Da in den föderal organisierten USA der Bereich des Datenschutzes primär in den Aufgaben- und Zuständigkeitsbereich der Bundesstaaten fällt, existiert derzeit auf Bundesebene kein mit der Datenschutz-Grundverordnung (DSGVO) vergleichbares Gesetz zur umfassenden Regelung des Datenschutzes. In der Hinsicht nimmt der Bundesstaat Kalifornien eine Außenseiter- und Vorreiterrolle ein. Der kalifornische Gesetzgeber hat mit dem 'California Consumer Privacy Act' (CCPA) ein Gesetz erlassen, das den Verbrauchern ein bis dato unbekanntes Datenschutzniveau gewähren soll. In Kraft treten wird das Gesetz zum 1. Januar 2020.
Neben der Tatsache, dass der CCPA ausgerechnet in der Heimat diverser Silicon Valley-Giganten entstand, ist vor allen Dingen bemerkenswert, dass das Gesetz von einer Bürgerinitiative ausging. Dies spiegelt unmissverständlich das Interesse der Bürger an einem funktionierenden Datenschutzsystem zur Steuerung des Umgangs mit personenbezogenen Informationen wider. Im Gegensatz zu früheren Versuchen, in den USA den Datenschutz im Bewusstsein von Unternehmen und Verbrauchern zu verankern, konnten Bürgerinitiative und Gesetzgeber rund um den "Cambridge Analytica"- Skandal die Gunst der Stunde nutzen, den Verbraucherschutz diverser kritischer Stimmen zum Trotz zu etablieren.
Anwendungsbereich des CCPA
Der CCPA entfaltet Wirkung gegenüber allen Unternehmen, die personenbezogene Informationen von kalifornischen Verbrauchern verarbeiten. Das Unternehmen muss dabei nicht in Kalifornien ansässig sein. Somit können neben amerikanischen auch europäische Unternehmen in den Geltungsbereich des CCPA fallen (s.g. Marktortprinzip), welche beispielsweise über das Internet in Kalifornien Waren oder Dienstleistungen anbieten. Indirekt dürfte das Gesetz zudem für Service Provider gelten, welche den kalifornischen Markt als adressierende Kunden haben. Von der Anwendung ausgenommen sind also Unternehmen, wenn sie die personenbezogenen Daten zu einem Zeitpunkt erhoben haben, an dem sich der Verbraucher außerhalb von Kalifornien aufgehalten hat, kein Teil des Verkaufs bzw. der Weitergabe der personenbezogenen Daten in Kalifornien erfolgte und keine personenbezogenen Daten verkauft wurden, die vom Verbraucher zu einer Zeit erhoben wurden als er in Kalifornien befindlich war (Section 1798.145 (a) (6)).
Anwendbar ist der CCPA nur für Unternehmen, welche mindestens einen der folgenden Schwellenwerte erreichen (Section 1798.140 (c) (1)):
- jährliche Bruttoeinnahmen von mehr als USD 25 Millionen,
- Verarbeitung von personenbezogenen Informationen im Umfang von 50.000 oder mehr Verbrauchern, Haushalten oder Gerätschaften, die von in Kalifornien ansässigen Personen stammen, für geschäftliche Zwecke des Unternehmens oder
- der Gewinn des Unternehmens resultiert zu 50 Prozent oder mehr aus den jährlichen Einnahmen durch den Verkauf von personenbezogenen Informationen.
Im Rahmen letzter Gesetzestextänderungen hat der Assembly Bill No. 25 vom 11. Oktober 2019 personenbezogene Daten, die über eine Person als Bewerber, Mitarbeiter, Eigentümer, Direktor, leitender Angestellter, medizinischer Angestellter oder Auftragnehmer dieses Unternehmens verarbeitet werden sowie personenbezogene Daten, die ausschließlich zum Zwecke der Aufrechterhaltung von Notfallkontakten gesammelt und verwendet wurden und schließlich personenbezogene Daten, die ausschließlich zur Verwaltung von Leistungen an die Angehörigen einer Person gesammelt und verwendet wurden, bis zum 1. Januar 2021 von der Anwendung des CCPA freigestellt (Section 1798.145 (g)).
Vergleich DSGVO und CCPA
Im Gegensatz zu der den Datenschutz umfassend regelnden DSGVO betrifft der CCPA in der Sache überwiegend den Verbraucherschutz. Vergeblich sucht man im CCPA Bestimmungen zur Benennung eines betrieblichen Datenschutzbeauftragten. Auch ist die Einrichtung einer Aufsichtsbehörde zur Überwachung des Datenschutzes vorerst nicht geplant.
Ein fundamentaler Unterschied wird bei Betrachtung der Bestimmungen deutlich, welche den Verkauf von personenbezogenen Daten regeln. Während nach der DSGVO regelmäßig eine ausdrückliche Einwilligung des Verbrauchers in die Weitergabe erforderlich ist, genügt nach dem CCPA ein Widerruf (Opt-out). Section 1798.135 (a) (1) bestimmt, dass Unternehmen einen deutlich sichtbaren Link auf ihrer Webseite mit dem Titel "Do Not Sell My Personal Information" (Verkaufen Sie meine personenbezogenen Daten nicht) darstellen müssen, der den Verkauf der personenbezogenen Daten untersagt. Wenn Kinder zu den Verbrauchern gehören, gelten strengere Regeln. Kinder im Alter zwischen 13 und 16 Jahren müssen ausdrücklich ihre Einwilligung geben. Bei Kindern unter 12 Jahren entscheidet der Erziehungsberechtigte.
Dies hat vor allem auf Werbetreibende Auswirkungen. Da auch der CCPA Cookies (First-Party und Third-Party-Cookies) als personenbezogene Daten klassifiziert, können Verbraucher nun durch die gesetzlich vorgeschriebene Opt-out-Möglichkeit verhindern, dass Werbetreibende mithilfe von Tracking passende Produktplatzierungen anzeigen können. Dies kann bei Websitebetreibern zu einer erheblichen Reduktion von Werbeeinnahmen führen. In der Folge könnte die Qualität von kostenfreien Angeboten sinken und/oder "Paywalls" zur Finanzierung eingesetzt werden.
Mit EU-Niveau vergleichbar sind neben den im CCPA angelegten Informationspflichten die nun vom kalifornischen Gesetzgeber vorgesehenen Verbraucherrechte. Zu nennen sind die Rechte auf Auskunft und Kopie eines "spezifischen Teils" der Daten, das Recht auf Vergessenwerden, das Recht auf Nicht-Diskriminierung und nicht zuletzt das oben genannte Opt-out-Recht, um den Verkauf personenbezogener Daten an Dritte zu verhindern.
Im Gegensatz zum Unionsrecht setzt der CCPA keine den Artikeln 44 ff. DSGVO vergleichbare Gleichwertigkeit ausländischer Datenschutzregime voraus. Damit unterliegt der Transfer personenbezogener Daten aus Kalifornien in die EU - anders als aus der EU in die USA - keinen besonderen gesetzlichen Anforderungen.
Folgen bei Rechtsverstößen
Bei Zuwiderhandlungen in Form einer vorsätzlichen Verletzung der Datenschutzpflichten gegen den CCPA ist eine Strafe in Höhe von USD 7.500 zu zahlen. Eine Strafe kann nur dann verhindert werden, wenn das Unternehmen innerhalb von 30 Tagen die Forderungen des Verbrauchers erfüllt. Liegt eine fahrlässige Verletzung vor, so wird eine Strafzahlung in Höhe von USD 2.500,00 fällig. Normiert ist zudem ein gesetzlicher Schadensersatz von USD 100,00 bis USD 750,00 pro Einwohner und Vorfall, sollten Unternehmen und somit auch deren Kunden aufgrund mangelhafter Datensicherheit Opfer von Datendiebstahl oder anderen Formen des Datenverlusts werden. Bei größeren Unternehmen mit einer Vielzahl von Kunden können sich Datenpannen - Imageschäden außer Betracht gelassen - somit schnell zu Millionenbeträgen summieren.
Fazit
Der CCPA dürfte eine deutliche Verbesserung für die Rechte und Freiheiten kalifornischer Verbraucher mit sich bringen. Eine konsequente Anwendung des CCPA kann Vertrauen beim Verbraucher erzeugen, möglicherweise mit dem Effekt, dass dieser in Zukunft eher bereit ist, personenbezogene Daten herauszugeben, wenn er im Gegenzug qualitativ hochwertige Dienste nutzen kann.
Kritisiert wird das Gesetz wie erwartet von den kalifornischen Internetriesen, die ihre Handlungsfähigkeit eingeschränkt und den Wirtschaftsstandort Kalifornien gefährdet sehen.
Von einem "angemessenen Schutzniveau" im Sinne der DSGVO dürfte jedoch auch Kalifornien noch ein Stück weit entfernt sein. Grund hierfür dürften wenig strenge Fristen zur Behebung von Datenpannen, der fehlende Grundsatz vom "Verbot mit Erlaubnisvorbehalt" und nicht zuletzt die oben beschriebene Opt-Out-Regelung zum Verkauf personenbezogener Daten sein. Somit obliegt es der US-Regierung auch auf Bundesebene ein Datenschutzsystem zu entwickeln, welches sich durchaus am CCPA als zentralem Leitbild orientieren kann, aber gleichzeitig auch den strengen Anforderungen der DSGVO in Bezug auf den Datenaustausch personenbezogener Daten von EU-Bürgern mit den USA gerecht wird.
Über die Autoren: Rechtsanwalt Matthias Bendixen und wissenschaftlicher Mitarbeiter Dominik Zaniewicz arbeiten bei der auf IT- und Datenschutzrecht spezialisierten
Rickert Rechtsanwaltsgesellschaft mbH
in Bonn.