Kalifornischer Consumer Privacy Act (CCPA) – Zertifizierung nach DS-GVO reicht nicht

von Dr. Axel Spies, veröffentlicht am 18.10.2019
Rechtsgebiete: WirtschaftsrechtComplianceDatenschutzrecht7|5997 Aufrufe

Hier in den USA bereiten sich viele Unternehmen intensiv auf das Inkrafttreten des kalifornischen CCPA am 01.01. vor.  Der CCPA dürfte als Standard für die USA wegweisend sein, auch wenn weiterhin nicht klar ist, ob und wann es zu einem Bundesdatenschutzgesetz kommt und was evtl. dann dort geregelt ist. Im Staat New York wird derzeit ein eigenes Privacy-Gesetz diskutiert.

Vgl. zum Hintergrund des CCPA auf Deutsch:

  • USA: Neues kalifornisches Datenschutzgesetz CCPA als Vorreiter: ZD-Aktuell 2018, 04318

  • (Neu:) Änderungen und Klarstellungen zum California Consumer Privacy Act (CCPA) beschlossen: ZD-Aktuell 2019, 06781.

Um es noch einmal klar zu sagen: Der CCPA könnte auch und gerade auch für deutsche Unternehmen mit Business in Kalifornien einschlägig sein, wenn eine der folgenden drei Schwellen überschritten ist:

  • Das Unternehmen hat einen jährlichen Bruttoumsatz von mehr als US-$ 25 Mio. oder
  • das Unternehmen kauft jährlich, erhält, verkauft oder übermittelt für kommerzielle Zwecke personenbezogene Informationen von zusammengerechnet 50.000 oder mehr Verbrauchern, Haushalten oder Geräten oder
  • das Unternehmen generiert mindestens 50 % seiner jährlichen Einnahmen aus dem Verkauf von personenbezogenen Informationen von Verbrauchern.

Neueste Entwicklung zum CCPA:

In dem neuen Initial Statement of Reasons des Attorney General von Kalifornien (ISOR) steht noch einmal klipp und klar, dass die Behörde eine Freistellung (Safe Harbor) vom CCPA für Unternehmen, die GDPR-konform sind, "erwogen und abgelehnt" hat.  Der Generalstaatsanwalt begründet das damit, dass der „CCPA und die DS-GVO unterschiedliche Anforderungen, unterschiedliche Definitionen und unterschiedliche Anwendungsbereiche haben.“ Die Gründe seien u.a., dass (1) der CCPA die Erhebung personenbezogener Daten ohne ausdrückliche Zustimmung nicht verbietet; (2) die DS-GVO kein Recht auf Opt-out biete, was ein "Kernrecht" des CCPA sei und (3) die DS-GVO sowohl für öffentliche als auch für private Unternehmen gilt, während der CCPA nur für bestimmte Arten von Unternehmen anwendbar ist.  Der Attorney General von Kalifornien stellt daher fest, dass ein GDPR-Safe Harbor den Zwecken des CCPA nicht förderlich sei. 

Man kann über die Stichhaltigkeit der Begründung geteilter Meinung sein. Wichtig ist, dass Unternehmen sich nicht auf ihren „DS-GVO- Lorbeeren“ ausruhen können, sondern mit dem CCPA neue Compliance-Herausforderungen zu bewältigen sind – und das sehr bald.

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

7 Kommentare

Kommentare als Feed abonnieren

Beide Gesetze sind sehr unterschiedlich - insoweit ist die Unterscheidung konsequent. Kalifornien hat z.B. keine unabhängige Datenschutzbehörde. 

0

Kurzer Nachtrag: Gouverneur Gavin Newsom hat heute die Gesetzesänderungen (Amendments) zum CCPA unterzeichnet, so dass das Gesetz, wie geplant, mit diesen Änderungen zum 01.01.20 pünktlich in Kraft treten kann.  

Nevadas neues Datenschutzgesetz 220, das am 1. Oktober in Kraft getreten ist, ist vermutlich, zumindest was die Durchsetzung angeht, bedeutsamer als der CCPA.  Das Gesetz umfasst nicht nur umfassendere Anforderungen an den Datenzugriff und die Transparenz, die im CCPA geregelt sind - es enthält auch viel engere Definitionen der wichtigsten gesetzlichen Begriffe („Verkauf“, „Betreiber“ usw.). Bei Nichteinhaltung des Gesetzes kann Generalstaatsanwalt bis zu 5.000 Dollar pro Verstoß als Strafe verhängen. Solange es kein Bundesgesetz gibt, wier es bei diesem Flickenteppich bleiben.

Hier ein etwas bizarres Statement des Attorney General von Kalifornien, Xavier Becerra, warum das Gesetz schon zum 01.01.20 anwendbar ist, auch wenn er es praktisch erst ab dem 01.07.20 durchsetzt: “If that were [the case], then you could murder someone today and if we couldn’t figure out who did it for a month, would that mean you get to go scot-free? I don’t think so [...] “The law’s the law.” Jedenfalls gibt es die Möglichkeit der privaten Durchsetzung schon am dem 01.01. Ein neuer Antrag für ein Volksbegehren zur Schaffung einer unabängigen Datenschutzbehörde für Kalifornien ist auch in der Welt. Spannend. 

0

Es bleibt noch anzumerken, dass die Pflichten eines "Business", das ein Auskunftsersuchen nach dem CCPA erhält, von den Auskunftspflichten nach der DS-GVO  stark abweichen.

Die CCPA Regulations stellen klar, dass ein Unternehmen bestimmte persönliche Daten nicht an einen Verbraucher weitergeben darf, wenn die Weitergabe ein erhebliches, nachvollziehbares und unangemessenes Risiko für die Sicherheit dieser persönlichen Daten, das Konto des Verbrauchers beim Unternehmen oder die Sicherheit der Systeme oder Netzwerke des Unternehmens mit sich bringt. Das heißt insbesondere, dass ein Unternehmen zu keinem Zeitpunkt die Sozialversicherungsnummer des Verbrauchers, die Führerscheinnummer oder andere staatlich ausgestellte ID-Nummern, Steuernummern, Krankenversicherungs- oder medizinische ID-Nummern, Konto-Passwörter oder Sicherheitsfragen und -Antworten offenlegen darf.

Darüber hinaus muss das Unternehmen angemessene Sicherheitsmaßnahmen ergreifen, wenn es persönliche Daten an einen Verbraucher als Reaktion auf eine Anfrage übermittelt. Wenn das Unternehmen beispielsweise ein passwortgeschütztes Konto beim Verbraucher unterhält, muss es dem Verbraucher die Antwort auf eine Anfrage (z.B. über ein Portal)  ebenfalls mit Passwortschutz zur Verfügung stellen. Das Unternehmen darf auch nur auf eine Anfrage antworten, die auf einem angemessenen Niveau auf ihre Authentizität überprüft worden ist (was an sich schon nach dem CCPA kompliziert genug ist).

guten Tag,

beziehen sich die 25 Mio USD auf den Umsatz in Kalifornien oder ist das der weltweite Umsatz?

beste Grüße

J.Neuschwan

0

Kommentar hinzufügen