Bisher war die Meinung vorherrschend, dass der Datenschutz in den USA nicht so ernst genommen wird. Nicht so in Kalifornien. Wir zeigen Ihnen welche Auswirkungen das auf Europa hat. [...]
Aktuell gibt es in den USA kein einheitliches Gesetz, das mit der DSGVO vergleichbar wäre. Der Datenschutz fällt in den Aufgabenbereich der einzelnen Bundesstaaten.
Der Bundesstaat Kalifornien hat am 28.06.2019 das Datenschutzgesetz „California Consumer Privacy Act“ (CCPA) erlassen, das zum 1.1.2020 in Kraft treten wird. Im Zentrum des Gesetzes steht der Schutz der Verbraucher im Bereich des Umgangs mit personenbezogenen Informationen.
The California Consumer Privacy Act
In manchen Punkten ähneln die Bestimmungen der DSGVO. Es gibt aber auch wesentliche Unterschiede. Z.B. gibt es keine Definition zum Begriff „Betroffener“ wie in Art. 4 DSGVO, dafür wird der Verbraucher definiert
- Residuals (Menschen, die ihren ordentlichen Wohnsitz in Kalifornien haben)
- Haushalte und
- Konsumenten
Das Marktortprinzip ist auch im Rahmen des CCPA einzuhalten. Dies bedeutet, dass der CCPA von allen (auch ausländischen) Unternehmen, die in Kalifornien geschäftlich tätig sind einzuhalten ist, sofern sie dabei einen der folgenden Schwellenwerte erreichen
- jährliche Bruttoeinnahmen von mehr als 50 Millionen $,
- Verarbeitung von personenbezogenen Informationen im Umfang von 50.000 oder mehr Verbrauchern, Haushalten oder Gerätschaften, die von in Kalifornien ansässigen Personen stammen und für geschäftliche Zwecke des Unternehmens genutzt werden oder
- der Gewinn des Unternehmens zu 50 % oder mehr durch den Verkauf von personenbezogenen Informationen erwirtschaftet wird.
Auswirkungen auf Technologie-Unternehmen
Die in der DSGVO ebenfalls implizit verankerten Grundsatze werden in den Geschäftsprozessen der Anbieter von Produkten mit CCPA bezogener Datenverarbeitung zu berücksichtigen sein.
Dies sind etwa:
- „Transparenz der Verarbeitung personenbezogene Daten“ (CCPA: Transparency on how products and services process personal data)
- „Adäquate Sicherheitsmaßnahmen zum Schutz der personenbezogenen Daten“ (CCPA: Adequacy of implemented information security
- Weitergabe von personenbezogenen Daten (CCPA: Third party access and use of underlying personal data)
- Regelmäßige Überprüfung der Verarbeitung von personenbezogenen Daten (CCPA: Governance, oversight and continuous adaptation)
Zusätzlich zur DSGVO sind anhand des Anwendungsbereichs „Haushalte“ auch Geräte, die Daten generieren, beispielsweise Geodaten zu den Herstellern schicken und damit den Haushalt identifizieren, miteingeschlossen. Damit ergeben sich rasch Auswirkungen auf derartige Geschäftsmodelle, die im Sinne der Prozess-Digitalisierung von den Herstellern in den dahinter liegenden Geschäftsprozessen zu berücksichtigen sein werden.
Don’t sell my data
Eine Besonderheit gibt es im CCPA: Jede Webseite muss folgenden Button verpflichtend beinhalten:
Klickt der User diesen Button an, sind folgende Regeln einzuhalten:
- Ab Klick auf den Button dürfen keine neuen Daten des „Betroffenen“ mehr gespeichert werden.
- Daten, die bisher gesammelt wurden, dürfen weiterhin verwendet werden (z.B: Newsletter).
- Der Button bedeutet keine Löschungsaufforderung (Das Löschen von Daten ist gar nicht vorgesehen.
Eine Woche für ein Gesetz
Das Gesetz wurde innerhalb einer Woche geschrieben und beschlossen. Wie kam es zu dieser Eile? Auslöser war eine Art Volkbegehren mit über 600.000 Zustimmung. Wenn diese Anzahl an Bürgern überschritten wird, treten die Regelungen der Bürgerbewegung nach Ablauf einer bestimmten Frist automatisch in Kraft. Um das zu verhindern, hat das Parlament diese Frist genutzt und CCPA beschlossen.
Es liegt auf der Hand, dass CPA Fehler und Lücken aufweist. Deshalb wird es bis zum Inkrafttreten noch einige Überarbeitungen geben!
Ziele des CCPA
Ein wesentliches Ziel bestand in der Eindämmung des Handels mit personenbezogenen Daten. Das Gesetz bietet alle Verbraucher Kaliforniens diesen Handel einzuschränken, zu verbieten bzw. über die Form des Umgangs mit ihren personenbezogenen Daten selbst frei zu entscheiden.
Bei einem Verstoß im Sinne einer vorsätzlichen Verletzung der Datenschutzpflichten aus Sicht der CCPA ist eine Strafe in Höhe von USD 7.500 zu zahlen. Die Strafe kann nur dann verhindert werden, wenn das Unternehmen innerhalb von 30 Tagen die Forderungen des Verbrauchers erfüllt. Liegt eine fahrlässige Verletzung vor, so wird eine Strafzahlung in Höhe von USD 2.500 fällig.
Auf diese Weise soll der Datenschutz in Kalifornien gewährleistet werden. Es wird die Zukunft zeigen, ob die US-Regierung auch auf Bundesebene ein Datenschutzsystem entwickelt, und dem CCPA im Sinne eines Leitbilds orientiert.
* Der Artikel wird zur Verfügung gestellt von
DSGVO Datenschutz Ziviltechniker GmbH
Be the first to comment