Kalifornischer Consumer Privacy Act (CCPA) – Zertifizierung nach DS-GVO reicht nicht

von Dr. Axel Spies, veröffentlicht am 18.10.2019
Rechtsgebiete: WirtschaftsrechtComplianceDatenschutzrecht5|2812 Aufrufe

Hier in den USA bereiten sich viele Unternehmen intensiv auf das Inkrafttreten des kalifornischen CCPA am 01.01. vor.  Der CCPA dürfte als Standard für die USA wegweisend sein, auch wenn weiterhin nicht klar ist, ob und wann es zu einem Bundesdatenschutzgesetz kommt und was evtl. dann dort geregelt ist. Im Staat New York wird derzeit ein eigenes Privacy-Gesetz diskutiert.

Vgl. zum Hintergrund des CCPA auf Deutsch:

  • USA: Neues kalifornisches Datenschutzgesetz CCPA als Vorreiter: ZD-Aktuell 2018, 04318

  • (Neu:) Änderungen und Klarstellungen zum California Consumer Privacy Act (CCPA) beschlossen: ZD-Aktuell 2019, 06781.

Um es noch einmal klar zu sagen: Der CCPA könnte auch und gerade auch für deutsche Unternehmen mit Business in Kalifornien einschlägig sein, wenn eine der folgenden drei Schwellen überschritten ist:

  • Das Unternehmen hat einen jährlichen Bruttoumsatz von mehr als US-$ 25 Mio. oder
  • das Unternehmen kauft jährlich, erhält, verkauft oder übermittelt für kommerzielle Zwecke personenbezogene Informationen von zusammengerechnet 50.000 oder mehr Verbrauchern, Haushalten oder Geräten oder
  • das Unternehmen generiert mindestens 50 % seiner jährlichen Einnahmen aus dem Verkauf von personenbezogenen Informationen von Verbrauchern.

Neueste Entwicklung zum CCPA:

In dem neuen Initial Statement of Reasons des Attorney General von Kalifornien (ISOR) steht noch einmal klipp und klar, dass die Behörde eine Freistellung (Safe Harbor) vom CCPA für Unternehmen, die GDPR-konform sind, "erwogen und abgelehnt" hat.  Der Generalstaatsanwalt begründet das damit, dass der „CCPA und die DS-GVO unterschiedliche Anforderungen, unterschiedliche Definitionen und unterschiedliche Anwendungsbereiche haben.“ Die Gründe seien u.a., dass (1) der CCPA die Erhebung personenbezogener Daten ohne ausdrückliche Zustimmung nicht verbietet; (2) die DS-GVO kein Recht auf Opt-out biete, was ein "Kernrecht" des CCPA sei und (3) die DS-GVO sowohl für öffentliche als auch für private Unternehmen gilt, während der CCPA nur für bestimmte Arten von Unternehmen anwendbar ist.  Der Attorney General von Kalifornien stellt daher fest, dass ein GDPR-Safe Harbor den Zwecken des CCPA nicht förderlich sei. 

Man kann über die Stichhaltigkeit der Begründung geteilter Meinung sein. Wichtig ist, dass Unternehmen sich nicht auf ihren „DS-GVO- Lorbeeren“ ausruhen können, sondern mit dem CCPA neue Compliance-Herausforderungen zu bewältigen sind – und das sehr bald.

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

5 Kommentare

Kommentare als Feed abonnieren

Beide Gesetze sind sehr unterschiedlich - insoweit ist die Unterscheidung konsequent. Kalifornien hat z.B. keine unabhängige Datenschutzbehörde. 

0

Kurzer Nachtrag: Gouverneur Gavin Newsom hat heute die Gesetzesänderungen (Amendments) zum CCPA unterzeichnet, so dass das Gesetz, wie geplant, mit diesen Änderungen zum 01.01.20 pünktlich in Kraft treten kann.  

Nevadas neues Datenschutzgesetz 220, das am 1. Oktober in Kraft getreten ist, ist vermutlich, zumindest was die Durchsetzung angeht, bedeutsamer als der CCPA.  Das Gesetz umfasst nicht nur umfassendere Anforderungen an den Datenzugriff und die Transparenz, die im CCPA geregelt sind - es enthält auch viel engere Definitionen der wichtigsten gesetzlichen Begriffe („Verkauf“, „Betreiber“ usw.). Bei Nichteinhaltung des Gesetzes kann Generalstaatsanwalt bis zu 5.000 Dollar pro Verstoß als Strafe verhängen. Solange es kein Bundesgesetz gibt, wier es bei diesem Flickenteppich bleiben.

Hier ein etwas bizarres Statement des Attorney General von Kalifornien, Xavier Becerra, warum das Gesetz schon zum 01.01.20 anwendbar ist, auch wenn er es praktisch erst ab dem 01.07.20 durchsetzt: “If that were [the case], then you could murder someone today and if we couldn’t figure out who did it for a month, would that mean you get to go scot-free? I don’t think so [...] “The law’s the law.” Jedenfalls gibt es die Möglichkeit der privaten Durchsetzung schon am dem 01.01. Ein neuer Antrag für ein Volksbegehren zur Schaffung einer unabängigen Datenschutzbehörde für Kalifornien ist auch in der Welt. Spannend. 

0

Kommentar hinzufügen