Kalifornien hat Anfang des Jahres mit seinem Datenschutzgesetz California Consumer Privacy Act (CCPA) einen wichtigen Meilenstein erreicht. Im Zuge der US-Wahlen im November 2020 haben die Kalifornier zudem einer Volksinitiative zugestimmt, dem California Privacy Rights Act of 2020 (CPRA), der den CCPA konkretisiert.
Der Inhalt im Überblick
CCPA unter Beschuss
Der California Consumer Privacy Act galt mit seinen gegenüber Verbraucher schützenden Datenschutzvorschriften als längst notwendiges Gesetz. Doch bevor dieses Gesetz überhaupt in Kraft trat, hat der Gesetzgeber bereits über mehrere Gesetzesentwürfe debattiert, die diesen Fortschritt rückgängig gemacht hätten, so in Sec.2 D. CPRA:
„Even before the CCPA had gone Into effect, the Legislature considered many bills In 2019 to amend the law, some of which would have significantly weakened It“
Aus diesem Grund wurde durch eine Volksinitiative dem CPRA zugestimmt, um die Rechte, die durch den CCPA eingeführt wurden zu verstärken.
Welche Neuerungen bewirkt der California Privacy Rights Act?
Die neue Gesetzesinitiative CPRA soll die bereits bestehenden Datenschutzbestimmungen des CCPA ergänzen.
Zunächst fällt auf, dass die Definition von Unternehmen geändert wurde. Der CPRA verlangt nunmehr, dass Unternehmen nur dann dem CCPA unterliegen, wenn diese persönliche Daten von 100.000 oder mehr Verbrauchern oder Haushalten pro Jahr verarbeiten. Eine weitere Neuerung liegt darin, dass eine neue Unterkategorie von persönlichen Informationen definiert wird. Ähnlich wie in Art. 9 DSGVO sollen risikoreichere Daten als sensible persönliche Daten angesehen werden.
Die Definition des California Privacy Rights Act umfasst folgende Kategorien:
- Sozialversicherungsnummer,
- Führerscheinnummer,
- Reisepassnummer,
- Informationen über das Finanzkonto,
- genaue Geolokalisierung,
- Rasse,
- ethnische Zugehörigkeit,
- Religion,
- Gewerkschaftszugehörigkeit,
- genetische Daten,
- biometrische oder gesundheitliche Informationen und
- Informationen über das Sexualleben oder die sexuelle Orientierung.
Auch beim „Opt-Out“ sind Neuerungen zu finden. Unter Weitergabe soll nicht nur der Verkauf von Daten verstanden werden, sondern auch der Austausch. Folglich können Betroffene sich nicht nur gegen den Verkauf („sale“), sondern auch gegen die Weitergabe ihrer Daten zu bspw. Werbezwecken entscheiden.
Um diese Rechte durchzusetzen, wird erstmals eine eigenständige Datenschutzbehörde eingeführt. Diese wird aus einem fünfköpfigen Gremium mit Fachkenntnissen in den Bereichen Datenschutz, Technologie und Verbraucherrechte bestehen. Dessen Aufgabe besteht darin, die Gesetze zum Schutz der Privatsphäre der Verbraucher umzusetzen und durchzusetzen.
Der Jugendschutz wird ebenfalls gestärkt. Sind Verbraucher betroffen, die 16 Jahre oder jünger sind, so verdreifachen sich die Strafen bei Datenschutzverstößen.
Annäherung an die DSGVO?
Zunächst gilt es zu begrüßen, dass die CPRA wichtige Neuerungen mit sich bringt, auf denen aufgebaut werden kann. Die Einführung einer eigenständigen Datenschutzbehörde ist für die Durchsetzung der Rechte der Betroffenen und als Gegenpol zu den IT-Giganten im Silikon Valley dringend notwendig. Auch die Erweiterung der Rechte der Betroffenen sorgt für mehr Rechtssicherheit im Hinblick auf die Verbraucher.
Dennoch wird es schnell ersichtlich, dass die Gesetzesinitiative sehr unternehmensfreundlich gestaltet ist.
Denn auch hier bleibt wieder vieles hinter der DSGVO zurück. So bleibt der Datenschutzbeauftragte ein immer noch unbekanntes Instrument und auch der Drittstaatentransfer wird nicht beachtet.
Den Verbrauchern wird zwar eine „Opt-Out“ Möglichkeit für den Verkauf und der Weitergabe ihrer Daten ermöglicht, allerdings wird diese nicht vom Recht auf Nutzung eines Dienstes entkoppelt. Im Ergebnis können Anbieter eines Dienstes daher regeln, dass Nutzer von ihrem Dienst ausgeschlossen werden, wenn sie die Datenweitergabe ablehnen.
Weiterhin fehlt es an einer Regelung für die Weitergabe der Daten außerhalb Kaliforniens. Im Ergebnis wird der Datentransfer außerhalb Kaliforniens durch die neuen Gesetzesregelungen nicht erfasst, sodass Unternehmen durch Einbindung von nicht-kalifornischen Dienstleistern leicht den Regularien entgehen können.
Bedeutung des CPRA für Unternehmen außerhalb der USA
In erster Linie schützt der CPRA die Datenschutzrechte aller kalifornischen Bürger. Unternehmen, die ihre Dienste in Europa anbieten, sind zusätzlich an die Vorgaben der DSGVO gebunden.
Da das CCPA aber automatisch für Einrichtungen, Unternehmen usw. gilt, die in Kalifornien ansässig sind und Daten erheben, geht der Wirkungsradius weit über die Bundesstaatengrenzen hinaus. Durch die „vorsichtige“ Annäherung an die DSGVO können die in Kalifornien ansässigen Unternehmen ihre Produkte von Beginn an DSGVO konformer anbieten, was wiederum für weniger Verstöße gegen hier herrschendes Recht führt.
Aber auch Unternehmen außerhalb von Kalifornien sollten sich ebenfalls gut auf die CPRA vorbereiten, da es eventuell in anderen US-Bundesstaaten zu gleichen Gesetzeslagen kommen könnte.
Ein Blick in die Zukunft
Die CPRA soll im Januar 2023 in Kraft treten. Für viele Unternehmen heißt es jetzt, sich den Verpflichtungen des neuen Gesetzes bewusst zu werden und diese schnellstmöglich umzusetzen. Ob die Unternehmen die eingeräumte Vorlaufzeit auch nutzen, wird sich zeigen. Die DSGVO räumte auch eine Übergangszeit von zwei Jahren ein und dennoch hatten sich viele Unternehmen erst im Frühjahr 2018 mit dem Thema Datenschutz auseinandergesetzt.
Für die EU-Kommission könnte der „CCPA 2.0“ ein bedeutsamer Schritt dahingehend sein, dass die Chancen auf ein vergleichbares Datenschutzniveau steigen. Nachdem der EuGH diesen Sommer das EU-US-Privacy-Shield für unwirksam erklärt hat, verursachte dies erhebliche Rechtsunsicherheiten für europäische Unternehmen bei der Frage, wie Daten noch datenschutzkonform in die USA übermittelt werden können.
Allerdings reicht nicht nur eine Anhebung der Datenschutzstandards in einem US-Bundesstaat aus. Vielmehr muss das US-Recht den Datenschutz von EU-Bürger stärker achten, Rechtsbehelfe gegen Datenzugriffe von US-Behörden und unabhängige Aufsichtsbehörden bereitstellen. Erst dann kann von einem vergleichbaren Datenschutzniveau ausgegangen werden. Das nötig ist für die Anerkennung als sicherer Drittstaat. Offen bleibt aber, ob die EU-Kommission einen Kommissionsbeschluss für einzelne US-Bundestaaten begrenzt erlassen könnte.