CCPA: Fragen und Antworten

Im Folgenden finden Sie eine Frage- und Antwort-Sitzung mit unserem Syndikus darüber, wie Markenanbieter sicherstellen können, dass sie CCPA-konform sind. Erfahren Sie mehr – lesen Sie einen Überblick über die CCPA-Compliance-Optionen für Publisher.

Was ist CCPA?

Der „California Consumer Protection Act“ ist ein Gesetz, das den Einwohnern Kaliforniens zusätzliche Rechte in Bezug auf die Verwendung und den Verkauf ihrer personenbezogenen Daten einräumen soll. Dies bedeutet, dass Verbraucher bestimmte Rechte in Bezug auf ihre personenbezogenen Daten haben, die ein Markenanbieter erhoben hat, wie z. B.:

• Das Auskunftsrecht: Das bedeutet, dass Verbraucher Zugang zu ihren gesammelten Daten haben und sich über die Verwendung ihrer Daten erkundigen können.
• Das Recht auf Löschung: Verbraucher können die Löschung aller erfassten Daten verlangen. Es gibt jedoch Ausnahmen, die es Markenanbietern ermöglichen, Geschäfte zu machen. So könnte beispielsweise ein Markenanbieter, der einen Coupon anbietet, diese Informationen verwenden, um eine Transaktion für den Verbraucher abzuwickeln. Ein Finanzunternehmen, das eine Transaktion abwickeln muss, darf Verbraucherdaten aufbewahren, ebenso wie ein Unternehmen, das diese Informationen zur Einhaltung von Sicherheitsvorschriften oder gesetzlichen Bestimmungen benötigt.
• Das Recht, „Verkäufe“ abzulehnen: Wir gehen davon aus, dass dieses Recht die Markenanbieter am meisten beeinflussen wird. Verbraucher haben die Möglichkeit, sich dagegen zu entscheiden, dass ihre Daten von einem Unternehmen an Dritte „verkauft“ werden.

Wann ist der CCPA in Kraft getreten?

Am 1. Januar 2020, mit einer sechsmonatigen Vollstreckungsschonfrist für Markenanbieter bis zum 1. Juli 2020.

Wer ist vom CCPA betroffen?

Jeder Markenanbieter, der in Kalifornien tätig ist und personenbezogene Daten von Verbrauchern erhebt, verkauft oder kauft, ist in irgendeiner Weise davon betroffen. Was die Markenanbieter mit diesen Daten tun, bestimmt die Anforderungen, die sie erfüllen müssen, um die Vorschriften einzuhalten, und jeder Markenanbieter fällt in eine der drei folgenden Kategorien: „Unternehmen“, „Dienstanbieter“ oder „Dritter“.

Woher wissen Markenanbieter, welcher Kategorie sie angehören?

Diese Kategorien basieren auf der Verwendung der Daten von Verbrauchern. Jedes Unternehmen sollte seine Rechtsabteilung konsultieren, um festzustellen, wo sein Unternehmen einzuordnen ist. Wir haben die folgenden Definitionen zusammengefasst.

• „Unternehmen“: Eine gewinnorientierte Einrichtung, die in Kalifornien geschäftlich tätig ist und die selbst oder im Namen anderer (allein oder gemeinsam) personenbezogene Daten von Verbrauchern erhebt und:
• - einen Bruttoumsatz von mehr als 25 $ Millionen hat; oder
• - jährlich personenbezogene Daten von mehr als 50.000 Verbrauchern, Haushalten oder Geräten zu kommerziellen Zwecken kauft, verkauft, erhält oder weitergibt; oder
• - mehr als 50 % der jährlichen Einnahmen aus dem Verkauf personenbezogener Daten generiert.
• „Dienstanbieter“: Ein gewinnorientiertes Unternehmen, das Informationen im Auftrag eines Unternehmens verarbeitet. Ein „Dienstanbieter“ ist ein Unternehmen, das Informationen für geschäftliche Zwecke oder im Rahmen eines ordnungsgemäßen Vertrags erhält.
• „Dritte“: Weder ein Unternehmen, das personenbezogene Daten von Verbrauchern erhebt, noch ein Dienstanbieter.

Dabei ist zu beachten, dass Adtech-Unternehmen zu unterschiedlichen Zeiten in verschiedene Kategorien fallen können, je nachdem, was sie gerade mit den Daten tun. Außerdem wird empfohlen, dass Markenanbieter, die erhobene personenbezogene Informationen für Werbezwecke verwenden, sich am besten als „Unternehmen“ einstufen, da sonst der Wert ihrer Werbung begrenzt wird (siehe Frage 6 für weitere Einzelheiten).

Wie wirkt sich der CCPA auf Markenanbieter aus?

Der CCPA hat einen großen Einfluss auf die digitale Werbung, da er neue Vorschriften mit sich bringt, welche die Art und Weise einschränken, wie Markenanbieter Verbraucherdaten erheben und verwalten, die zur Steuerung relevanter Werbung verwendet werden. Markenanbieter müssen Folgendes sicherstellen:

1. Sie bieten den Einwohnern Kaliforniens bis zum 1. Januar 2020, wenn der CCPA in Kraft tritt, die vorgeschriebene „Opt-out“-Option an.
2. Sie sind in der Lage, alle erforderlichen Signale (d. h. ein Verbraucher hat sich abgemeldet, die Löschung beantragt etc.) an ihre Partner/Technologieunternehmen weiterzuleiten.

Wird sich dies negativ auf die Werbemaßnahmen von Markenanbietern auswirken?

So wie wir es sehen, nein. Aber es gibt eine zweiteilige Antwort.

• Teil 1: Entscheidet sich ein Verbraucher für die Ablehnung von Verkäufen, dann ist die Werbung für diesen Verbraucher natürlich betroffen, da er sich gegen die Erhebung oder den Verkauf seiner Daten hat. Die Bereitstellung relevanter Werbung erfordert die Erfassung von Daten von Verbrauchern, wenn sie die Website eines Markenanbieters besuchen. Diese gesammelten Daten werden verwendet, um die Einkaufsgewohnheiten der idealen Verbraucher für Markenanbieter besser zu verstehen. Einmal identifiziert, können diese Daten genutzt werden, um Werbung zu erstellen, die andere Verbraucher mit ähnlichen Einkaufsgewohnheiten anspricht – also Verbraucher, die mit größerer Wahrscheinlichkeit Interesse zeigen und Umsatz generieren. Ohne diese Daten kann keine relevante Werbung durchgeführt werden.
• Teil 2: CCPA kann letztlich das Werbe-Ökosystem sowohl für Verbraucher als auch für Unternehmen verbessern. Für Markenanbieter bedeutet dies, dass sie Verbraucher ausschließen können, die nicht wirklich an Werbeaktionen interessiert sind oder Anteil nehmen – was bedeutet, dass Markenanbieter nun leichter erkennen können, welche Verbraucher offen für personalisierte Werbung oder Angebote sind. Letztendlich sehen wir den CCPA als eine Möglichkeit für Markenanbieter, mit ihren Werbeausgaben mehr „richtige“ Verbraucher zu erreichen und so ihren Return on Ad Spend zu erhöhen.

Schließlich hoffen wir, dass der CCPA mehr Transparenz und Rechte in Bezug auf die Nutzung und den Verkauf der personenbezogenen Daten von Verbrauchern bringen wird, während er es den Unternehmen ermöglicht, die Effizienz ihrer Werbeausgaben zu erhöhen.

Was kann ein Markenanbieter mit den personenbezogenen Daten eines Benutzers tun und was nicht, wenn dieser den Verkauf ablehnt?

Wenn ein Benutzer sich gegen den Verkauf entscheidet, bedeutet das nicht, dass ein Unternehmen verpflichtet ist, diese Informationen zu löschen oder nicht mehr zu verwenden (es sei denn, der Verbraucher macht von seinem Recht Gebrauch, die Löschung der erhobenen Daten zu verlangen). Es bedeutet vielmehr, dass dessen personenbezogenen Daten nicht weiter bzw. nicht erneut zu kommerziellen Zwecken verwendet werden können. Wenn zum Beispiel ein Markenanbieter 20 % Nachlass für ein Paar Schuhe bewirbt, kann er immer noch die Verbrauchertransaktion abwickeln und dem Unternehmen, das die Anzeige geschaltet hat, die Provision zahlen; jedoch dürfen weder der Markenanbieter noch das beauftragte Unternehmen personenbezogene Daten dieses Verbrauchers über die Erfüllung dieser Transaktion hinaus verwenden.

Welche Auswirkungen hat die Nichteinhaltung?

Wie bei vielen anderen Gesetzen auch, hängen die Maßnahmen von der Schwere des Verstoßes ab. Hier ist eine Übersicht über die Durchsetzungsmechanismen im CCPA.

• Private Durchsetzung: Der CCPA ermächtigt Verbraucher, im Falle einer Datenschutzverletzung eine eigene Klage zu erheben, sodass Verbraucher bis zu 750 $ pro Vorfall oder den tatsächlichen Schaden, je nachdem, welcher Betrag höher ist, geltend machen können.
• Staatliche Durchsetzung: Der Generalstaatsanwalt kann ebenfalls eine Zivilklage einreichen. Die Unternehmen haben 30 Tage Zeit, um die Nichteinhaltung der Vorschriften zu beheben, andernfalls drohen Geldstrafen von bis zu 7.500 $ pro Verstoß.

Was ist für Advertiser erforderlich, um die CCPA-Anforderungen zu erfüllen?

Advertiser müssen bestimmen, in welche Kategorie sie am besten passen (siehe Frage 4), aber jeder Advertiser, der Daten erhebt und einem Partner zur Verfügung stellt, wird wahrscheinlich als „Unternehmen“ betrachtet. Diese Advertiser müssen Verbrauchern auch einen ausdrücklichen Hinweis und eine Opt-out-Möglichkeit bereitstellen. Auf diese Weise sind die Anforderungen des CCPA bereits erfüllt, bevor die Daten von Verbrauchern erhoben und zu Werbezwecken an Dritte weitergeleitet werden.

Wir haben festgestellt, dass einige Advertiser den Traffic aus Kalifornien geo-blockieren oder unterdrücken, wenn sie die erhobenen Daten an Dritte weitergeben.

Im Großen und Ganzen gibt es folgende Lösungen, die Markenanbieter ergreifen können, um die Einhaltung der Vorschriften zu gewährleisten:

1. CMP-Integration: Für Advertiser, die bereits ein CMP-Tool verwenden, das zuvor für die DSGVO erstellt wurde, kann es Integrationsmöglichkeiten geben.
2. Weitergabe von Signalen über JavaScript-Tag: Advertiser können ein bestehendes Tag nutzen, um Einwilligungsinformationen an Partner weiterzugeben. Advertiser müssen ein Opt-out-Signal des Verbrauchers erfassen, das als Variable in einem JavaScript-Tag übergeben wird.
3. Offenlegungen und Opt-out-Link: Advertiser können auf jeder Seite ihrer Website einen Link „Ihre Datenschutzrechte“ einfügen, der Benutzer zu einer Offenlegung führt, wo sie erfahren, welche Unternehmen ihre personenbezogenen Daten erfassen können, wenn sie mit deren digitalem Eigentum interagieren. In unserer Offenlegung haben wir angegeben, welche Art von personenbezogenen Daten erfasst wird (IP-Adressen, digitale Kennungen etc.) und wofür diese Daten verwendet werden (Personalisierung von Anzeigen, Analyse der Nutzung von Websites und Anzeigen etc.).

Unabhängig davon, welche Option Advertiser wählen, empfehlen wir, dass Advertiser auf jeder Seite ihrer Website einen Link zu den Datenschutzrichtlinien des Unternehmens einfügen und dass ihre Datenschutzrichtlinien auf die Datenerfassung von Rakuten Advertising verweisen sowie einen Link zu unseren Datenschutzrichtlinien enthalten.

An Rakuten Advertising-Advertiser wurde eine E-Mail mit weiteren Informationen zu den Auswirkungen der neuen CCPA-Anforderungen geschickt.

Was müssen Publisher tun, um die CCPA-Anforderungen zu erfüllen?

Publisher, die sich selbst als „Unternehmen“ einstufen, müssen über einen Link auf ihrer Website über ihre Datenschutzrechte informieren und Benutzern die Möglichkeit bieten, das Tracking abzulehnen oder den Verkauf ihrer personenbezogenen Daten zu verhindern.

Publisher werden von dieser Verpflichtung befreit, wenn sie Traffic über IP-Adressen für Benutzer in Kalifornien blockieren. Die Optionen, die wir für unsere Publisher vorschlagen, lauten:

1. Affiliate-Link und Opt-out-Signale: Fügen Sie auf jeder Seite ihrer Website einen Link zu den Datenschutzrichtlinien des Unternehmens ein. In dieser Datenschutzerklärung wird auf die Datenerfassung durch Rakuten Advertising verwiesen und ein Link zu unserer Datenschutzrichtlinie angegeben. Publisher müssen auch eine Möglichkeit einrichten, ein Opt-out-Signal von Verbrauchern zu erfassen, um Einwilligungsinformationen an Partner weiterzugeben.
2. CMP-Integration: Für Publisher, die bereits das für die DSGVO erstellte CMP-Tool verwenden, können sich Integrationsmöglichkeiten ergeben.
3. Offenlegungen und Opt-out-Link: Publisher können auf jeder Seite ihrer Website einen Link „Ihre Datenschutzrechte“ einfügen, der Benutzer zu einer Offenlegung führt, wo sie erfahren, welche Unternehmen ihre personenbezogenen Daten erfassen können, wenn sie mit deren digitalem Eigentum interagieren. In unserer Offenlegung haben wir angegeben, welche Art von personenbezogenen Daten erfasst wird (IP-Adressen, digitale Kennungen etc.) und wofür diese Daten verwendet werden (Personalisierung von Anzeigen, Analyse der Nutzung von Websites und Anzeigen etc.).

Als Reaktion auf die Anforderungen des CCPA haben wir unseren Publisher-Mitgliedschaftsvertrtag (PMA) aktualisiert, und dieser aktualisierte PMA trat am 1. Januar 2020 in Kraft. Die größte inhaltliche Änderung an unserem PMA ist der Wortlaut, der aktualisiert wurde, um die Anforderungen an die Benachrichtigung und das Opt-out zu erfüllen, die zur Einhaltung des CCPA erforderlich sind.

Rakuten Advertising-Publisher haben von uns eine E-Mail mit diesen Informationen und einem Link zum neuen PMA erhalten. Bei weiteren Fragen können sich Publisher jederzeit an ihren Publisher-Development-Manager wenden. Publisher von Rakuten Advertising haben von uns eine E-Mail mit diesen Informationen und einem Link zum neuen PMA erhalten. Bei weiteren Fragen können sich Publisher jederzeit an ihren Publisher-Development-Manager oder den Kundensupport wenden.

Wie werden Markenanbieter die richtigen Signale an ihre Partner weitergeben?

Es gibt noch einiges zu tun und es bestehen einige Unklarheiten darüber, wie Unternehmen die Einhaltung der Vorschriften sicherstellen können. Ähnlich wie bei der Arbeit der Branche am CMP-Tool für die DSGVO arbeiten Gruppen wie IAB und ANA daran, einen universellen Satz von Signalen zu schaffen, die es Partnern und Kunden ermöglichen, Opt-out- und Löschanfragen weiterzuleiten. Derzeit gibt es ein Framework für die Einhaltung des CCPA, welches das IAB/IAB Tech Lab entworfen hat und das einen standardisierten Vertrag zur Verwendung zwischen Publishern und ihren Partnern sowie eine Reihe von technischen Spezifikationen enthält, damit die Unternehmen den Vertrag einhalten können. Darüber hinaus bietet die Digital Advertising Alliance (DAA) ein Compliance-Tool an, das es Verlagen, Markenanbietern, Agenturen und Adtech-Unternehmen in der digitalen Lieferkette ermöglicht, Verbrauchern einen klaren und erkennbaren Mechanismus zum Opt-out aus dem Verkauf zu bieten. Wir werden diese Gruppen um Unterstützung bei der Bereitstellung von Tools und anderem Material bitten, um der Branche die besten Praktiken für die Einhaltung der Vorschriften zu vermitteln.

Was verlangt Rakuten Advertising von seinen Advertiser- und Publisher-Partnern, um die Anforderungen zu erfüllen?

Jeder Partner, der auf seiner Website ein Tracking durch Rakuten Advertising anbietet, muss auf jeder Seite, auf der Daten erhoben werden, einen Link „Ihre Datenschutzrechte“ einfügen. Dieser Link führt die Verbraucher zu den Datenschutzrichtlinien von Rakuten Advertising und zu einer Opt-out-Seite. Von Markenanbietern, die Opt-outs selbst sammeln, verlangen wir, dass sie eine Möglichkeit einrichten, Opt-out-Signale über das IAB-CCPA-Compliance-Framework an uns weiterzuleiten. Wir verlangen außerdem, dass Markenanbieter, die kein Pixel auf ihrer Website haben, uns aber direkt mit Conversion-Informationen versorgen (z. B. API), eine Möglichkeit implementieren, Opt-out-Signale über das IAB-Framework an Rakuten Advertising zu übermitteln.

Im Mai 2018 entwickelte Rakuten Advertising eine Einwilligungsmanagement-Plattform (Consent management platform, CMP), um Markenanbietern bei der Einhaltung der DSGVO behilflich zu sein. Aber das war noch nicht alles. Wir haben auch „Wrapper“ entwickelt, die mit anderen CMPs von Drittanbietern zusammenarbeiten, um die Compliance-Bemühungen von Markenanbietern zu unterstützen. Obwohl der CCPA keine vorherige Einverständnis des Verbrauchers verlangt, ist Rakuten Advertising bestrebt, in der oft als undurchsichtig empfundenen Welt der Werbetechnik für Transparenz zu sorgen. Aus diesem Grund arbeiten wir eng mit den Publishern und Markenanbietern in unserem Netzwerk zusammen, um Verbrauchern bei der ersten Gelegenheit Zugang zu unseren Datenschutzrichtlinien und Opt-outs zu bieten.

Wie wirkt sich der CCPA auf Markenanbieter außerhalb der USA aus?

Alle Markenanbieter, die in erheblichem Umfang Geschäfte mit Verbrauchern machen, die in Kalifornien ansässig sind, müssen unabhängig von ihrem Standort CCPA-konform sein, und die Anforderungen, um sicherzustellen, dass Rakuten-Advertising-Kampagnen den Vorschriften entsprechen, sind die gleichen wie oben beschrieben. Ein Unternehmen betreibt Geschäfte in erheblichem Umfang, wenn es „jährlich personenbezogene Daten von mindestens fünfzigtausend Einwohnern Kaliforniens kauft, erhält, verkauft oder weitergibt“.

Besteht die Möglichkeit, dass diese Datenschutzpolitik auf Bundesebene weitergeführt wird?

Die meisten sagen, wenn es eine Chance gibt, dann ist sie weit entfernt. Es gibt jedoch bereits viele andere Bundesstaaten, die ähnliche Datenschutzbestimmungen erlassen haben. In Nevada gibt es bereits ein solches Gesetz und in Hawaii, Maryland, New Mexico, Washington sowie in weiteren Bundesstaaten sind ähnliche Gesetze in Vorbereitung. Markenanbieter sollten, wenn sie es nicht schon getan haben, akzeptieren, dass die Regulierung des Datenschutzes nicht nur auf Bundesebene, sondern auch weltweit an Bedeutung gewinnt. Die DSGVO ist bereits in Kraft getreten und neue internationale Gesetze werden u. a. in Brasilien, Neuseeland und Bahrain erlassen.