California Consumer Privacy Act (CCPA): Inhalt, Ziele und Auswirkungen
In den USA gibt es, anders als in Deutschland und seit der 2018 in Kraft getretenen neuen DSGVO auch in der EU, kein einheitliches Datenschutzgesetz. Stattdessen gelten einzelne Gesetze für die verschiedenen Bereiche des Lebens wie den Handel oder das Gesundheitswesen – ausschließlich auf Bundesstaaten beschränkte Gesetze tun ihr Übriges dafür, dass es schwierig ist, alle relevanten Regelungen im Auge zu behalten.
Die Gesetze auf US-bundesstaatlicher Ebene sind seit dem 1. Januar 2020 um einen Vertreter reicher: Mit dem California Consumer Privacy Act (CCPA) ist an diesem Tag nämlich ein ausschließlich für Kalifornien geltendes Gesetz in Kraft getreten, das den Schutz personenbezogener Daten kalifornischer Bürger regelt. Was genau steckt dahinter und wen betrifft der CCPA?
Was ist der CCPA (California Consumer Privacy Act)?
Beim California Consumer Privacy Act (CCPA) handelt es sich um ein im Juni 2018 verabschiedetes und am 1. Januar 2020 in Kraft getretenes Datenschutzgesetz des US-amerikanischen Bundesstaates Kalifornien, das den Umgang mit personenbezogenen Daten im Verbraucherbereich regelt. Es gewährt allen in Kalifornien lebenden Personen das Recht,
- zu wissen, ob und welche Daten über sie gesammelt werden,
- zu erfahren, ob ihre Daten verkauft bzw. an andere Personen bzw. Unternehmen weitergegeben werden,
- die über sie gesammelten Informationen jederzeit einzusehen,
- den Verkauf bzw. die Weitergabe persönlicher Daten zu untersagen und
- ein Unternehmen zur Löschung der über sie gesammelten Daten aufzufordern.
Die aufgezählten Punkte des California Consumer Privacy Acts sind dabei durch alle Unternehmen, Dienstleister und gewinnorientierten Einrichtungen zu gewährleisten, die personenbezogene Daten sammeln, geschäftlich in Kalifornien tätig sind (auch unabhängig von Unternehmenssitz!) und darüber hinaus einen oder mehrere der folgenden Punkte erfüllen:
- Der Jahresumsatz (Brutto) beträgt 25 Millionen US-Dollar oder mehr.
- Im Jahr werden personenbezogene Daten von 50.000 oder mehr Kunden, Haushalten oder netzwerkfähigen Geräten in Kalifornien zu kommerziellen Zwecken verwendet (Erhebung, Kauf, Verkauf oder sonstige Weitergabe).
- Mehr als die Hälfte des Jahresumsatzes stammt aus dem Verkauf personenbezogener Daten von kalifornischen Kunden, Haushalten oder netzwerkfähigen Geräten.
Die Durchsetzung des CCPA liegt in der Verantwortung des Büros des Generalstaatsanwalts von Kalifornien, das bis Juli 2020 die passenden Vorschriften festzulegen hat. Die Übergangszeit ist jedoch keineswegs als Gnadenfrist zu werten: Betroffene Unternehmen, Dienstleister und Organisationen sind seit dem 1. Januar 2020 an den CCPA gebunden.
Welchen Zweck erfüllt der California Consumer Privacy Act?
Der Schutz persönlicher Kundendaten wird in den USA bei Weitem nicht so großgeschrieben wie in Deutschland oder der restlichen EU. Die Erhebung von Daten, die weit über das benötigte Maß hinausgehen, sowie die Weitergabe gesammelter Informationen an Dritte gehören im Land der unbegrenzten Möglichkeiten seit Jahren zur gängigen Praxis. Im Zuge des von Facebook verursachten „Camebridge Analytica“-Skandals, der im Jahr 2018 unter anderem dazu führte, dass viele Nutzer ihren Account bei dem sozialen Netzwerk löschten, nahm eine Bürgerinitiative unter der Leitung des Immobilienentwicklers Alastair Mactaggart das Schicksal in die eigenen Hände und erarbeitete gemeinsam mit Gesetzesgebern den California Consumer Privacy Act, um derartigen Datenmissbrauchsfällen durch mehr Transparenz in der Datenerhebung, -verarbeitung und -weitergabe den Kampf anzusagen.
Der CCPA verpflichtet Unternehmen mit Sitz Kalifornien auch dann zu strengerem Datenschutz, wenn gar keine Daten von Kaliforniern, sondern beispielsweise ausschließlich Informationen von Nutzern aus anderen US-Bundesstaaten oder aus Europa erhoben werden. Damit geht der Zweck der Verordnung weit über das Regulieren innerhalb der eigenen Staatsgrenzen hinaus.
Die Inhalte des California Consumer Privacy Acts: Rechte und Pflichten im Überblick
Das neue kalifornische Datenschutzgesetz soll das persönliche Datengut der kalifornischen Bevölkerung und – insofern es der Firmensitz hergibt – weltweiter Verbraucher so gut wie möglich schützen. Aus diesem Grund enthält es sowohl Definitionen der Betroffenenrechte als auch Abschnitte über die Pflichten aller Unternehmen und Dienstleister, für die der California Consumer Privacy Act gilt.
Betroffenenrechte
Die entscheidenden Betroffenenrechte, die Sie auch (in englischer Fassung) auf der offiziellen Informationsseite über die aktuelle kalifornische Gesetzgebung nachlesen können, sind in der folgenden Auflistung zusammengefasst:
- Recht auf Auskunftserteilung (CCPA Section 1798.100, 1798.110, 1798.115): Dank dem Auskunfts- bzw. Informationsrecht können Kunden jederzeit Informationen über die Speicherung und Verwendung ihrer personenbezogenen Daten einholen. Unter anderem erfahren sie so, welche Art von Daten erhoben und wozu diese verwendet oder an welche Drittparteien sie weitergegeben werden.
- Recht auf Löschung (CCPA Section 1798.105): Grundsätzlich räumt der California Consumer Privacy Act dem Verbraucher das Recht auf „Vergessenwerden“ ein, wodurch er sämtliche von einem Unternehmen bzw. Dienstleister erhobenen Daten zu seiner Person löschen lassen kann. In bestimmten Fällen, die in den Absätzen (d), (1) bis (9) festgehalten sind, kann dieses Recht jedoch verweigert werden – beispielsweise, wenn die Nutzung der personenbezogenen Daten im Rahmen eines Vertragsverhältnisses erforderlich ist.
- Recht auf Opt-out (CCPA Section 1798.120): Der neue kalifornische Gesetzesentwurf gibt Verbrauchern außerdem die Möglichkeit, sich gegen einen Verkauf der persönlichen Daten an Dritte bzw. eine Offenlegung zu entscheiden. Diese Entscheidung wird auch als Opt-out (dt. aussteigen, abmelden) bezeichnet.
Aus dem CCPA resultierende Pflichten für Unternehmen und Dienstleister
Die Aufgabe von Unternehmen und Dienstleistern, die an den California Consumer Privacy Act gebunden sind, besteht darin, die zuvor beschriebenen Rechte der Verbraucher zu achten und entsprechende Vorkehrungen zu treffen. An erster Stelle steht hierbei die Informationspflicht darüber, dass Daten erhoben werden und welche Rechte und Möglichkeiten Verbraucher in Bezug auf diese sensiblen Informationen dank des CCPAs besitzen. Macht ein Verbraucher von seinem Auskunftsrecht Gebrauch, sind u. a. folgende Informationen preiszugeben:
- Kategorie(n) der gesammelten Daten
- Quellen der gesammelten Daten
- Zweck der Datensammlung
- Geschäftsfelder Dritter, an die Daten weitergeleitet werden
- die erhobenen Daten selbst
Darüber hinaus sollten Verantwortliche die passenden Voraussetzungen schaffen, damit Verbraucher jederzeit weitere Rechte in Anspruch nehmen können, etwa sämtliche Daten löschen zu lassen oder die Datenweitergabe an Dritte zu untersagen. Kontaktadressen bzw. -formulare oder entsprechende Buttons (bei Webprojekten) gehören zum absoluten Pflichtprogramm, um CCPA-konform zu sein.
Außerdem enthält der California Consumer Privacy Act ein Diskriminierungsverbot (CCPA Section 1798.125), an das sich Unternehmen und Dienstleister ebenfalls zu halten haben. Dieses sieht vor, dass Verbraucher keinerlei Nachteile – z. B. schlechtere Preiskonditionen oder ein geringeres Service-Level – erleiden dürfen, wenn sie ihre Rechte geltend machen. Umgekehrt besteht aber die Möglichkeit, die Preisgabe bzw. Erlaubnis zur Verwendung gesammelter persönlicher Daten in angemessenem Maße zu belohnen. Diese Belohnung muss dem Wert entsprechen, den die Daten für das Unternehmen bzw. den Dienstleister besitzen.
Welche Strafen drohen bei einer Missachtung des CCPA?
Wer gegen den California Consumer Privacy Act verstößt und auf eine entsprechende Verletzung hingewiesen wird, hat einen Zeitraum von 30 Tagen, um diesen Umstand aus der Welt zu schaffen. Bleibt es bei der Missachtung, droht eine Zivilstrafe in Höhe von 2.500 US-Dollar für jeden Verstoß bzw. 7.500 US-Dollar für jeden vorsätzlichen Verstoß (CCPA Section 1798.155). Wie erwähnt ist für die Bewertung und Vollstreckung des jeweiligen Falls ausschließlich das Büro des Generalstaatsanwalts von Kalifornien zuständig. Sämtliche auf diese Weise generierten Erlöse werden dabei in den sogenannten Consumer Privacy Fund (CCPA Section 1798.160) eingezahlt, der mit der Absicht eingerichtet wurde, sämtliche Kosten, die im Zusammenhang mit Verstößen gegen den California Consumer Privacy Act entstehen, abzudecken.
Wer ist nun genau vom California Consumer Privacy Act betroffen?
Der California Consumer Privacy Act schützt die Privatsphäre aller kalifornischen Bürger, indem er ihnen gegenüber Unternehmen und Dienstleistern bis dato nicht vorhandene Rechte gewährt, die nah an die deutschen bzw. europäischen Datenschutzrichtlinien herankommen. Da das Datenschutzgesetz aber auch automatisch für alle großen Einrichtungen, Unternehmen usw. gilt, die in Kalifornien ansässig sind und Daten erheben, geht der Wirkungsradius weit über die Bundesstaatengrenzen hinaus. Auf diese Weise profitieren nämlich nicht nur kalifornische Verbraucher, sondern Kunden aus aller Welt von den Rechten und Vorschriften des CCPA.
Aus Unternehmenssicht sieht die Sachlage sehr ähnlich aus: Sammelt man Daten von kalifornischen Bürgern oder ist man gar in Kalifornien beheimatet bzw. geschäftlich tätig, unterliegt man auch sämtlichen Pflichten, die der California Consumer Privacy Act mit sich bringt – es sei denn, man erfüllt keine der bereits oben genannten Bedingungen (25 Mio. US-Dollar Jahresumsatz, Hälfte des Jahresumsatzes aus personenbezogenen Daten, mehr als 50.000 Kundendaten von Kaliforniern). Zusätzlich gilt der CCPA natürlich auch für alle Firmen, Organisationen und Einrichtungen, die Kundendaten mit kalifornischen Unternehmen austauschen.
CCPA vs. DSGVO: Gemeinsamkeiten und Unterschiede
Das neue kalifornische Datenschutzgesetz weist in vielen Punkten starke Gemeinsamkeiten mit der DSGVO auf, der seit 2018 geltenden Datenschutzverordnung der Europäischen Union (EU). So liegt beiden Verordnungen das Marktortprinzip zugrunde: Nicht nur ortsansässige Firmen und Dienstleister, sondern alle, die geschäftlich in der EU bzw. in Kalifornien tätig sind, unterliegen der jeweiligen Gesetzgebung.
Auch hinsichtlich der Betroffenenrechte – Auskunftserteilung, Löschung, Opt-out – verfolgen beide Verordnungen die gleichen Ziele. Die DSGVO geht allerdings deutlich weiter ins Detail und enthält im Gegensatz zum California Consumer Privacy Act ausführliche Informationen zur Umsetzung und Einhaltung des Datenschutzes (u. a. exklusiv: obligatorische Benennung eines Datenschutzbeauftragten). Zudem setzt die DSGVO den Fokus nicht ausschließlich auf Verbraucher, sondern schließt auch den B2B-Bereich (Business-to-Business) mit ein.
Eine Besonderheit des CCPA ist die Einstufung von Haushalts- und Gerätedaten als personenbezogene Daten, da diese prinzipiell dazu verwendet werden können, einen Zusammenhang zu einem Verbraucher herzustellen. In der DSGVO-Definition personenbezogener Daten sind derartige Informationen nicht enthalten.
Bitte beachten Sie den rechtlichen Hinweis zu diesem Artikel.