California Consumer Privacy Act

Das sollten Sie über das neue Datenschutzgesetz wissen

31.10.2019
Von    und
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Dr. Axel Spies ist Special Legal Consultant bei Morgan, Lewis & Bockius.

Auch Dienstleister werden erfasst

Nach den vorgeschlagenen Vorschriften kann ein Verbraucher z.B. bestimmte Anfragen direkt an einen Dienstleister richten und der Dienstleister kann der Anfrage entweder nachkommen oder sie ablehnen. Im zweiten Fall muss er den Verbraucher darüber informieren, dass er die Anfrage direkt an das verantwortliche Unternehmen richten soll.

Auch ausländische Dienstleister können unter den CCPA fallen. Ein Dienstleister darf personenbezogene Daten, die er von einem Verbraucher oder einem von ihm betreuten Unternehmen erhält, nach dem CCPA beispielsweise nicht dazu verwenden, Dienstleistungen für andere Personen oder Unternehmen zu erbringen. Eine Ausnahme davon ist, wenn er personenbezogene Daten kombiniert, um einen Bruch der Datensicherheit aufzudecken oder um sich vor betrügerischen oder illegalen Aktivitäten zu schützen.

(Vorläufige) Ausnahmen

Die CCPA gilt nicht für medizinische Informationen und Unternehmen nach dem Gesundheitsgesetz HIPAA oder dem California Confidentiality of Medical Information Act, dem Gramm-Leach-Bliley (GLBA) oder dem California Financial Privacy Act. Derzeit nimmt der CCPA bestimmte personenbezogene Daten, die von Bewerbern, Mitarbeitern, Eigentümern, Direktoren und Auftragnehmern eines Unternehmens gesammelt werden, bis zum 1. Januar 2021 von den meisten Anforderungen der CCPA aus. Eine weitere Freistellung betrifft bestimmte Business-To-Business Communications (Gesetzeszusatz AB 1355).

Haftung ab Mitte 2020?

Die Generalstaatsanwaltschaft wird Mitte 2020 mit der Vollstreckung beginnen. Bei einem Verstoß gegen die CCPA muss ein "Unternehmen, einen Dienstleister oder eine andere Person" mit einer Geldbuße bis zu einem Betrag von 7.500 Dollar pro Vorfall rechnen. Darüber hinaus sieht die CCPA ein eingeschränktes privates Klagerecht für Verbraucher ab dem 1. Januar 2020 vor.

Auch spannend bleibt die Frage, wie Unternehmen behandelt werden, die sowohl dem CCPA als auch der DSGVO unterliegen - denn auch die DSGVO sieht Bußgelder vor. Daher stellt sich die Frage, welche Vorgaben sie im Einzelnen erfüllen müssen und ob die Unternehmen möglichweise beiden Sanktionsregimen ausgesetzt sind.

Die deutschen Aufsichtsbehörden haben in ihrem gemeinschaftlich veröffentlichten Bußgeldmodell jedoch aufgezeigt, dass die Möglichkeit besteht, die Umstände des Einzelfalles bei der Bemessung des Bußgeldes zu berücksichtigen. So ist zumindest denkbar, dass die deutschen Aufsichtsbehörden die Höhe der Geldbuße aufgrund bereits ergangener Bußgelder nach dem CCPA anpassen. Ob dies auch in Kalifornien möglich ist, bleibt noch offen.

Was Unternehmen nun beachten sollten

Noch vor wenigen Wochen waren viele Unternehmen unsicher, ob und wie sie CCPA bis zum 1. Januar 2020 umsetzen sollen. Nach den CCPA-Änderungen und den genannten AG-Regelungen wird das Bild jedoch weitaus klarer. In der Praxis sind folgende Schritte für jedes Unternehmen, das unter die CCPA fällt, derzeit zu empfehlen:

  • Beurteilung, welche "persönlichen Daten" aus Kalifornien gesammelt werden, basierend auf der weit gefassten Definition des CCPA;

  • Überprüfung und Aktualisierung der Datenschutzrichtlinien und Anpassung an den CCPA;

  • Überarbeitung der Website (Opt-out-Rechte etc.);

  • Vorbereitung von Benachrichtigungen an die Konsumenten über ihre neuen Rechte;

  • Erarbeitung von Richtlinien, um Kundenanfragen zu überprüfen und eine Datensperrung/Löschung oder Opt-out auch bei Dienstleistern umzusetzen. (jd)