Was ist CCPA?

In den USA gibt es kein einheitliches, für alle Bundesstaaten gleichermaßen geltendes, nationales Datenschutzrecht – mit Ausnahme einiger weniger Regelungen z.B. in Bezug auf Jugendschutz. Stattdessen gelten einzelne Gesetze für unterschiedliche Lebensbereiche wie den Handel oder das Gesundheitswesen und sind ausschließlich auf die einzelnen Bundesstaaten beschränkt. Das macht es nicht gerade einfach, alle relevanten Regelungen bezüglich personenbezogener Daten im Auge zu behalten.

Seit dem 1. Januar 2020 sind die Gesetze auf Ebene der US-Bundesstaaten um einen weiteres Gesetz ergänzt worden: Mit dem California Consumer Privacy Act (CCPA) ist an diesem Tag ein ausschließlich für Kalifornien geltendes Gesetz in Kraft getreten, das den Schutz persönlicher Daten kalifornischer Bürger regelt.

Der CCPA wurde bereits im Juni 2018 verabschiedet und gewährt seit Januar 2020 allen in Kalifornien lebenden Personen das Recht:

• zu erfahren, ob und welche Daten über sie gesammelt werden,
• zu wissen, ob ihre Daten verkauft oder an andere Personen oder Unternehmen weitergegeben werden,
• die über sie gesammelten Daten jederzeit einzusehen,
• den Verkauf von persönlichen Daten zu verbieten und
• ein Unternehmen aufzufordern, die über sie gesammelten Daten zu löschen (“opt out”).

Das heißt, Unternehmen müssen auf ihrer Website einen deutlich sichtbaren Link mit dem Titel “Do Not Sell My Personal Information” (“Verkaufen Sie nicht meine personenbezogenen Daten”) einfügen, um sicherzustellen, dass personenbezogene Informationen nicht verkauft werden.

Alle Unternehmen, die Informationen über personenbezogene Daten sammeln, müssen die oben aufgezählten Punkte für den Verbraucher gewährleisten.

Das gilt für alle Unternehmen, die in den Vereinigten Staaten im Bundesstaat Kalifornien geschäftlich tätig sind – unabhängig davon, wo sich der Sitz des Unternehmens befindet.

Die genaue Definition von personenbezogenen Daten laut CCPA lautet übrigens folgendermaßen:

“Informationen, die einen bestimmten Verbraucher oder Haushalt identifizieren, sich auf ihn beziehen, ihn beschreiben, vernünftigerweise mit ihm in Verbindung gebracht werden können oder vernünftigerweise direkt oder indirekt mit ihm verbunden werden könnten.”

Der CCPA gilt also für Unternehmen, die in den USA geschäftlich tätig sind und personenbezogene Daten von kalifornischen Verbrauchern erheben, durch Dritte erheben lassen oder anderweitig Zugang zu ihnen erhalten. Auch wenn ein Unternehmen nur ein Dienstleister ist und Daten von kalifornischen Verbrauchern im Auftrag eines anderen Unternehmens verarbeitet, müssen die Anforderungen des CCPA befolgt werden.

Unternehmen, die die folgende Schwellenwerte erreichen, müssen die Anforderungen des California Consumer Privacy Act erfüllen:

Geschäftliche Tätigkeit in Kalifornien: Unternehmen, die in Kalifornien eine gewinnorientierte Tätigkeit ausüben. Aber auch eine gewerblich geführte Niederlassung oder ein lokales Vertriebsbüro sind eingeschlossen.

Brutto-Jahresumsatz von mehr als 25 Millionen Dollar: Unternehmen, die mit der Verarbeitung persönlicher Daten (“personal information”) kalifornischer Verbraucher mehr als 25 Millionen Dollar Gewinn vor Steuern erzielen.

Sammeln von mehr als 50.000 Daten: Jährliche Speicherung, Weitergabe und Kauf/Verkauf von personenbezogenen Daten in einem Umfang von 50.000 in Kalifornien ansässigen Verbrauchern, Haushalten oder deren Geräten.

50% des Umsatzes aus der Bereitstellung von persönlichen Informationen: Mehr als die Hälfte des Jahresumsatzes stammt aus dem Verkauf von persönlichen Daten kalifornischer Kunden, Haushalte oder netzwerkfähiger Geräte.

Da der CCPA automatisch für alle großen Unternehmen gilt, die in Kalifornien ansässig sind und Daten sammeln, reicht der Wirkungsradius weit über die Staatsgrenzen hinaus. Auf diese Weise profitieren nicht nur kalifornische Verbraucher, sondern Kunden aus aller Welt von den Rechten und Regelungen des CCPA.

Außerdem gilt der CCPA natürlich für alle Unternehmen, Organisationen und Einrichtungen, die Kundendaten mit kalifornischen Unternehmen austauschen.

Die Aufgabe von Unternehmen und Dienstleistern, die an den California Consumer Privacy Act CCPA gebunden sind, besteht darin, die oben beschriebenen Verbraucherrechte zu respektieren und entsprechende Vorkehrungen zu treffen. An erster Stelle steht die Pflicht, Verbraucher darüber zu informieren, dass Daten erhoben werden und welche Rechte und Möglichkeiten sie dank des CCPA in Bezug auf personenbezogene Daten haben.

Macht ein Verbraucher von seinem Auskunftsrecht in Form des CCPA Gebrauch, hat er das Recht, dass ihm folgende Informationen offengelegt werden:

• Kategorie(n) der gesammelten Daten
• Quellen der gesammelten Daten
• Zweck der Datensammlung
• Geschäftsfelder Dritter, an die Daten weitergeleitet werden
• die erhobenen Daten selbst

Mit Hilfe dieser Informationen durch den Einblick in die Inhalte erhält der Verbraucher einen Überblick, wie das Datenschutzrecht (die “privacy policy”) für ihn persönlich greift.

Zudem können Verbraucher jederzeit weitere Rechte ausüben, wie beispielsweise alle Daten (“all data”) löschen zu lassen oder das Teilen/die Weitergabe von Daten an Dritte zu untersagen.

Darüber hinaus enthält der California Consumer Privacy Act ein Diskriminierungsverbot, an das sich auch Unternehmen und Dienstleister halten müssen. Dieses sieht vor, dass Verbraucher in keinster Weise benachteiligt werden dürfen, wenn sie ihre Rechte geltend machen.

Wenn Sie gegen den CCPA verstoßen und darauf hingewiesen wurden, haben Sie 30 Tage Zeit, diese Missachtung zu beheben. Für einen vorsätzlichen Verstoß müssen Sie 7.500 US Dollar Strafe zahlen. Liegt eine fahrlässige Verletzung vor, wird eine Strafe von $2.500 fällig. Darüber hinaus haben betroffene Verbraucher Anspruch auf Schadensersatz in Höhe von 100 bis 750 US Dollar, wenn es sich um eine Datenschutzverletzung handelt.

Wenn Ihr Unternehmen einen der CCPA-Schwellenwerte erfüllt und über eine Online-Domain verfügt, sind Sie verpflichtet, an Ihrer Website Änderungen zugunsten des Datenschutzes vorzunehmen.

Die Website muss den Nutzer, der die Dienste von Ihnen nutzen oder Produkte von Ihnen kaufen möchte, vor dem Zeitpunkt der Datenerfassung über die Kategorien und Zwecke der von ihm erfassten personenbezogenen Daten informieren.

Auf der Website muss ein Link oder eine URL zur Verfügung gestellt werden, der dem Nutzer die Möglichkeit der Navigation gibt und ihn damit den Verkauf von persönlichen Daten an Dritte ablehnen lässt.

Wenn Ihre Website von Minderjährigen unter 16 Jahren genutzt wird, müssen Sie ebenfalls deren Einwilligung einholen, bevor ihr personenbezogenen Daten an Dritte weitergeben oder verkauft werden.

All dies lässt sich am besten über eine CCPA-fähige Consent-Management Platform durchführen.

In der Datenschutzerklärung Ihrer Website müssen Sie als Unternehmen eine Beschreibung der Rechte des Verbrauchers und die Ausübung dieser mit aufnehmen.

Wenn ein Verbraucher sein Recht zur Offenlegung seiner gesammelten personenbezogenen Daten in Anspruch nimmt, müssen Sie ihm diese kostenlos zur Verfügung stellen. Und zwar sämtliche Aufzeichnungen der vergangenen 12 Monate.

Der CCPA weist viele Gemeinsamkeiten zur DSGVO auf, die seit 2018 geltende Datenschutzverordnung der EU. Beide Regeln basieren beispielsweise auf dem Marktortprinzip: Nicht nur lokale Unternehmen und Dienstleister, sondern alle Unternehmen, die in der EU oder in Kalifornien Geschäfte machen, unterliegen der jeweiligen Gesetzgebung.

Auch hinsichtlich der Betroffenenrechte (Auskunft, Löschung und Opt Out) verfolgen beide Regelungen die gleichen Ziele.

Die DSGVO geht allerdings deutlich mehr ins Detail und enthält im Gegensatz zum CCPA detaillierte Angaben zur Umsetzung und Einhaltung des Datenschutzes. Dazu gehört beispielsweise die verpflichtende Ernennung eines Datenschutzbeauftragten.

Außerdem richtet sich die DSVGO nicht ausschließlich an Verbraucher, sondern bezieht auch den B2B-Sektor (Business to Business) mit ein.

Eine Besonderheit des CCPA ist die Einstufung von Haushalts- und Gerätedaten als personenbezogene Daten. Denn es kann damit prinzipiell eine Verbindung zu einem Verbraucher hergestellt werden. Die DSVGO Definition von persönlichen Daten umfasst solche Informationen nicht.

Ihnen schwirrt nun der Kopf? Wir haben die wichtigsten Punkte zum Abschluss noch einmal für Sie zusammengefasst:

Der Consumer Privacy Act (CCPA) ist das bisher strengste Datenschutzgesetz in den USA. Im Mittelpunkt des seit Anfang 2020 geltenden Gesetzes steht der Schutz der Verbraucher im Bereich der personenbezogenen Datenverarbeitung. Der CCPA gilt nicht nur für kalifornische Unternehmen, sondern auch für ausländische Unternehmen, die in Kalifornien tätig sind.

Es handelt sich also um ein wegweisendes Gesetz, das über die Grenzen Kaliforniens hinaus das Thema Datenschutz beeinflusst.

Der CCPA ist dann interessant für Sie, wenn Sie geschäftlich in Kalifornien tätig sind und mindestens eine der folgenden Voraussetzungen erfüllen:

• Der jährliche Bruttoumsatz beträgt 50 Millionen Dollar oder mehr.
• 50 Prozent oder mehr des Gewinns des Unternehmens resultieren aus dem Jahresumsatz aus dem Verkauf von personenbezogenen Daten.
• Der Umfang der Verarbeitung personenbezogener Daten für Geschäftszwecke umfasst mindestens 50.000 oder mehr Verbraucher, Geräte oder Haushalte, die in Kalifornien leben.

Auch das Thema Opt-Out oder das Prinzip der Einwilligung, die im europäischen Datenschutzrecht geläufige Begriffe sind, werden im CCPA thematisiert. Außerdem sind die Betroffenenrechte, wie das Recht auf Auskunft, das Recht auf Löschung, das Recht auf Gleichbehandlung und das Recht auf Datenportabilität, ebenfalls im CCPA geregelt.

Sie sind auf der Suche nach einer CCPA-konformen Consent Management-Lösung? Sie finden alle weiteren Informationen hier: CCPA-Lösung.