Foto: Cristian Storto - shutterstock.com
Kalifornien ist seit langem ein Labor für innovative Ansätze zur Regulierung der Privatsphäre. Daher erklärt sich, dass der neue California Consumer Privacy Act (CCPA), wie der Name schon verrät, aus Kalifornien stammt. Im Übrigen haben dort praktisch alle großen Hightech-Unternehmen ihren Hauptsitz. Andere US-Bundesstaaten, wie etwa New York, haben ähnliche Gesetze erlassen oder befinden sich noch im Gesetzgebungsprozess. Beim CCPA handelt es sich jedoch um das wegweisende Datenschutzgesetz der USA. Ein Bundesdatenschutzgesetz, das dem staatlichen Gesetz vorginge, lässt jedoch weiter auf sich warten, wenn es denn überhaupt verabschiedet wird.
Entwicklungen um den CCPA
Im Oktober 2019 hatte die kalifornische Generalstaatsanwaltschaft ("AG") - die zugständige Datenschutzbehörde - ihre CCPA-Regularien veröffentlicht. Sie beziehen sich in erster Linie auf die Rechte des Verbraucherschutzes. Am 11. Oktober 2019 unterzeichnete Gouverneur Newsom fünf Gesetzesvorlagen zur Änderung der CCPA, die neue Ausnahmen und Regelungen für Mitarbeiter und B2B-Transaktionsdaten enthalten. Im weiteren Verlauf wurden die CCPA Regularien aufgrund von Kommentaren aus der Industrie und von Praktikern im Februar und März 2020 zwei Revisionen unterzogen.
Am 1. Juni 2020 wurde dem Office of Administrative Law (OAL) die endgültige Version vorgelegt. Diese verdeutlichte, dass sich der CCPA in vielerlei Hinsicht von der Datenschutzverordnung (DSGVO) unterscheidet.
Nach dem Inkrafttreten des CCPA am 1. Januar 2020 ist er am 14. August 2020 durch die Genehmigung des OAL in Vollzug gesetzt worden. Es ist fortan entscheidend, dass sie die notwendigen Vorgaben vollständig umgesetzt haben, wenn sie Daten in Kalifornien verarbeiten und oberhalb der im Gesetz genannten Schwellenwerte liegen.
Neben den Anforderungen des CCPA kommen durch den geplanten Consumer Privacy Rights Act zusätzliche Änderungen auf die Unternehmen zu. Dieses zusätzliche Datenschutzgesetz wurde im November 2020 von den kalifornischen Bürgern abgesegnet und wird voraussichtlich 2023 in Kraft treten. Ziel ist es die Rechte der Verbraucher weiter zu stärken. So haben diesen unter dem CPRA das Recht, der Weitergabe ihre Daten zu personalisierten Werbezwecken zu widersprechen, wenn der Austausch unter den betroffenen Unternehmen unentgeltlich erfolgt. Auch hinsichtlich sensibler Daten, wie Gesundheitsdaten oder der ethnischen Herkunft, haben Verbraucher künftig das Recht, die Weitergabe zu unterbinden. Ferner kann die Korrektur fehlerhafter Daten verlangt werden.
Neben diesen neuen Betroffenenrechten soll eine zentrale neue Behörde geschaffen werden, die California Privacy Protection Agency, welche den Attorney General als vorrangige Rechtsdurchsetzungsbehörde ablösen wird. Unternehmen, die vom Anwendungsbereich des CCPA erfasst sind, sehen sich bereits jetzt mit der Notwendigkeit weitreichender Prozessanpassungen konfrontiert. Im Interesse von Synergieeffekten und Kostenersparnis sollten Unternehmen daher bereits bei den Anpassungen anlässlich des CCPA auch die neuen Regelungen des CPRA im Blick behalten.
Geltungsbereich des CCPA
Ausländische Gesellschaften können vom CCPA auch direkt betroffen sein, wie auch die DSGVO in vielen Fällen direkt auf Unternehmen in den USA anwendbar ist. Ein Unternehmen, das der CCPA unterliegt, ist eine gewinnorientierte Organisation oder juristische Person, die in Kalifornien geschäftlich tätig ist und personenbezogene Daten der Verbraucher sammelt - entweder direkt oder über einen Dritten. Auf den Sitz kommt es nicht an. Auch deutsche Gesellschaften, die für Unternehmen Dienste erbringen, die vom CCPA erfasst sind, müssen sich an die Anforderungen des CCPA halten.
Was bedeutet "Daten sammeln"?
Der Begriff "sammelt" ist im weitesten Sinne definiert als "Kauf, Vermietung, Sammlung, Erhalt […] oder Zugriff auf personenbezogene Daten eines Verbrauchers auf irgendeine Weise." Das Unternehmen muss diese Daten entweder allein oder gemeinsam mit anderen sammeln und die Zwecke der Verarbeitung der personenbezogenen Daten festlegen. Diese Rollenverteilung ähnelt sehr dem Konzept des "Verantwortlichen" (Controller) der DSGVO. Der CCPA gilt auch für traditionelle Geschäfte, die Daten sammeln, also nicht nur für die Erfassung personenbezogener Daten auf elektronischem Wege oder über das Internet.
"Business" im Sinne des CCPA
Der Begriff "Geschäft" (Business) umfasst auch ein Unternehmen, das ein Unternehmen kontrolliert oder von ihm direkt oder indirekt unter einem gemeinsamen Warenzeichen ("Brand") kontrolliert wird. Darunter fallen beispielsweise Zweigstellen oder Vertriebsunternehmen vor Ort. Das Unternehmen muss eine der folgenden drei Schwellenwerten überschreiten:
Jährliche Bruttoeinnahmen von mehr als 25 Millionen Dollar (diese Schwelle scheint nicht auf die Einnahmen nur aus Kalifornien beschränkt zu sein);
Jährliche Erfassung, Kauf oder Verkauf, Weitergabe etc. von personenbezogenen Daten von 50.000 oder mehr Verbrauchern, Haushalten oder Geräten allein oder in Kombination; oder
50 Prozent oder mehr seines Jahresumsatzes basiert auf dem Verkauf von personenbezogenen Daten der Verbraucher. (Der Begriff "Verkauf" ist im CCPA extrem weit definiert).
Diese Kriterien werden ebenfalls im Rahmen des CPRA gelten.
Auch Dienstleister werden erfasst
Nach den vorgeschlagenen Vorschriften kann ein Verbraucher z.B. bestimmte Anfragen direkt an einen Dienstleister richten und der Dienstleister kann der Anfrage entweder nachkommen oder sie ablehnen. Im zweiten Fall muss er den Verbraucher darüber informieren, dass er die Anfrage direkt an das verantwortliche Unternehmen richten soll.
Auch ausländische Dienstleister können unter den CCPA fallen. Ein Dienstleister darf personenbezogene Daten, die er von einem Verbraucher oder einem von ihm betreuten Unternehmen erhält, nach dem CCPA beispielsweise nicht dazu verwenden, Dienstleistungen für andere Personen oder Unternehmen zu erbringen. Eine Ausnahme davon ist, wenn er personenbezogene Daten kombiniert, um einen Bruch der Datensicherheit aufzudecken oder um sich vor betrügerischen oder illegalen Aktivitäten zu schützen.
Ausnahmen
Die CCPA gilt nicht für medizinische Informationen und Unternehmen nach dem Gesundheitsgesetz HIPAA oder dem California Confidentiality of Medical Information Act, dem Gramm-Leach-Bliley (GLBA) oder dem California Financial Privacy Act. Derzeit nimmt der CCPA bestimmte personenbezogene Daten, die von Bewerbern, Mitarbeitern, Eigentümern, Direktoren und Auftragnehmern eines Unternehmens gesammelt werden, bis zum 1. Januar 2021 von den meisten Anforderungen der CCPA aus. Eine weitere Freistellung betrifft bestimmte Business-To-Business Communications (Gesetzeszusatz AB 1355).
Seit 1. Juli 2020 hagelt es Bußgelder
Seit dem 1. Juli 2020 hat der Generalstaatsanwalt (AG) mit der Durchsetzung des CCPA begonnen, indem er eine ganze Anzahl von "Notices of Violation" an Unternehmen versandte, deren Web-Seiten bei Ansicht als nicht gesetzeskonform eingestuft wurden. Der CCPA schreibt Strafen zwischen 2.500 und 7.500 Dollar "für jeden Verstoß" vor. Dies mag wie ein kleiner Betrag erscheinen, aber der Generalstaatsanwalt hat in den "Notices of Violation" signalisiert, dass er eine weit gefasste Auffassung vertritt, was "jeden Verstoß" ausmacht. Er zitiert US- Rechtsprechung, die besagt, dass "was als ein einziger Verstoß gilt, von der Art des betreffenden Verstoßes, der Anzahl der Opfer und der Wiederholung des Verhaltens, das den Verstoß darstellt - kurz gesagt, von den Umständen des Falles abhängt."
Es ist daher wahrscheinlich, dass der Generalstaatsanwalt die gesetzliche Strafe z.B. mit der Anzahl der Einwohner Kaliforniens multipliziert, deren persönliche Daten während des Zeitraums verarbeitet wurden, in dem ein Unternehmen die Vorschriften nicht gehalten hat (z.B. durch eine unvollständige Datenschutzrichtlinie), sowie mit der Anzahl der Verstöße. Das kann zu erheblichen Strafen führen.
Darüber hinaus sieht die CCPA ein eingeschränktes privates Klagerecht für Verbraucher seit dem 1. Januar 2020 vor.
Auch spannend bleibt die Frage, wie Unternehmen behandelt werden, die sowohl dem CCPA als auch der DSGVO unterliegen - denn auch die DSGVO sieht Bußgelder vor. Hier stellt sich die Frage, welche Vorgaben sie im Einzelnen erfüllen müssen und ob die Unternehmen möglichweise beiden Sanktionsregimen ausgesetzt sind.
Die deutschen Aufsichtsbehörden haben in ihrem gemeinschaftlich veröffentlichten Bußgeldmodell jedoch aufgezeigt, dass die Möglichkeit besteht, die Umstände des Einzelfalles bei der Bemessung des Bußgeldes zu berücksichtigen. So ist zumindest denkbar, dass die deutschen Aufsichtsbehörden die Höhe der Geldbuße aufgrund bereits ergangener Bußgelder nach dem CCPA anpassen. Ob dies auch in Kalifornien möglich ist, bleibt noch offen.
Was Unternehmen nun beachten sollten
Nach der Genehmigung der CCPA-Regularien durch das OAL ist nun ersichtlich, ob und wie der CCPA umgesetzt werden muss. In der Praxis sind folgende Schritte für jedes Unternehmen, das unter die CCPA fällt, derzeit zu empfehlen:
Beurteilung, welche "persönlichen Daten" aus Kalifornien gesammelt werden, basierend auf der weit gefassten Definition des CCPA;
Unter Berücksichtigung des CPRA sollten auch sensible Datenkategorien identifiziert werden, da diesbezüglich erweiterte Rechte gelten;
Überprüfung und Aktualisierung der Datenschutzrichtlinien und Anpassung an den CCPA;
Überarbeitung der Website (Opt-out-Rechte etc.);
Vorbereitung von Benachrichtigungen an die Konsumenten über ihre neuen Rechte, auch unter Berücksichtigung des neuenCPRA;
Erarbeitung von Richtlinien, um Kundenanfragen zu überprüfen und eine Datensperrung/Löschung oder Opt-out auch bei Dienstleistern umzusetzen.
In den USA werden die Stimmen, die nach einem Datenschutzgesetz auf Bundesebene rufen, zunehmend lauter. Es liegt in der Natur eines datengetriebenen Geschäftsmodells, dass ein Unternehmen über Bundestaats- und Ländergrenzen hinweg operiert. Dabei unterschiedliche Datenschutzregime beachten zu müssen, bedeutet erhebliche Kosten. Ob unter der Biden-Administration ein solches Gesetz zu erwarten sein dürfte, bleibt abzuwarten. Zwar hat Vizepräsidentin Harris in ihrer Zeit als Attorney General auf die Durchsetzung des geltenden Datenschutzrechts gepocht. Angesichts der Anzahl an Mammutaufgaben, derer sich die neue Regierung annehmen muss, könnte das Thema Datenschutz jedoch auf der Prioritätenliste eher weiter unten angesiedelt werden. (jd/bw)