Kalifornischer Consumer Privacy Act (CCPA) – Zertifizierung nach DS-GVO reicht nicht
Gespeichert von Dr. Axel Spies am
Hier in den USA bereiten sich viele Unternehmen intensiv auf das Inkrafttreten des kalifornischen CCPA am 01.01. vor. Der CCPA dürfte als Standard für die USA wegweisend sein, auch wenn weiterhin nicht klar ist, ob und wann es zu einem Bundesdatenschutzgesetz kommt und was evtl. dann dort geregelt ist. Im Staat New York wird derzeit ein eigenes Privacy-Gesetz diskutiert.
Vgl. zum Hintergrund des CCPA auf Deutsch:
-
USA: Neues kalifornisches Datenschutzgesetz CCPA als Vorreiter: ZD-Aktuell 2018, 04318
-
(Neu:) Änderungen und Klarstellungen zum California Consumer Privacy Act (CCPA) beschlossen: ZD-Aktuell 2019, 06781.
Um es noch einmal klar zu sagen: Der CCPA könnte auch und gerade auch für deutsche Unternehmen mit Business in Kalifornien einschlägig sein, wenn eine der folgenden drei Schwellen überschritten ist:
- Das Unternehmen hat einen jährlichen Bruttoumsatz von mehr als US-$ 25 Mio. oder
- das Unternehmen kauft jährlich, erhält, verkauft oder übermittelt für kommerzielle Zwecke personenbezogene Informationen von zusammengerechnet 50.000 oder mehr Verbrauchern, Haushalten oder Geräten oder
- das Unternehmen generiert mindestens 50 % seiner jährlichen Einnahmen aus dem Verkauf von personenbezogenen Informationen von Verbrauchern.
Neueste Entwicklung zum CCPA:
In dem neuen Initial Statement of Reasons des Attorney General von Kalifornien (ISOR) steht noch einmal klipp und klar, dass die Behörde eine Freistellung (Safe Harbor) vom CCPA für Unternehmen, die GDPR-konform sind, "erwogen und abgelehnt" hat. Der Generalstaatsanwalt begründet das damit, dass der „CCPA und die DS-GVO unterschiedliche Anforderungen, unterschiedliche Definitionen und unterschiedliche Anwendungsbereiche haben.“ Die Gründe seien u.a., dass (1) der CCPA die Erhebung personenbezogener Daten ohne ausdrückliche Zustimmung nicht verbietet; (2) die DS-GVO kein Recht auf Opt-out biete, was ein "Kernrecht" des CCPA sei und (3) die DS-GVO sowohl für öffentliche als auch für private Unternehmen gilt, während der CCPA nur für bestimmte Arten von Unternehmen anwendbar ist. Der Attorney General von Kalifornien stellt daher fest, dass ein GDPR-Safe Harbor den Zwecken des CCPA nicht förderlich sei.
Man kann über die Stichhaltigkeit der Begründung geteilter Meinung sein. Wichtig ist, dass Unternehmen sich nicht auf ihren „DS-GVO- Lorbeeren“ ausruhen können, sondern mit dem CCPA neue Compliance-Herausforderungen zu bewältigen sind – und das sehr bald.