California Consumer Privacy Act (CCPA)

Das sollten Sie über das neue Datenschutzgesetz wissen

04.02.2021

Von

Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.

Alle Posts des Autors Email:

Dr. Axel Spies ist Special Legal Consultant bei Morgan, Lewis & Bockius.

Alle Posts des Autors

Diese Kriterien werden ebenfalls im Rahmen des CPRA gelten.

Auch Dienstleister werden erfasst

Nach den vorgeschlagenen Vorschriften kann ein Verbraucher z.B. bestimmte Anfragen direkt an einen Dienstleister richten und der Dienstleister kann der Anfrage entweder nachkommen oder sie ablehnen. Im zweiten Fall muss er den Verbraucher darüber informieren, dass er die Anfrage direkt an das verantwortliche Unternehmen richten soll.

Auch ausländische Dienstleister können unter den CCPA fallen. Ein Dienstleister darf personenbezogene Daten, die er von einem Verbraucher oder einem von ihm betreuten Unternehmen erhält, nach dem CCPA beispielsweise nicht dazu verwenden, Dienstleistungen für andere Personen oder Unternehmen zu erbringen. Eine Ausnahme davon ist, wenn er personenbezogene Daten kombiniert, um einen Bruch der Datensicherheit aufzudecken oder um sich vor betrügerischen oder illegalen Aktivitäten zu schützen.

Ausnahmen

Die CCPA gilt nicht für medizinische Informationen und Unternehmen nach dem Gesundheitsgesetz HIPAA oder dem California Confidentiality of Medical Information Act, dem Gramm-Leach-Bliley (GLBA) oder dem California Financial Privacy Act. Derzeit nimmt der CCPA bestimmte personenbezogene Daten, die von Bewerbern, Mitarbeitern, Eigentümern, Direktoren und Auftragnehmern eines Unternehmens gesammelt werden, bis zum 1. Januar 2021 von den meisten Anforderungen der CCPA aus. Eine weitere Freistellung betrifft bestimmte Business-To-Business Communications (Gesetzeszusatz AB 1355).

Seit 1. Juli 2020 hagelt es Bußgelder

Seit dem 1. Juli 2020 hat der Generalstaatsanwalt (AG) mit der Durchsetzung des CCPA begonnen, indem er eine ganze Anzahl von "Notices of Violation" an Unternehmen versandte, deren Web-Seiten bei Ansicht als nicht gesetzeskonform eingestuft wurden. Der CCPA schreibt Strafen zwischen 2.500 und 7.500 Dollar "für jeden Verstoß" vor. Dies mag wie ein kleiner Betrag erscheinen, aber der Generalstaatsanwalt hat in den "Notices of Violation" signalisiert, dass er eine weit gefasste Auffassung vertritt, was "jeden Verstoß" ausmacht. Er zitiert US- Rechtsprechung, die besagt, dass "was als ein einziger Verstoß gilt, von der Art des betreffenden Verstoßes, der Anzahl der Opfer und der Wiederholung des Verhaltens, das den Verstoß darstellt - kurz gesagt, von den Umständen des Falles abhängt."
Es ist daher wahrscheinlich, dass der Generalstaatsanwalt die gesetzliche Strafe z.B. mit der Anzahl der Einwohner Kaliforniens multipliziert, deren persönliche Daten während des Zeitraums verarbeitet wurden, in dem ein Unternehmen die Vorschriften nicht gehalten hat (z.B. durch eine unvollständige Datenschutzrichtlinie), sowie mit der Anzahl der Verstöße. Das kann zu erheblichen Strafen führen.

Darüber hinaus sieht die CCPA ein eingeschränktes privates Klagerecht für Verbraucher seit dem 1. Januar 2020 vor.

Auch spannend bleibt die Frage, wie Unternehmen behandelt werden, die sowohl dem CCPA als auch der DSGVO unterliegen - denn auch die DSGVO sieht Bußgelder vor. Hier stellt sich die Frage, welche Vorgaben sie im Einzelnen erfüllen müssen und ob die Unternehmen möglichweise beiden Sanktionsregimen ausgesetzt sind.
Die deutschen Aufsichtsbehörden haben in ihrem gemeinschaftlich veröffentlichten Bußgeldmodell jedoch aufgezeigt, dass die Möglichkeit besteht, die Umstände des Einzelfalles bei der Bemessung des Bußgeldes zu berücksichtigen. So ist zumindest denkbar, dass die deutschen Aufsichtsbehörden die Höhe der Geldbuße aufgrund bereits ergangener Bußgelder nach dem CCPA anpassen. Ob dies auch in Kalifornien möglich ist, bleibt noch offen.

Was Unternehmen nun beachten sollten

Nach der Genehmigung der CCPA-Regularien durch das OAL ist nun ersichtlich, ob und wie der CCPA umgesetzt werden muss. In der Praxis sind folgende Schritte für jedes Unternehmen, das unter die CCPA fällt, derzeit zu empfehlen:

Beurteilung, welche "persönlichen Daten" aus Kalifornien gesammelt werden, basierend auf der weit gefassten Definition des CCPA;
Unter Berücksichtigung des CPRA sollten auch sensible Datenkategorien identifiziert werden, da diesbezüglich erweiterte Rechte gelten;
Überprüfung und Aktualisierung der Datenschutzrichtlinien und Anpassung an den CCPA;
Überarbeitung der Website (Opt-out-Rechte etc.);
Vorbereitung von Benachrichtigungen an die Konsumenten über ihre neuen Rechte, auch unter Berücksichtigung des neuenCPRA;
Erarbeitung von Richtlinien, um Kundenanfragen zu überprüfen und eine Datensperrung/Löschung oder Opt-out auch bei Dienstleistern umzusetzen.

In den USA werden die Stimmen, die nach einem Datenschutzgesetz auf Bundesebene rufen, zunehmend lauter. Es liegt in der Natur eines datengetriebenen Geschäftsmodells, dass ein Unternehmen über Bundestaats- und Ländergrenzen hinweg operiert. Dabei unterschiedliche Datenschutzregime beachten zu müssen, bedeutet erhebliche Kosten. Ob unter der Biden-Administration ein solches Gesetz zu erwarten sein dürfte, bleibt abzuwarten. Zwar hat Vizepräsidentin Harris in ihrer Zeit als Attorney General auf die Durchsetzung des geltenden Datenschutzrechts gepocht. Angesichts der Anzahl an Mammutaufgaben, derer sich die neue Regierung annehmen muss, könnte das Thema Datenschutz jedoch auf der Prioritätenliste eher weiter unten angesiedelt werden. (jd/bw)

Aktuelle IDG-Studien

Seit der Einführung von ChatGPT beherrscht kein anderes IT-Thema so die Schlagzeilen wie (generative) künstliche Intelligenz. Wir schauen auf Einsatzszenarien, Hintergründe und Folgen.

Mehr zur Studie erfahren
Der Einsatz von No-/Low-Code boomt. Lange dauert es wohl nicht mehr, bis Software-Entwicklung und Prozessmodellierung via grafischer UI das klassische Coding überholen. Mehr in der Studie.

Mehr zur Studie erfahren
Unternehmen rüsten auf: Je komplexer die Gefährdungslage, desto stärker der Bedarf an Security Services. Dazu alles zu Cyberattacken und Gegenmaßnahmen.

Mehr zur Studie erfahren
Hybrid Work: Wer als Arbeitgeber für die jungen Generationen interessant und attraktiv sein will, darf nicht auf eine moderne IT-Infrastruktur und -Arbeitsumgebung verzichten. Mehr in der Studie.

Mehr zur Studie erfahren
Das datengesteurte Unternehmen - Realität oder Hirngespinst? Erst wenige Firmen schaffen es, mithilfe von Daten-Insights neue Geschäftsmodelle auf die Beine zu stellen. Mehr in der Studie.

Mehr zur Studie erfahren
Für knapp neun von zehn Unternehmen kommt künftig eine Migration in die Cloud ohne strategischen Ansatz nicht infrage. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Unternehmen wollen energieeffizienter und nachhaltiger werden. Dazu müssen sie aber noch ihre IT-Strategien anpassen und die notwendige Datenbasis schaffen. Mehr dazu in der Studie.

Mehr zur Studie erfahren
Integrationsplattformen sind Drehscheiben für die Vernetzung von Anwendungen im Unternehmen und unterstützen zudem die Prozessautomatisierung. Mehr in der Studie.

Mehr zur Studie erfahren
Die End-to-End-Automatisierung von Geschäftsprozessen stellt einen wichtigen Eckpfeiler der digitalen Transformation der Unternehmen dar. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Auch in wirtschaftlich schwierigen Zeiten ist das (IT/Enterprise) Service Management geschäftskritsich - gerade mit Hinblick auf eine stärkere (Prozess-)Automatisierung. Trends und Zahlen dazu in der Studie.

Mehr zur Studie erfahren