California Consumer Protection Act (CCPA): Verpflichtungen für Service Provider auch in Europa

von Dr. Axel Spies, veröffentlicht am 11.11.2019

Den CCPA hatten wir im Blog schon hier und zuletzt in ZD-Aktuell 2019, 06781, ZD-Aktuell 2018, 04318. Trotz diverser Abstriche ist der CCPA so etwas wie das kalifornische Gegenstück zur DS-GVO. Viele Unternehmen hier in den USA (und weltweit) sind derzeit mit der Umsetzung beschäftigt – Stichtag 01.01.20. Deutsche Unternehmen sind möglicherweise vom CCPA direkt betroffen, weil – ähnlich wie die DS-GVO (Art. 3) – die Anwendbarkeit des CCPA nicht davon abhängt, ob das Unternehmen in Kalifornien einen Sitz oder Zweigniederlassung hat.

Hier noch ein interessanter Aspekt: Deutsche Unternehmen, die Dienste an Gesellschaften mit Geschäft in Kalifornien erbringen (Service Provider) könnten es indirekt mit dem CCPA zu tun bekommen.

Die umständlich formulierte Definition  der „Service Provider“ im CCPA hat einige Parallelen zum Konzept der Auftragsverarbeitung nach der DS_GVO: Cal Code 1798.140 (v):

“Service provider” means a sole proprietorship, partnership, limited liability company, corporation, association, or other legal entity that is organized or operated for the profit or financial benefit of its shareholders or other owners, that processes information on behalf of a business and to which the business discloses a consumer’s personal information for a business purpose pursuant to a written contract, provided that the contract prohibits the entity receiving the information from retaining, using, or disclosing the personal information for any purpose other than for the specific purpose of performing the services specified in the contract for the business, or as otherwise permitted by this title, including retaining, using, or disclosing the personal information for a commercial purpose other than providing the services specified in the contract with the business.”

Für den Service Provider hat der CCPA konkret u.a. folgende Auswirkungen:

  1. Gemäß dem CCPA und dem Entwurf der CCPA-Regeln des Generalstaatsanwalts muss der zugrundeliegende Vertrag mit dem Service Provider explizit das Verbot beinhalten, dass die personenbezogenen Daten aus Kalifornien für einen anderen Zweck als den spezifischen Zweck der Erbringung der im Vertrag für das Unternehmen festgelegten Dienstleistungen oder wie anderweitig nach dem CCPA zulässig verwandt werden.

  2. Ein Verbraucher in Kalifornien kann Anfragen direkt an einen Service Provider richten, um herauszufinden welche von ihnen gesammelten Informationen, die Art und Weise, wie weitergegeben werden und wie sie verwendet werden. Gemäß dem Entwurf eines vom Generalstaatsanwalt herausgegebenen CCPA-Regeln kann der Service Provider dem Auskunftsersuchen entweder selbst nachkommen oder ihn ablehnen und den Verbraucher darüber informieren, den Antrag direkt an den Auftraggeber zu richten. Es besteht also zumindest ein Bearbeitungszwang.

  3. Der Service Provider darf die von einem Verbraucher oder Unternehmen erhaltenen personenbezogenen Daten nicht für andere Zwecke als vereinbart verwenden. Er darf diese Daten allerdings kombinieren oder auswerten, um Vorfälle der Datensicherheit zu erkennen oder vor betrügerischen oder illegalen Aktivitäten zu schützen.Eine Verwendung in vollständig anonymisierter oder aggregierter Form ist zulässig.

Zu beachten ist, dass auf die in der EU gespeicherten Daten dann sowohl der CCPA als auch die DS-GVO anwendbar sind, weil es nach der DS-GVO nicht auf die Herkunft oder die Nationalität der Betroffenen ankommt. Das ist für Auftragnehmer vielleicht nicht so schlimm, könnte aber für deutsche Unternehmen, die Verantwortliche sind, zu einigen rechtlichen Balanceakten führen, wenn das Unternehmen (auch) Zugriff auf Daten kalifornischer Verbraucher hat.

Haben Sie schon ihre Verträge entsprechend angepasst und Vorkehrungen für die o.a. Anfragen aus Kalifornien getroffen? Gibt es Erfahrungen?

 

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

Kommentare als Feed abonnieren

Kommentar hinzufügen

/