California Consumer Privacy Act (CCPA)
Das kalifornische Gesetz zum Schutz der Privatsphäre von Verbrauchern (California Consumer Privacy Act, CCPA) ist ein Gesetz im US-Bundesstaat Kalifornien, das das Recht des Einzelnen auf Kontrolle seiner eigenen personenbezogenen Daten (PII) unterstützt. CCPA, auch bekannt als Assembly Bill No. 375 in der kalifornischen Legislative, wurde am 28. Juni 2018 von Jerry Brown, dem damaligen Gouverneur von Kalifornien, verabschiedet und in Kraft gesetzt.
Der CCPA soll den Einwohnern Kaliforniens die Möglichkeit geben, ihre persönlichen Daten zu kontrollieren, indem er ihnen die folgenden Rechte zusichert:
- Das Recht zu erfahren, welche personenbezogenen Daten über den Bewohner gesammelt werden.
- Das Recht zu erfahren, ob und an wen personenbezogene Daten verkauft oder weitergegeben werden.
- Das Recht, den Verkauf von personenbezogenen Daten abzulehnen.
- Das Recht auf Zugang zu ihren personenbezogenen Daten.
- Das Recht auf gleichen Service und gleichen Preis, auch wenn sie ihr Recht auf Privatsphäre wahrnehmen.
CCPA-Voraussetzungen
Gemeinnützige Organisationen sind von dem CCPA ausgenommen. Der CCPA gilt für Unternehmen, die personenbezogene Daten von Verbrauchern erfassen, im Bundesstaat Kalifornien tätig sind und eines der folgenden Kriterien erfüllen:
- einen jährlichen Bruttoumsatz von fünfundzwanzig Millionen US-Dollar oder mehr aufweist;
- personenbezogene Daten von 50.000 oder mehr Geräten, Verbrauchern oder Haushalten zu kommerziellen Zwecken kauft, erhält, verkauft oder weitergibt;
- 50 Prozent oder mehr der Jahreseinnahmen aus dem Verkauf von personenbezogenen Daten der Verbraucher erzielt.
Wie der CCPA personenbezogene Daten definiert
Nach dem CCPA gehören zu den personenbezogenen Daten keine öffentlich zugänglichen Informationen. Stattdessen identifizieren personenbezogene Daten eine bestimmte Person oder einen bestimmten Haushalt oder können mit diesen in Verbindung gebracht werden, einschließlich:
- Name, Alias, Postanschrift, IP-Adresse und E-Mail-Adresse, Kontoname, Sozialversicherungsnummer, Führerschein und Reisepass
- Unterlagen über gekaufte, erworbene oder in Betracht gezogene Produkte, Güter oder Dienstleistungen
- Biometrische Informationen
- Informationen über elektronische Netzaktivitäten, wie zum Beispiel den Browser- und Suchverlauf, Informationen über die Interaktion eines Verbrauchers mit einer Internet-Website, einer Anwendung oder einer Werbung
- Geostandortdaten
- Ton-, Bild-, elektronische oder ähnliche Informationen
- Beschäftigungsbezogene Informationen
- Ausbildungsinformationen, die nicht öffentlich zugänglich sind
CCPA-Sanktionen
Ein Unternehmen verstößt gegen das CCPA, wenn es einen mutmaßlichen Verstoß nicht innerhalb von 30 Tagen nach Erhalt der Benachrichtigung abstellt. Jedes Unternehmen, das gegen das CCPA verstößt, kann mit einer Strafe von bis zu 2.500 US-Dollar für jeden unbeabsichtigten Verstoß und 7.500 US-Dollar für jeden vorsätzlichen Verstoß belegt werden.
Verbraucher, deren Daten infolge eines Verstoßes eines Unternehmens gegen den CCPA „einem unbefugten Zugriff und einer unbefugten Weitergabe, einem Diebstahl oder einer Offenlegung ausgesetzt sind“, können Schadensersatz in Höhe von 100 bis 750 US-Dollar oder der Höhe des tatsächlichen Schadens verlangen, je nachdem, welcher Betrag höher ist.
Vorteile für die Sicherheit durch den CCPA
Das CCPA bietet den Einwohnern Kaliforniens mehr Transparenz und Kontrolle über ihre persönlichen Daten und deren Verwendung. Da Technologie und Daten im Leben der Verbraucher eine immer größere Rolle spielen, werden immer mehr persönliche Informationen zwischen Verbrauchern und Unternehmen ausgetauscht. Die CCPA-Gesetzgebung stellt fest, dass das kalifornische Recht mit diesen Entwicklungen und ihren Auswirkungen auf den Schutz der Privatsphäre zuvor nicht Schritt gehalten hat.
Das CCPA soll die Einwohner Kaliforniens vor den Risiken einer unbefugten Weitergabe persönlicher Daten schützen, einschließlich Identitätsdiebstahl, Verlust von Eigentum und Rufschädigung.
Auswirkungen des CCPA auf Unternehmen
Den Unternehmen entstehen Kosten, wenn sie die Bestimmungen des CCPA einhalten wollen. So müssen Unternehmen beispielsweise die Verbraucher darüber informieren, welche personenbezogenen Daten gesammelt werden, wie sie verwendet werden und ob sie weitergegeben oder verkauft werden.
Die Unternehmen müssen den Verbrauchern ein einfaches Verfahren zur Verfügung stellen, mit dem sie dem Verkauf ihrer persönlichen Daten an Dritte widersprechen können.
Die Kosten für die Umsetzung dieser Maßnahmen entstehen durch Änderungen an der Website, Aktualisierungen von Drucksachen und die Erstellung neuer Materialien oder Mitteilungen. Die Unternehmen müssen ihre Mitarbeiter über die CCPA aufklären und schulen, was zu Kosten für Schulungsprogramme und die Einstellung zusätzlicher Mitarbeiter führen kann.
Den Unternehmen können auch Kosten für die Beauftragung von Beratern oder Rechtsbeiständen im Zusammenhang mit der Einhaltung des CCPA, Verstößen und Abhilfemaßnahmen entstehen.
Ausnahmen des CCPA
Nach dem CCPA können Verbraucher verlangen, dass Unternehmen ihre personenbezogenen Daten löschen. Unternehmen müssen der Aufforderung des Verbrauchers nicht nachkommen, wenn die personenbezogenen Daten dazu erforderlich sind:
- um eine Transaktion abschließen;
- zum Erkennen von Sicherheitsvorfällen oder zum Schutz vor bösartigen Aktivitäten;
- um Fehler zu beheben oder zu reparieren, die die Funktionalität beeinträchtigen;
- um einer gesetzlichen Verpflichtung nachkommen.
Bei der Definition von personenbezogenen Daten schließt der CCPA Informationen aus, „die rechtmäßig aus Aufzeichnungen von Bundes-, Landes- oder Kommunalbehörden zugänglich gemacht werden“.
DSGVO und CCPA
Die EU-Datenschutz-Grundverordnung (DSGVO) zum Schutz der Daten von EU-Bürgern ist 2016 in Kraft getreten und seit Ende Mai 2018 unmittelbar wirksam. Bei den Absichten existieren durchaus Überschneidungen zum California Consumer Privacy Act (CCPA). Es gibt jedoch einige wichtige Unterschiede:
Der Geltungsbereich der Datenschutz-Grundverordnung ist erheblich größer. Die DSGVO gilt grundsätzlich für alle Unternehmen und Organisationen, die mit den Daten von EU-Bürgern umgehen. Dabei ist es unerheblich, ob die Verarbeitung der personenbezogenen Daten innerhalb oder außerhalb der EU erfolgt, so gilt die DSGVO nicht nur in der EU. Das CCPA gilt für Unternehmen, die im Bundesstaat Kalifornien tätig sind, einen Umsatz von über 25 Millionen US-Dollar haben oder deren Hauptgeschäft der Verkauf von personenbezogenen Daten ist.
Die DSGVO sieht höhere Strafen für die Nichteinhaltung vor. Unternehmen, die gegen die DSGVO verstoßen, können mit einer Geldstrafe von bis zu vier Prozent des weltweiten Jahresumsatzes oder 20 Millionen Euro belegt werden, je nachdem, welcher Betrag höher ist (siehe auch Wie Bußgelder bei Datenschutzverletzungen berechnet werden). Die CCPA-Strafen sind viel geringer - Geldstrafen von 2.500 bis 7.500 US-Dollar pro Verstoß und Geldstrafen von 100 bis 750 US-Dollar für Einzelpersonen pro Verstoß.
Die Datenschutz-Grundverordnung betrachtet die Einzelperson, während der CCPA die Einzelperson und den Haushalt berücksichtigt. Während die Vorschriften der DSGVO für Einzelpersonen gelten, deckt der CCPA einen breiteren Bereich ab. Personenbezogene Daten sind nach der Definition des CCPA „Informationen, die einen bestimmten Verbraucher oder Haushalt identifizieren, sich auf ihn beziehen, ihn beschreiben, mit ihm in Verbindung gebracht werden können oder vernünftigerweise direkt oder indirekt mit ihm in Verbindung gebracht werden könnten“.