California Consumer Privacy Act

Das sollten Sie über das neue Datenschutzgesetz wissen

31.10.2019
Von    und
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Dr. Axel Spies ist Special Legal Consultant bei Morgan, Lewis & Bockius.
Der kommende CCPA sieht schärfere Datenschutzregelungen in Kalifornien vor. Erfahren Sie, was deutsche Unternehmen, die dort geschäftlich tätig sind, beachten sollten.

Kalifornien ist seit langem ein Labor für innovative Ansätze zur Regulierung der Privatsphäre. Daher erklärt sich, dass der neue California Consumer Privacy Act (CCPA), wie der Name schon verrät, aus Kalifornien stammt. Im Übrigen haben Unternehmen wie Facebook und Googleihren Hauptsitz, zu deren Kerngeschäft der Handel mit Daten gehört. Andere US-Bundesstaaten, wie etwa New York, haben ähnliche Gesetze erlassen oder befinden sich noch im Gesetzgebungsprozess. Beim CCPA handelt es sich jedoch um das wegweisende Datenschutzgesetz der USA. Ein Bundesdatenschutzgesetz, das dem staatlichen Gesetz vorginge, lässt jedoch weiter auf sich warten, wenn es denn überhaupt verabschiedet wird.

Der California Consumer Privacy Act kann Auswirkungen beispielsweise auf deutsche Dienstleister haben, die für kalifornische Unternehmen Daten verarbeiten.
Der California Consumer Privacy Act kann Auswirkungen beispielsweise auf deutsche Dienstleister haben, die für kalifornische Unternehmen Daten verarbeiten.
Foto: Martial Red - shutterstock.com

Entwicklungen um den CCPA

Im Oktober 2019 gab es eine Reihe bedeutender neuer Entwicklungen, die zeigen, dass sich der CCPA in vielerlei Hinsicht von der Datenschutzgrundverordnung (DSGVO) unterscheidet. Mit zunehmender Klarheit des regulatorischen Umfelds haben die Unternehmen nunmehr bessere Leitlinien und Interpretationen an der Hand. So können sie entscheiden, was sie tun müssen, um für den 1. Januar 2020, dem Inkrafttreten des CCPA und den 1. Juli 2020, das voraussichtliche Vollzugsdatum, startklar zu sein. Auch deutsche Gesellschaften, die für Unternehmen Dienste erbringen, die vom CCPA erfasst sind, müssen sich auf die Anforderungen des CCPA vorbereiten.

Am 10. Oktober 2019 hatte die kalifornische Generalstaatsanwaltschaft ("AG") - de facto die zuständige Datenschutzbehörde - ihre CCPA-Regularien veröffentlicht. Sie beziehen sich in erster Linie auf die Rechte des Verbraucherschutzes. Am 11. Oktober 2019 unterzeichnete Gouverneur Newsom fünf Gesetzesvorlagen zur Änderung der CCPA, die neue Ausnahmen und Regelungen für Mitarbeiter- und B2B-Transaktionsdaten enthalten. Weitere Anpassungen oder gar eine Volksabstimmung (Ballot Inititative) zur Einführung einer unabhängigen Datenschutzbehörde sind in den kommenden Monaten möglich.

Geltungsbereich des CCPA

Ausländische Gesellschaften können vom CCPA auch direkt betroffen sein, wie auch die DSGVO in vielen Fällen direkt auf Unternehmen in den USA anwendbar ist. Ein Unternehmen, das der CCPA unterliegt, ist eine gewinnorientierte Organisation oder juristische Person, die in Kalifornien geschäftlich tätig ist und personenbezogene Daten der Verbraucher sammelt - entweder direkt oder über einen Dritten. Auf den Sitz kommt es nicht an.

Was bedeutet "Daten sammeln"?

Der Begriff "sammelt" ist im weitesten Sinne definiert als "Kauf, Vermietung, Sammlung, Erhalt […] oder Zugriff auf personenbezogene Daten eines Verbrauchers auf irgendeine Weise." Das Unternehmen muss diese Daten entweder allein oder gemeinsam mit anderen sammeln und die Zwecke der Verarbeitung der personenbezogenen Daten festlegen. Diese Rollenverteilung ähnelt sehr dem Konzept des "Verantwortlichen" (Controller) der DSGVO. Das CCPA gilt auch für traditionelle Geschäfte, die Daten sammeln, also nicht nur für die Erfassung personenbezogener Daten auf elektronischem Wege oder über das Internet.

"Business" im Sinne des CCPA

Der Begriff "Geschäft" (Business) umfasst auch ein Unternehmen, das ein Unternehmen kontrolliert oder von ihm direkt oder indirekt unter einem gemeinsamen Warenzeichen ("Brand") kontrolliert wird. Darunter fallen beispielsweise Zweigstellen oder Vertriebsunternehmen vor Ort. Das Unternehmen muss eine der folgenden drei Schwellenwerten überschreiten:

  • Jährliche Bruttoeinnahmen von mehr als 25 Millionen Dollar (diese Schwelle scheint nicht auf die Einnahmen nur aus Kalifornien beschränkt zu sein);

  • Jährliche Erfassung, Kauf oder Verkauf, Weitergabe etc. von personenbezogenen Daten von 50.000 oder mehr Verbrauchern, Haushalten oder Geräten allein oder in Kombination; oder

  • 50 Prozent oder mehr seines Jahresumsatzes basiert auf dem Verkauf von personenbezogenen Daten der Verbraucher.