monday.com & die CCPA

Bei monday.com investieren wir erhebliche Anstrengungen, um sicherzustellen, dass unsere Produkte und Praktiken allen globalen Datenschutz- und Privatsphäregesetzen entsprechen, die für uns und unsere Kunden gelten.

Diese Seite wurde erstellt, um Ihnen Informationen über das CCPA und die Art und Weise, wie monday.com die aktuellen Anforderungen erfüllt, zur Verfügung zu stellen und um Ihnen zu helfen, mit den gesetzlichen und regulatorischen Entwicklungen im Staat Kalifornien vertraut zu sein.

CCPA – worum geht es?

Der California Consumer Privacy Act of 2018 (CCPA) – der am 1. Januar 2020 in Kraft trat – besteht aus einer Reihe von Gesetzesentwürfen, die den im Bundesstaat Kalifornien ansässigen Verbrauchern neue Datenschutzrechte einräumten und den Unternehmen, die ihre persönlichen Daten verarbeiten, Verpflichtungen auferlegten.

Während die Gesetzesentwürfe im Oktober 2019 unterzeichnet wurden und der CCPA im Januar 2020 in Kraft trat, hat die Durchsetzung des CCPA noch nicht begonnen, da der Generalstaatsanwalt von Kalifornien noch mit der Ausarbeitung der vorgeschlagenen Vorschriften zur Umsetzung des CCPA beschäftigt ist.

Basierend auf der Erwartung, dass die Verordnungen einen signifikanten Einfluss auf die Art und Weise haben werden, wie das CCPA von den relevanten Stakeholdern interpretiert, implementiert und durchgesetzt wird, hat die California AG eine „Gnadenfrist” bis zu dem Zeitpunkt vorgesehen, an dem die Verordnungen verabschiedet werden – derzeit festgelegt für den 1. Juli 2020.

Während dieser Übergangszeit der Ungewissheit ist monday.com bestrebt, die Anforderungen des CCPA und der vorgeschlagenen Verordnungen im Hinblick auf ähnliche Verordnungen weltweit (wie der GDPR) und sich entwickelnder Industriestandards zu erfüllen, um sicherzustellen, dass unsere Kunden monday.com weiterhin ohne Unterbrechung nutzen und die persönlichen Daten kalifornischer Verbraucher genauso verarbeiten können wie an anderen Orten auf der Welt.

Rollen, Verantwortlichkeiten & Ausnahmen

Das CCPA unterscheidet zwischen drei Rollen für Unternehmen, die an der Verarbeitung von personenbezogenen Daten beteiligt sind:

● Unternehmen (ähnlich dem „Controller” unter der GDPR)

● Dienstanbieter (ähnlich wie „Verarbeiter” unter der GDPR)

● Drittpartei (ähnlich wie ein Unternehmen, das jedoch keine direkte Interaktion mit dem Verbraucher hat)

Die Verpflichtungen, die „Unternehmen” auferlegt werden, umreißen die Grenzen des „Verkaufs” personenbezogener Daten und definieren spezifische Maßnahmen, die Unternehmen durchführen müssen, wie zum Beispiel (aber nicht nur):

● Erstellung eines „Do-Not-Sell-My-Personal-Information”-Button auf Ihrer Homepage

● Verbraucher über Kategorien & spezifische Informationen informieren, die von ihnen gesammelt / verkauft werden

● Bereitstellung von mindestens 2 Kommunikationswegen für die Beantragung der Ausübung von Verbraucherrechten

Da der CCPA derzeit nur für „Verbraucher” gilt (und nicht für „Datensubjekte” wie in der DSGVO definiert), wurden bestimmte Beziehungen bis zum 1. Januar 2021 von der Durchsetzung des CCPA ausgenommen (in Abhängigkeit einer weiteren Debatte). Hierzu gehören:

● Mitarbeiterinformationen (dies umfasst Informationen über frühere, aktuelle und potenzielle Mitarbeiter)

● B2B-Interaktionen (Informationen, die im Rahmen einer Aktivität zwischen Unternehmen gewonnen werden) Weitere Informationen finden Sie unter:

● ‚Californians for Consumer Privacy‘ – Informations-Website der Bewegung, die zur Schaffung des CCPA geführt hat

● Xavier Becerra – Webseite des Generalstaatsanwalts von Kalifornien.

Wie hält sich monday.com an den CCPA?

● Identifiziert die Rolle von monday.com als „Dienstleister” unter dem CCPA, wonach wir personenbezogene Daten ausschließlich im Auftrag unserer Kunden (in solchen Fällen das „Unternehmen”) verarbeiten;

● Identifiziert die Rolle von monday.com als „Unternehmen”, in dem es personenbezogene Daten von kalifornischen Verbrauchern für eigene Zwecke verarbeitet. Aufgrund der Art der Services von monday.com sind die Aktivitäten von monday.com in der Regel von der Durchsetzung des CCPA ausgenommen, da monday.com: (a) keine persönlichen Informationen von kalifornischen Verbrauchern (oder anderen betroffenen Personen) verkauft; (b) solche Informationen im Rahmen und Verlauf von B2B-Beziehungen und -Services erlangt;

● monday.com hält sich bereits an die DSGVO-Anforderung für das Recht auf Zugang zu personenbezogenen Daten und hat einfach den Bereich dieser Möglichkeit auf kalifornische Verbraucher ausgeweitet, wodurch die sogenannte „Rückblick”-Anforderung erfüllt wird, um sicherzustellen, dass die Verbraucher in der Lage sind, auf ihre personenbezogenen Daten zuzugreifen, die den vorhergehenden 12-Monats-Zeitraum abdecken;

● monday.com bietet bereits technische und organisatorische Maßnahmen zur ausreichenden Ausübung anderer vorgeschlagener Verbraucherrechte, die der DSGVO ähnlich sind (wie das Recht auf Auskunft, Löschung und Opt-out);

● Wir haben unsere Datenschutzrichtlinie aktualisiert, um sicherzustellen, dass sie die CCPA-Verbraucherrechte und die erforderlichen Praktiken ausreichend berücksichtigt;

● Wir haben zusätzliche Änderungen an der DSV und den internen Verfahren von monday.com vorgenommen, um die spezifischen Anforderungen des CCPA zu berücksichtigen (z. B. in Bezug auf die Rollen der Entitäten, die maximale Reaktionszeit und den Verifizierungsprozess des betroffenen Datensubjekts sowie die Verpflichtungen, die ein Dienstleister gegenüber dem Unternehmen gemäß dem CCPA eingehen muss);

Was kommt als Nächstes?

monday.com verfolgt aufmerksam alle Entwicklungen im Gesetzgebungs- und Regulierungsprozess rund um den CCPA und die vorgeschlagenen Regelungen des Generalstaatsanwalts („Attorney General“, „AG“) und führt regelmäßig ein „Benchmarking” im Hinblick auf neue Branchenpraktiken und -standards durch.

Falls Sie weitere Fragen zum Datenschutzprogramm von monday.com und zu unseren laufenden Bemühungen im Zusammenhang mit dem CCPA haben, wenden Sie sich bitte an unseren Datenschutzbeauftragten und unser Datenschutzteam unter dpo@monday.com.