Datenschutz Verstehen – CCPA und DSGVO
Der neue California Consumer Privacy Act (CCPA) wurde im Juni 2018 von dem Bundesstaat Kalifornien verabschiedet und soll den Datenschutz in Kalifornien verbessern. Inkrafttreten wird das Gesetz am 1. Januar 2020. Ein zentrales Gesetz, dass für alle Bundesstaaten der USA gilt, existiert nicht. Datenschutzrechtliche Bestimmungen müssen also von allen Bundesstaaten individuell und eigenständig für den eigenen Geltungsbereich erlassen werden. Hiervon hat Kalifornien Gebrauch gemacht. Die neue europäische Datenschutz-Grundverordnung (DSGVO) gilt für alle Unternehmen weltweit, die personenbezogenen Daten von EU-Einwohnern verarbeiten, weshalb auch US-amerikanische Unternehmen wie Facebook und Google die datenschutzrechtlichen Vorgaben der DSGVO erfüllen müssen, sog. Marktortprinzip. Hervorgegangen ist das neue Regelwerk CCPA aus einer Bürgerinitiative und ist eine deutliche Botschaft an die letzten Datenschutzskandale, wie etwa Cambridge Analytica in Zusammenhang mit Facebook. Ziel der CCPA ist es, insbesondere den Handel von Daten mit Drittanbietern zu unterbinden.
Was ist der neue CCPA?
Im Fokus der neuen California Consumer Privacy Act (CCPA) steht der Schutz personenbezogener Daten von Verbrauchern. Der neue CCPA enthält diverse Regelungen, die Gemeinsamkeiten zur DSGVO aufweisen. So gilt auch in der CCPA das Marktortprinzip, das heißt, dass Gesetz gilt für alle Unternehmen, die personenbezogene Daten von Bürgern aus Kalifornien verarbeiten. Unternehmen müssen also geschäftlich in Kalifornien tätig sind und zusätzlich mindestens eine der folgenden Voraussetzungen erfüllen:
- Die jährlichen Bruttoeinnahmen belaufen sich auf mindestens 50 Mio.US-Dollar
- Der Unternehmensgewinn resultiert zu 50 Prozent oder mehr aus den jährlichen Einnahmen durch den Verkauf von personenbezogenen Daten
- Der Umfang der Verarbeitung von personenbezogenen Daten für geschäftliche Zwecke betrifft mindestens 50.000 oder mehr Verbraucher, Geräte oder Haushalte, die in Kalifornien leben
Auch das im europäischen Datenschutzrecht begrifflich bekannte Opt-Out oder das Prinzip der Einwilligung (z.B. für die Weitergabe von Daten) werden in der CCPA erwähnt. Betroffenenrechte, wie das Recht auf Auskunft, Recht auf Löschung, Recht auf Gleichbehandlung und Recht auf Datenübertragbarkeit, sind ebenfalls in der CCPA für betroffene Personen geregelt. Der CCPA betrifft alleine in den USA mehr 500.000 Unternehmen.
Was müssen Unternehmen aus Europa bzw. Deutschland beachten?
Somit müssen europäische Unternehmen die Vorgaben der CCPA beachten und einhalten, sobald die genannten Voraussetzungen erfüllt sind. Zusätzlich zu den Voraussetzungen der DSGVO (engl. GDPR) müssen Unternehmen also Maßnahmen ergreifen, um die gesetzlichen Vorgaben der CCPA umzusetzen. In erster Linie müssen Unternehmen betroffene Personen über die betroffenen Kategorien der personenbezogenen Daten und über ihre Rechte nach der CCPA informieren. Zusätzlich müssen Unternehmen ein sog. Opt-Out-Verfahren einführen, wenn personenbezogene Daten an Dritte übermittelt werden. Hier bestehen Parallelen zu den Informationspflichten nach der DSGVO gem. Art. 12 ff. DSGVO. Selbstverständlich müssen Unternehmen, ähnlich wie in der DSGVO, Anträge von betroffenen Personen im Rahmen der Geltendmachung ihrer Rechte fristgerecht bearbeiten.
Wo sind Unterschiede zur DSGVO?
Eines der wesentlichen Unterschiede zwischen dem CCPA und der DSGVO ist zum einen, dass der CCPA nur für Verbraucher gilt. Dies ist bei der DSGVO nicht der Fall, denn die DSGVO findet auch im Business-to-Business (B2B) Bereich Anwendung. Darüber hinaus existieren im CCPA keine konkreten Regelungen für die Bestellpflicht von Datenschutzbeauftragten, wie dies etwa in der DSGVO oder dem neuen Bundesdatenschutzgesetz (BDSG-neu) der Fall ist. Selbst die Definition von personenbezogenen Daten unterscheiden sich in der CCPA im Vergleich zur DSGVO: Im Gegensatz zur DSGVO werden in der CCPA auch Haushalts- und Gerätedaten als personenbezogene DAten qualifiziert, d.h. Informationen müssen z.B. in einem sog. vernünftigen Zusammenhang zu einem Haushalt stehen.
Welche Strafen drohen Unternehmen nach der CCPA?
Während Unternehmen nach der DSGVO bei Verstößen gegen Bestimmungen der DSGVO pro Verstoß Bußgelder von bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres drohen (je nachdem, welcher der Beträge höher ist), beläuft sich eine mögliche Strafe nach der CCPA im Fall einer vorsätzlichen Datenschutzverletzung je Verstoß auf 7.500 US-Dollar, für den Fall einer fahrlässigen Handlung auf 2.500 US-Dollar je Verstoß.
Trotz gewisser Ähnlichkeiten unterscheiden sich die DSGVO und CCPA doch in einigen wesentlichen Punkten. Spannend bleibt aber insbesondere die Durchsetzbarkeit der neuen Datenschutzregelungen gegenüber den betroffenen Unternehmen unter Berücksichtigung der geringen Strafrahmen pro Verstoß der CCPA im Vergleich zur DSGVO.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.
