Wir beleuchten den CCPA und vergleichen seine Regelungen mit denen der DS-GVO.
California Consumer Privacy Act (CCPA)
Einleitung
Da in den föderal organisierten USA der Bereich des Datenschutzes primär in den Aufgaben- und Zuständigkeitsbereich der Bundesstaaten fällt, existiert derzeit auf Bundesebene kein mit der Datenschutz-Grundverordnung (DS-GVO) vergleichbares Gesetz zur umfassenden Regelung des Datenschutzes. In der Hinsicht nimmt der Bundesstaat Kalifornien eine Außenseiter- und Vorreiterrolle ein. Der kalifornische Gesetzgeber hat mit dem „California Consumer Privacy Act“ (CCPA) ein Gesetz erlassen, das den Verbrauchern ein bis dato unbekanntes Datenschutzniveau gewähren soll. In Kraft treten wird das Gesetz zum 1. Januar 2020 (Gesetzestext: hier abrufbar).
Neben der Tatsache, dass der CCPA ausgerechnet in der Heimat diverser Silicon Valley-Giganten entstand, ist vor allen Dingen bemerkenswert, dass das Gesetz von einer Bürgerinitiative ausging. Dies spiegelt unmissverständlich das Interesse der Bürger an einem funktionierenden Datenschutzsystem zur Steuerung des Umgangs mit personenbezogenen Informationen wider. Im Gegensatz zu früheren Versuchen, in den USA den Datenschutz im Bewusstsein von Unternehmen und Verbrauchern zu verankern, konnte der kalifornische Gesetzgeber rund um den „Cambridge Analytica“- Skandal die Gunst der Stunde nutzen, den Verbraucherschutz diverser kritischer Stimmen zum Trotz zu etablieren.
Anwendungsbereich der CCPA
Der CCPA entfaltet Wirkung gegenüber allen Unternehmen, die personenbezogene Informationen von kalifornischen Verbrauchern verarbeiten. Das Unternehmen muss dabei nicht in Kalifornien ansässig sein. Somit können neben amerikanischen auch europäische Unternehmen in den Geltungsbereich des CCPA fallen (s.g. Marktortprinzip), welche bspw. über das Internet in Kaliforniern Waren oder Dienstleistungen anbieten. Indirekt dürfte das Gesetz zudem für Service Provider gelten, welche den kalifornischen Markt als adressierende Kunden haben. Von der Anwendung ausgenommen sind Unternehmen nur, wenn sie die personenbezogenen Daten zu einem Zeitpunkt erhoben haben, an dem sich der Verbraucher außerhalb von Kalifornien aufgehalten hat, kein Teil des Verkaufs bzw. der Weitergabe der personenbezogenen Daten in Kalifornien erfolgte und keine personenbezogenen Daten verkauft wurden, die vom Verbraucher zu einer Zeit erhoben wurden als er in Kalifornien befindlich war (Section 1798.145 (a) (6)).
Anwendbar ist der CCPA nur für Unternehmen, welche mindestens einen der folgenden Schwellenwerte erreichen (Section 1798.140 (c) (1) (A) – (C)):
- jährliche Bruttoeinnahmen von mehr als USD 25 Millionen,
- Verarbeitung von personenbezogenen Informationen im Umfang von 50.000 oder mehr Verbrauchern, Haushalten oder Gerätschaften, die von in Kalifornien ansässigen Personen stammen, für geschäftliche Zwecke des Unternehmens,
- der Gewinn des Unternehmens resultiert zu 50 % oder mehr aus den jährlichen Einnahmen durch den Verkauf von personenbezogenen Informationen.
Im Rahmen letzter Gesetzestextänderungen hat der Assembly Bill No. 25 vom 11. Oktober 2019 personenbezogene Daten, die über eine Person als Bewerber, Mitarbeiter, Eigentümer, Direktor, leitender Angestellter, medizinischer Angestellter oder Auftragnehmer dieses Unternehmens verarbeitet werden sowie personenbezogene Daten, die ausschließlich zum Zwecke der Aufrechterhaltung von Notfallkontakten gesammelt und verwendet wurden und schließlich personenbezogene Daten, die ausschließlich zur Verwaltung von Leistungen an die Angehörigen einer Person gesammelt und verwendet wurden, bis zum 1. Januar 2021 von der Anwendung der CCPA freigestellt.
Vergleich DS-GVO und CCPA
In der Sache betrifft der CCPA überwiegend den Verbraucherschutzbereich. Die DS-GVO enthält dagegen umfassende Vorgaben hinsichtlich der Einhaltung und richtigen Umsetzung des Datenschutzes. Im CCPA sind beispielsweise keine Angaben zur Benennung eines Datenschutzbeauftragten zu finden.
Einwilligung
Ein fundamentaler Unterschied wird bei Betrachtung der Bestimmungen deutlich, welche den Verkauf von personenbezogenen Daten regeln. Während nach der DS-GVO regelmäßig eine ausdrückliche Einwilligung des Verbrauchers in die Weitergabe erforderlich ist, genügt nach dem CCPA ein Widerruf (Opt-out). Section 1798.135 (a) (1) bestimmt, dass Unternehmen einen deutlich sichtbaren Link auf ihrer Webseite mit dem Titel „Do Not Sell My Personal Information“(Verkaufen Sie meine personenbezogenen Daten nicht) darstellen müssen, der den Verkauf der personenbezogenen Daten untersagt. Wenn Kinder zu den Verbrauchern gehören, gelten strengere Regeln. Kinder im Alter zwischen 13 und 16 Jahren müssen ausdrücklich ihre Einwilligung geben. Bei Kindern unter 12 Jahren entscheidet der Erziehungsberechtigte.
Dies hat vor allem auf Werbetreibende Auswirkungen. Zwar muss im Gegensatz zur DS-GVO kein Cookie-Banner mit Einwilligungsmöglichkeit auf der Webseite eingeblendet werden. Da aber auch der CCPA Cookies (First-Party und Third-Party-Cookies) als personenbezogene Daten klassifiziert, können Verbraucher nun durch die gesetzlich vorgeschriebene Opt-out-Möglichkeit verhindern, dass Werbetreibende mithilfe von Tracking passende Produktplatzierungen anzeigen können. Dies kann bei Websitebetreibern zu einer erheblichen Reduktion von Werbeeinnahmen führen. In der Folge könnte die Qualität von kostenfreien Angeboten sinken und/oder „Paywalls“ zur Finanzierung installiert werden.
Personenbezogene Daten
In Bezug auf die Definition der „Personenbezogenen Daten“ (Englisch: personal information) ähneln sich beide Gesetze. Der CCPA versteht darunter alle Informationen, die „einen Verbraucher oder Haushalt identifizieren, sich darauf beziehen, beschreiben, in der Lage sind diesem zugeordnet zu werden, oder vernünftigerweise direkt oder indirekt mit einem bestimmten Verbraucher oder Haushalt verknüpft werden können“ (“Personal information” means information that identifies, relates to, describes, is capable of being associated with, or could reasonably be linked, directly or indirectly, with a particular consumer or household“) (Section 1798.140 (o) (1)).
Vor allem der letzte Teil der Norm ist interessant, da dieser über die Definition der DS-GVO hinausgeht. Damit wird nicht nur der einzelne Verbraucher vor Missbrauch seiner Daten geschützt, sondern zum Beispiel auch seine Familie, wenn sie einen Haushalt bildet und sich von etwaigen Haushalts- und Gerätedaten Rückschlüsse auf den Haushalt ziehen lassen sollten.
In Section 1798.140 (o) (1) (A) – (K) werden beispielhaft Indikatoren aufgezählt, die sämtliche kommerzielle Informationen im Hinblick auf die Kaufhistorie und die Konsumtendenzen, Internet- oder andere elektronische Netzwerkaktivitäten wie den Browserverlauf, Interaktionen mit Apps, Webseiten etc., Geolokalisierungsdaten und Interferenzen erfassen, die sich aus anderen personenbezogenen Daten ergeben, um ein Verbraucherprofil zu erstellen, das Präferenzen, Verhaltensweisen und Merkmale beschreibt.
Im Unterschied zur DS-GVO bestimmt der CCPA in Section 1798.140 (o) (2), dass allgemein zugängliche Daten, die sich bei staatlichen Stellen befinden, nicht vom Anwendungsbereich des CCPA erfasst sind. Auch sieht der CCPA, im Gegensatz zur DS-GVO (Art. 9 Abs. 1), keinen erhöhten Schutz für sensible Datenkategorien, wie die politische Meinung oder sexuelle Orientierung des Einzelnen, vor.
Rechte der Verbraucher in Kalifornien nach CCPA
Neben mit der DS-GVO vergleichbaren Informationspflichten finden sich im CCPA mit EU-Niveau vergleichbare Betroffenenrechte wieder. Zu nennen sind die Rechte auf Auskunft und Kopie eines „spezifischen Teils“ der Daten, das Recht auf Vergessenwerden, das Recht auf Nicht-Diskriminierung und nicht zuletzt das oben genannte Opt-out-Recht, um den Verkauf personenbezogener Daten an Dritte zu verhindern.
Recht auf Löschung / „Vergessenwerden“ – Section 1798.105
Der CCPA gewährt dem Verbraucher ein großzügiges Recht zur Löschung seiner personenbezogenen Daten. Dafür ist – anders als in Art. 17 Abs. 1 lit. a) – f) DS-GVO – keine normierte Voraussetzung notwendig. Bereits der Wunsch des Verbrauchers reicht nach der CCPA aus. Dies kann das Unternehmen nur bei Vorliegen einem der in Section 1798.105 (d) (1) – (9) aufgezählten Gründe verweigern, zum Beispiel im Falle der Erforderlichkeit der Nutzung der personenbezogenen Informationen im Rahmen eines Vertragsverhältnisses.
Recht auf Auskunftserteilung – Section 1798.110, 1798.115
Ein Unternehmen kann vom Verbraucher verpflichtet werden, Angaben bezüglich der Art und den von einer Speicherung explizit betroffenen personenbezogenen Informationen offen zu legen. Unabdingbar ist auch die Mitteilung des Speicherungszwecks als auch die Benennung der Unternehmen, bei denen eine Datenerhebung vorgenommen wurde. Dies ist vergleichbar mit dem Recht auf Datenportabilität aus Artt. 13, 14 DS-GVO.
Recht auf Opt-out – Section 1798.120
Wie oben erwähnt, erfordert der CCPA im Gegensatz zur DS-GVO keine ausdrückliche Einwilligung des Verbrauchers. Die Verbraucher haben jedoch das Recht den Verkauf oder die Offenlegung ihrer persönlichen Informationen zu verhindern. Eine Weitergabe ist grundsätzlich nur mit ausdrücklicher Zustimmung durchzuführen. Wählt ein Verbraucher die Opt-out-Möglichkeit muss das Unternehmen dies respektieren und darf erst nach zwölf Monaten erneut versuchen eine Einwilligung einzuholen (Section 1798.135 (a) (5)).
Recht auf Gleichbehandlung – Section 1798.125
Der CCPA weist ausdrücklich darauf hin, dass Verbraucher von Unternehmen nicht aufgrund der Tatsache diskriminiert werden dürfen, weil sie die ihnen durch den CCPA zugesprochenen Rechte
auch tatsächlich geltend machen. In der Hinsicht ist der CCPA mit der DS-GVO identisch, die es ebenfalls Unternehmen verbietet, Verbraucher zu diskriminieren, die ihre Rechte geltend machen wollen.
Recht auf Datenübertragbarkeit – Section 1798.130
Durch das Recht auf Datenübertragbarkeit wird gewährleistet, dass die betroffene Person die Daten, die sie einem Unternehmen zur Verfügung gestellt hat, nach einer Anfrage in einem tragbaren und soweit technisch durchführbar in einem leicht verwendbaren Format erhält, um diese Informationen ungehindert an andere Unternehmen übermitteln zu können. Das Unternehmen muss dem innerhalb von 25 Tagen unentgeltlich nachkommen. Anders als in der DS-GVO, wo nicht explizit geregelt ist, welchen zeitlichen Rahmen das Auskunftsrecht aus Art. 15 DS-GVO abdeckt (siehe Blogartikel), gilt der Auskunftsanspruch der CCPA gem. Section 1798.130 (a) (2) nur für die letzten zwölf Monate.
Klagerecht – Section 1798.150 (a) (1)
Um die genannten Rechte durchzusetzen, steht den Verbrauchern in Kalifornien ein Klagerecht zu. Eine Privatperson kann nur gegen ein Unternehmen gerichtlich vorgehen, wenn personenbezogene unverschlüsselte (nonencrypted) und nicht-unerkenntliche (nonredacted) Daten widerrechtlich in Umlauf gekommen sind und das Unternehmen nicht seiner Pflicht nachgekommen ist, für ein angemessenes Sicherheitsniveau zu sorgen. In allen anderen Fällen ist nur der Generalstaatsanwalt zur Klageerhebung befugt. Die DS-GVO ermöglicht hingegen Betroffenen grundsätzlich gem. Art. 79 DS-GVO gegen jede Rechtsverletzung gerichtlich vorzugehen.,
Pflichten für Unternehmen
Unternehmen sind angehalten, entsprechende Maßnahmen zur Umsetzung des CCPA vorzunehmen. Im Fokus steht hierbei die Anpassung der Datenschutzbestimmungen. Den Unternehmen obliegt gegenüber den Verbrauchern die Pflicht zur Mitteilung der Kategorien der personenbezogenen Informationen, die von der Speicherung betroffen sind. Die Verbraucher müssen darüber hinaus über die Ihnen aus dem CCPA zustehenden Rechte in Kenntnis gesetzt werden.
Zwar kennt der CCPA keine Auftragsdatenverarbeitung wie die DS-GVO, jedoch regelt Section 1798.140 (v) die sogenannten “Service provider”, also Verarbeiter, die im Auftrag eines in Kalifornien ansässigen Unternehmens Dienstleistungen erbringen. Die Voraussetzungen sind zwar nicht so umfangreich wie in Art. 28 DS-GVO, jedoch gleichen sich beide dahingehend, dass personenbezogene Daten nicht für einen anderen als den vereinbarten Zweck verwendet werden dürfen:
“Service provider” means a sole proprietorship, partnership, limited liability company, corporation, association, or other legal entity that is organized or operated for the profit or financial benefit of its shareholders or other owners, that processes information on behalf of a business and to which the business discloses a consumer’s personal information for a business purpose pursuant to a written contract, provided that the contract prohibits the entity receiving the information from retaining, using, or disclosing the personal information for any purpose other than for the specific purpose of performing the services specified in the contract for the business, or as otherwise permitted by this title, including retaining, using, or disclosing the personal information for a commercial purpose other than providing the services specified in the contract with the business.
Dieser Passus muss in dem geschlossenen Vertrag enthalten sein. Zwar schreibt der CCPA keine den Artt. 28, 32 DS-GVO vergleichbare detaillierte Auflistung von Technischen und Organisatorischen Maßnahmen vor, jedoch folgt aus Section 17898.150 (a) (1) „Any consumer whose nonencrypted or nonredacted personal information, as defined in subparagraph (A) of paragraph (1) of subdivision (d) of Section 1798.81.5, is subject to an unauthorized access and exfiltration, theft, or disclosure as a result of the business’ violation of the duty to implement and maintain reasonable security procedures and practices appropriate to the nature of the information to protect the personal information may institute a civil action for any of the following:”, dass ein Unternehmen strafrechtlichen Sanktionen ausgesetzt ist, wenn personenbezogene unverschlüsselte (nonencrypted) und nicht-unerkenntliche (nonredacted) Daten widerrechtlich in Umlauf gekommen sind und das Unternehmen nicht seiner Pflicht nachgekommen ist, für ein angemessenes Sicherheitsniveau zu sorgen, so dass ein Unternehmen selbst Sorge dafür tragen muss, wirksame Sicherheitsstandards zu finden.
Folgen bei Rechtsverstößen
Bei Zuwiderhandlungen in Form einer vorsätzlichen Verletzung der Datenschutzpflichten gegen den CCPA ist eine Strafe in Höhe von USD 7.500,00 zu zahlen.
Eine Strafe kann nur dann verhindert werden, wenn das Unternehmen innerhalb von 30 Tagen die Forderungen des Verbrauchers erfüllt. Liegt eine fahrlässige Verletzung vor, so wird eine Strafzahlung in Höhe von USD 2.500,00 fällig. Normiert ist zudem ein gesetzlicher Schadensersatz von USD 100,00 bis USD 750,00 pro Einwohner und Vorfall, sollten Unternehmen aufgrund mangelhafter Datensicherheit Opfer von Datendiebstahl oder anderen Formen des Datenverlusts werden. Bei größeren Unternehmen mit einer Vielzahl von Kunden können sich Datenpannen – Imageschäden außer Betracht gelassen – somit schnell zu Millionenbeträgen summieren.
Fazit
Der CCPA dürfte eine deutliche Verbesserung für die Rechte und Freiheiten kalifornischer Verbraucher mit sich bringen. Den Bürgern Kaliforniens wird durch den CCPA die Möglichkeit eröffnet, über die Form des Umgangs mit ihren personenbezogenen Daten selbst frei zu entscheiden. Besteht der Wunsch nach Löschung der Daten oder der Verhinderung des Datenverkaufs, so ist der Bürger berechtigt die aus dem CCPA resultierenden Rechte geltend zu machen. Eine konsequente Anwendung des CCPA kann Vertrauen beim Verbraucher erzeugen, möglicherweise mit dem Effekt, dass dieser in Zukunft eher bereit ist, personenbezogene Daten herauszugeben, wenn er im Gegenzug qualitativ hochwertige Dienste nutzen kann.
Der CCPA sieht sich jedoch auch Kritik ausgesetzt – insbesondere die kalifornischen Internetfirmen sehen ihre Handlungsfähigkeit eingeschränkt und den Wirtschaftsstandort Kalifornien gefährdet. Diese wollen die Gefahr und die damit einhergehenden Konsequenzen eines Datenmissbrauchs nicht einsehen. Ihrer Auffassung nach kann die Handlungsfähigkeit Kaliforniens in ihrer Rolle als Wirtschaftsstandort möglicherweise beeinträchtigt werden. Diese Unternehmen fordern eine entsprechende Anpassung des Gesetzes, welches den Eintritt der zuvor genannten Bedenken verhindert.
Auch datenschutzrechtlich gibt es Bedenken. Im Gegensatz zum Unionsrecht setzt der CCPA keine den Artikeln 44 ff. DS-GVO vergleichbare Gleichwertigkeit ausländischer Datenschutzregime voraus. Damit unterliegt der Transfer personenbezogener Daten aus Kalifornien in die EU – anders als aus der EU in die USA – keinen besonderen gesetzlichen Anforderungen. Ohne ein „angemessenes Schutzniveau” im Sinne der DS-GVO wird der Datentransfer aus der EU in Richtung Kalifornien vorläufig nicht privilegiert zu behandeln sein.
Somit obliegt es der US-Regierung auch auf Bundesebene ein Datenschutzsystem zu entwickeln, welches sich durchaus am CCPA als zentralem Leitbild orientieren kann, aber gleichzeitig auch den strengen Anforderungen der DS-GVO in Bezug auf den Datenaustausch personenbezogener Daten von EU-Bürgern mit den USA gerecht wird.
Dies wäre wünschenswert, da mit dem EU-US Privacy Shield zwar ein Nachfolgeabkommen für das durch den EuGH für unwirksam erklärte Safe Harbour-Abkommen existiert. Dessen Wirksamkeit ist umstritten, aber nur indirekt auf dem Prüfstand vor dem EuGH. Siehe dazu: den Blogbeitrag zur Stellungnahme des EU-Generalstaatsanwalts vom 19. Dezember 2019.