California Consumer Privacy Act 2018 (CCPA)

Einführung

Zurzeit gibt es in den USA auf Bundesebene kein mit der Datenschutzgrundverordnung (DS-GVO) vergleichbares Gesetz zur umfassenden Regelung des Datenschutzes. Der Bereich des Datenschutzes fällt primär in den Aufgabenbereich der einzelnen Bundesstaaten. Der Bundesstaat Kalifornien hat zuletzt das Datenschutzgesetz „California Consumer Privacy Act“ (CCPA) erlassen. Zum 1.1.2020 soll das Gesetz in Kraft treten. Im Fokus des Gesetzes steht der Schutz der Verbraucher im Bereich des Umgangs mit personenbezogenen Informationen.

Hervorzuheben ist die Tatsache, dass der CCPA von einer Bürgerinitiative ausging. Dies spiegelt unmissverständlich das Interesse der Bürger an einem funktionierenden Datenschutzsystem zur Steuerung des Umgangs mit personenbezogenen Informationen wider.

Der CCPA ist letztlich eine klare Antwort auf den Skandal um „Cambridge Analytica“. Zentrales Ziel ist die Herstellung von Transparenz im Bereich der Datenverarbeitung.

Noch Fragen?
Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
0228 - 74 89 80

Vergleich DS-GVO und CCPA

Die DS-GVO gilt in allen Mitgliedsstaaten der EU, selbst für außereuropäische Unternehmen, soweit die Verarbeitung im Rahmen der Tätigkeiten einer Niederlassung in der Union erfolgt, oder die Verarbeitung in Zusammenhang mit dem Angebot von Waren oder Dienstleistungen auf dem europäischen Markt erfolgt. Nach dem sogenannten Marktortprinzip ist der Sitz des Unternehmens somit nicht ausschließlich maßgeblich.  

Auch der CCPA entfaltet Geltung gegenüber allen (also auch ausländischen) Unternehmen, die in Kalifornien geschäftlich tätig sind. Das sog. Marktortprinzip ist somit auch im Rahmen des CCPA bekannt.

Inhaltlich betrifft der CCPA ausschließlich den Verbraucherschutzbereich. Die DS-GVO enthält dagegen umfassende Vorgaben hinsichtlich der Einhaltung und richtigen Umsetzung des Datenschutzes. Im CCPA sind beispielsweise keine Angaben zur zwingenden Einsetzung eines Datenschutzbeauftragten zu finden.

Der CCPA verfügt zum Teil über die in der DS-GVO manifestierten Prinzipien. Aus dem CCPA resultiert das in der DS-GVO in Art. 15 verankerte Auskunftsrecht. Die betroffene Person hat das Recht im Rahmen der Nutzung der personenbezogenen Informationen durch einen Dritten eine Auskunftserteilung über diese Daten im Hinblick auf die Verarbeitungszwecke und die Kategorien der personenbezogenen Daten, die von einer Verarbeitung betroffen sind, zu erlangen. In dem CCPA fehlt zwar ein ausdrücklicher Gesetzesvorbehalt wie es die DS-GVO vorschreibt, jedoch liegt die Vermutung nahe, dass „Geschäftszwecke“ ausreichen dürften. Das Erfordernis einer Einwilligung ist im CCPA nicht vorgesehen. Stattdessen verlangt er von Unternehmern, dass sie den Verbrauchern die Möglichkeit geben, eine bestimmte Verwendung der Daten wie den Verkauf abzulehnen.

Der CCPA weist kleinere zu beobachtende Unterschiede im Bereich der Definition der personenbezogenen Daten auf. Grundsätzlich fallen unter diesen Begriff nach dem CCPA alle Informationen, die geeignet sind, einen Zusammenhang zu einem Verbraucher herzustellen. Die Definition der personenbezogenen Informationen geht dabei zum Teil über die in der DS-GVO bekannte Definition (Art. 4 Abs. 1 DS-GVO) hinaus. Konkret umfasst der Begriff im Rahmen des CCPA alle Informationen, die „einen Verbraucher oder Haushalt identifizieren, sich darauf beziehen, beschreiben, in der Lage sind diesem zugeordnet zu werden, oder vernünftigerweise direkt oder indirekt mit einem bestimmten Verbraucher oder Haushalt verknüpft werden können“. Dazu zählen Identifikatoren, sämtliche kommerzielle Informationen im Hinblick auf die Kaufhistorie und die Konsumtendenzen, Internet- oder andere elektronische Netzwerkaktivitäten wie den Browserverlauf, Interaktionen mit Apps, Webseiten etc., Geolokalisierungsdaten und Interferenzen, die sich aus anderen personenbezogenen Daten ergeben, um ein Verbraucherprofil zu erstellen, das Präferenzen, Verhaltensweisen und Merkmale beschreibt. Im Gegensatz zur Definition der personenbezogenen Daten in der DS-GVO werden beim CCPA also beispielsweise auch Haushalts- und Gerätedaten als Information aus dem Haushalt erfasst. 

Anwendungsbereich der CCPA

Der CCPA entfaltet Geltung gegenüber allen Unternehmen, die personenbezogene Informationen von kalifornischen Verbrauchern verarbeiten.

Das Gesetz wird für diejenigen Unternehmen gelten, die geschäftliche Angelegenheiten in Kalifornien vornehmen, sofern sie dabei einen der folgenden Schwellenwerte erreichen:

  •  jährliche Bruttoeinnahmen von mehr als USD 50 Millionen,
  • Verarbeitung von personenbezogenen Informationen im Umfang von 50.000 oder mehr Verbrauchern, Haushalten oder Gerätschaften, die von in Kalifornien ansässigen Personen stammen, für geschäftliche Zwecke des Unternehmens,
  • der Gewinn des Unternehmens resultiert zu 50 % oder mehr aus den jährlichen Einnahmen durch den Verkauf von personenbezogenen Informationen.

Unternehmen aus Europa, die diese Schwellenwerte erreichen, sind in Anbetracht der ihnen gegenüber entfaltenden Geltung des CCPA gezwungen, sich mit den Anforderungen des CCPA auseinanderzusetzen. Da der CCPA die oben genannten Unterschiede zur DS-GVO aufweist, müssen die Unternehmen alle notwendigen Maßnahmen (hierzu siehe unten „Aus dem CCPA resultierende Pflichten für Unternehmen“) zur Umsetzung der CCPA möglichst vor dem Geltungseintritt des Gesetzes (1.1.2020) vornehmen.

Rechte der Verbraucher in Kalifornien nach CCPA

Der CCPA gestattet dem Verbraucher insgesamt vier grundlegende Rechte: Recht auf Löschung, Recht auf Auskunftserteilung, Recht auf Opt-Out, Recht auf Gleichbehandlung.

Recht auf Löschung

Dem Verbraucher wird das Recht zugebilligt, die Löschung seiner personenbezogenen Informationen anzuordnen, sofern kein Ausnahmetatbestand in Form der Erforderlichkeit der Nutzung der personenbezogenen Informationen im Rahmen eines Vertragsverhältnisses erforderlich ist.

 Recht auf Auskunftserteilung

Ein Unternehmen kann vom Verbraucher verpflichtet werden Angaben bezüglich der Art und der von einer Speicherung explizit betroffenen personenbezogenen Informationen offen zu legen. Unabdingbar ist auch die Mitteilung des Speicherungszwecks als auch die Benennung der Unternehmen, bei denen eine Datenerhebung vorgenommen wurde. Dies ist vergleichbar mit dem Recht auf Datenportabilität aus Art. 22 DS-GVO.

Recht auf Datenübertragbarkeit (Section 1798.105)

Durch das Recht auf Datenübertragbarkeit wird gewährleistet, dass die betroffene Person die Daten, die sie einem Unternehmen zur Verfügung gestellt hat, nach einer Anfrage in einem tragbaren und soweit technisch durchführbar in einem leicht verwendbaren Format erhält, um diese Informationen ungehindert an andere Unternehmen übermitteln zu können.

Recht auf Opt-Out

Der CCPA ist als Opt-out Gesetz ausgestaltet. Die Verbraucher haben das Recht den Verkauf oder die Offenlegung ihrer persönlichen Informationen zu verhindern. Eine Weitergabe ist grundsätzlich nur mit ausdrücklicher Zustimmung durchzuführen.

Überdies ist darauf hinzuweisen, dass auch im Rahmen des CCPA das Modell der Einwilligung bekannt ist. Grundsätzlich ist ein Unternehmen verpflichtet 12 Monate zu warten, bevor sie berechtigterweise eine Einwilligung des Betroffenen einholen dürfen.

Recht auf Gleichbehandlung

Der CCPA weist ausdrücklich darauf hin, dass Verbraucher von Unternehmen nicht aufgrund der Tatsache diskriminiert werden dürfen, weil sie die ihnen durch den CCPA zugesprochenen Rechte auch tatsächlich geltend machen.

Aus dem CCPA resultierende Pflichten für Unternehmen

Unternehmen sind angehalten entsprechende Maßnahmen zur Umsetzung des CCPA vorzunehmen. Im Fokus steht hierbei die Anpassung der Datenschutzbestimmungen. Den Unternehmen obliegt gegenüber den Verbrauchern die Pflicht zur Mitteilung der Kategorien der personenbezogenen Informationen, die von der Speicherung betroffen sind. Die Verbraucher müssen darüber hinaus über die Ihnen aus dem CCPA zustehenden Rechte in Kenntnis gesetzt werden.

Überdies sollten Unternehmen ihren Verbrauchern durch die Einfügung eines sog. Opt-out Buttons die Möglichkeit geben, eine Übermittlung von personenbezogenen Informationen an Dritte zu verhindern. Dies sollte innerhalb einer Frist von 45 Tagen erfolgen. Das Opt-out Verfahren ist vergleichbar mit den in der DS-GVO manifestierten Informationspflichten (Art. 12 ff. DS-GVO).  Daneben sind die Unternehmen zur Auskunftserteilung sämtlicher Informationen im Hinblick auf personenbezogene Informationen verpflichtet.

Kritik am CCPA

Unter anderem von unternehmerischer Seite aus erfährt der CCPA teils erhebliche Kritik, welche primär aus der Befürchtung von Einschränkungen durch den CCPA resultiert. Einige Unternehmen wollen die Gefahr und die damit einhergehenden Konsequenzen eines Datenmissbrauchs nicht einsehen. Ihrer Auffassung nach kann die Handlungsfähigkeit Kaliforniens in ihrer Rolle als Wirtschaftsstandort möglicherweise beeinträchtigt werden. Diese Unternehmen fordern eine entsprechende Anpassung des Gesetzes, welches den Eintritt der zuvor genannten Bedenken verhindert. 

Fazit

Ziel des CCPA ist die Eindämmung des Handels über Third-Party-Anbieter. Das Gesetz betrifft alle Verbraucher Kaliforniens und folglich alle Unternehmen, die mit Daten der Kalifornier handeln.

Bei einem Verstoß in Form einer vorsätzlichen Verletzung der Datenschutzpflichten gegen den CCPA ist eine Strafe in Höhe von USD 7.500 zu zahlen.

Eine Strafe kann nur dann verhindert werden, wenn das Unternehmen innerhalb von 30 Tagen die Forderungen des Verbrauchers erfüllt. Liegt eine fahrlässige Verletzung vor, so wird eine Strafzahlung in Höhe von USD 2.500 fällig.

Abschließend ist festzuhalten, dass den Bürgern Kaliforniens durch den CCPA die Möglichkeit eröffnet wird, über die Form des Umgangs mit ihren personenbezogenen Daten selbst frei zu entscheiden. Besteht der Wunsch nach Löschung der Daten oder der Verhinderung des Datenverkaufs, so ist der Bürger berechtigt die aus dem CCPA resultierenden Rechte geltend zu machen. Auf diese Weise soll ein umfassender Datenschutz in Kalifornien gewährleistet werden.

Abzuwarten bleibt, ob die US-Regierung auch auf Bundesebene ein Datenschutzsystem entwickelt, welches sich am CCPA als zentralem Leitbild orientiert.