USA: Kalifornien bringt neue Datenschutzbehörde CPPA auf den Weg
von , veröffentlicht am 23.03.2021Die USA werden in der EU häufig dafür kritisiert, dass sie nicht über unabhängige Datenschutzbehörden verfügen. Unabhängig davon, ob dem wirklich so ist – in Kalifornien dürfte sich das Bild so oder so sehr bald ändern:
Die fünf Board-Mitglieder der neuen Datenschutzbehörde CPPA gemäß dem neuen California Privacy Rights Act vom November 2020 wurden 17.03.2021 von kalifornischen Regierungsvertretern bekannt gegeben: Es handelt sich um:
- Jennifer Urban, Rechtsprofessorin an der University of California, Berkeley (Vorsitzende),
- John Thompson Senior Vice President of Government Relations, LA 2028,
- Angela Sierra, California Chief Assistant Attorney General of the Public Rights,
- Lydia de la Torre, Rechtsanwältin, und
- Vinhcent Le, Greenlining Institute.
Vgl. zum California Privacy Rights Act Spies, ZD-Aktuell 2020, 04407. Die CPPA wird einige Monate brauchen, bevor sie einsatzfähig ist, aber ein Anfang ist gemacht. Bislang wird die Datenschutzaufsicht von der kalifornischen Justizbehörde, dem Generalstaatsanwalt, ausgeübt. Dier Ernennungen werden bei Privacy-Experten positiv aufgenommen. Die CPPA wird nach dem neuen Recht über erhebliche Befugnisse verfügen - ähnlich wie europäische Datenschutzbehörden. Insofern betrifft die CPPA auch europäische Unternehmen, die in Kalifornien tätig sind.
Die Board-Mitglieder werden nun sehr bald mehrere Mitarbeiter einstellen, einschließlich eines Geschäftsführers (Executive Director) und einen angemessenen Personalunterbau.
Fest im Visier der CPPA ist der 01.07.22 - der Termin für die Fertigstellung der CPRA-Regelungen (Verordnungen usw.), um den Unternehmen ausreichend Zeit zu geben, alle gesetzlichen und regulatorischen Vorgaben vor seinem Inkrafttreten am 01.01.23 zu erfüllen.
Die CPPA-Regelungen werden vermutlich ein breiteres Feld abdecken als die bestehenden CCPA-Regelungen des kalifornischen Generalstaatsanwalts. In Gespräch sind neuen Vorschriften zum Opt-out für kontextübergreifende verhaltensbezogene Werbung, Opt-outs und Zugriffsrechte für automatisierte Entscheidungsfindungstechnologien sowie detailliertere Regeln für die Ausübung der neuem CCPA-Verbraucherrechte.
Was meinen Sie? Wird sich diese Entwicklung positiv auf die Verhandlungen zur Nachfolge des vom EuGH gekippten Privacy Shield auswirken. Ist vielleicht sogar ein Angemessenheitsbeschluss der EU-Kommission nur für Kalifornien nach Art. 45 DS-GVO denkbar?
Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben
2 Kommentare
Kommentare als Feed abonnierenIch bin gespannt, denn im Art. 45 Abs.1 DSGVO steht ja schwarz auf weiß:
"Eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation darf vorgenommen werden, wenn die Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet ("territory") oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet."
Kalifornien ist zweifelsohne ein Territory - ich kann mir aber nicht gut vorstellen, dass die KOM Kalifornien Angemessenheit zuspricht, New York oder Florida aber nicht. Obwohl so was vielleicht politisch ein Zeichen setzen würde.
Kalifornien ist in vielerlei Hinsicht fortschrittlicher als der Rest der USA.
Jedoch gibt es dort nicht nur kalifornische Gesetze und Behörden, sondern es greifen daneben auch US-Bundesgesetze, und US-Bundesbehörden sind dort selbstverständlich auch tätig, und natürlich auch nicht stets verbraucherfreundliche private Enterpises, wie etwa z.B. Facebook.