emailr_
Alle Artikel
explainer·8 min

CCPA-E-Mail-Compliance-Leitfaden

complianceccparecht

Zusammenfassung

CCPA gibt Einwohnern Kaliforniens Rechte an ihren personenbezogenen Daten, einschließlich E-Mail-Adressen. Sie müssen offenlegen, welche Daten Sie erheben, einen Opt-out vom Datenverkauf ermöglichen und Daten auf Anfrage löschen. Nichtbeachtung kann zu erheblichen Geldbußen führen.

Als der CCPA 2020 in Kraft trat, stellte ein mittelgroßes E-Commerce-Unternehmen fest, dass es keine Ahnung hatte, wo all die E-Mail-Adressen seiner Kunden gespeichert waren. Das Marketing hatte eine Liste. Der Vertrieb hatte eine andere. Der Kundenservice eine weitere. Im Data Warehouse gab es Kopien von allem. Auf eine einzelne Löschanfrage zu reagieren, bedeutete die Koordination über sieben verschiedene Systeme.

CCPA-Compliance bedeutet nicht nur, einen Link zur Datenschutzerklärung hinzuzufügen. Es erfordert, zu verstehen, wo personenbezogene Daten in Ihrem Unternehmen liegen, und Prozesse aufzubauen, um die Rechte der Verbraucher zu wahren. Für E-Mail-Marketer heißt das, die Erhebung, Speicherung und Nutzung von E-Mail-Adressen neu zu denken.

Was der CCPA verlangt

Der California Consumer Privacy Act gewährt Einwohnern Kaliforniens spezifische Rechte in Bezug auf ihre personenbezogenen Daten.

Das Recht auf Auskunft bedeutet, dass Verbraucher anfordern können, welche personenbezogenen Informationen Sie über sie gesammelt haben, woher diese stammen, wofür Sie sie nutzen und mit wem Sie sie geteilt haben. Für E-Mails umfasst dies ihre E-Mail-Adresse, den Interaktionsverlauf und alle Daten, die aus ihrer E-Mail-Aktivität abgeleitet wurden.

Das Recht auf Löschung bedeutet, dass Verbraucher verlangen können, dass Sie ihre personenbezogenen Daten löschen. Mit einigen Ausnahmen müssen Sie dem nachkommen. Das geht über das Abbestellen hinaus – es bedeutet, ihre Daten vollständig aus Ihren Systemen zu entfernen.

Das Recht, dem Verkauf zu widersprechen, bedeutet, dass Verbraucher Ihnen mitteilen können, ihre personenbezogenen Daten nicht zu verkaufen. Wenn Sie E-Mail-Listen mit Partnern teilen oder Daten an Dritte verkaufen, können Verbraucher dies stoppen.

Das Recht auf Nichtdiskriminierung bedeutet, dass Sie Verbraucher nicht dafür benachteiligen dürfen, dass sie ihre Rechte ausüben. Sie dürfen keine höheren Preise verlangen oder schlechtere Leistungen erbringen, weil jemand dem Datenverkauf widersprochen hat.

Diese Rechte gelten für Einwohner Kaliforniens, unabhängig davon, wo sich Ihr Unternehmen befindet. Wenn Sie Kunden in Kalifornien haben, gilt der CCPA wahrscheinlich für Sie.

Für wen der CCPA gilt

Der CCPA gilt für gewinnorientierte Unternehmen, die personenbezogene Daten von Einwohnern Kaliforniens sammeln UND eine der folgenden Schwellenwerte erfüllen:

Jahresumsatz von über 25 Millionen US-Dollar. Die meisten mittelgroßen und größeren Unternehmen fallen darunter.

Jährlicher Kauf, Verkauf oder das Teilen personenbezogener Daten von 100.000 oder mehr Einwohnern, Haushalten oder Geräten in Kalifornien. Viele E-Mail-Listen überschreiten diese Schwelle.

50 % oder mehr des Jahresumsatzes werden durch den Verkauf personenbezogener Daten von Einwohnern Kaliforniens erzielt. Datenhändler und einige Marketingunternehmen fallen hierunter.

Wenn Sie diese Schwellenwerte nicht erfüllen, gilt der CCPA nicht für Sie – andere Datenschutzgesetze könnten jedoch gelten, und die Befolgung der CCPA-Grundsätze ist unabhängig davon gute Praxis.

E-Mail-spezifische Compliance-Anforderungen

Für E-Mail-Marketing umfasst die CCPA-Compliance mehrere spezifische Aspekte.

Hinweis bei der Erhebung: Wenn Sie E-Mail-Adressen sammeln, müssen Sie Verbraucher darüber informieren, welche Kategorien personenbezogener Daten Sie erheben und wie Sie diese nutzen. Ihre Anmeldeformulare benötigen klare Datenschutzhinweise.

Anforderungen an die Datenschutzerklärung: Ihre Datenschutzerklärung muss die Kategorien der erhobenen personenbezogenen Daten, die Zwecke der Erhebung, die Verbraucherrechte nach CCPA und die Einreichung von Anfragen beschreiben. Sie muss mindestens jährlich aktualisiert werden.

Dateninventar: Sie müssen wissen, wo E-Mail-Adressen und verwandte Daten in Ihrem Unternehmen gespeichert sind. CRM, E-Mail-Plattform, Analysetools, Data Warehouse, Backups – alles. Sie können Löschanfragen nicht erfüllen, wenn Sie nicht wissen, wo die Daten liegen.

Bearbeitung von Anfragen: Sie müssen mindestens zwei Methoden bereitstellen, über die Verbraucher Anfragen einreichen können (typischerweise Webformular und gebührenfreie Telefonnummer). Sie müssen die Identität des Antragstellers verifizieren. Sie müssen innerhalb von 45 Tagen antworten (in einigen Fällen auf 90 verlängerbar).

Vereinbarungen mit Dienstleistern: Wenn Sie E-Mail-Dienstleister nutzen, benötigen Sie Verträge, die festlegen, dass sie Dienstleister nach dem CCPA sind und ihre Datennutzung einschränken.

Umgang mit Löschanfragen

Löschanfragen erfordern sorgfältige Handhabung, um die Compliance sicherzustellen.

Identität vor dem Löschen verifizieren. Sie benötigen eine angemessene Verifizierung, dass der Anfragende die Person ist, für die er sich ausgibt. Bei E-Mail-bezogenen Anfragen kann dies bedeuten, eine Bestätigung an die betreffende E-Mail-Adresse zu senden.

Aus allen Systemen löschen. Abbestellen reicht nicht aus. Sie müssen die E-Mail-Adresse und zugehörige Daten aus Ihrer E-Mail-Plattform, dem CRM, der Analytik, dem Data Warehouse und überall sonst, wo sie existieren, löschen. Dokumentieren Sie, was Sie gelöscht haben.

Es gibt Ausnahmen. Sie dürfen Daten aufbewahren, die erforderlich sind, um Transaktionen abzuschließen, Sicherheitsvorfälle zu erkennen, gesetzlichen Verpflichtungen nachzukommen oder für bestimmte interne Zwecke. Diese Ausnahmen sind jedoch eng – im Zweifel löschen.

Dienstleister benachrichtigen. Wenn Sie die Daten mit Dienstleistern geteilt haben, müssen Sie sie anweisen, diese ebenfalls zu löschen. Ihre Verträge sollten sie dazu verpflichten.

Schriftlich antworten. Bestätigen Sie dem Verbraucher, welche Maßnahmen Sie ergriffen haben. Führen Sie Aufzeichnungen über Anfragen und Antworten zur Compliance-Dokumentation.

Anforderungen zum Opt-out vom Verkauf

Wenn Sie personenbezogene Daten „verkaufen“, gelten zusätzliche Anforderungen.

"Verkauf" ist im Rahmen des CCPA weit gefasst definiert. Er umfasst die Weitergabe von Daten gegen Geld, aber auch die Weitergabe gegen andere werthaltige Gegenleistungen. Wenn Sie E-Mail-Listen mit Partnern teilen, die im Gegenzug etwas liefern (auch nicht monetär), kann das ein Verkauf sein.

Do-Not-Sell-Link: Wenn Sie personenbezogene Daten verkaufen, muss Ihre Website einen gut sichtbaren Link "Meine personenbezogenen Daten nicht verkaufen" enthalten. Dieser muss leicht zu finden und zu nutzen sein.

Opt-outs beachten: Wenn jemand widerspricht, dürfen Sie seine Informationen nicht mehr verkaufen. Das kann bedeuten, ihn aus geteilten Listen zu entfernen, Datenfeeds an Partner zu stoppen oder ihn von Monetarisierungsprogrammen auszuschließen.

Viele E-Mail-Marketer verkaufen Daten im Sinne des CCPA nicht. Wenn Sie E-Mail-Adressen nur für Ihr eigenes Marketing nutzen und sie nur mit Dienstleistern teilen, die in Ihrem Auftrag handeln, verkaufen Sie wahrscheinlich nicht. Prüfen Sie Ihre Datenflüsse jedoch sorgfältig.

Praktische Umsetzungsschritte

CCPA-Compliance in Ihr E-Mail-Programm zu integrieren, erfordert systematische Anstrengungen.

Prüfen Sie Ihre Datenflüsse. Erfassen Sie, woher E-Mail-Adressen kommen, wo sie gespeichert sind, wer Zugriff hat und wohin sie fließen. Dieses Inventar ist unerlässlich, um auf Anfragen zu reagieren und Verkäufe zu identifizieren.

Aktualisieren Sie Erhebungspunkte. Stellen Sie sicher, dass Anmeldeformulare, Checkout-Flows und andere Erhebungspunkte die erforderlichen Hinweise enthalten. Verlinken Sie auf Ihre Datenschutzerklärung. Seien Sie klar, wie Sie die Daten nutzen werden.

Aktualisieren Sie Ihre Datenschutzerklärung. Nehmen Sie alle CCPA-erforderlichen Angaben auf. Beschreiben Sie die Verbraucherrechte und wie sie ausgeübt werden können. Überprüfen und aktualisieren Sie jährlich.

Bauen Sie Prozesse zur Anfragenbearbeitung auf. Erstellen Sie Eingangskanäle (Webformular, Telefonnummer). Legen Sie Verifizierungsverfahren fest. Definieren Sie Workflows zur Erfüllung von Anfragen über alle Systeme hinweg. Schulen Sie Mitarbeitende, die Anfragen bearbeiten.

Überprüfen Sie Verträge mit Anbietern. Stellen Sie sicher, dass E-Mail-Dienstleister und andere Anbieter über angemessene CCPA-Bestimmungen verfügen. Sie sollten als Dienstleister klassifiziert sein, mit Einschränkungen bei der Datennutzung.

Alles dokumentieren. Führen Sie Nachweise über Ihre Compliance-Maßnahmen, eingegangene Anfragen und ergriffene Schritte. Diese Dokumentation ist Ihre Absicherung, falls Fragen aufkommen.

Sanktionen und Durchsetzung

CCPA-Verstöße können teuer werden.

Der Generalstaatsanwalt von Kalifornien kann Geldbußen von bis zu $2,500 pro unbeabsichtigtem Verstoß und $7,500 pro vorsätzlichem Verstoß verhängen. Bei Tausenden betroffenen Verbrauchern summieren sich die Strafen schnell.

Es gibt ein privates Klagerecht bei Datenschutzverletzungen. Wenn eine Verletzung personenbezogene Daten aufgrund mangelnder angemessener Sicherheit offenlegt, können betroffene Verbraucher $100-$750 pro Vorfall oder den tatsächlichen Schaden einklagen, je nachdem, welcher Betrag höher ist.

Die Durchsetzung ist aktiv. Der Generalstaatsanwalt ist gegen Unternehmen wegen unzureichender Datenschutzerklärungen, Nichtbeachtung von Opt-out-Anfragen und anderer Verstöße vorgegangen. Das ist kein theoretisches Risiko.

Die CPRA-Änderungen (seit 2023 in Kraft) haben eine eigene Durchsetzungsbehörde geschaffen und die Anforderungen erweitert. Compliance wird wichtiger, nicht unwichtiger.

CCPA vs DSGVO

Wenn Sie bereits DSGVO-konform sind, haben Sie einen Vorsprung beim CCPA, aber beide sind nicht identisch.

Die DSGVO verlangt für die meisten Datenverarbeitungen eine Einwilligung. Der CCPA erlaubt Verarbeitung, verlangt aber Offenlegung und Widerspruchsrechte. Die Einwilligungsmodelle unterscheiden sich deutlich.

Die DSGVO gilt für alle betroffenen Personen in der EU. Der CCPA gilt nur für Einwohner Kaliforniens. Der geografische Anwendungsbereich unterscheidet sich.

Die DSGVO gewährt weitergehende Individualrechte. Die CCPA-Rechte sind begrenzter, aber dennoch erheblich.

Viele Organisationen bauen einheitliche Datenschutzprogramme auf, die beide Gesetze erfüllen und sich jeweils an der strengeren Anforderung orientieren. Das ist oft praktischer, als separate Compliance-Programme zu pflegen.

Frequently asked questions

Gilt der CCPA, wenn ich nicht in Kalifornien ansässig bin?

Ja, wenn Sie Geschäfte in Kalifornien tätigen und die Schwellenwerte erfüllen. Der CCPA richtet sich nach dem Standort Ihrer Kunden, nicht Ihrem eigenen.

Ist das Abbestellen dasselbe wie eine Löschanfrage?

Nein. Das Abbestellen stoppt zukünftige E-Mails, löscht aber keine vorhandenen Daten. Eine CCPA-Löschanfrage erfordert, die Daten des Verbrauchers aus Ihren Systemen zu entfernen, nicht nur die Kommunikation zu beenden.

Muss ich Sicherungskopien löschen?

Im Allgemeinen ja, obwohl es für archivierte oder Backup-Systeme etwas Flexibilität gibt, wenn das Löschen technisch schwierig ist. Sie sollten aus aktiven Systemen löschen und einen Prozess für die Löschung oder das Auslaufen von Backups haben.

Was, wenn ich die Identität des Antragstellers nicht verifizieren kann?

Sie können Anfragen ablehnen, die Sie nicht verifizieren können. Ihr Verifizierungsprozess muss jedoch angemessen sein – er darf nicht so schwierig sein, dass legitime Anfragen faktisch blockiert werden.

e_

Geschrieben vom emailr-Team

Wir bauen Email-Infrastruktur für Entwickler

Weiterlesen

explainer

Warum landen E-Mails im Spam?

10 minexplainer

Was ist SPF? Kompletter Leitfaden für Entwickler

8 minexplainer

Was ist E-Mail-Spoofing und wie man es verhindert

8 min

Bereit zum Senden?

Hol dir deinen API-Schlüssel und sende deine erste E-Mail in unter 5 Minuten. Keine Kreditkarte erforderlich.

Kostenlos startenMit dem Vertrieb sprechen