Ca­li­for­nia Consumer Privacy Act (CCPA): Inhalt, Ziele und Aus­wir­kun­gen

In den USA gibt es, anders als in Deutsch­land und seit der 2018 in Kraft ge­tre­te­nen neuen DSGVO auch in der EU, kein ein­heit­li­ches Da­ten­schutz­ge­setz. Statt­des­sen gelten einzelne Gesetze für die ver­schie­de­nen Bereiche des Lebens wie den Handel oder das Ge­sund­heits­we­sen – aus­schließ­lich auf Bun­des­staa­ten be­schränk­te Gesetze tun ihr Übriges dafür, dass es schwierig ist, alle re­le­van­ten Re­ge­lun­gen im Auge zu behalten.

Die Gesetze auf US-bun­des­staat­li­cher Ebene sind seit dem 1. Januar 2020 um einen Vertreter reicher: Mit dem Ca­li­for­nia Consumer Privacy Act (CCPA) ist an diesem Tag nämlich ein aus­schließ­lich für Ka­li­for­ni­en geltendes Gesetz in Kraft getreten, das den Schutz per­so­nen­be­zo­ge­ner Daten ka­li­for­ni­scher Bürger regelt. Was genau steckt dahinter und wen betrifft der CCPA?

Beim Ca­li­for­nia Consumer Privacy Act (CCPA) handelt es sich um ein im Juni 2018 ver­ab­schie­de­tes und am 1. Januar 2020 in Kraft ge­tre­te­nes Da­ten­schutz­ge­setz des US-ame­ri­ka­ni­schen Bun­des­staa­tes Ka­li­for­ni­en, das den Umgang mit per­so­nen­be­zo­ge­nen Daten im Ver­brau­cher­be­reich regelt. Es gewährt allen in Ka­li­for­ni­en lebenden Personen das Recht,

• zu wissen, ob und welche Daten über sie gesammelt werden,
• zu erfahren, ob ihre Daten verkauft bzw. an andere Personen bzw. Un­ter­neh­men wei­ter­ge­ge­ben werden,
• die über sie ge­sam­mel­ten In­for­ma­tio­nen jederzeit ein­zu­se­hen,
• den Verkauf bzw. die Wei­ter­ga­be per­sön­li­cher Daten zu un­ter­sa­gen und
• ein Un­ter­neh­men zur Löschung der über sie ge­sam­mel­ten Daten auf­zu­for­dern.

Die auf­ge­zähl­ten Punkte des Ca­li­for­nia Consumer Privacy Acts sind dabei durch alle Un­ter­neh­men, Dienst­leis­ter und ge­winn­ori­en­tier­ten Ein­rich­tun­gen zu ge­währ­leis­ten, die per­so­nen­be­zo­ge­ne Daten sammeln, ge­schäft­lich in Ka­li­for­ni­en tätig sind (auch un­ab­hän­gig von Un­ter­neh­mens­sitz!) und darüber hinaus einen oder mehrere der folgenden Punkte erfüllen:

1. Der Jah­res­um­satz (Brutto) beträgt 25 Millionen US-Dollar oder mehr.
2. Im Jahr werden per­so­nen­be­zo­ge­ne Daten von 50.000 oder mehr Kunden, Haus­hal­ten oder netz­werk­fä­hi­gen Geräten in Ka­li­for­ni­en zu kom­mer­zi­el­len Zwecken verwendet (Erhebung, Kauf, Verkauf oder sonstige Wei­ter­ga­be).
3. Mehr als die Hälfte des Jah­res­um­sat­zes stammt aus dem Verkauf per­so­nen­be­zo­ge­ner Daten von ka­li­for­ni­schen Kunden, Haus­hal­ten oder netz­werk­fä­hi­gen Geräten.

Der Schutz per­sön­li­cher Kun­den­da­ten wird in den USA bei Weitem nicht so groß­ge­schrie­ben wie in Deutsch­land oder der rest­li­chen EU. Die Erhebung von Daten, die weit über das benötigte Maß hin­aus­ge­hen, sowie die Wei­ter­ga­be ge­sam­mel­ter In­for­ma­tio­nen an Dritte gehören im Land der un­be­grenz­ten Mög­lich­kei­ten seit Jahren zur gängigen Praxis. Im Zuge des von Facebook ver­ur­sach­ten „Ca­me­bridge Analytica“-Skandals, der im Jahr 2018 unter anderem dazu führte, dass viele Nutzer ihren Account bei dem sozialen Netzwerk löschten, nahm eine Bür­ger­initia­ti­ve unter der Leitung des Im­mo­bi­li­en­ent­wick­lers Alastair Mac­tag­gart das Schicksal in die eigenen Hände und er­ar­bei­te­te gemeinsam mit Ge­set­zes­ge­bern den Ca­li­for­nia Consumer Privacy Act, um der­ar­ti­gen Da­ten­miss­brauchs­fäl­len durch mehr Trans­pa­renz in der Da­ten­er­he­bung, -ver­ar­bei­tung und -wei­ter­ga­be den Kampf anzusagen.

Der CCPA ver­pflich­tet Un­ter­neh­men mit Sitz Ka­li­for­ni­en auch dann zu stren­ge­rem Da­ten­schutz, wenn gar keine Daten von Ka­li­for­ni­ern, sondern bei­spiels­wei­se aus­schließ­lich In­for­ma­tio­nen von Nutzern aus anderen US-Bun­des­staa­ten oder aus Europa erhoben werden. Damit geht der Zweck der Ver­ord­nung weit über das Re­gu­lie­ren innerhalb der eigenen Staats­gren­zen hinaus.

Das neue ka­li­for­ni­sche Da­ten­schutz­ge­setz soll das per­sön­li­che Datengut der ka­li­for­ni­schen Be­völ­ke­rung und – insofern es der Fir­men­sitz hergibt – welt­wei­ter Ver­brau­cher so gut wie möglich schützen. Aus diesem Grund enthält es sowohl De­fi­ni­tio­nen der Be­trof­fe­nen­rech­te als auch Ab­schnit­te über die Pflichten aller Un­ter­neh­men und Dienst­leis­ter, für die der Ca­li­for­nia Consumer Privacy Act gilt.

Die ent­schei­den­den Be­trof­fe­nen­rech­te, die Sie auch (in eng­li­scher Fassung) auf der of­fi­zi­el­len In­for­ma­ti­ons­sei­te über die aktuelle ka­li­for­ni­sche Ge­setz­ge­bung nachlesen können, sind in der folgenden Auf­lis­tung zu­sam­men­ge­fasst:

1. Recht auf Aus­kunfts­er­tei­lung (CCPA Section 1798.100, 1798.110, 1798.115): Dank dem Auskunfts- bzw. In­for­ma­ti­ons­recht können Kunden jederzeit In­for­ma­tio­nen über die Spei­che­rung und Ver­wen­dung ihrer per­so­nen­be­zo­ge­nen Daten einholen. Unter anderem erfahren sie so, welche Art von Daten erhoben und wozu diese verwendet oder an welche Dritt­par­tei­en sie wei­ter­ge­ge­ben werden.
2. Recht auf Löschung (CCPA Section 1798.105): Grund­sätz­lich räumt der Ca­li­for­nia Consumer Privacy Act dem Ver­brau­cher das Recht auf „Ver­ges­sen­wer­den“ ein, wodurch er sämtliche von einem Un­ter­neh­men bzw. Dienst­leis­ter erhobenen Daten zu seiner Person löschen lassen kann. In be­stimm­ten Fällen, die in den Absätzen (d), (1) bis (9) fest­ge­hal­ten sind, kann dieses Recht jedoch ver­wei­gert werden – bei­spiels­wei­se, wenn die Nutzung der per­so­nen­be­zo­ge­nen Daten im Rahmen eines Ver­trags­ver­hält­nis­ses er­for­der­lich ist.
3. Recht auf Opt-out (CCPA Section 1798.120): Der neue ka­li­for­ni­sche Ge­set­zes­ent­wurf gibt Ver­brau­chern außerdem die Mög­lich­keit, sich gegen einen Verkauf der per­sön­li­chen Daten an Dritte bzw. eine Of­fen­le­gung zu ent­schei­den. Diese Ent­schei­dung wird auch als Opt-out (dt. aus­stei­gen, abmelden) be­zeich­net.

Die Aufgabe von Un­ter­neh­men und Dienst­leis­tern, die an den Ca­li­for­nia Consumer Privacy Act gebunden sind, besteht darin, die zuvor be­schrie­be­nen Rechte der Ver­brau­cher zu achten und ent­spre­chen­de Vor­keh­run­gen zu treffen. An erster Stelle steht hierbei die In­for­ma­ti­ons­pflicht darüber, dass Daten erhoben werden und welche Rechte und Mög­lich­kei­ten Ver­brau­cher in Bezug auf diese sensiblen In­for­ma­tio­nen dank des CCPAs besitzen. Macht ein Ver­brau­cher von seinem Aus­kunfts­recht Gebrauch, sind u. a. folgende In­for­ma­tio­nen preis­zu­ge­ben:

• Kategorie(n) der ge­sam­mel­ten Daten
• Quellen der ge­sam­mel­ten Daten
• Zweck der Da­ten­samm­lung
• Ge­schäfts­fel­der Dritter, an die Daten wei­ter­ge­lei­tet werden
• die erhobenen Daten selbst

Darüber hinaus sollten Ver­ant­wort­li­che die passenden Vor­aus­set­zun­gen schaffen, damit Ver­brau­cher jederzeit weitere Rechte in Anspruch nehmen können, etwa sämtliche Daten löschen zu lassen oder die Da­ten­wei­ter­ga­be an Dritte zu un­ter­sa­gen. Kon­takt­adres­sen bzw. -formulare oder ent­spre­chen­de Buttons (bei Web­pro­jek­ten) gehören zum absoluten Pflicht­pro­gramm, um CCPA-konform zu sein.

Außerdem enthält der Ca­li­for­nia Consumer Privacy Act ein Dis­kri­mi­nie­rungs­ver­bot (CCPA Section 1798.125), an das sich Un­ter­neh­men und Dienst­leis­ter ebenfalls zu halten haben. Dieses sieht vor, dass Ver­brau­cher keinerlei Nachteile – z. B. schlech­te­re Preis­kon­di­tio­nen oder ein ge­rin­ge­res Service-Level – erleiden dürfen, wenn sie ihre Rechte geltend machen. Umgekehrt besteht aber die Mög­lich­keit, die Preisgabe bzw. Erlaubnis zur Ver­wen­dung ge­sam­mel­ter per­sön­li­cher Daten in an­ge­mes­se­nem Maße zu belohnen. Diese Belohnung muss dem Wert ent­spre­chen, den die Daten für das Un­ter­neh­men bzw. den Dienst­leis­ter besitzen.

Wer gegen den Ca­li­for­nia Consumer Privacy Act verstößt und auf eine ent­spre­chen­de Ver­let­zung hin­ge­wie­sen wird, hat einen Zeitraum von 30 Tagen, um diesen Umstand aus der Welt zu schaffen. Bleibt es bei der Miss­ach­tung, droht eine Zi­vil­stra­fe in Höhe von 2.500 US-Dollar für jeden Verstoß bzw. 7.500 US-Dollar für jeden vor­sätz­li­chen Verstoß (CCPA Section 1798.155). Wie erwähnt ist für die Bewertung und Voll­stre­ckung des je­wei­li­gen Falls aus­schließ­lich das Büro des Ge­ne­ral­staats­an­walts von Ka­li­for­ni­en zuständig. Sämtliche auf diese Weise ge­ne­rier­ten Erlöse werden dabei in den so­ge­nann­ten Consumer Privacy Fund (CCPA Section 1798.160) ein­ge­zahlt, der mit der Absicht ein­ge­rich­tet wurde, sämtliche Kosten, die im Zu­sam­men­hang mit Verstößen gegen den Ca­li­for­nia Consumer Privacy Act entstehen, ab­zu­de­cken.

Der Ca­li­for­nia Consumer Privacy Act schützt die Pri­vat­sphä­re aller ka­li­for­ni­schen Bürger, indem er ihnen gegenüber Un­ter­neh­men und Dienst­leis­tern bis dato nicht vor­han­de­ne Rechte gewährt, die nah an die deutschen bzw. eu­ro­päi­schen Da­ten­schutz­richt­li­ni­en her­an­kom­men. Da das Da­ten­schutz­ge­setz aber auch au­to­ma­tisch für alle großen Ein­rich­tun­gen, Un­ter­neh­men usw. gilt, die in Ka­li­for­ni­en ansässig sind und Daten erheben, geht der Wir­kungs­ra­di­us weit über die Bun­des­staa­ten­gren­zen hinaus. Auf diese Weise pro­fi­tie­ren nämlich nicht nur ka­li­for­ni­sche Ver­brau­cher, sondern Kunden aus aller Welt von den Rechten und Vor­schrif­ten des CCPA.

Aus Un­ter­neh­mens­sicht sieht die Sachlage sehr ähnlich aus: Sammelt man Daten von ka­li­for­ni­schen Bürgern oder ist man gar in Ka­li­for­ni­en be­hei­ma­tet bzw. ge­schäft­lich tätig, un­ter­liegt man auch sämt­li­chen Pflichten, die der Ca­li­for­nia Consumer Privacy Act mit sich bringt – es sei denn, man erfüllt keine der bereits oben genannten Be­din­gun­gen (25 Mio. US-Dollar Jah­res­um­satz, Hälfte des Jah­res­um­sat­zes aus per­so­nen­be­zo­ge­nen Daten, mehr als 50.000 Kun­den­da­ten von Ka­li­for­ni­ern). Zu­sätz­lich gilt der CCPA natürlich auch für alle Firmen, Or­ga­ni­sa­tio­nen und Ein­rich­tun­gen, die Kun­den­da­ten mit ka­li­for­ni­schen Un­ter­neh­men aus­tau­schen.

Das neue ka­li­for­ni­sche Da­ten­schutz­ge­setz weist in vielen Punkten starke Ge­mein­sam­kei­ten mit der DSGVO auf, der seit 2018 geltenden Da­ten­schutz­ver­ord­nung der Eu­ro­päi­schen Union (EU). So liegt beiden Ver­ord­nun­gen das Markt­ort­prin­zip zugrunde: Nicht nur orts­an­säs­si­ge Firmen und Dienst­leis­ter, sondern alle, die ge­schäft­lich in der EU bzw. in Ka­li­for­ni­en tätig sind, un­ter­lie­gen der je­wei­li­gen Ge­setz­ge­bung.

Auch hin­sicht­lich der Be­trof­fe­nen­rech­te – Aus­kunfts­er­tei­lung, Löschung, Opt-out – verfolgen beide Ver­ord­nun­gen die gleichen Ziele. Die DSGVO geht al­ler­dings deutlich weiter ins Detail und enthält im Gegensatz zum Ca­li­for­nia Consumer Privacy Act aus­führ­li­che In­for­ma­tio­nen zur Umsetzung und Ein­hal­tung des Da­ten­schut­zes (u. a. exklusiv: ob­li­ga­to­ri­sche Benennung eines Da­ten­schutz­be­auf­trag­ten). Zudem setzt die DSGVO den Fokus nicht aus­schließ­lich auf Ver­brau­cher, sondern schließt auch den B2B-Bereich (Business-to-Business) mit ein.

Eine Be­son­der­heit des CCPA ist die Ein­stu­fung von Haushalts- und Ge­rä­te­da­ten als per­so­nen­be­zo­ge­ne Daten, da diese prin­zi­pi­ell dazu verwendet werden können, einen Zu­sam­men­hang zu einem Ver­brau­cher her­zu­stel­len. In der DSGVO-De­fi­ni­ti­on per­so­nen­be­zo­ge­ner Daten sind derartige In­for­ma­tio­nen nicht enthalten.

Bitte beachten Sie den recht­li­chen Hinweis zu diesem Artikel.