CCPA: Was die kalifornische Version der DSGVO f�r europ�ische Marketer bedeutet

Bild: Waugsberg

19.11.2019 - Am 01.01.2020 tritt das Datenschutzgesetz 'California Consumer Privacy Act' (CCPA) in Kraft. Zentrales Ziel ist die Herstellung von Transparenz im Bereich der Datenverarbeitung. Warum ein kalifornisches Gesetz Auswirkungen auf deutsche Unternehmen hat und welche Unterschiede es zur DSGVO gibt:

von Matthias Bendixen und Dominik Zaniewicz

Da in den f�deral organisierten USA der Bereich des Datenschutzes prim�r in den Aufgaben- und Zust�ndigkeitsbereich der Bundesstaaten f�llt, existiert derzeit auf Bundesebene kein mit der Datenschutz-Grundverordnung (DSGVO) vergleichbares Gesetz zur umfassenden Regelung des Datenschutzes. In der Hinsicht nimmt der Bundesstaat Kalifornien eine Au�enseiter- und Vorreiterrolle ein. Der kalifornische Gesetzgeber hat mit dem 'California Consumer Privacy Act' (CCPA) ein Gesetz erlassen, das den Verbrauchern ein bis dato unbekanntes Datenschutzniveau gew�hren soll. In Kraft treten wird das Gesetz zum 1. Januar 2020.

Neben der Tatsache, dass der CCPA ausgerechnet in der Heimat diverser Silicon Valley-Giganten entstand, ist vor allen Dingen bemerkenswert, dass das Gesetz von einer B�rgerinitiative ausging. Dies spiegelt unmissverst�ndlich das Interesse der B�rger an einem funktionierenden Datenschutzsystem zur Steuerung des Umgangs mit personenbezogenen Informationen wider. Im Gegensatz zu fr�heren Versuchen, in den USA den Datenschutz im Bewusstsein von Unternehmen und Verbrauchern zu verankern, konnten B�rgerinitiative und Gesetzgeber rund um den "Cambridge Analytica"- Skandal die Gunst der Stunde nutzen, den Verbraucherschutz diverser kritischer Stimmen zum Trotz zu etablieren.

Anwendungsbereich des CCPA

Der CCPA entfaltet Wirkung gegen�ber allen Unternehmen, die personenbezogene Informationen von kalifornischen Verbrauchern verarbeiten. Das Unternehmen muss dabei nicht in Kalifornien ans�ssig sein. Somit k�nnen neben amerikanischen auch europ�ische Unternehmen in den Geltungsbereich des CCPA fallen (s.g. Marktortprinzip), welche beispielsweise �ber das Internet in Kalifornien Waren oder Dienstleistungen anbieten. Indirekt d�rfte das Gesetz zudem f�r Service Provider gelten, welche den kalifornischen Markt als adressierende Kunden haben. Von der Anwendung ausgenommen sind also Unternehmen, wenn sie die personenbezogenen Daten zu einem Zeitpunkt erhoben haben, an dem sich der Verbraucher au�erhalb von Kalifornien aufgehalten hat, kein Teil des Verkaufs bzw. der Weitergabe der personenbezogenen Daten in Kalifornien erfolgte und keine personenbezogenen Daten verkauft wurden, die vom Verbraucher zu einer Zeit erhoben wurden als er in Kalifornien befindlich war (Section 1798.145 (a) (6)).

Anwendbar ist der CCPA nur f�r Unternehmen, welche mindestens einen der folgenden Schwellenwerte erreichen (Section 1798.140 (c) (1)):

j�hrliche Bruttoeinnahmen von mehr als USD 25 Millionen,
Verarbeitung von personenbezogenen Informationen im Umfang von 50.000 oder mehr Verbrauchern, Haushalten oder Ger�tschaften, die von in Kalifornien ans�ssigen Personen stammen, f�r gesch�ftliche Zwecke des Unternehmens oder
der Gewinn des Unternehmens resultiert zu 50 Prozent oder mehr aus den j�hrlichen Einnahmen durch den Verkauf von personenbezogenen Informationen.

Im Rahmen letzter Gesetzestext�nderungen hat der Assembly Bill No. 25 vom 11. Oktober 2019 personenbezogene Daten, die �ber eine Person als Bewerber, Mitarbeiter, Eigent�mer, Direktor, leitender Angestellter, medizinischer Angestellter oder Auftragnehmer dieses Unternehmens verarbeitet werden sowie personenbezogene Daten, die ausschlie�lich zum Zwecke der Aufrechterhaltung von Notfallkontakten gesammelt und verwendet wurden und schlie�lich personenbezogene Daten, die ausschlie�lich zur Verwaltung von Leistungen an die Angeh�rigen einer Person gesammelt und verwendet wurden, bis zum 1. Januar 2021 von der Anwendung des CCPA freigestellt (Section 1798.145 (g)).

Vergleich DSGVO und CCPA

Im Gegensatz zu der den Datenschutz umfassend regelnden DSGVO betrifft der CCPA in der Sache �berwiegend den Verbraucherschutz. Vergeblich sucht man im CCPA Bestimmungen zur Benennung eines betrieblichen Datenschutzbeauftragten. Auch ist die Einrichtung einer Aufsichtsbeh�rde zur �berwachung des Datenschutzes vorerst nicht geplant.

Ein fundamentaler Unterschied wird bei Betrachtung der Bestimmungen deutlich, welche den Verkauf von personenbezogenen Daten regeln. W�hrend nach der DSGVO regelm��ig eine ausdr�ckliche Einwilligung des Verbrauchers in die Weitergabe erforderlich ist, gen�gt nach dem CCPA ein Widerruf (Opt-out). Section 1798.135 (a) (1) bestimmt, dass Unternehmen einen deutlich sichtbaren Link auf ihrer Webseite mit dem Titel "Do Not Sell My Personal Information" (Verkaufen Sie meine personenbezogenen Daten nicht) darstellen m�ssen, der den Verkauf der personenbezogenen Daten untersagt. Wenn Kinder zu den Verbrauchern geh�ren, gelten strengere Regeln. Kinder im Alter zwischen 13 und 16 Jahren m�ssen ausdr�cklich ihre Einwilligung geben. Bei Kindern unter 12 Jahren entscheidet der Erziehungsberechtigte.

Dies hat vor allem auf Werbetreibende Auswirkungen. Da auch der CCPA Cookies (First-Party und Third-Party-Cookies) als personenbezogene Daten klassifiziert, k�nnen Verbraucher nun durch die gesetzlich vorgeschriebene Opt-out-M�glichkeit verhindern, dass Werbetreibende mithilfe von Tracking passende Produktplatzierungen anzeigen k�nnen. Dies kann bei Websitebetreibern zu einer erheblichen Reduktion von Werbeeinnahmen f�hren. In der Folge k�nnte die Qualit�t von kostenfreien Angeboten sinken und/oder "Paywalls" zur Finanzierung eingesetzt werden.

Mit EU-Niveau vergleichbar sind neben den im CCPA angelegten Informationspflichten die nun vom kalifornischen Gesetzgeber vorgesehenen Verbraucherrechte. Zu nennen sind die Rechte auf Auskunft und Kopie eines "spezifischen Teils" der Daten, das Recht auf Vergessenwerden, das Recht auf Nicht-Diskriminierung und nicht zuletzt das oben genannte Opt-out-Recht, um den Verkauf personenbezogener Daten an Dritte zu verhindern.

Im Gegensatz zum Unionsrecht setzt der CCPA keine den Artikeln 44 ff. DSGVO vergleichbare Gleichwertigkeit ausl�ndischer Datenschutzregime voraus. Damit unterliegt der Transfer personenbezogener Daten aus Kalifornien in die EU - anders als aus der EU in die USA - keinen besonderen gesetzlichen Anforderungen.

Folgen bei Rechtsverst��en

Bei Zuwiderhandlungen in Form einer vors�tzlichen Verletzung der Datenschutzpflichten gegen den CCPA ist eine Strafe in H�he von USD 7.500 zu zahlen. Eine Strafe kann nur dann verhindert werden, wenn das Unternehmen innerhalb von 30 Tagen die Forderungen des Verbrauchers erf�llt. Liegt eine fahrl�ssige Verletzung vor, so wird eine Strafzahlung in H�he von USD 2.500,00 f�llig. Normiert ist zudem ein gesetzlicher Schadensersatz von USD 100,00 bis USD 750,00 pro Einwohner und Vorfall, sollten Unternehmen und somit auch deren Kunden aufgrund mangelhafter Datensicherheit Opfer von Datendiebstahl oder anderen Formen des Datenverlusts werden. Bei gr��eren Unternehmen mit einer Vielzahl von Kunden k�nnen sich Datenpannen - Imagesch�den au�er Betracht gelassen - somit schnell zu Millionenbetr�gen summieren.

Fazit

Der CCPA d�rfte eine deutliche Verbesserung f�r die Rechte und Freiheiten kalifornischer Verbraucher mit sich bringen. Eine konsequente Anwendung des CCPA kann Vertrauen beim Verbraucher erzeugen, m�glicherweise mit dem Effekt, dass dieser in Zukunft eher bereit ist, personenbezogene Daten herauszugeben, wenn er im Gegenzug qualitativ hochwertige Dienste nutzen kann.
Kritisiert wird das Gesetz wie erwartet von den kalifornischen Internetriesen, die ihre Handlungsf�higkeit eingeschr�nkt und den Wirtschaftsstandort Kalifornien gef�hrdet sehen.
Von einem "angemessenen Schutzniveau" im Sinne der DSGVO d�rfte jedoch auch Kalifornien noch ein St�ck weit entfernt sein. Grund hierf�r d�rften wenig strenge Fristen zur Behebung von Datenpannen, der fehlende Grundsatz vom "Verbot mit Erlaubnisvorbehalt" und nicht zuletzt die oben beschriebene Opt-Out-Regelung zum Verkauf personenbezogener Daten sein. Somit obliegt es der US-Regierung auch auf Bundesebene ein Datenschutzsystem zu entwickeln, welches sich durchaus am CCPA als zentralem Leitbild orientieren kann, aber gleichzeitig auch den strengen Anforderungen der DSGVO in Bezug auf den Datenaustausch personenbezogener Daten von EU-B�rgern mit den USA gerecht wird.

�ber die Autoren: Rechtsanwalt Matthias Bendixen und wissenschaftlicher Mitarbeiter Dominik Zaniewicz arbeiten bei der auf IT- und Datenschutzrecht spezialisierten Rickert Rechtsanwaltsgesellschaft mbH in Bonn.

Diskussion:

Kommentar hinzuf�gen
Schreiben Sie Ihre Meinung, Erfahrung, Anregung mit oder zu diesem Thema. Ihr Beitrag erscheint dann an dieser Stelle.

Vortr�ge zum Thema:

Bild: Markus B�ckle

Markus B�ckle (econda GmbH)

Die Herausforderungen im Datenschutz 2023 bew�ltigen

Datenschutzkonforme Personalisierungs- und Analyticsl�sungen werden f�r die Zukunft immer wichtiger. Wir zeigen Dir, welche M�glichkeiten Du 2023 einsetzen musst, willst Du nicht mit der Zukunft Deines Unternehmens spielen.

Diese Herausforderungen gibt es 2023 durch den Datenschutz:
- Wie Personalisierung und Analysesoftware Dein Fachpersonal entlasten k�nnen.
- Wie Du das Kostenargument bew�ltigst
- Wieso 2023 der Einsatz von Google Analytics rechtlich bedenklich ist und von vielen Kunden auch schlicht abgelehnt wird.
- Wie Du Deinen Datenbestand datenschutzkonform selbst aufbaust statt ihn an US-Anbieter zu veschenken
Vortrag im Rahmen der Zukunftskonferenz 2023. Trends f�r ECommerce, Marketing und digitales Business am 07.12.22, 10:05 Uhr

eBakery

Die eCommerce Agentur f�r Ihren digitalen Erfolg: Von der Planung bis zum Live-Betrieb Ihrer Idee sind wir als 360 Grad eCommerce Agentur stets an Ihrer Seite. Sie haben schon einen Shop? Dann optimieren wir ihn um Sie ganz nach vorne zu bringen. …