um Verbraucheranfragen im Zusammenhang mit Datenschutzbestimmungen zu beantworten und zu verwalten.

Schritt 1: Stellen Sie ein funktionsübergreifendes Team zusammen, das sich um die Einhaltung der Vorschriften kümmert.

Stellen Sie ein Team zusammen, das die folgenden funktionalen Rollen in Ihrem Unternehmen repräsentiert, und planen Sie eine Schulungssitzung, um sie auf den neuesten Stand der Gesetzgebung zu bringen. Weisen Sie dann den Beteiligten die erforderlichen Aufgaben zu, je nach Rolle.

  • Geschäftsstrategie und Betrieb
  • Rechtliches
  • Informationstechnologie
  • Benutzererfahrung
  • Kundenbetreuung
  • Administrative Unterstützung

Aus geschäftlicher Sicht müssen Sie entscheiden, ob Ihr Unternehmen diese Maßnahmen zum Schutz der Privatsphäre nur auf Verbraucher in Kalifornien ausweiten oder sie allen Verbrauchern unabhängig von ihrem Standort zur Verfügung stellen will.

Schritt 2: Machen Sie eine Bestandsaufnahme Ihres digitalen Eigentums.

Akteure: Informationstechnologie, Rechtsabteilung, administrative Unterstützung

Machen Sie eine Bestandsaufnahme Ihres digitalen Eigentums, einschließlich aller Integrationen und der Personen, die Zugang zu Ihren Verbraucherdaten haben.

  1. Ermitteln Sie, welche öffentlichen und privaten personenbezogenen Daten über Ihre Website(s) und mobile(n) Anwendung(en) erfasst werden. Eine Standard-Commerce-Datenbank speichert beispielsweise die folgenden Arten von öffentlichen und privaten personenbezogenen Daten:

    • Öffentlich: Wunschlisten, Produktbewertungen

    • Privat: Kundeninformationen, Bestellinformationen, Prämienpunkte, Geschenkeliste, Adressbuch, Geschäftsguthaben, Zahlungsarten, Rechnungsvereinbarungen, Newsletter-Abonnements, Einladungen.

      Wenn Ihre Commerce-Installation angepasst wurde, werden möglicherweise zusätzliche persönliche Daten erfasst. Personenbezogene Daten können auch in Cookies, Tags und anderen Technologien, die Informationen sammeln, enthalten sein.

  2. Nennen Sie die Parteien, mit denen Sie Daten austauschen. Ihre Liste enthält Dienstanbieter und Dritte wie Werbenetzwerke, Internetdienstleister, Datenanalyseanbieter, staatliche Stellen, Betriebssysteme und Plattformen, soziale Netzwerke und Wiederverkäufer von Verbraucherdaten, die nicht direkt personenbezogene Daten von Ihren Verbrauchern erfassen.

    • Dienstleister: Diejenigen, die aus geschäftlichen Gründen Zugang zu Ihren Verbraucherdaten haben und in Ihrem Namen Dienstleistungen erbringen. Adobe ist zum Beispiel ein Dienstanbieter, ebenso wie einige Entwickler von Anpassungen, Extensions und Diensten.

      Überprüfen Sie die Standardeinstellungen von Google Universal Analytics, Google Tag Manager - und allen anderen Datendiensten, die Sie verwenden - und nehmen Sie alle erforderlichen Änderungen vor, um die Verordnung einzuhalten. Weitere Informationen finden Sie unter Google-Datenschutzeinstellungen.

    • Andere Drittparteien: Diejenigen, mit denen Sie Verbraucherdaten teilen oder verkaufen. So können Sie beispielsweise Verbraucherdaten an ein Werbenetzwerk weitergeben, um Werbung zu erhalten.

Schritt 3: Zeichnen Sie die Customer Journey und den Prozess der Datenerfassung in Ihrem Geschäft bzw. Ihren Stores auf.

Stakeholder: Benutzererfahrung, Informationstechnologie, administrative Unterstützung

  1. Identifizieren Sie jeden Punkt in der Customer Journey, an dem personenbezogene Daten gesammelt werden, und die Art der Daten, die bei jedem Schritt gesammelt werden.

    Die Besucher Ihrer Website müssen im Voraus oder zum Zeitpunkt der Datenerfassung informiert werden. Ein Shop ohne benutzerdefinierte Integrationen sammelt beispielsweise personenbezogene Daten bei der Erstellung eines Kundenkontos und während des Bestellvorgangs. Wenn Ihr Shop über benutzerdefinierte Integrationen verfügt, sind möglicherweise zusätzliche Datenelemente und Attribute zu identifizieren.

  2. In den folgenden Themen finden Sie die entsprechenden Datenflussdiagramme und Datenbankentitätszuordnungen für jede Version:

    ![] (https://devdocs.magento.com/compliance/privacy/frontend-data-entry-points.svg){: .zoom} Frontend-Dateneingabepunkte

Schritt 4: Legen Sie Verfahren und Mechanismen fest, um auf Kundenanfragen zu reagieren.

Stakeholder: Kundenservice, Informationstechnologie, Benutzererfahrung, administrative Unterstützung

Aus Sicht der Datenverwaltung sind an jeder Anfrage nach persönlichen Informationen die folgenden Parteien beteiligt:

  • Datensubjekte (Verbraucher): Gemäß CCPA kann jede Person in Kalifornien, die personenbezogene Daten zur Verfügung stellt, um einen Kauf zu tätigen und/oder ein Kundenkonto zu führen, einen Antrag auf Zugang oder Löschung ihrer personenbezogenen Daten stellen.

  • Einrichtungen, die als Unternehmen im Anwendungsbereich des CCPA handeln (Marken): Handelsunternehmen sammeln und speichern personenbezogene Daten ihrer Kunden und Gäste, die in ihren Stores einkaufen.

  • Datenverarbeiter (Technologie-Anbieter): Adobe Commerce und Magento Open Source fungieren als Verarbeiter der personenbezogenen Daten, die im Rahmen der den Händlern angebotenen Dienste gespeichert werden. Als Auftragsverarbeiter verarbeitet Adobe personenbezogene Daten im Einklang mit der Erlaubnis und den Anweisungen des Händlers, wie sie in der Lizenzvereinbarung festgelegt sind.

Die Händler sind dafür verantwortlich, Folgendes zu tun:

  1. Identifizieren Sie die Parteien, die an der Datenzugriffsanfrage beteiligt sind, und überprüfen Sie die Identität der Person, die um Auskunft, Abmeldung oder Löschung bittet, unabhängig davon, ob die Person ein passwortgeschütztes Kundenkonto hat oder als Gast in Ihrem Shop einkauft.

  2. Offenlegung und Aushändigung von Informationen an einen Verbraucher als Antwort auf dessen Rechtsanfrage innerhalb von 45 Tagen nach Erhalt einer überprüfbaren Anfrage des Verbrauchers, es sei denn, dies ist nicht möglich (in diesem Fall enthält das Gesetz bestimmte andere Anforderungen für ein Unternehmen, um die Einhaltung der Vorschriften für Verzögerungen von bis zu weiteren 45 Tagen zu gewährleisten).

    Die Händler müssen auf jede DSAR innerhalb von 45 Tagen nach Eingang der Anfrage antworten. Erforderlichenfalls können sich Händler bis zu weitere 45 Tage Zeit für die Beantwortung nehmen, insgesamt also maximal 90 Tage ab dem Tag des Eingangs der Anfrage, vorausgesetzt, der Händler benachrichtigt den Kunden und erläutert den Grund für die Verzögerung.

  3. Entwickeln Sie einen Mechanismus, um die geforderten Benachrichtigungen in Ihrem Geschäft anzuzeigen und die Antworten der Verbraucher zu sammeln.

  4. Legen Sie Verfahren fest, um auf jede der folgenden Anfragen zu reagieren und diese zu dokumentieren:

    • Anfragen zur Kenntnisnahme: Die Besucher Ihres Geschäfts müssen über alle Vereinbarungen informiert werden, die Sie getroffen haben, um ihre persönlichen Daten an Dritte zu verkaufen oder weiterzugeben, und sie müssen die Möglichkeit haben, dies abzulehnen. Die Einzelheiten über die Verwendung personenbezogener Daten und die Parteien, mit denen Sie Daten austauschen oder verkaufen, können in Ihrer Datenschutzrichtlinie festgehalten werden.

    • Aufforderung zur Abmeldung: Das CCPA verlangt von den Unternehmen, dass sie an jeder Stelle, an der personenbezogene Daten erhoben werden, einen Link Meine Daten nicht verkaufen bereitstellen, wenn diese Daten verkauft oder gegen eine Gegenleistung an Dritte weitergegeben werden sollen. Zusätzliche benutzeraktivierte Eingabemöglichkeiten, wie z. B. Kontrollkästchen und Schaltflächen, können in E-Mail-Mitteilungen, Website-Einstellungen oder in Website-Formularen an der Stelle der Datenerfassung verwendet werden, an der Personen eine gültige Opt-out-Anfrage stellen können.

    • Löschanträge

      • Händler, deren Shops in Adobe Commerce Cloud gehostet werden, sollten sich an den Adobe-Support wenden, um Unterstützung beim Löschen personenbezogener Daten zu erhalten. Weitere Informationen erhalten Sie von Ihrem Adobe Technical Account Manager oder dem Kundensupport.
      • Händler, die Adobe Commerce oder Magento Open Source vor Ort installieren, müssen einen eigenen Prozess und ein eigenes Skript implementieren, um personenbezogene Daten auf Anfrage zu löschen.

Schritt 5: Schreiben Sie den Inhalt für die erforderlichen Kundenbenachrichtigungen.

Stakeholder: Rechtsabteilung, Kundendienst, Benutzererfahrung, Informationstechnologie, administrative Unterstützung

  1. Legen Sie gemeinsam mit Ihrem Rechtsberater fest, welche Arten von Hinweisen auf Ihrer Website erscheinen sollen, um die CCPA-Verpflichtungen zu erfüllen.

    • Benachrichtigung über die Erhebung: Ein Hinweis, der zum oder vor dem Zeitpunkt der Erhebung personenbezogener Daten des Verbrauchers gegeben wird. Der Hinweis sollte in einfacher Sprache verfasst werden und für den Durchschnittsbürger leicht verständlich sein. Der Hinweis sollte gut sichtbar sein und in derselben Sprache wie der Inhalt Ihrer Website abgefasst sein.

    • Benachrichtigung über das Recht zur Abmeldung: Ein Hinweis, der die Verbraucher über ihr Recht informiert, dem Verkauf ihrer personenbezogenen Daten zu widersprechen.

    • Hinweis auf finanzielle Anreize: Ein Hinweis, der alle finanziellen Anreize, Preis- oder Dienstleistungsunterschiede erläutert, die Ihr Unternehmen im Austausch für personenbezogene Daten erhält.

    • Antrag auf Erhebung und Verwendung personenbezogener Daten: Anweisungen für Einzelpersonen, wie sie einen Antrag auf Offenlegung der von Ihnen gesammelten personenbezogenen Daten stellen können, einschließlich:

      • Spezifische persönliche Informationen, die Sie über den Verbraucher gesammelt haben
      • Kategorien von persönlichen Informationen, die Sie über den Verbraucher gesammelt haben
      • Kategorien von Quellen, aus denen die personenbezogenen Daten stammen
      • Kategorien von personenbezogenen Daten über den Verbraucher, die Sie für einen geschäftlichen Zweck verkauft oder weitergegeben haben
      • Kategorien von Dritten, an die die personenbezogenen Daten zu Geschäftszwecken verkauft oder weitergegeben wurden
      • Die Gründe, warum Ihr Unternehmen personenbezogene Daten sammelt und/oder verkauft
  2. Schicken Sie den Inhalt an das Team und, wenn möglich, an Ihren Rechtsbeistand zur Überprüfung.

  3. Legen Sie fest, wo die Hinweise erscheinen sollen, wie sie funktionieren sollen (bei jedem Besuch, bei der Authentifizierung oder beim Anklicken), sowie ihre Position und ihr Format im Verhältnis zu anderen Inhalten.

  4. Geben Sie die genehmigten Inhalte an Ihr Entwicklungsteam weiter.

Schritt 6: Überprüfen Sie Ihre Vereinbarungen mit den Dienstleistern.

Stakeholder: Rechtsabteilung, administrative Unterstützung

Überprüfen Sie alle Verträge mit Dienstleistern und aktualisieren Sie sie gegebenenfalls, damit sie den Anforderungen des CCPA entsprechen.

Schritt 7: Aktualisieren Sie Ihre Datenschutzrichtlinie.

*Beteiligte:** Rechtsabteilung, administrative Unterstützung

Überprüfen Sie Ihre aktuelle Datenschutzrichtlinie und überlegen Sie, ob und welche zusätzlichen Angaben erforderlich sind.

  • Verwendung personenbezogener Daten: Sie müssen offenlegen, welche personenbezogenen Daten gesammelt werden und welche finanziellen Anreize Sie im Gegenzug für den Verkauf personenbezogener Daten erhalten. Sie müssen erläutern, wie der Anreiz gemäß CCPA zulässig ist und wie der Wert der personenbezogenen Daten berechnet wird.

  • Alter der Einwilligung: Wenn Sie personenbezogene Daten von Minderjährigen erheben oder verwenden, gelten für Sie unter Umständen die folgenden Anforderungen:

    • Minderjährige < 13: Für Minderjährige unter 13 Jahren ist die Zustimmung der Eltern erforderlich, damit sie dem Verkauf ihrer personenbezogenen Daten zustimmen können.

    • Minderjährige 13 bis < 16: Minderjährige, die mindestens 13 und weniger als 16 Jahre alt sind, können in den Verkauf ihrer personenbezogenen Daten einwilligen, sofern das Unternehmen ein angemessenes Verfahren zur Dokumentation dieser Maßnahme einrichtet. Das Verfahren muss in der [Datenschutzrichtlinie] des Unternehmens dargelegt werden (/de/jajuma-shop/magento-2-handbuch/stores/privacy-policy.html). Wenn ein Unternehmen Anfragen von Minderjährigen in dieser Altersgruppe erhält, muss es sie über ihr Recht informieren, sich zu einem späteren Zeitpunkt abzumelden, und ihnen erklären, wie sie dies tun können.

    Händlern ist es untersagt, personenbezogene Daten von Kindern auf unserer Plattform oder unseren Systemen zu speichern. Besteht Grund zu der Annahme, dass die erfassten Daten einem Minderjährigen gehören, müssen sie unverzüglich von unserer Plattform entfernt werden, um einen Verstoß gegen die Lizenzbedingungen von Adobe zu vermeiden.

Schritt 8: Dokumentieren Sie alle damit verbundenen Verfahren und führen Sie Aufzeichnungen.

Stakeholder: Kundenservice, administrative Unterstützung

Bewahren Sie für einen Zeitraum von 24 Monaten nach Eingang jedes einzelnen Antrags auf Gewährung von Rechten eine Aufzeichnung über den Antrag und die Antwort Ihres Unternehmens auf.