USA: Kalifornien bringt neue Datenschutzbehörde CPPA auf den Weg
Gespeichert von Dr. Axel Spies am
Die USA werden in der EU häufig dafür kritisiert, dass sie nicht über unabhängige Datenschutzbehörden verfügen. Unabhängig davon, ob dem wirklich so ist – in Kalifornien dürfte sich das Bild so oder so sehr bald ändern:
Die fünf Board-Mitglieder der neuen Datenschutzbehörde CPPA gemäß dem neuen California Privacy Rights Act vom November 2020 wurden 17.03.2021 von kalifornischen Regierungsvertretern bekannt gegeben: Es handelt sich um:
- Jennifer Urban, Rechtsprofessorin an der University of California, Berkeley (Vorsitzende),
- John Thompson Senior Vice President of Government Relations, LA 2028,
- Angela Sierra, California Chief Assistant Attorney General of the Public Rights,
- Lydia de la Torre, Rechtsanwältin, und
- Vinhcent Le, Greenlining Institute.
Vgl. zum California Privacy Rights Act Spies, ZD-Aktuell 2020, 04407. Die CPPA wird einige Monate brauchen, bevor sie einsatzfähig ist, aber ein Anfang ist gemacht. Bislang wird die Datenschutzaufsicht von der kalifornischen Justizbehörde, dem Generalstaatsanwalt, ausgeübt. Dier Ernennungen werden bei Privacy-Experten positiv aufgenommen. Die CPPA wird nach dem neuen Recht über erhebliche Befugnisse verfügen - ähnlich wie europäische Datenschutzbehörden. Insofern betrifft die CPPA auch europäische Unternehmen, die in Kalifornien tätig sind.
Die Board-Mitglieder werden nun sehr bald mehrere Mitarbeiter einstellen, einschließlich eines Geschäftsführers (Executive Director) und einen angemessenen Personalunterbau.
Fest im Visier der CPPA ist der 01.07.22 - der Termin für die Fertigstellung der CPRA-Regelungen (Verordnungen usw.), um den Unternehmen ausreichend Zeit zu geben, alle gesetzlichen und regulatorischen Vorgaben vor seinem Inkrafttreten am 01.01.23 zu erfüllen.
Die CPPA-Regelungen werden vermutlich ein breiteres Feld abdecken als die bestehenden CCPA-Regelungen des kalifornischen Generalstaatsanwalts. In Gespräch sind neuen Vorschriften zum Opt-out für kontextübergreifende verhaltensbezogene Werbung, Opt-outs und Zugriffsrechte für automatisierte Entscheidungsfindungstechnologien sowie detailliertere Regeln für die Ausübung der neuem CCPA-Verbraucherrechte.
Was meinen Sie? Wird sich diese Entwicklung positiv auf die Verhandlungen zur Nachfolge des vom EuGH gekippten Privacy Shield auswirken. Ist vielleicht sogar ein Angemessenheitsbeschluss der EU-Kommission nur für Kalifornien nach Art. 45 DS-GVO denkbar?