CCPA: Was die kalifornische Version der DSGVO für europäische Marketer bedeutet

19.11.2019 - Am 01.01.2020 tritt das Datenschutzgesetz 'California Consumer Privacy Act' (CCPA) in Kraft. Zentrales Ziel ist die Herstellung von Transparenz im Bereich der Datenverarbeitung. Warum ein kalifornisches Gesetz Auswirkungen auf deutsche Unternehmen hat und welche Unterschiede es zur DSGVO gibt:

von Matthias Bendixen und Dominik Zaniewicz

Da in den föderal organisierten USA der Bereich des Datenschutzes primär in den Aufgaben- und Zuständigkeitsbereich der Bundesstaaten fällt, existiert derzeit auf Bundesebene kein mit der Datenschutz-Grundverordnung (DSGVO) vergleichbares Gesetz zur umfassenden Regelung des Datenschutzes. In der Hinsicht nimmt der Bundesstaat Kalifornien eine Außenseiter- und Vorreiterrolle ein. Der kalifornische Gesetzgeber hat mit dem 'California Consumer Privacy Act' (CCPA) ein Gesetz erlassen, das den Verbrauchern ein bis dato unbekanntes Datenschutzniveau gewähren soll. In Kraft treten wird das Gesetz zum 1. Januar 2020.

Neben der Tatsache, dass der CCPA ausgerechnet in der Heimat diverser Silicon Valley-Giganten entstand, ist vor allen Dingen bemerkenswert, dass das Gesetz von einer Bürgerinitiative ausging. Dies spiegelt unmissverständlich das Interesse der Bürger an einem funktionierenden Datenschutzsystem zur Steuerung des Umgangs mit personenbezogenen Informationen wider. Im Gegensatz zu früheren Versuchen, in den USA den Datenschutz im Bewusstsein von Unternehmen und Verbrauchern zu verankern, konnten Bürgerinitiative und Gesetzgeber rund um den "Cambridge Analytica"- Skandal die Gunst der Stunde nutzen, den Verbraucherschutz diverser kritischer Stimmen zum Trotz zu etablieren.

Anwendungsbereich des CCPA


Der CCPA entfaltet Wirkung gegenüber allen Unternehmen, die personenbezogene Informationen von kalifornischen Verbrauchern verarbeiten. Das Unternehmen muss dabei nicht in Kalifornien ansässig sein. Somit können neben amerikanischen auch europäische Unternehmen in den Geltungsbereich des CCPA fallen (s.g. Marktortprinzip), welche beispielsweise über das Internet in Kalifornien Waren oder Dienstleistungen anbieten. Indirekt dürfte das Gesetz zudem für Service Provider gelten, welche den kalifornischen Markt als adressierende Kunden haben. Von der Anwendung ausgenommen sind also Unternehmen, wenn sie die personenbezogenen Daten zu einem Zeitpunkt erhoben haben, an dem sich der Verbraucher außerhalb von Kalifornien aufgehalten hat, kein Teil des Verkaufs bzw. der Weitergabe der personenbezogenen Daten in Kalifornien erfolgte und keine personenbezogenen Daten verkauft wurden, die vom Verbraucher zu einer Zeit erhoben wurden als er in Kalifornien befindlich war (Section 1798.145 (a) (6)).

Anwendbar ist der CCPA nur für Unternehmen, welche mindestens einen der folgenden Schwellenwerte erreichen (Section 1798.140 (c) (1)):
  • jährliche Bruttoeinnahmen von mehr als USD 25 Millionen,
  • Verarbeitung von personenbezogenen Informationen im Umfang von 50.000 oder mehr Verbrauchern, Haushalten oder Gerätschaften, die von in Kalifornien ansässigen Personen stammen, für geschäftliche Zwecke des Unternehmens oder
  • der Gewinn des Unternehmens resultiert zu 50 Prozent oder mehr aus den jährlichen Einnahmen durch den Verkauf von personenbezogenen Informationen.

Im Rahmen letzter Gesetzestextänderungen hat der Assembly Bill No. 25 vom 11. Oktober 2019 personenbezogene Daten, die über eine Person als Bewerber, Mitarbeiter, Eigentümer, Direktor, leitender Angestellter, medizinischer Angestellter oder Auftragnehmer dieses Unternehmens verarbeitet werden sowie personenbezogene Daten, die ausschließlich zum Zwecke der Aufrechterhaltung von Notfallkontakten gesammelt und verwendet wurden und schließlich personenbezogene Daten, die ausschließlich zur Verwaltung von Leistungen an die Angehörigen einer Person gesammelt und verwendet wurden, bis zum 1. Januar 2021 von der Anwendung des CCPA freigestellt (Section 1798.145 (g)).

Vergleich DSGVO und CCPA

Im Gegensatz zu der den Datenschutz umfassend regelnden DSGVO betrifft der CCPA in der Sache überwiegend den Verbraucherschutz. Vergeblich sucht man im CCPA Bestimmungen zur Benennung eines betrieblichen Datenschutzbeauftragten. Auch ist die Einrichtung einer Aufsichtsbehörde zur Überwachung des Datenschutzes vorerst nicht geplant.

Ein fundamentaler Unterschied wird bei Betrachtung der Bestimmungen deutlich, welche den Verkauf von personenbezogenen Daten regeln. Während nach der DSGVO regelmäßig eine ausdrückliche Einwilligung des Verbrauchers in die Weitergabe erforderlich ist, genügt nach dem CCPA ein Widerruf (Opt-out). Section 1798.135 (a) (1) bestimmt, dass Unternehmen einen deutlich sichtbaren Link auf ihrer Webseite mit dem Titel "Do Not Sell My Personal Information" (Verkaufen Sie meine personenbezogenen Daten nicht) darstellen müssen, der den Verkauf der personenbezogenen Daten untersagt. Wenn Kinder zu den Verbrauchern gehören, gelten strengere Regeln. Kinder im Alter zwischen 13 und 16 Jahren müssen ausdrücklich ihre Einwilligung geben. Bei Kindern unter 12 Jahren entscheidet der Erziehungsberechtigte.

Dies hat vor allem auf Werbetreibende Auswirkungen. Da auch der CCPA Cookies (First-Party und Third-Party-Cookies) als personenbezogene Daten klassifiziert, können Verbraucher nun durch die gesetzlich vorgeschriebene Opt-out-Möglichkeit verhindern, dass Werbetreibende mithilfe von Tracking passende Produktplatzierungen anzeigen können. Dies kann bei Websitebetreibern zu einer erheblichen Reduktion von Werbeeinnahmen führen. In der Folge könnte die Qualität von kostenfreien Angeboten sinken und/oder "Paywalls" zur Finanzierung eingesetzt werden.

Mit EU-Niveau vergleichbar sind neben den im CCPA angelegten Informationspflichten die nun vom kalifornischen Gesetzgeber vorgesehenen Verbraucherrechte. Zu nennen sind die Rechte auf Auskunft und Kopie eines "spezifischen Teils" der Daten, das Recht auf Vergessenwerden, das Recht auf Nicht-Diskriminierung und nicht zuletzt das oben genannte Opt-out-Recht, um den Verkauf personenbezogener Daten an Dritte zu verhindern.

Im Gegensatz zum Unionsrecht setzt der CCPA keine den Artikeln 44 ff. DSGVO vergleichbare Gleichwertigkeit ausländischer Datenschutzregime voraus. Damit unterliegt der Transfer personenbezogener Daten aus Kalifornien in die EU - anders als aus der EU in die USA - keinen besonderen gesetzlichen Anforderungen.

Folgen bei Rechtsverstößen

Bei Zuwiderhandlungen in Form einer vorsätzlichen Verletzung der Datenschutzpflichten gegen den CCPA ist eine Strafe in Höhe von USD 7.500 zu zahlen. Eine Strafe kann nur dann verhindert werden, wenn das Unternehmen innerhalb von 30 Tagen die Forderungen des Verbrauchers erfüllt. Liegt eine fahrlässige Verletzung vor, so wird eine Strafzahlung in Höhe von USD 2.500,00 fällig. Normiert ist zudem ein gesetzlicher Schadensersatz von USD 100,00 bis USD 750,00 pro Einwohner und Vorfall, sollten Unternehmen und somit auch deren Kunden aufgrund mangelhafter Datensicherheit Opfer von Datendiebstahl oder anderen Formen des Datenverlusts werden. Bei größeren Unternehmen mit einer Vielzahl von Kunden können sich Datenpannen - Imageschäden außer Betracht gelassen - somit schnell zu Millionenbeträgen summieren.

Fazit

Der CCPA dürfte eine deutliche Verbesserung für die Rechte und Freiheiten kalifornischer Verbraucher mit sich bringen. Eine konsequente Anwendung des CCPA kann Vertrauen beim Verbraucher erzeugen, möglicherweise mit dem Effekt, dass dieser in Zukunft eher bereit ist, personenbezogene Daten herauszugeben, wenn er im Gegenzug qualitativ hochwertige Dienste nutzen kann.
Kritisiert wird das Gesetz wie erwartet von den kalifornischen Internetriesen, die ihre Handlungsfähigkeit eingeschränkt und den Wirtschaftsstandort Kalifornien gefährdet sehen.
Von einem "angemessenen Schutzniveau" im Sinne der DSGVO dürfte jedoch auch Kalifornien noch ein Stück weit entfernt sein. Grund hierfür dürften wenig strenge Fristen zur Behebung von Datenpannen, der fehlende Grundsatz vom "Verbot mit Erlaubnisvorbehalt" und nicht zuletzt die oben beschriebene Opt-Out-Regelung zum Verkauf personenbezogener Daten sein. Somit obliegt es der US-Regierung auch auf Bundesebene ein Datenschutzsystem zu entwickeln, welches sich durchaus am CCPA als zentralem Leitbild orientieren kann, aber gleichzeitig auch den strengen Anforderungen der DSGVO in Bezug auf den Datenaustausch personenbezogener Daten von EU-Bürgern mit den USA gerecht wird.

Über die Autoren: Rechtsanwalt Matthias Bendixen und wissenschaftlicher Mitarbeiter Dominik Zaniewicz arbeiten bei der auf IT- und Datenschutzrecht spezialisierten Rickert Rechtsanwaltsgesellschaft mbH   in Bonn.

Ihr Guide im New Marketing Management - ab 6,23 im Monat!

Hat Ihnen diese Beitrag weiter geholfen? Dann holen Sie sich die ONEtoONE-Premium-Mitgliedschaft. Sie unterstützen damit die Arbeit der ONEtoONE-Redaktion. Sie erhalten Zugang zu allen Premium-Leistungen von ONEtoONE, zum Archiv und sechs mal im Jahr schicken wir Ihnen die aktuelle Ausgabe.

Mehr zum Thema:
Diskussion:

Vorträge zum Thema:

  • Bild: Christian Bennefeld
    Christian Bennefeld
    (Initiative datenschutz-zwecklos.de)

    Klarheit in der KI-Kakophonie: Orientierung für die Zukunft

    In seiner Key Note gibt Christian einen Überblick über den aktuellen Stand der KI-Entwicklung und bietet Orientierung in der Kakophonie aus Algorithmen und Innovationen. Wo stehen wir heute tatsächlich? Was können wir in der Zukunft erwarten?
    Christian ordnet die zentralen Entwicklungen ein und zeigt, welche Trends 2025 wichtig werden. Sind es autonome Agenten, Open-source Modelle oder General Purpose AI-Systeme, die bald unsere Arbeit bestimmen? Was passiert mit der KI-Regulierung und dem Datenschutz? Und worauf müssen wir achten, um auch zukünftig auf der Gewinnerseite zu stehen?

    Der kurzweilige Vortrag gibt überraschende Antworten und lädt zum Nachdenken wie Mitdiskutieren ein.

    Vortrag im Rahmen der Zukunftskonferenz 25. Trends in ECommerce, Marketing und digitalem Business am 03.12.24, 09:30 Uhr

www.hightext.de

HighText Verlag

Mischenrieder Weg 18
82234 Weßling

Tel.: +49 (0) 89-57 83 87-0
Fax: +49 (0) 89-57 83 87-99
E-Mail: info@onetoone.de
Web: www.hightext.de

Kooperationspartner des

Folgen Sie uns:



Besuchen Sie auch:

www.press1.de

www.ibusiness.de

www.neuhandeln.de