Willkommen – California Consumer Privacy Act

Ab dem 1.1.2020 gilt nun der neue California Consumer Privacy Act. Damit erhält Kalifornien ein neues und verbraucherfreundliches Recht. Der Gesetzgeber hat aus der Datenschutzgrundverordnung partizipiert und diese als Vorlage genutzt. 

Die DSGVO hat weltweiten Einfluss und nach zum Beispiel einem neuem brasilianischen Datenschutzrecht, folgt nun auch das neue kalifornische Recht. Dieses muss zunächst nur in diesem Bundesstaat beachtet werden, sondern auch für alle Unternehmen, die mit Bürgern des Bundesstaates handel treiben oder etwas verkaufen. Damit wird es definitiv einen Einfluss auf die gesamte USA haben.

Der Act

Hinter diesem Link könnt ihr den Act im Original lesen:

https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201720180AB375

 

Übersetzung

Ich habe das Gesetz einmal grob übersetzt. Bitte beachtet, dass nur die obige englische Variante gültig ist. 

Assembly Bill No. 375
KAPITEL 55

Ein Gesetz zur Hinzufügung von Titel 1.81.5 (beginnend mit Abschnitt 1798.100) zu Teil 4 der Abteilung 3 des Bürgerlichen Gesetzbuches, der sich auf die Privatsphäre bezieht.

Genehmigt vom Gouverneur am 28. Juni 2018. Eingereicht beim Staatssekretär am 28. Juni 2018. ]

KURZFASSUNG DES GESETZESTEXTES

AB 375, Chau. Datenschutz: persönliche Informationen: Unternehmen.
Die kalifornische Verfassung gewährt ein Recht auf Privatsphäre. Das geltende Recht sieht die Vertraulichkeit von persönlichen Daten in verschiedenen Zusammenhängen vor und verlangt von einem Unternehmen oder einer Person, die eine Verletzung der Sicherheit von computerisierten Daten erleidet, zu deren Definition auch persönliche Daten gehören, diese Verletzung offenzulegen, wie angegeben.
Dieser Gesetzentwurf würde den California Consumer Privacy Act von 2018 in Kraft setzen. Ab dem 1. Januar 2020 würde der Gesetzesentwurf einem Verbraucher das Recht einräumen, ein Unternehmen aufzufordern, die Kategorien und spezifischen Teile der persönlichen Informationen, die es über den Verbraucher sammelt, die Kategorien der Quellen, aus denen diese Informationen gesammelt werden, die Geschäftszwecke für die Sammlung oder den Verkauf der Informationen und die Kategorien von Dritten, mit denen die Informationen geteilt werden, offenzulegen. Der Gesetzentwurf würde von einem Unternehmen verlangen, die Informationen und die Zwecke, für die sie verwendet werden, offenzulegen. Die Rechnung würde einem Verbraucher das Recht einräumen, die Löschung der persönlichen Daten zu verlangen und würde das Unternehmen auffordern, diese nach Erhalt einer verifizierten Anfrage, wie angegeben, zu löschen. Der Gesetzentwurf würde einem Verbraucher das Recht einräumen, von einem Unternehmen, das die persönlichen Daten des Verbrauchers verkauft oder sie für einen Geschäftszweck offenlegt, zu verlangen, dass es die Kategorien von Informationen, die es sammelt, und die Kategorien von Informationen und die Identität von Dritten, an die die Informationen verkauft oder offengelegt wurden, offenlegt. Der Gesetzentwurf würde von einem Unternehmen verlangen, diese Informationen auf eine überprüfbare Verbraucheranfrage hin zu liefern. Der Gesetzentwurf würde es einem Verbraucher erlauben, sich gegen den Verkauf persönlicher Informationen durch ein Unternehmen zu entscheiden, und dem Unternehmen verbieten, den Verbraucher bei der Ausübung dieses Rechts zu diskriminieren, einschließlich der Erhebung von Gebühren von dem Verbraucher, der sich gegen einen anderen Preis entscheidet, oder der Bereitstellung einer anderen Qualität von Waren oder Dienstleistungen für den Verbraucher, es sei denn, der Unterschied steht in vernünftigem Zusammenhang mit dem durch die Daten des Verbrauchers gebotenen Wert. Der Gesetzesentwurf würde es den Unternehmen erlauben, finanzielle Anreize für die Erhebung personenbezogener Daten zu bieten. Der Gesetzesentwurf würde es einem Unternehmen verbieten, die persönlichen Daten eines Verbrauchers unter 16 Jahren zu verkaufen, es sei denn, es wird, wie angegeben, ausdrücklich genehmigt, um als Opt-in-Recht bezeichnet zu werden. Der Gesetzentwurf würde Anforderungen für den Empfang, die Verarbeitung und die Erfüllung dieser Anfragen von Verbrauchern vorschreiben. Der Gesetzentwurf würde verschiedene Definitionen für seine Zwecke vorschreiben und “persönliche Informationen” unter Bezugnahme auf eine breite Liste von Merkmalen und Verhaltensweisen, persönliche und kommerzielle, sowie Schlussfolgerungen aus diesen Informationen definieren. Der Gesetzesentwurf würde es verbieten, die oben beschriebenen Bestimmungen die Fähigkeit des Unternehmens einzuschränken, u.a. Bundes-, Landes- oder lokale Gesetze einzuhalten.
Der Gesetzentwurf würde seine Durchsetzung durch den Generalstaatsanwalt vorsehen, wie spezifiziert, und würde ein privates Handlungsrecht in Verbindung mit bestimmten unbefugten Zugriff und Exfiltration, Diebstahl oder Offenlegung der unverschlüsselten oder nicht abgespeicherten persönlichen Daten eines Verbrauchers, wie definiert, vorsehen. Der Gesetzesentwurf würde eine Methode zur Verteilung der Erlöse von Generalstaatsanwaltsklagen vorschreiben. Der Gesetzentwurf würde den Consumer Privacy Fund im General Fund mit den Geldern im Fonds schaffen, nach der Aneignung durch die Legislative, die zur Unterstützung der Zwecke des Gesetzes und seiner Durchsetzung angewendet werden sollen. Der Gesetzentwurf würde die Einzahlung von Strafgeldern in den Fonds vorsehen. Der Gesetzesentwurf würde den Generalstaatsanwalt verpflichten, die Öffentlichkeit zur Verabschiedung von Vorschriften zu ersuchen, wie festgelegt. Der Gesetzentwurf würde ein Unternehmen, einen Dienstleister oder eine dritte Partei ermächtigen, die Meinung des Generalstaatsanwalts darüber einzuholen, wie die Bestimmungen des Gesetzes einzuhalten sind. Der Gesetzesentwurf würde einen Verzicht auf die Rechte eines Verbrauchers nach den Bestimmungen des Gesetzes aufheben. Der Gesetzesentwurf würde seine Anwendung von der Rücknahme einer bestimmten Initiative aus dem Wahlgang abhängig machen.

DIE BEVÖLKERUNG DES STAATES KALIFORNIEN VERFÄHRT WIE FOLGT:

ABSCHNITT 1: Diese Maßnahme ist bekannt und kann als “The California Consumer Privacy Act of 2018” zitiert werden.

SEC. 2. Die Legislative findet und erklärt das:
(a) 1972 änderten die kalifornischen Wähler die kalifornische Verfassung, um das Recht auf Privatsphäre zu den “unveräußerlichen” Rechten aller Menschen zu zählen. Die Änderung führte ein gesetzliches und einklagbares Recht auf Privatsphäre für jeden Kalifornier ein. Grundlegend für dieses Recht auf Privatsphäre ist die Möglichkeit des Einzelnen, die Nutzung, einschließlich des Verkaufs, seiner persönlichen Daten zu kontrollieren.
(b) Seitdem die kalifornischen Wähler dem Recht auf Privatsphäre zugestimmt haben, hat die kalifornische Legislative spezielle Mechanismen zum Schutz der Privatsphäre der Kalifornier verabschiedet, darunter das Gesetz zum Schutz der Online-Privatsphäre (Online Privacy Protection Act), das Gesetz zum Schutz der Privatsphäre kalifornischer Minderjähriger in der digitalen Welt (Privacy Rights for California Minors in the Digital World Act) und Shine the Light, ein kalifornisches Gesetz, das den Kaliforniern das “Wer, was, wo und wann” darüber geben soll, wie Unternehmen mit den persönlichen Daten der Verbraucher umgehen.
(c) Gleichzeitig ist Kalifornien weltweit führend in der Entwicklung neuer Technologien und verwandter Industrien. Dennoch hat die Verbreitung von persönlichen Daten die Fähigkeit der Kalifornier eingeschränkt, ihre Privatsphäre angemessen zu schützen und zu sichern. Es ist fast unmöglich, sich für einen Job zu bewerben, ein Kind zu erziehen, ein Auto zu fahren oder einen Termin zu vereinbaren, ohne persönliche Daten zu teilen.
(d) Da die Rolle der Technologie und der Daten im täglichen Leben der Verbraucher zunimmt, nimmt die Menge der persönlichen Informationen, die Verbraucher mit Unternehmen teilen, zu. Das kalifornische Recht hat mit diesen Entwicklungen und den Auswirkungen auf die Privatsphäre bei der Erfassung, Nutzung und dem Schutz persönlicher Daten nicht Schritt gehalten.
(e) Viele Unternehmen sammeln persönliche Daten von kalifornischen Verbrauchern. Sie wissen vielleicht, wo ein Verbraucher wohnt und wie viele Kinder er hat, wie schnell er fährt, die Persönlichkeit des Verbrauchers, seine Schlafgewohnheiten, biometrische und gesundheitliche Informationen, finanzielle Informationen, genaue Informationen zur Geolokalisierung und soziale Netzwerke, um nur einige Kategorien zu nennen.
(f) Die unbefugte Weitergabe von persönlichen Informationen und der Verlust der Privatsphäre kann für den Einzelnen verheerende Auswirkungen haben, die von Finanzbetrug, Identitätsdiebstahl und unnötigen Kosten über persönliche Zeit und Finanzen bis hin zur Zerstörung von Eigentum, Belästigung, Rufschädigung, emotionalem Stress und sogar zu potenziellen körperlichen Schäden reichen.
(g) Im März 2018 wurde bekannt, dass zig Millionen Menschen ihre persönlichen Daten von einer Data-Mining-Firma namens Cambridge Analytica missbraucht haben. In einer Reihe von Anhörungen des Kongresses wurde deutlich, dass unsere persönlichen Daten bei der Weitergabe im Internet möglicherweise missbraucht werden können. Als Folge davon ist unser Wunsch nach Datenschutzkontrollen und Transparenz in der Datenpraxis gestiegen.
(h) Die Menschen wünschen sich Privatsphäre und mehr Kontrolle über ihre Informationen. Die Verbraucher in Kalifornien sollten in der Lage sein, die Kontrolle über ihre persönlichen Daten auszuüben, und sie wollen sicher sein, dass es Schutzmaßnahmen gegen den Missbrauch ihrer persönlichen Daten gibt. Es ist für Unternehmen möglich, sowohl die Privatsphäre der Verbraucher zu respektieren als auch ein hohes Maß an Transparenz in ihren Geschäftspraktiken zu gewährleisten.
(i) Daher ist es die Absicht der Legislative, das Recht der Kalifornier auf Privatsphäre zu fördern, indem sie den Verbrauchern eine wirksame Möglichkeit zur Kontrolle ihrer persönlichen Daten bietet, indem sie die folgenden Rechte gewährleistet:
(1) Das Recht der Kalifornier zu wissen, welche persönlichen Daten über sie gesammelt werden.
(2) Das Recht der Kalifornier zu wissen, ob ihre persönlichen Daten verkauft oder weitergegeben werden und an wen.
(3) Das Recht der Kalifornier, den Verkauf ihrer persönlichen Daten abzulehnen.
(4) Das Recht von Kaliforniern, auf ihre persönlichen Daten zuzugreifen.
(5) Das Recht der Kalifornier auf gleichen Service und gleichen Preis, auch wenn sie ihr Recht auf Privatsphäre ausüben.
(4) DAS RECHT DER KALIFORNIER AUF ZUGANG ZU IHREN PERSÖNLICHEN DATEN. 3. Titel 1.81.5 (beginnend mit Abschnitt 1798.100) wird Teil 4 der Abteilung 3 des Bürgerlichen Gesetzbuches hinzugefügt, um zu lesen:
TITEL 1.81.5. Kalifornisches Verbraucherschutzgesetz von 2018

1798.100. (a) Ein Verbraucher hat das Recht, von einem Unternehmen, das die persönlichen Daten eines Verbrauchers sammelt, zu verlangen, dass es diesem Verbraucher die Kategorien und spezifischen Teile der persönlichen Daten, die das Unternehmen gesammelt hat, offen legt.
(b) Ein Unternehmen, das personenbezogene Daten eines Verbrauchers sammelt, muss den Verbraucher am oder vor dem Zeitpunkt der Sammlung über die Kategorien der zu sammelnden personenbezogenen Daten und die Zwecke, für die die Kategorien personenbezogener Daten verwendet werden sollen, informieren. Ein Unternehmen darf keine zusätzlichen Kategorien personenbezogener Daten erheben oder die erhobenen personenbezogenen Daten für zusätzliche Zwecke verwenden, ohne den Verbraucher entsprechend diesem Abschnitt zu informieren.
c) Ein Unternehmen stellt die in Unterabschnitt a) genannten Informationen einem Verbraucher nur auf eine nachprüfbare Verbraucheranfrage hin zur Verfügung.
d) Ein Unternehmen, das von einem Verbraucher eine nachprüfbare Aufforderung zum Zugang zu personenbezogenen Daten erhält, muss

1798.105. (a) Ein Verbraucher hat das Recht, von einem Unternehmen zu verlangen, dass es alle persönlichen Informationen über den Verbraucher löscht, die das Unternehmen vom Verbraucher gesammelt hat.
(b) Ein Unternehmen, das personenbezogene Daten über Verbraucher sammelt, hat gemäß Abschnitt 1798.130 Unterabschnitt a) Absatz 5 Buchstabe A die Rechte des Verbrauchers offenzulegen, die Löschung der personenbezogenen Daten des Verbrauchers zu verlangen.
(c) Ein Unternehmen, das von einem Verbraucher eine nachprüfbare Aufforderung erhält, die persönlichen Daten des Verbrauchers gemäß Unterabschnitt (a) dieses Abschnitts zu löschen, muss die persönlichen Daten des Verbrauchers aus seinen Aufzeichnungen löschen und alle Dienstleister anweisen, die persönlichen Daten des Verbrauchers aus ihren Aufzeichnungen zu löschen.
d) Ein Unternehmen oder ein Diensteanbieter ist nicht verpflichtet, der Aufforderung eines Verbrauchers nachzukommen, die personenbezogenen Daten des Verbrauchers zu löschen, wenn es für das Unternehmen oder den Diensteanbieter erforderlich ist, die personenbezogenen Daten des Verbrauchers zu pflegen:
(1) die Transaktion, für die die personenbezogenen Daten erhoben wurden, abzuschließen, eine vom Verbraucher angeforderte oder vernünftigerweise erwartete Ware oder Dienstleistung im Rahmen der laufenden Geschäftsbeziehung eines Unternehmens mit dem Verbraucher zu liefern oder einen Vertrag zwischen dem Unternehmen und dem Verbraucher auf andere Weise zu erfüllen.
(2) Sicherheitsvorfälle aufzudecken, vor böswilligen, betrügerischen, betrügerischen oder illegalen Aktivitäten zu schützen oder die für diese Aktivitäten Verantwortlichen zu verfolgen.
(3) Debuggen, um Fehler zu erkennen und zu beheben, die die bestehende beabsichtigte Funktionalität beeinträchtigen.
(4) Ausübung der Redefreiheit, Gewährleistung des Rechts eines anderen Verbrauchers, sein Recht auf freie Meinungsäußerung auszuüben oder ein anderes gesetzlich vorgesehenes Recht auszuüben.
(5) Einhaltung des California Electronic Communications Privacy Act gemäß Kapitel 3.6 (beginnend mit Abschnitt 1546) von Titel 12 von Teil 2 des Strafgesetzbuches.
(6) Öffentliche oder von Fachleuten überprüfte wissenschaftliche, historische oder statistische Forschung im öffentlichen Interesse unter Einhaltung aller anderen geltenden Ethik- und Datenschutzgesetze betreiben, wenn die Löschung der Informationen durch die Unternehmen die Durchführung solcher Forschung wahrscheinlich unmöglich macht oder ernsthaft beeinträchtigt, wenn der Verbraucher seine informierte Zustimmung gegeben hat.
(7) Ermöglichung ausschließlich interner Verwendungen, die in angemessener Weise mit den Erwartungen des Verbrauchers auf der Grundlage der Beziehung des Verbrauchers zum Unternehmen abgestimmt sind.
(8) Einer gesetzlichen Verpflichtung nachkommen.
(9) Andernfalls verwenden Sie die persönlichen Daten des Verbrauchers intern in einer rechtmäßigen Weise, die mit dem Kontext, in dem der Verbraucher die Informationen zur Verfügung gestellt hat, vereinbar ist.

1798.110. (a) Ein Verbraucher hat das Recht, von einem Unternehmen, das persönliche Informationen über den Verbraucher sammelt, zu verlangen, dass es dem Verbraucher Folgendes offen legt:
(1) Die Kategorien persönlicher Informationen, die es über diesen Verbraucher gesammelt hat.
(2) Die Kategorien der Quellen, aus denen die persönlichen Informationen gesammelt werden.
(3) Den geschäftlichen oder kommerziellen Zweck für die Sammlung oder den Verkauf persönlicher Informationen.
(4) Die Kategorien von Dritten, mit denen das Unternehmen persönliche Informationen teilt.
(5) Die spezifischen Stücke der persönlichen Informationen, die es über diesen Verbraucher gesammelt hat.
(b) Ein Unternehmen, das persönliche Informationen über einen Verbraucher sammelt, muss dem Verbraucher gemäß Absatz (3) des Unterabschnitts (a) des § 1798.130 die in Unterabschnitt (a) genannten Informationen nach Erhalt einer überprüfbaren Anfrage des Verbrauchers offenlegen.
(c) Ein Unternehmen, das persönliche Informationen über Verbraucher sammelt, muss gemäß Absatz (5) Unterabschnitt (a) Unterabschnitt (B) von Section 1798.130 die in Unterabschnitt (a) genannten Informationen offenlegen:
(1) Die Kategorien von persönlichen Informationen, die es über diesen Verbraucher gesammelt hat.
(2) Die Kategorien der Quellen, aus denen die persönlichen Informationen gesammelt werden.
(3) Der geschäftliche oder kommerzielle Zweck für das Sammeln oder den Verkauf persönlicher Informationen.
(4) Die Kategorien von Dritten, mit denen das Unternehmen persönliche Informationen teilt.
(5) Die spezifischen persönlichen Informationen, die das Unternehmen über diesen Verbraucher gesammelt hat.
(d) Dieser Abschnitt verlangt von einem Unternehmen nicht, dass es Folgendes tut:
(1) Persönliche Informationen über einen Verbraucher, die für eine einmalige Transaktion gesammelt wurden, aufzubewahren, wenn diese Informationen über den Verbraucher im normalen Geschäftsverlauf nicht aufbewahrt werden.
(2) Daten, die im normalen Geschäftsverlauf nicht in einer Weise aufbewahrt werden, die als persönliche Informationen angesehen werden, neu zu identifizieren oder anderweitig zu verknüpfen.

1798.115. (a) Ein Verbraucher hat das Recht, von einem Unternehmen, das die persönlichen Daten des Verbrauchers verkauft oder sie für einen geschäftlichen Zweck weitergibt, die Offenlegung dieser Daten gegenüber dem Verbraucher zu verlangen:
(1) Die Kategorien von persönlichen Informationen, die das Unternehmen über den Verbraucher gesammelt hat.
(2) Die Kategorien von persönlichen Daten, die das Unternehmen über den Verbraucher verkauft hat, und die Kategorien von Dritten, an die die persönlichen Daten verkauft wurden, nach Kategorie(n) von persönlichen Daten für jeden Dritten, an den die persönlichen Daten verkauft wurden.
(3) Die Kategorien der persönlichen Daten, die das Unternehmen über den Verbraucher für einen geschäftlichen Zweck weitergegeben hat.
(b) Ein Unternehmen, das persönliche Informationen über einen Verbraucher verkauft oder die persönlichen Informationen eines Verbrauchers für einen Geschäftszweck offenbart, muss gemäß Absatz (4) des Unterabschnitts (a) des § 1798.130 die in Unterabschnitt (a) genannten Informationen dem Verbraucher auf eine nachprüfbare Anfrage des Verbrauchers hin offenbaren.
(c) Ein Unternehmen, das personenbezogene Daten von Verbrauchern verkauft oder das personenbezogene Daten von Verbrauchern für einen geschäftlichen Zweck offenlegt, muss gemäß Absatz (5) Unterabschnitt (a) Unterabschnitt (C) von Section 1798.130 die in Unterabschnitt (a) genannten Informationen offenlegen:
(1) Die Kategorie oder Kategorien der persönlichen Daten der Verbraucher, die es verkauft hat, oder wenn das Unternehmen die persönlichen Daten der Verbraucher nicht verkauft hat, muss es diese Tatsache offenlegen.
(2) Die Kategorie oder Kategorien der persönlichen Daten der Verbraucher, die sie für einen Geschäftszweck offengelegt hat, oder wenn das Unternehmen die persönlichen Daten der Verbraucher nicht für einen Geschäftszweck offengelegt hat, muss es diese Tatsache offenlegen.
(d) Ein Dritter darf keine personenbezogenen Daten über einen Verbraucher verkaufen, die von einem Unternehmen an den Dritten verkauft wurden, es sei denn, der Verbraucher hat eine ausdrückliche Benachrichtigung erhalten und erhält die Möglichkeit, das Recht auf Widerruf gemäß 1798.120 auszuüben.
1798.120. (a) Ein Verbraucher hat jederzeit das Recht, ein Unternehmen, das personenbezogene Daten über den Verbraucher an Dritte verkauft, zu beauftragen, die personenbezogenen Daten des Verbrauchers nicht zu verkaufen. Dieses Recht kann als “Opt-out”-Recht bezeichnet werden.
(b) Ein Unternehmen, das personenbezogene Daten des Verbrauchers an Dritte verkauft, muss den Verbrauchern gemäß Unterabschnitt a) des Abschnitts 1798.135 mitteilen, dass diese Informationen verkauft werden können und dass die Verbraucher das Recht haben, sich gegen den Verkauf ihrer personenbezogenen Daten zu entscheiden.
(c) Einem Unternehmen, das von einem Verbraucher die Anweisung erhalten hat, die persönlichen Daten des Verbrauchers nicht zu verkaufen, oder im Falle der persönlichen Daten eines minderjährigen Verbrauchers die Zustimmung zum Verkauf der persönlichen Daten des minderjährigen Verbrauchers nicht erhalten hat, ist es gemäß Abschnitt 1798.135 Unterabschnitt a) Absatz 4 untersagt, die persönlichen Daten des Verbrauchers nach Erhalt der Anweisung des Verbrauchers zu verkaufen, es sei denn, der Verbraucher erteilt anschließend eine ausdrückliche Genehmigung für den Verkauf der persönlichen Daten des Verbrauchers.
(d) Ungeachtet der Unterteilung (a) darf ein Unternehmen die persönlichen Daten von Verbrauchern nicht verkaufen, wenn das Unternehmen tatsächlich Kenntnis davon hat, dass der Verbraucher weniger als 16 Jahre alt ist, es sei denn, der Verbraucher, im Falle von Verbrauchern zwischen 13 und 16 Jahren, oder die Eltern oder der Vormund des Verbrauchers, im Falle von Verbrauchern, die weniger als 13 Jahre alt sind, hat den Verkauf der persönlichen Daten des Verbrauchers bejahend genehmigt. Bei einem Unternehmen, das das Alter des Verbrauchers vorsätzlich missachtet, wird davon ausgegangen, dass es das Alter des Verbrauchers tatsächlich kannte. Dieses Recht kann als “Opt-in-Recht” bezeichnet werden.
1798.125. (a) (1) Ein Unternehmen darf einen Verbraucher nicht diskriminieren, weil der Verbraucher eines seiner Rechte aus diesem Titel ausgeübt hat, einschließlich, aber nicht beschränkt auf, durch:
(A) Verweigerung von Waren oder Dienstleistungen für den Verbraucher.
(B) Erhebung unterschiedlicher Preise oder Tarife für Waren oder Dienstleistungen, auch durch die Inanspruchnahme von Preisnachlässen oder anderen Vergünstigungen oder durch die Verhängung von Sanktionen.
(C) Bereitstellung eines anderen Niveaus oder einer anderen Qualität von Waren oder Dienstleistungen für den Verbraucher, wenn der Verbraucher seine Rechte aus diesem Titel ausübt.
(D) Anregung, dass der Verbraucher einen anderen Preis oder Tarif für Waren oder Dienstleistungen oder ein anderes Niveau oder eine andere Qualität von Waren oder Dienstleistungen erhält.
(2) Nichts in dieser Unterteilung verbietet es einem Unternehmen, von einem Verbraucher einen anderen Preis oder Satz zu verlangen oder dem Verbraucher ein anderes Niveau oder eine andere Qualität von Waren oder Dienstleistungen anzubieten, wenn dieser Unterschied in einem angemessenen Verhältnis zu dem Wert steht, der dem Verbraucher durch die Daten des Verbrauchers geboten wird.
(b) (1) Ein Unternehmen kann finanzielle Anreize, einschließlich Zahlungen an Verbraucher als Entschädigung, für die Erhebung personenbezogener Daten, den Verkauf personenbezogener Daten oder die Löschung personenbezogener Daten anbieten. Ein Unternehmen kann dem Verbraucher auch einen anderen Preis, eine andere Quote, ein anderes Niveau oder eine andere Qualität von Waren oder Dienstleistungen anbieten, wenn dieser Preis oder Unterschied in direktem Zusammenhang mit dem Wert steht, den die Daten des Verbrauchers dem Verbraucher bieten.
(2) Ein Unternehmen, das finanzielle Anreize gemäß Unterabschnitt (a) anbietet, hat die Verbraucher über die finanziellen Anreize gemäß § 1798.135 zu informieren.
(3) Ein Unternehmen kann einen Verbraucher nur dann in ein finanzielles Anreizprogramm aufnehmen, wenn der Verbraucher dem Unternehmen zuvor eine Einwilligung gemäß § 1798.135 erteilt, die die wesentlichen Bedingungen des finanziellen Anreizprogramms klar beschreibt und die vom Verbraucher jederzeit widerrufen werden kann.
(4) Ein Unternehmen darf keine finanziellen Anreize setzen, die ungerecht, unangemessen, zwanghaft oder wuchernd sind.
1798.130. (a) Um die §§ 1798.100, 1798.105, 1798.110, 1798.115 und 1798.125 in einer für Verbraucher zumutbaren Form zu erfüllen, muss ein Unternehmer
(1) Verbrauchern zwei oder mehrere Methoden zur Verfügung stellen, um Anfragen für Informationen zu stellen, die gemäß den §§ 1798.110 und 1798.115 offengelegt werden müssen, einschließlich mindestens einer gebührenfreien Telefonnummer und, falls das Unternehmen eine Website im Internet unterhält, einer Website-Adresse.
(2) Offenlegung und kostenlose Zustellung der erforderlichen Informationen an einen Verbraucher innerhalb von 45 Tagen nach Erhalt einer nachprüfbaren Anfrage des Verbrauchers. Das Unternehmen trifft unverzüglich Maßnahmen, um festzustellen, ob es sich bei der Anfrage um eine nachprüfbare Anfrage handelt; dadurch wird jedoch die Pflicht des Unternehmens, die Informationen innerhalb von 45 Tagen nach Eingang der Anfrage des Verbrauchers offenzulegen und zu liefern, nicht verlängert. Die Frist für die Bereitstellung der erforderlichen Informationen kann einmal um weitere 45 Tage verlängert werden, wenn dies vernünftigerweise erforderlich ist, sofern der Verbraucher innerhalb der ersten 45-Tage-Frist über die Verlängerung informiert wird. Die Unterrichtung erstreckt sich auf den Zeitraum von 12 Monaten vor Eingang des nachprüfbaren Antrags beim Unternehmen und erfolgt schriftlich und über das Konto des Verbrauchers beim Unternehmen, wenn der Verbraucher ein Konto beim Unternehmen unterhält, oder nach Wahl des Verbrauchers per Post oder auf elektronischem Wege, wenn der Verbraucher kein Konto beim Unternehmen unterhält, und zwar in einem leicht verwendbaren Format, das es dem Verbraucher ermöglicht, diese Informationen ungehindert von einer Stelle an eine andere Stelle zu übermitteln. Der Unternehmer darf vom Verbraucher nicht verlangen, dass er ein Konto bei dem Unternehmen eröffnet, um einen überprüfbaren Antrag zu stellen.
(3) Für die Zwecke der Unterteilung b) des § 1798.110:
(A) Zur Identifizierung des Verbrauchers sind die vom Verbraucher in der überprüfbaren Anfrage gemachten Angaben mit den zuvor vom Unternehmer über den Verbraucher erhobenen persönlichen Daten zu verbinden.
(B) Identifizieren Sie nach Kategorie(n) die persönlichen Informationen, die in den vorangegangenen 12 Monaten über den Verbraucher gesammelt wurden, durch Bezugnahme auf die aufgezählte(n) Kategorie(n) in Unterabschnitt (c), die die gesammelten persönlichen Informationen am besten beschreibt.
(4) Für die Zwecke der Unterteilung (b) des § 1798.115:
(A) Identifizierung des Verbrauchers und Zuordnung der vom Verbraucher in der überprüfbaren Anfrage gelieferten Informationen zu den zuvor vom Unternehmen über den Verbraucher gesammelten persönlichen Informationen.
(B) Identifizieren Sie nach Kategorie(n) die persönlichen Daten des Verbrauchers, die das Unternehmen in den vorangegangenen 12 Monaten verkauft hat, unter Bezugnahme auf die aufgezählte Kategorie in Unterabschnitt (c), die die persönlichen Daten am genauesten beschreibt, und geben Sie die Kategorien von Dritten an, an die die persönlichen Daten des Verbrauchers in den vorangegangenen 12 Monaten verkauft wurden, unter Bezugnahme auf die aufgezählte(n) Kategorie(n) in Unterabschnitt (c), die die verkauften persönlichen Daten am genauesten beschreibt. Das Unternehmen legt die Informationen in einer Liste offen, die von einer für die Zwecke des Buchstaben C erstellten Liste getrennt ist.
(C) Identifizieren Sie nach Kategorie(n) die personenbezogenen Daten des Verbrauchers, die das Unternehmen in den vorangegangenen zwölf Monaten zu Geschäftszwecken weitergegeben hat, durch Bezugnahme auf die aufgezählte(n) Kategorie(n) in Unterabschnitt c), die die personenbezogenen Daten am genauesten beschreibt, und geben Sie die Kategorien von Dritten an, denen die personenbezogenen Daten des Verbrauchers in den vorangegangenen zwölf Monaten zu Geschäftszwecken weitergegeben wurden, durch Bezugnahme auf die aufgezählte(n) Kategorie(n) in Unterabschnitt c), die die weitergegebenen personenbezogenen Daten am genauesten beschreibt (beschreiben). Das Unternehmen legt die Informationen in einer Liste offen, die von einer für die Zwecke des Buchstaben B erstellten Liste getrennt ist.

(5) Veröffentlichen Sie die folgenden Informationen in seiner oder seinen Online-Datenschutzrichtlinien, wenn das Unternehmen über eine oder mehrere Online-Datenschutzrichtlinien verfügt, und in jeder kalifornienspezifischen Beschreibung der Datenschutzrechte der Verbraucher oder wenn das Unternehmen diese Richtlinien nicht aufrechterhält, auf seiner Internet-Website und aktualisieren Sie diese Informationen mindestens einmal alle 12 Monate:
(A) Eine Beschreibung der Verbraucherrechte gemäß den Abschnitten 1798.110, 1798.115 und 1798.125 sowie eine oder mehrere festgelegte Methoden zur Einreichung von Anfragen.
(B) Für die Zwecke der Unterteilung (c) des Abschnitts 1798.110 eine Liste der Kategorien von persönlichen Informationen, die sie in den vorangegangenen 12 Monaten über Verbraucher gesammelt hat, unter Bezugnahme auf die aufgezählte(n) Kategorie(n) in Unterteilung (c), die die gesammelten persönlichen Informationen am genauesten beschreiben.
(C) Für die Zwecke der Absätze (1) und (2) des Unterabschnitts (c) des Abschnitts 1798.115, zwei getrennte Listen:
(i) Eine Liste der Kategorien persönlicher Daten, die es in den vorangegangenen 12 Monaten über Verbraucher verkauft hat, unter Bezugnahme auf die aufgezählte(n) Kategorie(n) in Unterabschnitt (c), die die verkauften persönlichen Daten am genauesten beschreiben, oder, falls das Unternehmen die persönlichen Daten der Verbraucher in den vorangegangenen 12 Monaten nicht verkauft hat, muss das Unternehmen diese Tatsache offenlegen.
ii) Eine Liste der Kategorien personenbezogener Daten, die das Unternehmen in den vorangegangenen zwölf Monaten zu Geschäftszwecken über Verbraucher unter Bezugnahme auf die aufgezählte Kategorie in Unterabschnitt c) offengelegt hat, die die offengelegten personenbezogenen Daten am genauesten beschreiben, oder, falls das Unternehmen in den vorangegangenen zwölf Monaten keine personenbezogenen Daten von Verbrauchern zu Geschäftszwecken offengelegt hat, so hat das Unternehmen diese Tatsache offenzulegen.
(6) Stellen Sie sicher, dass alle Personen, die für die Bearbeitung von Verbraucheranfragen über die Datenschutzpraktiken des Unternehmens oder die Einhaltung dieses Titels durch das Unternehmen verantwortlich sind, über alle Anforderungen in den Abschnitten 1798.110, 1798.115, 1798.125 und diesem Abschnitt informiert werden und darüber, wie Verbraucher zur Ausübung ihrer Rechte gemäß diesen Abschnitten angewiesen werden können.
(7) Alle persönlichen Informationen, die vom Verbraucher im Zusammenhang mit der Überprüfung der Anfrage des Verbrauchers durch das Unternehmen gesammelt werden, ausschließlich zu Überprüfungszwecken zu verwenden.
(b) Ein Unternehmen ist nicht verpflichtet, die in den Abschnitten 1798.110 und 1798.115 geforderten Informationen demselben Verbraucher mehr als zweimal innerhalb eines Zeitraums von 12 Monaten zur Verfügung zu stellen.
(c) Die Kategorien von personenbezogenen Daten, die gemäß den Abschnitten 1798.110 und 1798.115 offengelegt werden müssen, folgen der Definition von personenbezogenen Daten in Abschnitt 1798.140.

1798.135. (a) Ein Unternehmen, das verpflichtet ist, Abschnitt 1798.120 zu erfüllen, muss in einer Form, die für Verbraucher angemessen zugänglich ist:
(1) einen klaren und auffälligen Link auf der Internet-Homepage des Unternehmens mit dem Titel “Do Not Sell My Personal Information” zu einer Internet-Webseite bereitstellen, die es einem Verbraucher oder einer vom Verbraucher bevollmächtigten Person ermöglicht, sich gegen den Verkauf der persönlichen Daten des Verbrauchers zu entscheiden. Ein Unternehmen darf von einem Verbraucher nicht verlangen, ein Konto zu erstellen, um das Unternehmen anzuweisen, die persönlichen Daten des Verbrauchers nicht zu verkaufen.
(2) Fügen Sie eine Beschreibung der Rechte eines Verbrauchers gemäß § 1798.120, zusammen mit einem separaten Link zu der Internetseite “Don’t Sell My Personal Information” in:
(A) Seine Online-Datenschutzpolitik oder -Richtlinien, wenn das Unternehmen über eine oder mehrere Online-Datenschutzpolitik(en) verfügt.
(B) Jede kalifornienspezifische Beschreibung der Datenschutzrechte von Verbrauchern.
(3) Stellen Sie sicher, dass alle Personen, die für die Bearbeitung von Verbraucheranfragen zu den Datenschutzpraktiken des Unternehmens oder zur Einhaltung dieses Titels durch das Unternehmen verantwortlich sind, über alle Anforderungen in Abschnitt 1798.120 und diesem Abschnitt informiert werden und darüber, wie Verbraucher zur Ausübung ihrer Rechte gemäß diesen Abschnitten angewiesen werden können.
(4) Bei Verbrauchern, die von ihrem Recht Gebrauch machen, sich gegen den Verkauf ihrer persönlichen Daten zu entscheiden, verzichten Sie auf den Verkauf der vom Unternehmen über den Verbraucher gesammelten persönlichen Daten.
(5) Bei einem Verbraucher, der sich gegen den Verkauf seiner persönlichen Daten entschieden hat, ist die Entscheidung des Verbrauchers, sich gegen den Verkauf seiner persönlichen Daten zu entscheiden, mindestens 12 Monate lang zu respektieren, bevor der Verbraucher die Genehmigung zum Verkauf der persönlichen Daten des Verbrauchers einholt.
(6) Alle vom Verbraucher im Zusammenhang mit der Einreichung der Opt-out-Anfrage des Verbrauchers erhobenen personenbezogenen Daten ausschließlich zum Zweck der Erfüllung der Opt-out-Anfrage zu verwenden.
(b) Nichts in diesem Titel darf so ausgelegt werden, dass ein Unternehmen verpflichtet ist, den Titel durch die Aufnahme der erforderlichen Links und Texte auf der Homepage, die das Unternehmen der Öffentlichkeit allgemein zugänglich macht, einzuhalten, wenn das Unternehmen eine separate und zusätzliche Homepage unterhält, die den kalifornischen Verbrauchern gewidmet ist und die erforderlichen Links und Texte enthält, und das Unternehmen angemessene Schritte unternimmt, um sicherzustellen, dass kalifornische Verbraucher auf die Homepage für kalifornische Verbraucher und nicht auf die der Öffentlichkeit allgemein zugänglich gemachte Homepage geleitet werden.
(c) Ein Verbraucher kann eine andere Person ausschließlich dazu ermächtigen, den Verkauf der persönlichen Informationen des Verbrauchers im Namen des Verbrauchers abzulehnen, und ein Unternehmen muss einer Ablehnungsforderung nachkommen, die es von einer vom Verbraucher bevollmächtigten Person erhält, um im Namen des Verbrauchers zu handeln, gemäß den vom Generalstaatsanwalt erlassenen Vorschriften.
1798.140. Für die Zwecke dieses Titels:
(a) “Aggregierte Verbraucherinformationen” sind Informationen, die sich auf eine Gruppe oder Kategorie von Verbrauchern beziehen, von denen die individuellen Verbraucheridentitäten entfernt wurden, die nicht mit einem Verbraucher oder Haushalt verbunden oder vernünftigerweise mit ihm verbindbar sind, auch nicht über ein Gerät. “Aggregierte Verbraucherinformationen” sind nicht ein oder mehrere individuelle Verbraucherdatensätze, die deidentifiziert worden sind.
(b) “Biometrische Informationen” sind die physiologischen, biologischen oder Verhaltensmerkmale einer Person, einschließlich der Desoxyribonukleinsäure (DNS), die einzeln oder in Kombination miteinander oder mit anderen identifizierenden Daten zur Feststellung der individuellen Identität verwendet werden können. Zu den biometrischen Informationen gehören unter anderem Bilder der Iris, der Netzhaut, des Fingerabdrucks, des Gesichts, der Hand, der Handfläche, der Venenmuster und der Sprachaufnahmen, aus denen eine Identifizierungsvorlage, wie z.B. ein Gesichtsabdruck, eine Minutienvorlage oder ein Stimmabdruck, extrahiert werden kann, sowie Tastenanschlagsmuster oder -rhythmen, Gangmuster oder -rhythmen und Schlaf-, Gesundheits- oder Bewegungsdaten, die identifizierende Informationen enthalten.
(c) “Geschäftlich” bedeutet:
(1) Ein Einzelunternehmen, eine Personengesellschaft, eine Gesellschaft mit beschränkter Haftung, eine Körperschaft, eine Vereinigung oder eine andere juristische Person, die für den Gewinn oder den finanziellen Vorteil ihrer Aktionäre oder anderer Eigentümer organisiert oder betrieben wird, die persönliche Informationen von Verbrauchern sammelt oder in deren Namen solche Informationen gesammelt werden und die allein oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung der persönlichen Informationen von Verbrauchern bestimmt, die im Staat Kalifornien geschäftlich tätig ist und die einen oder mehrere der folgenden Schwellenwerte erfüllt:
(A) Jährliche Bruttoeinnahmen von mehr als fünfundzwanzig Millionen Dollar (25.000.000 $), die gemäß Absatz (5) des Unterabschnitts (a) von Abschnitt 1798.185 angepasst wurden.

(B) Alleine oder in Kombination, kauft, erhält jährlich für kommerzielle Zwecke des Unternehmens, verkauft oder teilt für kommerzielle Zwecke, allein oder in Kombination, die persönlichen Daten von 50.000 oder mehr Verbrauchern, Haushalten oder Geräten.
(C) Erzielt 50 Prozent oder mehr seiner jährlichen Einnahmen aus dem Verkauf persönlicher Daten von Verbrauchern.
(2) Jedes Unternehmen, das ein Unternehmen gemäß der Definition in Absatz (1) kontrolliert oder von einem Unternehmen kontrolliert wird und das mit dem Unternehmen ein gemeinsames Branding teilt. “Kontrolle” oder “kontrolliert” bedeutet das Eigentum an oder die Stimmberechtigung für mehr als 50 Prozent der im Umlauf befindlichen Aktien einer beliebigen Klasse von Stimmrechtsaktien eines Unternehmens; Kontrolle in irgendeiner Weise über die Wahl der Mehrheit der Direktoren oder von Personen, die ähnliche Funktionen ausüben; oder die Macht, einen kontrollierenden Einfluss auf das Management eines Unternehmens auszuüben. “Gemeinsame Markenbildung” bedeutet einen gemeinsamen Namen, eine gemeinsame Dienstleistungsmarke oder ein gemeinsames Warenzeichen.
(d) “Geschäftszweck” bedeutet die Verwendung personenbezogener Daten für die betrieblichen Zwecke des Unternehmens oder eines Dienstleisters oder für andere mitgeteilte Zwecke, vorausgesetzt, dass die Verwendung personenbezogener Daten vernünftigerweise notwendig und verhältnismäßig ist, um den betrieblichen Zweck zu erreichen, für den die personenbezogenen Daten erhoben oder verarbeitet wurden, oder für einen anderen betrieblichen Zweck, der mit dem Kontext, in dem die personenbezogenen Daten erhoben wurden, vereinbar ist. Geschäftszwecke sind:
(1) Prüfung in Bezug auf eine laufende Interaktion mit dem Verbraucher und gleichzeitige Transaktionen, einschließlich, aber nicht beschränkt auf die Zählung von Ad Impressions an einzelne Besucher, die Überprüfung der Positionierung und Qualität der Ad Impressions und die Prüfung der Einhaltung dieser Spezifikation und anderer Standards.
(2) Erkennung von Sicherheitsvorfällen, Schutz vor böswilligen, betrügerischen, betrügerischen oder illegalen Aktivitäten und Verfolgung der für diese Aktivitäten Verantwortlichen.
(3) Debugging, um Fehler zu identifizieren und zu beheben, die die bestehende beabsichtigte Funktionalität beeinträchtigen.
(4) Kurzfristige, vorübergehende Nutzung, sofern die persönlichen Informationen nicht an Dritte weitergegeben und nicht dazu verwendet werden, ein Profil über einen Verbraucher zu erstellen oder die Erfahrung eines einzelnen Verbrauchers außerhalb der aktuellen Interaktion auf andere Weise zu verändern, einschließlich, aber nicht beschränkt auf die kontextbezogene Anpassung von Anzeigen, die als Teil derselben Interaktion gezeigt werden.
(5) Ausführen von Dienstleistungen im Namen des Unternehmens oder des Dienstleisters, einschließlich der Pflege oder Betreuung von Konten, der Bereitstellung von Kundenservice, der Bearbeitung oder Erfüllung von Bestellungen und Transaktionen, der Überprüfung von Kundeninformationen, der Bearbeitung von Zahlungen, der Bereitstellung von Finanzierungen, der Bereitstellung von Werbe- oder Marketingdienstleistungen, der Bereitstellung von Analysedienstleistungen oder der Bereitstellung ähnlicher Dienstleistungen im Namen des Unternehmens oder des Dienstleisters.
(6) Durchführung interner Forschungsarbeiten zur technologischen Entwicklung und Demonstration.
(7) Durchführung von Tätigkeiten zur Überprüfung oder Aufrechterhaltung der Qualität oder Sicherheit einer Dienstleistung oder eines Geräts, das sich im Eigentum des Unternehmens befindet, für das Unternehmen hergestellt oder hergestellt wurde oder von ihm kontrolliert wird, sowie zur Verbesserung, Aufrüstung oder Erweiterung der Dienstleistung oder des Geräts, das sich im Eigentum des Unternehmens befindet, für das Unternehmen hergestellt oder hergestellt wurde oder von ihm kontrolliert wird.
(e) “Sammeln”, “sammeln” oder “einholen” bedeutet Kauf, Vermietung, Sammlung, Erhalt, Erhalt oder Zugriff auf personenbezogene Daten, die einen Verbraucher betreffen, auf welchem Wege auch immer. Dies schließt den Erhalt von Informationen vom Verbraucher ein, entweder aktiv oder passiv oder durch Beobachtung des Verbraucherverhaltens.
(f) “Kommerzielle Zwecke”: Förderung der geschäftlichen oder wirtschaftlichen Interessen einer Person, z.B. indem eine andere Person dazu veranlasst wird, Produkte, Waren, Eigentum, Informationen oder Dienstleistungen zu kaufen, zu mieten, zu leasen, sich anzuschließen, zu abonnieren, zur Verfügung zu stellen oder auszutauschen, oder indem direkt oder indirekt eine kommerzielle Transaktion ermöglicht oder durchgeführt wird. “Kommerzielle Zwecke” schließen nicht den Zweck ein, sich an Reden zu beteiligen, die von Staats- oder Bundesgerichten als nichtkommerzielle Reden anerkannt wurden, einschließlich politischer Reden und Journalismus.
(g) “Verbraucher” ist eine natürliche Person, die in Kalifornien ansässig ist, wie in Abschnitt 17014 des Titels 18 des California Code of Regulations in der Fassung des Abschnitts vom 1. September 2017 definiert, wie auch immer identifiziert, einschließlich durch eine eindeutige Kennung.
(h) “Deidentifiziert” bedeutet Informationen, die nicht in angemessener Weise einen bestimmten Verbraucher identifizieren, sich auf ihn beziehen, ihn beschreiben, mit ihm in Verbindung gebracht werden können oder direkt oder indirekt mit ihm in Verbindung gebracht werden können, vorausgesetzt, dass ein Unternehmen, das deidentifizierte Informationen verwendet:
(1) technische Sicherheitsvorkehrungen getroffen hat, die eine erneute Identifizierung des Verbrauchers, auf den sich die Informationen beziehen können, verbieten.
(2) Geschäftsprozesse implementiert hat, die eine erneute Identifizierung der Informationen ausdrücklich verbieten.
(3) hat Geschäftsprozesse implementiert, die eine versehentliche Freigabe von deidentifizierten Informationen verhindern.
(4) Versucht nicht, die Informationen neu zu identifizieren.

(i) “Bestimmte Methoden zur Einreichung von Anfragen” bedeutet eine Postanschrift, E-Mail-Adresse, Internet-Webseite, Internet-Webportal, gebührenfreie Telefonnummer oder andere anwendbare Kontaktinformationen, wobei Verbraucher eine Anfrage oder Anweisung unter diesem Titel einreichen können, sowie alle neuen, verbraucherfreundlichen Mittel zur Kontaktaufnahme mit einem Unternehmen, wie vom Generalstaatsanwalt gemäß Abschnitt 1798.185 genehmigt.
(j) “Gerät” ist jedes physische Objekt, das direkt oder indirekt mit dem Internet oder einem anderen Gerät verbunden werden kann.
(k) “Krankenversicherungsinformationen” bedeutet die Versicherungspolicennummer oder die Abonnenten-Identifikationsnummer eines Verbrauchers, jede eindeutige Kennung, die von einer Krankenversicherung zur Identifizierung des Verbrauchers verwendet wird, oder jede Information in der Antrags- und Anspruchsgeschichte des Verbrauchers, einschließlich aller Einspruchsaufzeichnungen, wenn die Information mit einem Verbraucher oder Haushalt, einschließlich über ein Gerät, durch ein Unternehmen oder einen Dienstleister verknüpft oder vernünftigerweise verknüpfbar ist.
(l) “Homepage” ist die Einführungsseite einer Internet-Website und jede Internet-Website, auf der personenbezogene Daten erfasst werden. Im Falle eines Online-Dienstes, wie z.B. einer mobilen Anwendung, bedeutet Homepage die Plattformseite oder Download-Seite der Anwendung, einen Link innerhalb der Anwendung, wie z.B. von der Anwendungskonfiguration, “Über”, “Informationen” oder der Einstellungsseite, und jede andere Stelle, die es Verbrauchern ermöglicht, den durch Unterteilung (a) von Abschnitt 1798.145 geforderten Hinweis zu überprüfen, einschließlich, aber nicht beschränkt auf, vor dem Herunterladen der Anwendung.
(m) “Inferieren” oder “Schlussfolgerung” bedeutet die Ableitung von Informationen, Daten, Annahmen oder Schlussfolgerungen aus Fakten, Beweisen oder einer anderen Informations- oder Datenquelle.
(n) “Person” bedeutet eine Einzelperson, ein Unternehmen, eine Firma, eine Partnerschaft, ein Joint Venture, ein Syndikat, eine Treuhandgesellschaft, eine Gesellschaft, eine Körperschaft, eine Gesellschaft mit beschränkter Haftung, eine Vereinigung, ein Komitee und jede andere Organisation oder Gruppe von Personen, die gemeinsam handeln.
(o) (1) “Persönliche Informationen” sind Informationen, die einen bestimmten Verbraucher oder Haushalt identifizieren, sich auf ihn beziehen, ihn beschreiben, mit ihm in Verbindung gebracht werden können oder vernünftigerweise direkt oder indirekt mit ihm in Verbindung gebracht werden könnten. Zu den persönlichen Informationen gehören unter anderem die folgenden
(A) Identifikatoren wie z.B. realer Name, Alias, Postanschrift, eindeutige persönliche Kennung, Online-Identifikationsnummer, Internetprotokoll-Adresse, E-Mail-Adresse, Kontoname, Sozialversicherungsnummer, Führerscheinnummer, Passnummer oder andere ähnliche Identifikatoren.
(B) Alle Kategorien von persönlichen Daten, die in Unterabschnitt (e) von Abschnitt 1798.80 beschrieben sind.
(C) Merkmale geschützter Klassifizierungen nach kalifornischem oder Bundesrecht.
(D) Kommerzielle Informationen, einschließlich Aufzeichnungen über persönliches Eigentum, Produkte oder Dienstleistungen, die gekauft, erhalten oder in Betracht gezogen wurden, oder andere Kauf- oder Verbrauchsgeschichten oder -tendenzen.
(E) Biometrische Informationen.
(F) Informationen über Internet- oder andere elektronische Netzwerkaktivitäten, einschließlich, aber nicht beschränkt auf, Browserverlauf, Suchverlauf und Informationen über die Interaktion eines Verbrauchers mit einer Website, Anwendung oder Werbung im Internet.
(G) Geolokalisierungsdaten.
(H) Audio-, elektronische, visuelle, thermische, olfaktorische oder ähnliche Informationen.
(I) Berufliche oder beschäftigungsbezogene Informationen.
(J) Bildungsinformationen, definiert als Informationen, die nicht öffentlich zugänglich sind, wie im Family Educational Rights and Privacy Act (20 U.S.C. section 1232g, 34 C.F.R. Part 99) definiert.
(K) Schlussfolgerungen, die aus den in dieser Unterteilung identifizierten Informationen gezogen werden, um ein Profil über einen Verbraucher zu erstellen, das die Präferenzen, Merkmale, psychologischen Trends, Vorlieben, Veranlagungen, das Verhalten, die Einstellungen, die Intelligenz, die Fähigkeiten und die Begabungen des Verbrauchers widerspiegelt.
(2) “Persönliche Informationen” umfassen keine öffentlich zugänglichen Informationen. Für diese Zwecke bedeutet “öffentlich zugänglich” Informationen, die rechtmäßig aus den Aufzeichnungen der Bundes-, Landes- oder Kommunalbehörden zur Verfügung gestellt werden, wenn irgendwelche Bedingungen mit diesen Informationen verbunden sind. “Öffentlich verfügbar” bedeutet nicht, dass biometrische Informationen, die von einem Unternehmen über einen Verbraucher ohne dessen Wissen gesammelt wurden. Informationen sind nicht “öffentlich verfügbar”, wenn diese Daten für einen Zweck verwendet werden, der nicht mit dem Zweck vereinbar ist, für den die Daten in den staatlichen Aufzeichnungen aufbewahrt und zur Verfügung gestellt werden oder für den sie öffentlich aufbewahrt werden. “Öffentlich zugänglich” umfasst keine Verbraucherinformationen, die als solche gekennzeichnet sind, oder aggregierte Verbraucherinformationen.
(p) “Probabilistische Kennung” ist die Identifizierung eines Verbrauchers oder eines Geräts mit einem Grad an Sicherheit, der wahrscheinlicher ist als der, der auf Kategorien personenbezogener Daten beruht, die in den in der Definition der personenbezogenen Daten aufgeführten Kategorien enthalten sind oder diesen ähnlich sind.

(q) “Verarbeitung” ist jeder Vorgang oder jede Vorgangsreihe, die mit personenbezogenen Daten oder mit Sätzen von personenbezogenen Daten durchgeführt wird, unabhängig davon, ob sie automatisiert sind oder nicht.
r) “Pseudonymisierung” oder “Pseudonymisierung”: die Verarbeitung personenbezogener Daten in einer Weise, die dazu führt, dass die personenbezogenen Daten ohne die Verwendung zusätzlicher Informationen nicht mehr einem bestimmten Verbraucher zugeordnet werden können, sofern die zusätzlichen Informationen getrennt aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die sicherstellen, dass die personenbezogenen Daten nicht einem bestimmten oder bestimmbaren Verbraucher zugeordnet werden können.
(s) “Forschung”: wissenschaftliche, systematische Untersuchungen und Beobachtungen, einschließlich Grundlagenforschung oder angewandte Forschung, die im öffentlichen Interesse liegt und die alle anderen geltenden Ethik- und Datenschutzvorschriften einhält, oder Studien, die im öffentlichen Interesse im Bereich der öffentlichen Gesundheit durchgeführt werden. Forschung mit persönlichen Informationen, die möglicherweise von einem Verbraucher im Rahmen der Interaktion des Verbrauchers mit einem Dienst oder Gerät eines Unternehmens für andere Zwecke gesammelt wurden:
(1) mit dem Geschäftszweck, für den die persönlichen Daten gesammelt wurden, vereinbar sein.
(2) Anschließend pseudonymisiert und deidentifiziert oder deidentifiziert und in der Gesamtheit, so dass die Informationen nicht in angemessener Weise einen bestimmten Verbraucher direkt oder indirekt identifizieren, sich auf ihn beziehen, ihn beschreiben, mit ihm in Verbindung gebracht werden können oder mit ihm in Verbindung gebracht werden können.
(3) Sie werden technischen Schutzmaßnahmen unterworfen, die eine erneute Identifizierung des Verbrauchers, auf den sich die Informationen beziehen können, verbieten.
(4) Vorbehaltlich von Geschäftsvorgängen, die eine erneute Identifizierung der Informationen ausdrücklich verbieten.
(5) Vorbehaltlich von Geschäftsprozessen, die eine versehentliche Freigabe von nicht identifizierten Informationen verhindern.
(6) Geschützt vor jeglichen Reidentifizierungsversuchen.
(7) Wird ausschließlich für Forschungszwecke verwendet, die mit dem Kontext, in dem die persönlichen Informationen gesammelt wurden, vereinbar sind.
(8) Nicht für kommerzielle Zwecke verwendet werden.
(9) Unterliegt das forschende Unternehmen zusätzlichen Sicherheitskontrollen und beschränkt den Zugang zu den Forschungsdaten auf diejenigen Personen in einem Unternehmen, die für die Durchführung des Forschungszwecks notwendig sind.
(t) (1) “Verkauf”, “Verkauf”, “Verkauf” oder “verkauft” bedeutet den Verkauf, die Vermietung, die Freigabe, die Offenlegung, die Verbreitung, die Bereitstellung, die Übertragung oder sonstige mündliche, schriftliche oder elektronische oder sonstige Kommunikation von persönlichen Daten eines Verbrauchers durch das Unternehmen an ein anderes Unternehmen oder einen Dritten gegen eine finanzielle oder sonstige wertvolle Gegenleistung.
(2) Für die Zwecke dieses Titels verkauft ein Unternehmen keine personenbezogenen Daten, wenn:
(A) ein Verbraucher das Unternehmen dazu benutzt oder anweist, absichtlich persönliche Daten offenzulegen, oder das Unternehmen dazu benutzt, absichtlich mit einem Dritten zu interagieren, vorausgesetzt, dass der Dritte die persönlichen Daten nicht ebenfalls verkauft, es sei denn, diese Offenlegung wäre mit den Bestimmungen dieses Titels vereinbar. Eine absichtliche Interaktion liegt vor, wenn der Verbraucher beabsichtigt, mit der dritten Partei über eine oder mehrere absichtliche Interaktionen zu interagieren. Das Überfahren, Stummschalten, Anhalten oder Schließen eines bestimmten Inhalts stellt nicht die Absicht des Verbrauchers dar, mit einem Dritten zu interagieren.
(B) Das Unternehmen verwendet oder teilt eine Kennung für einen Verbraucher, der sich gegen den Verkauf der persönlichen Daten des Verbrauchers entschieden hat, um Dritte darauf hinzuweisen, dass der Verbraucher sich gegen den Verkauf der persönlichen Daten des Verbrauchers entschieden hat.
(C) Das Unternehmen verwendet persönliche Daten eines Verbrauchers, die zur Erfüllung eines Geschäftszwecks erforderlich sind, oder gibt sie an einen Dienstleister weiter, wenn beide der folgenden Bedingungen erfüllt sind: Dienstleistungen, die der Dienstleister im Auftrag des Unternehmens erbringt, sofern der Dienstleister die persönlichen Daten auch nicht verkauft.
(i) Das Unternehmen hat mitgeteilt, dass die Verwendung oder Weitergabe von Informationen in seinen Geschäftsbedingungen im Einklang mit Abschnitt 1798.135 steht.
(ii) Der Dienstanbieter sammelt, verkauft oder verwendet die persönlichen Daten des Verbrauchers nur dann, wenn dies für den Geschäftszweck erforderlich ist.

(D) Das Unternehmen überträgt die persönlichen Daten eines Verbrauchers an einen Dritten als Vermögenswert, der Teil einer Fusion, einer Übernahme, eines Konkurses oder einer anderen Transaktion ist, bei der der Dritte die Kontrolle über das gesamte Unternehmen oder einen Teil davon übernimmt, vorausgesetzt, dass die Informationen in Übereinstimmung mit den Abschnitten 1798.110 und 1798.115 verwendet oder weitergegeben werden. Wenn eine dritte Partei die Art und Weise, wie sie die persönlichen Informationen eines Verbrauchers verwendet oder weitergibt, in einer Weise wesentlich ändert, die im wesentlichen nicht mit den zum Zeitpunkt der Erhebung gemachten Versprechungen übereinstimmt, muss sie den Verbraucher vorher über die neue oder geänderte Praxis informieren. Die Benachrichtigung muss hinreichend deutlich und robust sein, um sicherzustellen, dass bestehende Verbraucher ihre Wahl leicht in Übereinstimmung mit Abschnitt 1798.120 treffen können. Dieser Unterabsatz ermächtigt ein Unternehmen nicht, wesentliche, rückwirkende Änderungen der Datenschutzpolitik oder andere Änderungen seiner Datenschutzpolitik in einer Weise vorzunehmen, die gegen das Gesetz über unlautere und betrügerische Praktiken (Kapitel 5 (beginnend mit Abschnitt 17200) von Teil 2 der Abteilung 7 des Kodex für Unternehmen und Berufe) verstoßen würde.
(u) “Dienstleistung” oder “Services” bedeutet Arbeit, Arbeit und Dienstleistungen, einschließlich der Dienstleistungen, die in Verbindung mit dem Verkauf oder der Reparatur von Waren erbracht werden.
(v) “Dienstleister” bedeutet ein Einzelunternehmen, eine Partnerschaft, eine Gesellschaft mit beschränkter Haftung, eine Körperschaft, eine Vereinigung oder eine andere juristische Person, die für den Gewinn oder finanziellen Vorteil ihrer Aktionäre oder anderer Eigentümer organisiert oder betrieben wird, die Informationen im Auftrag eines Unternehmens verarbeitet und der das Unternehmen die persönlichen Daten eines Verbrauchers für einen Geschäftszweck gemäß einem schriftlichen Vertrag offenlegt, vorausgesetzt, dass der Vertrag dem Unternehmen, das die Informationen erhält, verbietet, die personenbezogenen Daten für andere Zwecke als für den spezifischen Zweck der Durchführung der im Vertrag für das Unternehmen festgelegten Dienstleistungen oder wie anderweitig durch diesen Titel erlaubt, einschließlich der Aufbewahrung, Verwendung oder Offenlegung der personenbezogenen Daten für einen anderen kommerziellen Zweck als die Erbringung der im Vertrag mit dem Unternehmen festgelegten Dienstleistungen, zu behalten, zu verwenden oder offenzulegen.
(w) “Dritte” ist eine Person, die keine der folgenden Personen ist:
(1) Das Unternehmen, das im Rahmen dieses Titels personenbezogene Daten von Verbrauchern sammelt.
(2) Eine Person, der das Unternehmen die personenbezogenen Daten eines Verbrauchers für einen geschäftlichen Zweck aufgrund eines schriftlichen Vertrags offenlegt, sofern der Vertrag:
(A) Verbietet der Person, von der die persönlichen Informationen erhalten werden:
(i) die persönlichen Informationen zu verkaufen.
(ii) die personenbezogenen Daten für andere Zwecke als den spezifischen Zweck der Erbringung der im Vertrag genannten Dienstleistungen zu speichern, zu verwenden oder offenzulegen, einschließlich der Speicherung, Verwendung oder Offenlegung der personenbezogenen Daten für einen anderen gewerblichen Zweck als die Erbringung der im Vertrag genannten Dienstleistungen.
(iii) Aufbewahrung, Verwendung oder Offenlegung der Informationen außerhalb der direkten Geschäftsbeziehung zwischen der Person und dem Unternehmen.
(B) Umfasst eine von der Person, die die personenbezogenen Daten erhält, ausgestellte Bescheinigung, dass die Person die Einschränkungen in Unterabsatz (A) versteht und sich an diese halten wird.
Eine unter Absatz (2) fallende Person, die gegen eine der in diesem Titel festgelegten Einschränkungen verstößt, ist für die Verstöße haftbar. Ein Unternehmen, das personenbezogene Daten gemäß Absatz (2) an eine unter Absatz (2) fallende Person weitergibt, haftet nicht nach diesem Titel, wenn die Person, die die personenbezogenen Daten erhält, diese unter Verletzung der in diesem Titel festgelegten Einschränkungen verwendet, vorausgesetzt, dass das Unternehmen zum Zeitpunkt der Weitergabe der personenbezogenen Daten nicht tatsächlich weiß oder Grund zu der Annahme hat, dass die Person beabsichtigt, eine solche Verletzung zu begehen.
(x) “Eindeutige Kennung” oder “Eindeutige persönliche Kennung” ist eine dauerhafte Kennung, die verwendet werden kann, um einen Verbraucher, eine Familie oder ein Gerät, das mit einem Verbraucher oder einer Familie verbunden ist, im Laufe der Zeit und über verschiedene Dienste hinweg zu erkennen, einschließlich, aber nicht beschränkt auf eine Gerätekennung; eine Internetprotokolladresse; Cookies, Beacons, Pixel-Tags, mobile Werbekennungen oder ähnliche Technologien; Kundennummer, eindeutiges Pseudonym oder Benutzer-Alias; Telefonnummern oder andere Formen dauerhafter oder probabilistischer Kennungen, die zur Identifizierung eines bestimmten Verbrauchers oder Geräts verwendet werden können. Für die Zwecke dieser Unterteilung bedeutet “Familie” einen sorgeberechtigten Elternteil oder Vormund und alle minderjährigen Kinder, über die der Elternteil oder Vormund das Sorgerecht hat.

(y) “Überprüfbare Verbraucheranfrage” ist eine Anfrage, die von einem Verbraucher, von einem Verbraucher im Namen des minderjährigen Kindes des Verbrauchers oder von einer natürlichen Person oder einer beim Secretary of State registrierten Person gestellt wird, die vom Verbraucher bevollmächtigt wurde, im Namen des Verbrauchers zu handeln, und die das Unternehmen gemäß den vom Generalstaatsanwalt gemäß Absatz (7) der Unterabteilung (a) des Abschnitts 1798.185 angenommenen Vorschriften in angemessener Weise überprüfen kann, um der Verbraucher zu sein, über den das Unternehmen persönliche Informationen gesammelt hat. Ein Unternehmen ist nicht verpflichtet, dem Verbraucher gemäß den Abschnitten 1798.110 und 1798.115 Informationen zur Verfügung zu stellen, wenn das Unternehmen nicht überprüfen kann, gemäß dieser Unterteilung und den vom Generalstaatsanwalt gemäß Absatz (7) der Unterteilung (a) des Abschnitts 1798.185 angenommenen Vorschriften, dass der Verbraucher, der den Antrag stellt, der Verbraucher ist, über den das Unternehmen Informationen gesammelt hat, oder eine vom Verbraucher bevollmächtigte Person ist, die im Namen eines solchen Verbrauchers handelt.

1798.145. a) Die den Unternehmen durch diesen Titel auferlegten Verpflichtungen dürfen die Möglichkeiten eines Unternehmens nicht einschränken:
(1) Bundes-, Landes- oder Lokalgesetze zu erfüllen.
(2) einer zivil-, strafrechtlichen oder behördlichen Untersuchung, Ermittlung, Vorladung oder Vorladung durch Bundes-, Landes- oder Kommunalbehörden nachzukommen.
(3) Mit den Strafverfolgungsbehörden in Bezug auf Verhaltensweisen oder Aktivitäten zusammenzuarbeiten, von denen das Unternehmen, der Dienstanbieter oder ein Dritter vernünftigerweise und in gutem Glauben annimmt, dass sie gegen Bundes-, Landes- oder Ortsgesetze verstoßen könnten.
(4) Rechtsansprüche geltend machen oder verteidigen.
(5) Sammeln, Verwenden, Einbehalten, Verkaufen oder Offenlegen von Verbraucherinformationen, die als solche oder in der Gesamtheit der Verbraucherinformationen identifiziert werden.
(6) Persönliche Informationen eines Verbrauchers zu sammeln oder zu verkaufen, wenn jeder Aspekt dieses geschäftlichen Verhaltens vollständig außerhalb Kaliforniens stattfindet. Für die Zwecke dieses Titels findet das kommerzielle Verhalten vollständig außerhalb Kaliforniens statt, wenn das Unternehmen diese Informationen gesammelt hat, während sich der Verbraucher außerhalb Kaliforniens befand, kein Teil des Verkaufs der persönlichen Daten des Verbrauchers in Kalifornien stattfand und keine persönlichen Daten verkauft werden, die gesammelt wurden, während sich der Verbraucher in Kalifornien befand. Dieser Absatz erlaubt es einem Unternehmen nicht, persönliche Informationen über einen Verbraucher zu speichern, auch nicht auf einem Gerät, wenn der Verbraucher in Kalifornien ist, und diese persönlichen Informationen dann zu sammeln, wenn der Verbraucher und die gespeicherten persönlichen Informationen außerhalb Kaliforniens sind.
(b) Die Verpflichtungen, die Unternehmen gemäß den Abschnitten 1798.110 bis einschließlich 1798.135 auferlegt werden, gelten nicht, wenn die Einhaltung des Titels durch das Unternehmen ein Beweisprivileg nach kalifornischem Recht verletzen würde, und hindern ein Unternehmen nicht daran, die persönlichen Daten eines Verbrauchers an eine Person, die unter ein Beweisprivileg nach kalifornischem Recht fällt, als Teil einer privilegierten Kommunikation zu übermitteln.
(c) Dieses Gesetz gilt nicht für geschützte oder gesundheitsbezogene Daten, die von einer gedeckten Einrichtung gesammelt werden, die dem Confidentiality of Medical Information Act (Teil 2.6 (beginnend mit Abschnitt 56 von Abteilung 1)) unterliegt oder den Regeln für Datenschutz, Sicherheit und Benachrichtigung bei Sicherheitsverletzungen, die vom Federal Department of Health and Human Services, Teil 160 und 164 von Titel 45 des Code of Federal Regulations, herausgegeben werden und die gemäß dem Health Insurance Portability and Availability Act von 1996 festgelegt wurden, unterliegen. Für die Zwecke dieser Unterteilung gilt die Definition von “medizinischen Informationen” in Abschnitt 56.05 und die Definitionen von “geschützten Gesundheitsinformationen” und “abgedeckten Einrichtungen” aus der Bundesdatenschutzvorschrift.
(d) Dieser Titel gilt nicht für den Verkauf von persönlichen Informationen an oder von einer Verbrauchermeldeagentur, wenn diese Informationen in einem Verbraucherbericht gemäß der Definition in Unterteilung (d) von Titel 15 Abschnitt 1681a des United States Code gemeldet oder zur Erstellung eines Verbraucherberichts verwendet werden sollen und die Verwendung dieser Informationen durch den Federal Fair Credit Reporting Act (15 U.S.C. Sec. 1681 ff.) beschränkt ist.
(e) Dieser Titel gilt nicht für personenbezogene Daten, die gemäß dem bundesstaatlichen Gramm-Leach-Bliley Act (Public Law 106-102) und den Durchführungsbestimmungen gesammelt, verarbeitet, verkauft oder offengelegt werden, wenn sie mit diesem Gesetz in Konflikt stehen.
(f) Dieser Titel gilt nicht für persönliche Daten, die gemäß dem Driver’s Privacy Protection Act von 1994 (18 U.S.C. Sec. 2721 ff.) gesammelt, verarbeitet, verkauft oder offengelegt werden, wenn sie diesem Gesetz widersprechen.
(g) Ungeachtet der Verpflichtungen eines Unternehmens, auf Anfragen zu Verbraucherrechten gemäß diesem Titel zu antworten und diese zu honorieren:
(1) Die Frist, innerhalb derer ein Unternehmen auf eine überprüfte Verbraucheranfrage zu antworten hat, kann unter Berücksichtigung der Komplexität und Anzahl der Anfragen gegebenenfalls um bis zu 90 zusätzliche Tage verlängert werden. Das Unternehmen unterrichtet den Verbraucher über eine solche Verlängerung innerhalb von 45 Tagen nach Eingang des Antrags unter Angabe der Gründe für die Verzögerung.
(2) Trifft der Unternehmer auf das Ersuchen des Verbrauchers keine Maßnahmen, so unterrichtet der Unternehmer den Verbraucher unverzüglich, spätestens jedoch innerhalb der nach diesem Abschnitt zulässigen Beantwortungsfrist, über die Gründe für das Nichttätigwerden und über die Rechte des Verbrauchers, gegen die Entscheidung beim Unternehmer Rechtsmittel einzulegen.

(3) Sind Anfragen eines Verbrauchers offensichtlich unbegründet oder übertrieben, insbesondere wegen ihres repetitiven Charakters, kann ein Unternehmen entweder eine angemessene Gebühr unter Berücksichtigung der Verwaltungskosten für die Bereitstellung der Informationen oder die Mitteilung oder die Durchführung der angeforderten Maßnahmen verlangen oder es ablehnen, der Anfrage nachzukommen und den Verbraucher über den Grund für die Ablehnung der Anfrage informieren. Der Unternehmer trägt die Beweislast dafür, dass jede überprüfte Verbraucheranfrage offensichtlich unbegründet oder übertrieben ist.
h) Ein Unternehmen, das personenbezogene Daten an einen Diensteanbieter weitergibt, ist nicht nach diesem Titel haftbar, wenn der Diensteanbieter, der die personenbezogenen Daten erhält, diese unter Verletzung der im Titel festgelegten Einschränkungen verwendet, sofern das Unternehmen zum Zeitpunkt der Weitergabe der personenbezogenen Daten keine tatsächliche Kenntnis davon hat oder keinen Grund zu der Annahme hat, dass der Diensteanbieter beabsichtigt, eine solche Verletzung zu begehen. Ein Diensteanbieter haftet ebenfalls nicht nach diesem Titel für die Verpflichtungen eines Unternehmens, für das er Dienstleistungen gemäß diesem Titel erbringt.
(i) Dieser Titel ist nicht so auszulegen, dass er von einem Unternehmen verlangt, Informationen, die nicht in einer Art und Weise gepflegt werden, die als persönliche Informationen gelten würde, neu zu identifizieren oder anderweitig zu verknüpfen.
(j) Die den Verbrauchern gewährten Rechte und die dem Unternehmen in diesem Titel auferlegten Verpflichtungen dürfen die Rechte und Freiheiten anderer Verbraucher nicht beeinträchtigen.
1798.150. (a) (1) Jeder Verbraucher, dessen unverschlüsselte oder nicht abgespeicherte persönliche Daten, wie in Absatz (1) Unterabschnitt (A) des Unterabschnitts (d) des Abschnitts 1798.81.5 definiert, einem unbefugten Zugang und der Exfiltration, dem Diebstahl oder der Offenlegung als Folge der Verletzung der Pflicht des Unternehmens zur Implementierung und Aufrechterhaltung angemessener Sicherheitsverfahren und -praktiken, die der Art der Informationen zum Schutz der persönlichen Daten angemessen sind, unterliegen, kann eine Zivilklage wegen eines der folgenden Punkte einreichen:
(A) Schadenersatz in Höhe von nicht weniger als einhundert Dollar ($100) und nicht mehr als siebenhundertfünfzig ($750) pro Verbraucher pro Vorfall oder tatsächlichen Schaden, je nachdem, welcher Betrag höher ist.
(B) Unterlassungs- oder Feststellungsklage.
(C) Jeder andere Rechtsbehelf, den das Gericht für angemessen hält.
(2) Bei der Bemessung der Höhe des gesetzlichen Schadensersatzes berücksichtigt das Gericht einen oder mehrere der relevanten Umstände, die von einer der Parteien des Falles vorgetragen werden, einschließlich, aber nicht beschränkt auf die Art und Schwere des Fehlverhaltens, die Anzahl der Verstöße, das Fortbestehen des Fehlverhaltens, die Dauer des Zeitraums, in dem das Fehlverhalten aufgetreten ist, die Absicht des Beklagten, sowie das Vermögen, die Verbindlichkeiten und den Nettowert des Beklagten.
(b) Klagen nach diesem Abschnitt können von einem Verbraucher erhoben werden, wenn alle folgenden Voraussetzungen erfüllt sind:
(1) Vor der Einleitung von Klagen gegen ein Unternehmen wegen gesetzlicher Schadensersatzforderungen auf individueller oder klassenübergreifender Basis hat ein Verbraucher eine 30-tägige schriftliche Mitteilung zu machen, in der er die spezifischen Bestimmungen dieses Titels angibt, gegen die er angeblich verstoßen hat oder verstoßen wird. Ist eine Heilung möglich, so kann, wenn das Unternehmen innerhalb der 30 Tage den festgestellten Verstoß tatsächlich heilt und dem Verbraucher eine ausdrückliche schriftliche Erklärung übermittelt, dass die Verstöße geheilt wurden und keine weiteren Verstöße auftreten, keine Klage auf individuellen oder klassenweiten gesetzlichen Schadenersatz gegen das Unternehmen erhoben werden. Bevor ein einzelner Verbraucher eine Klage nur für tatsächliche Vermögensschäden, die er aufgrund der angeblichen Verstöße gegen diesen Titel erlitten hat, einleitet, ist keine Benachrichtigung erforderlich. Wenn ein Unternehmen weiterhin gegen diesen Titel verstößt und dabei gegen die ausdrückliche schriftliche Erklärung gegenüber dem Verbraucher gemäß diesem Abschnitt verstößt, kann der Verbraucher eine Klage gegen das Unternehmen einleiten, um die schriftliche Erklärung durchzusetzen, und kann für jeden Verstoß gegen die ausdrückliche schriftliche Erklärung sowie für jede andere Verletzung des Titels, die nach der schriftlichen Erklärung erfolgt, gesetzlichen Schadenersatz verlangen.
(2) Ein Verbraucher, der eine Klage im Sinne des Absatzes (1) des Unterabschnitts (c) erhebt, hat den Generalstaatsanwalt innerhalb von 30 Tagen über die Erhebung der Klage zu informieren.
(3) Der Attorney General hat nach Erhalt einer solchen Mitteilung innerhalb von 30 Tagen eine der folgenden Maßnahmen zu ergreifen:
(A) Den Verbraucher, der die Klage einreicht, über die Absicht des Attorney General informieren, eine Klage gegen die Verletzung zu erheben. Wenn der Generalstaatsanwalt nicht innerhalb von sechs Monaten strafrechtlich gegen den Verstoß vorgeht, kann der Verbraucher mit der Klage fortfahren.
(B) Unterlassen Sie es, innerhalb der 30 Tage zu handeln, so dass der Verbraucher, der die Klage erhebt, fortfahren kann.
(C) Den klagenden Verbraucher davon in Kenntnis setzen, dass er die Klage nicht weiter verfolgen wird.
c) Dieses Gesetz ist nicht so auszulegen, dass es als Grundlage für ein privates Klagerecht nach einem anderen Recht dienen könnte. Dies ist nicht so auszulegen, dass es eine Partei von Pflichten oder Verpflichtungen entbindet, die ihr durch andere Gesetze oder die Verfassung der Vereinigten Staaten oder Kaliforniens auferlegt werden.

1798.155. Jedes Unternehmen oder jede dritte Partei kann die Meinung des Generalstaatsanwalts einholen, um sich über die Einhaltung der Bestimmungen dieses Titels zu informieren.
(a) Ein Unternehmen verstößt gegen diesen Titel, wenn es eine angebliche Verletzung nicht innerhalb von 30 Tagen, nachdem es über die angebliche Nichteinhaltung informiert wurde, behebt. Jedes Unternehmen, jeder Dienstleister oder jede andere Person, die gegen diesen Titel verstößt, ist für eine zivilrechtliche Strafe gemäß Abschnitt 17206 des Business and Professions Code in einer vom Attorney General im Namen der Bevölkerung des Staates Kalifornien eingereichten Zivilklage verantwortlich. Die in diesem Abschnitt vorgesehenen Zivilstrafen werden ausschließlich in einer vom Attorney General im Namen des Volkes des Staates Kalifornien eingereichten Zivilklage bewertet und eingetrieben.
(b) Ungeachtet des Paragraphen 17206 des Business and Professions Code kann jede Person, jedes Unternehmen oder jeder Dienstleister, der absichtlich gegen diesen Titel verstößt, für jeden Verstoß mit einer Zivilstrafe von bis zu siebentausendfünfhundert Dollar ($7.500) belegt werden.
(c) Ungeachtet des Abschnitts 17206 des Geschäfts- und Berufsgesetzbuches wird jede zivilrechtliche Strafe, die gemäß Abschnitt 17206 für eine Verletzung dieses Titels verhängt wird, sowie der Erlös aus der Beilegung einer Klage, die gemäß Unterabschnitt (a) eingereicht wurde, wie folgt aufgeteilt:
(1) Zwanzig Prozent an den Consumer Privacy Fund, der innerhalb des General Fund gemäß Unterabschnitt (a) des § 1798.109 eingerichtet wurde, mit der Absicht, alle Kosten, die den staatlichen Gerichten und dem Generalstaatsanwalt im Zusammenhang mit diesem Titel entstehen, vollständig auszugleichen.
(2) Achtzig Prozent an das Gericht, in dessen Namen die Klage, die zur Zivilstrafe geführt hat, eingereicht wurde.
(d) Es ist die Absicht des Gesetzgebers, dass die in Unterabschnitt (c) angegebenen Prozentsätze nach Bedarf angepasst werden, um sicherzustellen, dass die für eine Verletzung dieses Titels verhängten zivilrechtlichen Sanktionen alle Kosten, die den staatlichen Gerichten und dem Generalstaatsanwalt im Zusammenhang mit diesem Titel entstehen, vollständig ausgleichen, einschließlich eines ausreichenden Betrags zur Deckung eines Defizits aus einem früheren Geschäftsjahr.

1798.160. (a) Hiermit wird innerhalb des Allgemeinen Fonds im Staatsschatz ein Sonderfonds mit der Bezeichnung “Consumer Privacy Fund” eingerichtet, der nach der Bewilligung durch die Legislative zur Verfügung steht, um alle Kosten auszugleichen, die den Staatsgerichten in Verbindung mit Klagen zur Durchsetzung dieses Titels entstehen, sowie alle Kosten, die dem Generalstaatsanwalt bei der Ausübung seiner Pflichten unter diesem Titel entstehen.
(b) Die an den Consumer Privacy Fund überwiesenen Mittel werden ausschließlich zum Ausgleich von Kosten verwendet, die den staatlichen Gerichten und dem Generalstaatsanwalt in Verbindung mit diesem Titel entstehen. Diese Mittel dürfen vom Gesetzgeber nicht für andere Zwecke verwendet oder übertragen werden, es sei denn, der Finanzdirektor stellt fest, dass die Mittel über die Mittel hinausgehen, die zum vollständigen Ausgleich der den staatlichen Gerichten und dem Generalstaatsanwalt in Verbindung mit diesem Titel entstandenen Kosten erforderlich sind; in diesem Fall kann der Gesetzgeber überschüssige Mittel für andere Zwecke verwenden.

1798.175. Dieser Titel soll das verfassungsmäßige Recht auf Privatsphäre fördern und die bestehenden Gesetze in Bezug auf persönliche Informationen von Verbrauchern ergänzen, einschließlich, aber nicht beschränkt auf Kapitel 22 (beginnend mit Abschnitt 22575) der Abteilung 8 des Geschäfts- und Berufskodex und Titel 1.81 (beginnend mit Abschnitt 1798.80). Die Bestimmungen dieses Titels beschränken sich nicht auf Informationen, die elektronisch oder über das Internet gesammelt werden, sondern gelten für die Sammlung und den Verkauf aller persönlichen Informationen, die ein Unternehmen von Verbrauchern sammelt. Wo immer möglich, sollte das Recht in Bezug auf die persönlichen Daten der Verbraucher so ausgelegt werden, dass es mit den Bestimmungen dieses Titels harmonisiert, aber im Falle eines Konflikts zwischen anderen Gesetzen und den Bestimmungen dieses Titels gelten die Bestimmungen des Gesetzes, die den größten Schutz für das Recht auf Privatsphäre der Verbraucher bieten.

1798.180. Dieser Titel ist eine Angelegenheit von landesweiter Bedeutung und ersetzt und präjudiziert alle Regeln, Vorschriften, Codes, Verordnungen und andere Gesetze, die von einer Stadt, einem Landkreis, einer Stadt und einem Landkreis, einer Gemeinde oder einer lokalen Behörde in Bezug auf die Sammlung und den Verkauf von persönlichen Informationen der Verbraucher durch ein Unternehmen verabschiedet wurden.

1798.185. (a) Am oder vor dem 1. Januar 2020 wird der Generalstaatsanwalt um eine breite öffentliche Beteiligung ersuchen, um Vorschriften zur Förderung der Zwecke dieses Titels zu erlassen, einschließlich, aber nicht beschränkt auf die folgenden Bereiche:
(1) Bei Bedarf Aktualisierung zusätzlicher Kategorien persönlicher Daten zu den in Unterabschnitt (c) von Abschnitt 1798.130 und Unterabschnitt (o) von Abschnitt 1798.140 aufgezählten Kategorien, um Änderungen in der Technologie, der Datenerhebungspraxis, den Hindernissen für die Umsetzung und den Bedenken hinsichtlich des Datenschutzes Rechnung zu tragen.

(2) Erforderliche Aktualisierung der Definition der eindeutigen Identifikatoren, um Änderungen in der Technologie, der Datenerfassung, den Hindernissen für die Umsetzung und den Bedenken hinsichtlich des Schutzes der Privatsphäre Rechnung zu tragen, sowie zusätzliche Kategorien zur Definition der benannten Methoden für die Einreichung von Anträgen, um die Möglichkeit eines Verbrauchers zu erleichtern, Informationen von einem Unternehmen gemäß Abschnitt 1798.130 zu erhalten.
(3) Festlegung aller Ausnahmen, die zur Einhaltung von Landes- oder Bundesgesetzen erforderlich sind, einschließlich, aber nicht beschränkt auf solche, die sich auf Geschäftsgeheimnisse und Rechte an geistigem Eigentum beziehen, innerhalb eines Jahres nach Verabschiedung dieses Titels und nach Bedarf danach.
(4) Festlegung von Regeln und Verfahren für das Folgende, innerhalb eines Jahres nach der Verabschiedung dieses Titels und nach Bedarf danach:
(A) Erleichterung und Regelung der Einreichung eines Antrags eines Verbrauchers, sich gemäß Absatz (1) des Unterabschnitts (a) des § 1798.145 vom Verkauf persönlicher Informationen abzulehnen.
(B) Zur Regelung der Einhaltung des Opt-Out-Verfahrens durch das Unternehmen bei der Anfrage eines Verbrauchers.
(C) Die Entwicklung und Verwendung eines erkennbaren und einheitlichen Opt-Out-Logos oder -Buttons durch alle Unternehmen, um das Bewusstsein der Verbraucher für die Möglichkeit zu fördern, sich gegen den Verkauf von persönlichen Informationen zu entscheiden.
(5) Die Anpassung des monetären Schwellenwerts in Absatz (1) Buchstabe A des Unterabschnitts (b) von Section 1798.106 im Januar jedes ungeraden Jahres, um einen Anstieg des Verbraucherpreisindexes widerzuspiegeln.
(6) Festlegung von Regeln, Verfahren und etwaigen Ausnahmen, die erforderlich sind, um sicherzustellen, dass die Mitteilungen und Informationen, die die Unternehmen gemäß diesem Titel vorzulegen haben, in einer für den Durchschnittsverbraucher leicht verständlichen Weise bereitgestellt werden, für Verbraucher mit Behinderungen zugänglich sind und in der Sprache verfügbar sind, die hauptsächlich für die Interaktion mit dem Verbraucher verwendet wird, einschließlich der Festlegung von Regeln und Leitlinien für finanzielle Anreizangebote innerhalb eines Jahres nach Verabschiedung dieses Titels und bei Bedarf danach.
(7) Festlegung von Regeln und Verfahren zur Förderung der Zwecke der Abschnitte 1798.110 und 1798.115 und zur Erleichterung der Fähigkeit eines Verbrauchers oder seines Bevollmächtigten, Informationen gemäß Abschnitt 1798 zu erhalten.130, mit dem Ziel, den Verwaltungsaufwand für die Verbraucher unter Berücksichtigung der verfügbaren Technologie, der Sicherheitsbedenken und der Belastung für das Unternehmen so gering wie möglich zu halten, um die Entscheidung eines Unternehmens zu regeln, dass ein von einem Verbraucher erhaltenes Auskunftsersuchen ein nachprüfbares Ersuchen ist, einschließlich der Behandlung eines Antrags, der über ein passwortgeschütztes Konto gestellt wird, das der Verbraucher bei dem Unternehmen führt, während der Verbraucher in das Konto eingeloggt ist, als überprüfbare Anfrage und die Bereitstellung eines Mechanismus für einen Verbraucher, der kein Konto bei dem Unternehmen führt, um Informationen durch die Authentifizierung der Identität des Verbrauchers durch das Unternehmen innerhalb eines Jahres nach der Verabschiedung dieses Titels und bei Bedarf danach anzufordern.
(b) Der Generalstaatsanwalt kann zusätzliche Vorschriften erlassen, wenn dies zur Förderung der Zwecke dieses Titels erforderlich ist.

1798.190. Wenn eine Reihe von Schritten oder Transaktionen Bestandteile einer einzigen Transaktion waren, die von Anfang an mit der Absicht vorgenommen werden sollten, die Reichweite dieses Titels zu vermeiden, einschließlich der Weitergabe von Informationen durch ein Unternehmen an einen Dritten, um die Definition des Begriffs “Verkauf” zu vermeiden, lässt ein Gericht die Zwischenschritte oder Transaktionen zum Zwecke der Verwirklichung der Zwecke dieses Titels außer Acht.
1798.192. Jede Bestimmung eines Vertrags oder einer Vereinbarung, die vorgibt, auf die Rechte des Verbrauchers nach diesem Titel, einschließlich, aber nicht beschränkt auf, Rechtsmittel oder Durchsetzungsmittel, zu verzichten oder sie in irgendeiner Weise zu beschränken, gilt als gegen die öffentliche Ordnung verstoßend und ist nichtig und nicht durchsetzbar. Dieser Abschnitt hindert einen Verbraucher nicht daran, es abzulehnen, Informationen von einem Unternehmen anzufordern, den Verkauf der persönlichen Daten des Verbrauchers durch ein Unternehmen abzulehnen oder ein Unternehmen zu ermächtigen, die persönlichen Daten des Verbrauchers nach vorheriger Ablehnung zu verkaufen.

1798.194. Dieser Titel ist zur Erreichung seiner Zwecke frei auszulegen.

1798.196. Dieser Titel soll das Bundes- und Landesrecht ergänzen, sofern dies zulässig ist, gilt jedoch nicht, wenn eine solche Anwendung durch Bundesgesetz oder die Verfassung von Kalifornien verhindert wird oder im Widerspruch dazu steht.

1798.198. (a) Vorbehaltlich der in Unterabschnitt (b) vorgesehenen Einschränkungen ist dieser Titel ab dem 1. Januar 2020 gültig.
(b) Dieses Gesetz wird nur dann wirksam, wenn die Initiativmaßnahme Nr. 17-0039, The Consumer Right to Privacy Act of 2018, gemäß Abschnitt 9604 des Wahlgesetzes aus dem Wahlgang genommen wird.

SEC. 4. (a) Die Bestimmungen dieses Gesetzes sind abtrennbar. Sollte eine Bestimmung dieses Gesetzes oder seines Antrags für ungültig erklärt werden, so hat diese Ungültigkeit keine Auswirkungen auf andere Bestimmungen oder Anträge, die ohne die ungültige Bestimmung oder den ungültigen Antrag in Kraft gesetzt werden können.