Don’t sell my data: Nur mehr 2 Monate bis zum „Datenschutz in Kalifornien“

Bisher war die Meinung vorherrschend, dass der Datenschutz in den USA nicht so ernst genommen wird. Nicht so in Kalifornien. Wir zeigen Ihnen welche Auswirkungen das auf Europa hat. [...]

Datenschutz auch in Kalifornien (c) Pixabay
Datenschutz auch in Kalifornien (c) Pixabay

Aktuell gibt es in den USA kein einheitliches Gesetz, das mit der DSGVO vergleichbar wäre. Der Datenschutz fällt in den Aufgabenbereich der einzelnen Bundesstaaten. 

Der Bundesstaat Kalifornien hat am 28.06.2019 das Datenschutzgesetz „California Consumer Privacy Act“ (CCPA) erlassen, das zum 1.1.2020 in Kraft treten wird. Im Zentrum des Gesetzes steht der Schutz der Verbraucher im Bereich des Umgangs mit personenbezogenen Informationen.

The California Consumer Privacy Act 

In manchen Punkten ähneln die Bestimmungen der DSGVO. Es gibt aber auch wesentliche Unterschiede. Z.B. gibt es keine Definition zum Begriff „Betroffener“ wie in Art. 4 DSGVO, dafür wird der Verbraucher definiert 

  • Residuals (Menschen, die ihren ordentlichen Wohnsitz in Kalifornien haben)
  • Haushalte und
  • Konsumenten

Das Marktortprinzip ist auch im Rahmen des CCPA einzuhalten. Dies bedeutet, dass der CCPA von allen (auch ausländischen) Unternehmen, die in Kalifornien geschäftlich tätig sind einzuhalten ist, sofern sie dabei einen der folgenden Schwellenwerte erreichen

  • jährliche Bruttoeinnahmen von mehr als 50 Millionen $,
  • Verarbeitung von personenbezogenen Informationen im Umfang von 50.000 oder mehr Verbrauchern, Haushalten oder Gerätschaften, die von in Kalifornien ansässigen Personen stammen und für geschäftliche Zwecke des Unternehmens genutzt werden oder
  • der Gewinn des Unternehmens zu 50 % oder mehr durch den Verkauf von personenbezogenen Informationen erwirtschaftet wird.

Auswirkungen auf Technologie-Unternehmen 

Die in der DSGVO ebenfalls implizit verankerten Grundsatze werden in den Geschäftsprozessen der Anbieter von Produkten mit CCPA bezogener Datenverarbeitung zu berücksichtigen sein. 

Dies sind etwa:

  • „Transparenz der Verarbeitung personenbezogene Daten“ (CCPA: Transparency on how products and services process personal data)
  • „Adäquate Sicherheitsmaßnahmen zum Schutz der personenbezogenen Daten“ (CCPA: Adequacy of implemented information security
  • Weitergabe von personenbezogenen Daten (CCPA: Third party access and use of underlying personal data)
  • Regelmäßige Überprüfung der Verarbeitung von personenbezogenen Daten (CCPA: Governance, oversight and continuous adaptation)

Zusätzlich zur DSGVO sind anhand des Anwendungsbereichs „Haushalte“ auch Geräte, die Daten generieren, beispielsweise Geodaten zu den Herstellern schicken und damit den Haushalt identifizieren, miteingeschlossen. Damit ergeben sich rasch Auswirkungen auf derartige Geschäftsmodelle, die im Sinne der Prozess-Digitalisierung von den Herstellern in den dahinter liegenden Geschäftsprozessen zu berücksichtigen sein werden.

Don’t sell my data

Eine Besonderheit gibt es im CCPA: Jede Webseite muss folgenden Button verpflichtend beinhalten:

Klickt der User diesen Button an, sind folgende Regeln einzuhalten:

  • Ab Klick auf den Button dürfen keine neuen Daten des „Betroffenen“ mehr gespeichert werden. 
  • Daten, die bisher gesammelt wurden, dürfen weiterhin verwendet werden (z.B: Newsletter).
  • Der Button bedeutet keine Löschungsaufforderung (Das Löschen von Daten ist gar nicht vorgesehen.

Eine Woche für ein Gesetz

Das Gesetz wurde innerhalb einer Woche geschrieben und beschlossen. Wie kam es zu dieser Eile? Auslöser war eine Art Volkbegehren mit über 600.000 Zustimmung. Wenn diese Anzahl an Bürgern überschritten wird, treten die Regelungen der Bürgerbewegung nach Ablauf einer bestimmten Frist automatisch in Kraft. Um das zu verhindern, hat das Parlament diese Frist genutzt und CCPA beschlossen.

Es liegt auf der Hand, dass CPA Fehler und Lücken aufweist. Deshalb wird es bis zum Inkrafttreten noch einige Überarbeitungen geben!

Ziele des CCPA

Ein wesentliches Ziel bestand in der Eindämmung des Handels mit personenbezogenen Daten. Das Gesetz bietet alle Verbraucher Kaliforniens diesen Handel einzuschränken, zu verbieten bzw. über die Form des Umgangs mit ihren personenbezogenen Daten selbst frei zu entscheiden. 

Bei einem Verstoß im Sinne einer vorsätzlichen Verletzung der Datenschutzpflichten aus Sicht der CCPA ist eine Strafe in Höhe von USD 7.500 zu zahlen. Die Strafe kann nur dann verhindert werden, wenn das Unternehmen innerhalb von 30 Tagen die Forderungen des Verbrauchers erfüllt. Liegt eine fahrlässige Verletzung vor, so wird eine Strafzahlung in Höhe von USD 2.500 fällig.

Auf diese Weise soll der Datenschutz in Kalifornien gewährleistet werden. Es wird die Zukunft zeigen, ob die US-Regierung auch auf Bundesebene ein Datenschutzsystem entwickelt, und dem CCPA im Sinne eines Leitbilds orientiert.

* Der Artikel wird zur Verfügung gestellt von 

DSGVO Datenschutz Ziviltechniker GmbH

www.dsgvo-zt.at


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*