Das California Consumer Privacy Act (CCPA) ist das bislang strengste Datenschutz-Gesetz der USA. Im Fokus des seit Januar 2020 geltenden Gesetzes steht der Schutz der Verbraucher im Bereich der Verarbeitung personenbezogener Daten.
Das CCPA findet nicht nur für kalifornische Unternehmen Anwendung, sondern auch für ausländische Unternehmen, die in Kalifornien tätig sind. Doch was genau bedeutet das für Unternehmen aus Deutschland bzw. der EU?
Bedeutung des CCPA
Im Gegensatz zu Deutschland und der Europäischen Union (EU) gibt es in den USA kein einheitliches Datenschutz-Gesetz. Stattdessen gibt es branchenspezifische Regelungen, Code of Conducts, die auf Selbstverpflichtungen seitens der Unternehmen beruhen, sowie Gesetze, die auf einzelne Bundesstaaten beschränkt sind.
So ist auch das CCPA auf den Bundesstaat Kalifornien beschränkt. Es hat aber deswegen größere Bedeutung, weil in Kalifornien viele datengetriebene Unternehmen (Facebook, Google, etc.) ansässig sind. Das CCPA ist vor allem eine Reaktion auf den Skandal um Cambridge Analytica, bei dem massenhaft personenbezogene Daten unrechtmäßig verarbeitet wurden. Konsequenter Weise bezieht sich das CCPA in erster Linie auf die Rechte des Verbraucherschutzes mit dem Ziel, Transparenz im Bereich der Datenverarbeitung zu schaffen. Es handelt sich um ein wegweisendes Gesetz, da es über die Grenzen Kaliforniens hinaus in der USA das Thema Datenschutz berührt (hier geht es zum Volltext des Gesetzes).
Welche Unternehmen sind betroffen?
Das CCPA findet für Unternehmen Anwendung, die eine geschäftliche Tätigkeit in den USA ausüben und dabei personenbezogene Informationen von kalifornischen Verbrauchern sammeln, durch Dritte sammeln lassen oder auf andere Art Zugriff auf solche Daten erhalten. Auch wenn ein Unternehmen nur Dienstleister ist und für ein anderes Unternehmen Daten von kalifornischen Verbrauchern im Auftrag verarbeitet, müssen die Anforderungen des CCPA beachtet werden.
Unternehmen die folgende Schwellwerte erreichen, müssen sich mit den Anforderungen des CCPA auseinandersetzen:
- Geschäftliche Tätigkeit („business“) in Kalifornien: Unternehmen die eine gewinnorientierte Tätigkeit in Kalifornien ausüben. Aber auch eine wirtschaftlich kontrollierte Zweig- oder Vertriebsstelle vor Ort sind umfasst.
- Brutto Jahresumsatzes von 25 Millionen Dollar: Unternehmen die mit der Verarbeitung personenbezogener Informationen von kalifornischen Verbrauchern einen Gewinn von mehr als 25 Millionen US-Dollar vor Steuern erzielen.
- Sammeln von personenbezogenen Informationen von Verbrauchern: Unternehmen, die personenbezogene Daten von Verbrauchern in Kalifornien sammeln. Unter den Begriff personenbezogen Informationen (personal information) fallen alle Informationen, die einen Verbraucher oder Haushalt identifizieren, sich darauf beziehen, beschreiben, in der Lage sind diesem zugeordnet zu werden, oder vernünftigerweise direkt oder indirekt mit einem bestimmten Verbraucher oder Haushalt verknüpft werden können. Beispiele hierfür sind Informationen zum Wohnort, biometrische oder Gesundheitsinformationen, E-Mail-Adressen, IP-Adressen, Führerscheinnummern aber auch Präferenzen und Verhaltensweisen. Demnach ist auch eine mittelbare Identifizierbarkeit ausreichend.
Der Begriff sammeln (to collect bzw. collection) umfasst sowohl die eigene Erhebung personenbezogener Informationen als auch den Erwerb von Dritten oder sonstige Arten des Zugriffs auf personenbezogene Informationen. - Sammeln von mehr als 50.000 Daten: Jährliche Erfassung, Kauf oder Verkauf, Weitergabe etc. von personenbezogenen Informationen im Umfang von 50.000 in Kalifornien ansässigen Verbrauchern, Haushalten oder deren Gerätschaften.
- 50% des Umsatzes mit Verkauf von personenbezogenen Informationen: Unternehmen, bei denen 50% oder mehr des Jahresumsatzes aus dem Verkauf von persönlichen Informationen resultieren.
Erreicht ein europäisches Unternehmen diese Schwellwerte, müssen alle notwendigen Maßnahmen zur Umsetzung des CCPA vorgenommen werden.
Rechte der Verbraucher in Kalifornien
Das CCPA räumt kalifornischen Verbrauchern folgende Rechte ein:
- Recht auf Löschung: Verbraucher können Unternehmen zur Löschung der über sie gesammelten personenbezogenen Informationen auffordern. Sofern kein Ausnahmetatbestand (z.B. Erforderlichkeit im Rahmen eines Vertragsverhältnisses) vorliegt, muss ein Unternehmen diesem Begehren nachkommen.
- Recht auf Auskunftserteilung: Verbraucher haben das Recht zu wissen, ob und welche Daten über sie gesammelt werden, zu erfahren, ob ihre Daten verkauft bzw. an andere Personen bzw. Unternehmen weitergegeben werden und die über sie gesammelten Informationen jederzeit einzusehen.
- Recht auf Opt-out: Unternehmen müssen auf ihrer Website einen deutlich erkennbaren Link mit dem Titel „„Do Not Sell My Personal Information“ (Verkaufen Sie nicht meine personenbezogenen Daten) einfügen, damit gewährleistet wird, dass personenbezogene Informationen nicht verkauft werden. Für Kinder im Alter zwischen 13 und 16 Jahren gelten strengere Regelungen. Diese müssen zusätzlich ihre ausdrückliche Einwilligung geben. Bei Kindern unter 12 Jahren entscheidet der Erziehungsberechtigte.
- Recht auf Datenportabilität: Eine betroffene Person kann verlangen die Informationen, die sie einem Unternehmen zur Verfügung gestellt hat, in einem übertragbaren und soweit technisch durchführbar in einem leicht verwendbaren Format zu erhalten, um diese Informationen ungehindert an andere Stellen übermitteln zu können.
- Recht auf Gleichbehandlung: Das CCPA enthält zusätzlich ein Diskriminierungsverbot und ein Incentivierungsrecht. Unternehmen dürfen Verbraucher, die ihre Rechte geltend machen, nicht diskriminieren (z.B. darf der Zugang zu Waren bzw. Dienstleistungen nicht versagt werden oder ein höherer Preis verlangt werden). Andererseits ist es erlaubt, dass Verbraucher belohnt werden, wenn sie der Verarbeitung ihrer Daten nicht widersprechen.
- Beschwerde und Klagerecht: Verbraucher haben ein eingeschränktes Klagerecht, welches sich auf Datenverstöße beschränkt (z.B. wenn personenbezogene Informationen unverschlüsselt in Umlauf gekommen sind). In allen anderen Fällen ist der kalifornische Generalstaatsanwalt zur Klageerhebung befugt.
Pflichten des CCPA für Unternehmen
Folgende Maßnahmen müssen Unternehmen umsetzen, sofern das CCPA für sie Anwendung findet:
- Erfüllung von Informationspflichten: Unternehmen sind verpflichtet, die Verbraucher über die Kategorien der verarbeiteten personenbezogenen Daten zu informieren. Darüber hinaus muss das Unternehmen Verbraucher über die ihnen zustehenden Rechte in Kenntnis setzen.
- Opt-out-Button: Neben den Informationen zur Verarbeitung der personenbezogenen Informationen und zu den Rechten der Verbraucher, muss die Datenschutzerklärung einen Opt-out-Link mit dem Titel „Do Not Sell My Personal Information“ enthalten.
- Beachtung des Grundsatzes des Diskriminierungsverbots.
- Zusatzvereinbarung mit Auftragsverarbeitern: Auftragsverarbeiter dürfen personenbezogene Daten, die für einen Auftraggeber verarbeitet werden, nicht für einen anderen Zweck verwenden und müssen für ein angemessenes Sicherheitsniveau sorgen. Auch wenn kein Vertrag zur Auftragsverarbeitung geschlossen werden muss, schreibt das CCPA in Section 1798.140 (v) vor, welcher Passus im Dienstleistungsertrag enthalten sein muss.
Reicht es die Anforderungen der DSGVO zu erfüllen?
Europäische Unternehmen, die in den Anwendungsbereich des CCPA fallen, müssen zusätzlich zu den Anforderungen der EU-Datenschutz-Grundverordnung (DSGVO) auch die Anforderungen des CCPA beachten. Auch wenn die DSGVO insgesamt höhere Anforderungen stellt, gibt es zusätzliche Anforderungen im CCPA, die zu beachten sind. Eine Besonderheit ist beispielsweise die Einstufung von Haushalts- und Gerätedaten als personenbezogene Informationen, da diese grundsätzlich dazu genutzt werden können, Rückschlüsse auf einen Verbraucher zu ziehen. Die Definition der DSGVO zu personenbezogenen Daten, enthält derartige Informationen nicht explizit.
To-Dos für Unternehmen
- Überprüfung ob die Schwellwerte überhaupt erreicht werden. Hierzu empfiehlt es sich eine umfassende Zuordnung der Daten:
- Welche persönlichen Informationen werden gesammelt?
- In welchem Umfang werden personenbezogene Informationen gesammelt?
- Wie hoch ist der Umsatz, der mit den gesammelten personenbezogenen Informationen erzielt wird?
- Sofern die Prüfung negativ ausfällt, empfehlen wir Ihnen, diese Entscheidung und die dafür herangezogenen Kriterien zu dokumentieren.
- Sofern die Schwellwerte erreicht werden:
- Überprüfung der Datenschutzerklärung auf der Website und Anpassung an das CCPA. Implementieren Sie einen gut sichtbaren Opt-out-Botton und weisen Sie auf die Rechte hin.
- Anpassung der vertraglichen Beziehungen: Die Verträge mit Dienstleistern müssen überprüft und gegebenenfalls an die neuen Vorschriften angepasst werden, z. B. durch die Verpflichtung des Auftragsverarbeiters, die personenbezogenen Informationen nicht weiterzuverkaufen oder für andere Zwecke zu verwenden. Zusätzlich muss der Dienstleister sich dazu verpflichten, ein angemessenes Sicherheitsniveau einzuhalten. Auch eingesetzte Dienstleister müssen die Anforderungen erfüllen.
- Information der Verbraucher über ihre Rechte. Hierzu gehört auch die Schulung der Mitarbeiter, damit diese mit den Bestimmungen des CCPA vertraut sind und Anfragen bearbeiten können.
- Erarbeitung von Vorlagen und Richtlinien, um die Rechte der kalifornischen Verbraucher umzusetzen und die Umsetzung überprüfen zu können.
Risiken der Nichteinhaltung des CCPA
Bei Verstößen gegen das CCPA müssen Unternehmen für vorsätzliche Verstöße der Datenschutzverpflichtungen 7.500 US-Dollar Strafe zahlen. Eine Strafe kann verhindert werden, wenn das Unternehmen innerhalb von 30 Tagen die Forderungen des Verbrauchers erfüllt. Liegt eine fahrlässige Verletzung vor, so wird eine Strafzahlung von 2.500 Dollar fällig. Zusätzlich haben betroffene Verbraucher Anspruch auf Schadenersatz von 100 bis USD 750 Dollar pro Vorfall, sofern es sich um einen Datenverstoß handelt.
Nicht außer Acht zu lassen sind Imageschäden, die bei Verstößen entstehen können. Hier sei darauf hingewiesen, dass das Gesetz von einer Bürgerinitiative ausging.