Zum Inhalt springen Zur Navigation springen
CCPA: Das strengste Datenschutzgesetz der USA

CCPA: Das strengste Datenschutzgesetz der USA

Artikel von Laura L. Stoll·9. Januar 2020

Mit dem neuen Datenschutzgesetz in Kalifornien, CCPA (California Consumer Privacy Act), trat am 01.01.2020 das bislang strengste Datenschutzgesetz der USA in Kraft. Wer aber profitiert von diesem Gesetz und was müssen deutsche Datenschützer beachten?

Was bringt das CCPA?

Das CCPA entfaltet zuerst seine Wirkung in Kalifornien. Die USA kennen kein einheitliches Datenschutzrecht wie die DSGVO. Daher ergeben sich Regelungen aus vereinzelten Gesetzen wie dem COPPA, besonderen Bereichen wie GLBA, FCRA, HIPAA und aus Gesetzen einzelner Bundesstaaten (oder auch überhaupt keine, da eine Vielzahl von Gesetzesinitiativen gescheitert ist – eine Übersicht findet sich hier). Im Mittelpunkt steht jedoch nicht der Datenschutz, sondern vor allem der Verbraucherschutz. Dennoch ist das CCPA ein ernstzunehmender Vorstoß, weil es das ungeliebte Thema Datenschutz über die Grenzen Kaliforniens hinaus in der USA in den Mittelpunkt rückt. Adressaten sind sowohl der kalifornische Verbraucher als auch Unternehmen, die geschäftliche Tätigkeit in Kalifornien entfalten.

Welche Unternehmen sind vom CCPA betroffen?

Das kalifornische Datenschutzgesetz findet nur unter bestimmten Gesichtspunkten Anwendung, denn einer der nachfolgenden Schwellenwerte muss entsprechend erreicht werden (Section 1798.140 (c) (1)):

  • Jahreseinnahmen (brutto), die größer als USD 25 Mio. sind,
  • die für geschäftliche Zwecke verarbeiteten, personenbezogenen Informationen umfassen 50.000 oder mehr Verbraucher, Haushalte oder Gerätschaften von in Kalifornien ansässigen Personen oder
  • Unternehmensgewinn stammt aus 50 % oder mehr aus dem Verkauf von personenbezogenen Informationen.

Das Unternehmen muss jedoch nicht seinen Sitz in Kalifornien haben. Folglich können auch für europäische Unternehmen die Regelungen der CCPA gelten, wenn sie oben besagte Erfordernisse erfüllen. Hohe Relevanz haben die neuen Regelungen vor allem für die Big Player Google, Facebook & Co., die erst zum Jahresende in die Lobbyarbeit eingestiegen sind und jetzt über die starken Einschnitte klagen.

CCPA und DSGVO auf Augenhöhe?

Erfreulich ist zunächst, dass die Informationspflichten des CCPA mit den Anforderungen aus der DSGVO vergleichbar sind, wenn auch zunächst „nur“ kalifornische Verbraucher Auskunft berechtigt sind. Hervorzuheben ist das Opt-out-Recht, dass den Verbrauchern die Möglichkeit einräumt, den Verkauf personenbezogener Daten an Dritte zu verhindern. Insbesondere diese Regelung bleibt jedoch hinter dem Schutzniveau der DSGVO zurück. Nach der Widerrufsregelung der CCPA (Section 1798.135 (a) (1)) genügt ein sichtbarer Link auf der jeweiligen Webseite mit dem Text “Do not sell my personal information“, wohingegen von den deutschen Aufsichtsbehörden vertreten wird, dass die DSGVO eine ausdrückliche Einwilligung verlangt. Zumindest werden auch Marketing-Cookies von der CCPA als personenbezogene Informationen eingeordnet und unterliegen daher auch der Opt-out-Regelung.

Da das CCPA nicht den Anspruch hat, umfänglichen Datenschutz zu gewährleisten, sucht man zum Beispiel umsonst nach vergleichbaren Regelungen wie der Datentransfer an Drittländer gestaltet wird, Art. 44 ff. DSGVO. Folglich wird der Datentransfer aus Kalifornien weder geschützt noch reguliert.

Vor allem fehlen jegliche Kontrollelemente. Das CCPA kennt die Figur des Datenschutzbeauftragten nicht. Demzufolge müssen Unternehmen zwar dafür Sorge tragen, die Regulierungen des CCPA einzuhalten, müssen aber keine (unabhängige) Stelle schaffen. Darüber hinaus sind (zum jetzigen Zeitpunkt) auch keine Aufsichtsbehörden geplant. Es drängt sich die Frage auf, wer den Tech-Giganten hier Paroli bieten soll und kann.

CCPA – ein zahnloser Tiger?

Das CCPA sanktioniert vorsätzliche Verstöße pro Vorfall mit einer Strafe von USD 7.500 (fahrlässige Verletzungen i H.v. USD 2.500), wenn das Unternehmen nicht innerhalb von 30 Tagen den Begehren des Verbrauchers nachkommt. Außerdem besteht die Möglichkeit des kalifornischen Verbrauchers, Schadensersatz pro Jahr und Vorfall in Höhe von bis zu USD 750.000 zu fordern. Auch wenn diese Sanktionen im Vergleich zur DSGVO bei angedrohten Bußgeldern bis zu 20 Mio. Euro bzw. 4 % des weltweit erzielten Jahresumsatzes des zurückliegenden Geschäftsjahres, gering wirken, können sich die Sanktionen der CCPA zügig aufsummieren, wenn beispielsweise ein Datenvorfall in einem Unternehmen mit tausenden Kunden eintritt. Problematischer ist einzuordnen, dass die Sanktionshöhe davon abhängt, ob die Verbraucher ihre Rechte entsprechend geltend machen und die Unternehmen keine darüberhinausgehende „Überwachung“ befürchten müssen.

Dennoch ist das CCPA als wichtiger Schritt in Kalifornien und auch als Signal nach Washington in Bezug auf den Datenschutz allgemein und die Rechte von Verbrauchern im Speziellen zu werten. Zweifellos bleibt noch viel Raum nach oben und es ist hoffentlich nicht nur Wunschdenken, dass sich die kalifornischen Bemühungen auch in den legislativen Vorhaben anderer Bundesstaaten positiv auswirken.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.