Mit dem neuen Datenschutzgesetz in Kalifornien, CCPA (California Consumer Privacy Act), trat am 01.01.2020 das bislang strengste Datenschutzgesetz der USA in Kraft. Wer aber profitiert von diesem Gesetz und was müssen deutsche Datenschützer beachten?
Der Inhalt im Überblick
Was bringt das CCPA?
Das CCPA entfaltet zuerst seine Wirkung in Kalifornien. Die USA kennen kein einheitliches Datenschutzrecht wie die DSGVO. Daher ergeben sich Regelungen aus vereinzelten Gesetzen wie dem COPPA, besonderen Bereichen wie GLBA, FCRA, HIPAA und aus Gesetzen einzelner Bundesstaaten (oder auch überhaupt keine, da eine Vielzahl von Gesetzesinitiativen gescheitert ist – eine Übersicht findet sich hier). Im Mittelpunkt steht jedoch nicht der Datenschutz, sondern vor allem der Verbraucherschutz. Dennoch ist das CCPA ein ernstzunehmender Vorstoß, weil es das ungeliebte Thema Datenschutz über die Grenzen Kaliforniens hinaus in der USA in den Mittelpunkt rückt. Adressaten sind sowohl der kalifornische Verbraucher als auch Unternehmen, die geschäftliche Tätigkeit in Kalifornien entfalten.
Welche Unternehmen sind vom CCPA betroffen?
Das kalifornische Datenschutzgesetz findet nur unter bestimmten Gesichtspunkten Anwendung, denn einer der nachfolgenden Schwellenwerte muss entsprechend erreicht werden (Section 1798.140 (c) (1)):
- Jahreseinnahmen (brutto), die größer als USD 25 Mio. sind,
- die für geschäftliche Zwecke verarbeiteten, personenbezogenen Informationen umfassen 50.000 oder mehr Verbraucher, Haushalte oder Gerätschaften von in Kalifornien ansässigen Personen oder
- Unternehmensgewinn stammt aus 50 % oder mehr aus dem Verkauf von personenbezogenen Informationen.
Das Unternehmen muss jedoch nicht seinen Sitz in Kalifornien haben. Folglich können auch für europäische Unternehmen die Regelungen der CCPA gelten, wenn sie oben besagte Erfordernisse erfüllen. Hohe Relevanz haben die neuen Regelungen vor allem für die Big Player Google, Facebook & Co., die erst zum Jahresende in die Lobbyarbeit eingestiegen sind und jetzt über die starken Einschnitte klagen.
CCPA und DSGVO auf Augenhöhe?
Erfreulich ist zunächst, dass die Informationspflichten des CCPA mit den Anforderungen aus der DSGVO vergleichbar sind, wenn auch zunächst „nur“ kalifornische Verbraucher Auskunft berechtigt sind. Hervorzuheben ist das Opt-out-Recht, dass den Verbrauchern die Möglichkeit einräumt, den Verkauf personenbezogener Daten an Dritte zu verhindern. Insbesondere diese Regelung bleibt jedoch hinter dem Schutzniveau der DSGVO zurück. Nach der Widerrufsregelung der CCPA (Section 1798.135 (a) (1)) genügt ein sichtbarer Link auf der jeweiligen Webseite mit dem Text “Do not sell my personal information“, wohingegen von den deutschen Aufsichtsbehörden vertreten wird, dass die DSGVO eine ausdrückliche Einwilligung verlangt. Zumindest werden auch Marketing-Cookies von der CCPA als personenbezogene Informationen eingeordnet und unterliegen daher auch der Opt-out-Regelung.
Da das CCPA nicht den Anspruch hat, umfänglichen Datenschutz zu gewährleisten, sucht man zum Beispiel umsonst nach vergleichbaren Regelungen wie der Datentransfer an Drittländer gestaltet wird, Art. 44 ff. DSGVO. Folglich wird der Datentransfer aus Kalifornien weder geschützt noch reguliert.
Vor allem fehlen jegliche Kontrollelemente. Das CCPA kennt die Figur des Datenschutzbeauftragten nicht. Demzufolge müssen Unternehmen zwar dafür Sorge tragen, die Regulierungen des CCPA einzuhalten, müssen aber keine (unabhängige) Stelle schaffen. Darüber hinaus sind (zum jetzigen Zeitpunkt) auch keine Aufsichtsbehörden geplant. Es drängt sich die Frage auf, wer den Tech-Giganten hier Paroli bieten soll und kann.
CCPA – ein zahnloser Tiger?
Das CCPA sanktioniert vorsätzliche Verstöße pro Vorfall mit einer Strafe von USD 7.500 (fahrlässige Verletzungen i H.v. USD 2.500), wenn das Unternehmen nicht innerhalb von 30 Tagen den Begehren des Verbrauchers nachkommt. Außerdem besteht die Möglichkeit des kalifornischen Verbrauchers, Schadensersatz pro Jahr und Vorfall in Höhe von bis zu USD 750.000 zu fordern. Auch wenn diese Sanktionen im Vergleich zur DSGVO bei angedrohten Bußgeldern bis zu 20 Mio. Euro bzw. 4 % des weltweit erzielten Jahresumsatzes des zurückliegenden Geschäftsjahres, gering wirken, können sich die Sanktionen der CCPA zügig aufsummieren, wenn beispielsweise ein Datenvorfall in einem Unternehmen mit tausenden Kunden eintritt. Problematischer ist einzuordnen, dass die Sanktionshöhe davon abhängt, ob die Verbraucher ihre Rechte entsprechend geltend machen und die Unternehmen keine darüberhinausgehende „Überwachung“ befürchten müssen.
Dennoch ist das CCPA als wichtiger Schritt in Kalifornien und auch als Signal nach Washington in Bezug auf den Datenschutz allgemein und die Rechte von Verbrauchern im Speziellen zu werten. Zweifellos bleibt noch viel Raum nach oben und es ist hoffentlich nicht nur Wunschdenken, dass sich die kalifornischen Bemühungen auch in den legislativen Vorhaben anderer Bundesstaaten positiv auswirken.
Guten Tag,
beziehen sich die 25 Mio USD auf den Umsatz in Kalifornien oder ist das der weltweite Umsatz eines Unternehmens?
vg
J.Neuschwan
Gemeint ist wohl der Gesamtumsatz (weltweit) des Unternehmens vor Steuern. Das CCPA beschränkt es nicht auf Kalifornien [Section 1798.140 (c) (1) (A)].
Danke :-)