Neu ab 2020: California Consumer Privacy Act (CCPA) – Neue Pflichten neben der DSGVO?
Es gibt scheinbar kaum einen besseren Indikator für neue Datenschutzgesetze, als das eigene E-Mail-Postfach. Wie schon 2018 die DSGVO, wurde auch die Einführung des neuen California Consumer Privacy Act (CCPA) von E-Mails mit Updates zu Datenschutzerklärungen oder Auftragsverarbeitungsverträgen begleitet.
Aber ist das neue Gesetz für Sie überhaupt von Bedeutung? Müssen Sie nun alle aktualisierten Datenschutzhinweise und Verträge prüfen? Die Antworten auf diese Fragen erhalten Sie im folgenden Beitrag.
Der Beitrag ist in Form einer FAQ aufgebaut und soll Ihnen einen Überblick über den CCPA verschaffen sowie einen Blick über den Tellerrand des europäischen Datenschutzes bieten.
Inhalt des Beitrags:
Welche Bedeutung hat der California Consumer Privacy Act?
In den USA gibt es, anders als in der EU, kein einheitliches Datenschutzgesetz. Vielmehr existieren Datenschutzvorschriften für einzelne Sektoren (z.B. COPPA für Kinder oder HIPAA im Gesundheitsbereich) oder sind auf einzelne Bundesstaaten beschränkt.
So ist auch der ab 01.01. 2020 geltende (und ab 01.07.2020 durchsetzbare) CCPA ein lediglich auf den Bundesstaat Kalifornien beschränktes Datenschutzrecht. Seine Bedeutung erlangte das Gesetz jedoch wegen der vielen datengetriebenen Unternehmen, die in Kalifornien geschäftlich Daten sammeln.
Für Europäer wird das Gesetz dagegen eher selten unmittelbar zur Anwendung kommen.
Für welche Unternehmen ist der CCPA relevant?
Der CCPA betrifft nur Unternehmen oder sonstige Organisationen, die beiden folgenden Voraussetzungen erfüllen (zu den Begrifflichkeiten s. Section 1798.140):
- Geschäftliche Tätigkeit in Kalifornien – Das Unternehmen oder die Organisation muss ein “Business” in Kalifornien betreiben (womit eine gewinnorientierte Tätigkeit gemeint ist). Es reicht aber auch eine wirtschaftlich kontrollierte Zweig- oder Vertriebsstelle vor Ort
- Sammeln von personenbezogenen Informationen von Verbrauchern – Der Begriff des Personenbezuges ist mit dem der DSGVO vergleichbar (d.h. auch mittelbare Identifizierbarkeit ist ausreichend, s. Art. 4 Nr. 1 DSGVO), wobei mit Gerätedaten auch eher anonyme Informationen ebenfalls mit umfasst sein dürften. Der Begriff des Sammelns („collecting“) scheint sich auch an vielen Stellen mit dem Begriff der Erhebung (Art. 4 Nr. 2 DSGO) zu decken. Er umfasst z.B. eigene Erhebung, Erwerb von Dritten oder sonstige Art des Zugriffs auf die personenbezogenen Informationen.
sowie eine der folgenden Bedingungen:
- Brutto-Einnahmen von 25 Millionen Dollar – Nur wenn das Unternehmen einen Gewinn von mehr als 25 Millionen Dollar vor Steuern erzielt, unterfällt es dem CCPA. Gemeint ist damit wohl der Gesamtumsatz des Unternehmens.
- Sammeln von mehr als 50.000 Daten – Pro Jahr müssen (zusammengenommen) personenbezogene Informationen von mehr als 50.000 in Kalifornien ansässigen Verbrauchern, Haushalten oder deren Gerätschaften gesammelt werden.
- 50% des Umsatzes mit Verkauf von personenbezogenen Informationen – Das Unternehmen muss seine Umsätze zumindest zur Hälfte aus dem Verkauf der personenbezogenen Daten der Verbraucher erzielen.
Schaut man sich die Voraussetzungen an, dann werden die meisten europäischen Unternehmen von dem Gesetz nicht betroffen sein.
Ist der CCPA mit der DSGVO vergleichbar?
Der CCPA ist kein umfassendes Datenschutzgesetz, wie die DSGVO, sondern dient eher dem Verbraucherschutz. Der Schwerpunkt liegt dabei auf der Erhebung von Informationen von Geräten der Nutzer. Dieser Bereich ist in der EU ebenfalls speziell als Teil der so genannten “ePrivacy” zusätzlich zur DSGVO geregelt.
Allerdings ist Kalifornien mit dem CCPA der EU insoweit im Voraus, da die ePrivacy-Verordnung in der EU vorerst gescheitert ist. Derzeit existiert in der EU insoweit eine undurchsichtige Gemengelage aus einer rund 20 Jahre alten ePrivacy-Richtlinie und der DSGVO.
Wo liegen die Gemeinsamkeiten, wo die Unterschiede zum europäischen Datenschutz?
Wie die DSGVO, enthält auch der CCPA die folgenden Betroffenenrechte:
- Recht auf Auskunft (wobei die Vorgaben detaillierter sind, aber auch die Ausnahmen weiter, ferner mindestens zwei Kontaktwege/Mechanismen für die Auskunft bereitstehen müssen und die Auskunft nur zwei Mal in 12 Monaten kostenfrei erfragt werden darf).
- Recht auf Löschung.
- Recht auf Widerspruch (Opt-Out).
- Recht auf Datenportabilität.
- Diskriminierungsverbot wegen der Geltendmachung ihrer Rechte (das Verbot ist in der DSGVO jedoch nicht derart ausdrücklich geregelt)
- Erwerb von Datenbeständen – Anders als in der DSGVO ist geregelt, dass die Daten der Verbraucher z.B. nach dem Erwerb von Unternehmensteilen (“merger, acquisition, bankruptcy”) für den ursprünglichen Zweck weiterverwendet dürfen; auch die Verwendung für einen anderen Zweck ist möglich, wenn Verbraucher über den neuen Zweck informiert wurden und ihm nicht widersprochen haben.
- Informationspflichten – Bei der Information der Verbraucher in der “Privacy Policy” (Datenschutzerklärung), sind die Informationsvorgaben zum Teil genauer spezifiziert und betreffen auch die Form der Datenschutzerklärung, die z.B. in alternativen Formaten mit Zugangsmöglichkeiten für Personen mit Sehbeeinträchtigungen bereitgestellt werden muss).
- Beschwerde und Klagerecht
Was bedeutet das Diskriminierungverbot?
Der CCPA enthält zugleich ein Diskriminierungsverbot und ein Inzentivierungsrecht:
- Diskriminierungsverbot – Verbraucher dürfen wegen der Geltendmachung ihrer Rechte keine Nachteile erleiden (z.B. darf ihnen der Zugang zu bestimmten Waren nicht versagt werden oder sie dürfen keine höheren Preise angezeigt bekommen).
- Inzentivierungsrecht – Umgekehrt dürfen Verbraucher durch bessere Preise oder sonstige angemessene Vorteile dafür belohnt werden, dass sie der Verarbeitung ihrer Daten nicht widersprechen.
Spannend wird sein, wie diese sich zumindest auf den ersten Blick widersprechende Kombination in der Praxis funktionieren wird. Unternehmen werden wohl einen Grundlevel an Leistungen/Preisen nachweisen müssen, von dem sie zwar nach oben, aber nicht nach unten abweichen dürfen.
Erlaubt der CCPA auch Marketing-Cookies ohne Opt-In?
Der CCPA erlaubt bei Personen ab 16 Jahren die Verarbeitung von Cookies ohne ein Opt-In, d.h. eine Einwilligung (unter 16 müssen die Minderjährigen ausdrücklich zustimmen, unter 13 die Eltern).
Notwendig ist jedoch immer ein deutlicher Hinweis auf die Opt-Out-Möglichkeit (weshalb Cookie-Banner nun auch in den USA Einzug halten). Ferner muss auch die Privacy Policy mit einem “Do Not Sell My Personal Information“-Link auf die Widerspruchmöglichkeit verweisen).
Dies gilt jedoch nur, wenn alleine der CCPA zu beachten ist. Wenn Sie (auch) den Datenschutzvorgaben der EU unterfallen, dann gelten diese als das strengere Recht. In der EU gilt seit dem letzten EuGH-Urteil die Opt-In/Einwilligungspflicht (EuGH, 1.10.2019 – C-673/17 “planet49”, Stellungnahme hier im Blog). Nur in Deutschland ist die Rechtslage unklar (außer für Datenschutzbehörden, die ein Opt-In verlangen). In der Schweiz ist (noch) ein bloßer Hinweis mit Widerspruchsmöglichkeit ausreichend.
Im Ergebnis heißt es (in Deutschland unklar):
- Opt-In notwendig – bei Marketing-Cookies, die EU-Unternehmen einsetzen oder Unternehmen außerhalb der EU, wenn Daten von EU-Bürgern erhoben werden.
- Opt-Out ausreichend – bei Marketing-Cookies, die von US-(und Schweizer)-Unternehmen eingesetzt werden und keine Daten von EU-Bürgern verarbeitet werden.
Welches Gesetz gilt vorrangig, die DSGVO oder der CCPA?
Sind beide Gesetze einschlägig, dann müssen sie beide nebeneinander beachtet werden. Es gilt dann immer das strengere Gesetz.
Im Regelfall wird die DSGVO strenger sein.
Müssen Bußgelder doppelt gezahlt werden?
Diese Frage könnte spannend werden, falls ein Unternehmen z.B. keine Opt-Out-Möglichkeit und unzureichende Datenschutzhinweise bei Cookies bietet. Dann verstieße es gegen den europäischen und den kalifornischen Datenschutz.
Man könnte hier jedoch auf der Ebene des Ermessens bei Bußgeldern argumentieren und eine Aufteilung verlangen. Allerdings müsste man hier quasi beide Behörden an einen Tisch bringen.
Bei Verstößen gegen den CCPA müssen Unternehmen USD 7.500 pro Vorfall (bzw. USD 2.500 bei Fahrlässigkeit, die innerhalb von 30 Tagen nicht behoben wird) zahlen. Unklar ist, ob jeder Websitebesucher dann einen Vorfall darstellt, was m.E. angesichts der Summen eher weniger der Fall sein dürfte. Dann wären die Sanktionen jedoch im Vergleich mit den Bußgeldhöhen der DSGVO (bis zu 4 % / 20 Mio, je nachdem was höher ist), wiederum eher symbolischer Natur.
Interessant ist, dass 20 % der Sanktionen in einen “Consumer Privacy Fund” fließen sollen, mit denen die staatliche Verfolgung von CCPA-Verstößen finanziert werden soll.
Schützt der CCPA nur Kalifornier oder auch Europäer?
Der kalifornische Datenschutz schützt nur Verbraucher aus Kalifornien. Die Schutzwirkung der DSGVO ist im Vergleich weitaus übergreifender und macht vor nationalen Grenzen nicht halt.
Sitzt ein Unternehmen in der EU, dann muss es die DSGVO auch bei der Verarbeitung personenbezogener Daten von US-Bürgern beachten.
Erleichtert der CCPA die Datentransfers in die USA?
Vor allem im Social Media Bereich wird die Nutzung von Unternehmen wie Facebook oder Google kritisiert. Zu den Vorwürfen gehört es, dass sie in den USA kein mit der EU vergleichbares Datenschutzniveau herrscht.
Dieses Argument wird mit der Geltung des CCPA allenfalls abgeschwächt, aber nicht aufgehoben. Denn der CCPA schützt eben keine EU-Bürger. Deshalb kann man allenfalls darauf hinweisen, dass dank dem CCPA Facebook oder Google neue Datenschutzvorgaben auferlegt werden, die sich generell auch zugunsten der EU-Bürger auswirken können.
Muss ich die aktualisierten Datenschutzerklärungen (“privacy policies”) der US-Anbieter prüfen?
Wenn Sie geschäftlich Unternehmen aus Kalifornien oder deren Dienste in Anspruch nehmen oder Plattformen nutzen, dann sind Sie (bzw. die zuständigen Datenschutzverantwortlichen) verpflichtet, die Aktualisierungen zu prüfen.
So könnten z.B. neue Verarbeitungen aufgenommen worden sein, die den Einsatz der Dienste unzulässig machen könnten.
Allerdings gehe ich, zumindest nach dem Lesen der bisherigen Updates, nicht von solchen Erkenntnissen aus.
Muss ich die aktualisierten Auftragsverarbeitungsverträge (DPAs) abschließen?
Sie müssen mit US-Unternehmen Auftragsverarbeitungsverträge (“data processing agreements/ addendums”, kurz DPA) abschließen, wenn diese für Sie personenbezogene Daten verarbeiten (z.B. wenn die E-Mail-Marketingplattform „Mailchimp“ für Sie Newsletter versendet oder der Anbieter “Workable“ Bewerberdaten erhebt).
Wie bei der Datenschutzerklärung, empfehle ich Ihnen auch hier die Verträge zu prüfen und neu abszuschließen, damit die Verträge auch dem aktuellen Stand der Datenverarabeitung entsprechen (bei vielen Unternehmen sind die DPA Teile der AGB und müssen nicht mehr gesondert unterschrieben werden).
Allerdings gehe ich auch hier nicht davon aus, dass sich alleine durch den CCPA für Sie relevante Änderungen ergeben werden.
Muss ich die eigene Datenschutzerklärung oder Auftragsverarbeitungsverträge aktualisieren?
Ihre Datenschutzerklärung, Auftragsverarbeitungsverträge (oder andere datenschutzrechtlich relevante Vereinbarungen) müssen Sie nur dann anpassen, wenn Sie den CCPA beachten müssen.
Warum verlangen kalifornische Unternehmen neue Vertraulichkeitszusagen?
Nach der DSGVO haftet ein Unternehmen, wenn es Subunternehmer oder Kooperationspartner einschaltet, um personenbzogene Daten zu verarbeiten (Art. 82 Abs. 2 S. 2 DSGVO). Das gilt auch, wenn dem Subunternehmer vertraglich untersagt wird, die Daten zu anderen Zwecken zu nutzen.
Der CCPA schränkt die Haftung für Subunternehmer im Fall einer derartigen vertraglichen Untersagung ein, wenn der Subunternehmer ausdrücklich erklärt, die Einschränkung verstanden zu haben, sie zu beachten sowie keine Gründe bestehen, daran zu zweifeln (1798.140 (w)).
D.h. wenn Sie für kalifonische Unternehmen tätig sind, die dem CCPA unterfallen, werden Sie sehr wahrscheinlich schon neue Vertraulichkeitszusagen erklärt haben oder sie kommen bald auf Sie zu.
Zusammenfassung und Praxishinweis
Der CCPA ist aus der US-Sicht betrachtet ein großer Schritt, der zum Vorbild werden und das Datenschutzniveau in den USA steigern könnte. Allerdings wird es alleine die umstrittenen Datentransfers an kalifornische Unternehmen, z.B. an Google oder Facebook, nicht erleichtern, da es nur Verbraucher als Kalifornien schützt.
Auch ist es nicht mit der DSGVO zu vergleichen, sondern eher mit Teilen der (derzeit unfertigen) ePrivacy-Regelungen der EU.
Europäische Unternehmen werden eher nicht direkt vom CCPA betroffen sein. Es sei denn, sie sammeln in Kalifornien personenbezogene Informationen von über 50.000 Verbrauchern/Haushalten pro Jahr und erzielen damit über 50% ihres Bruttogewinns, der mindestens USD 25 Mio. betragen muss.
Allerdings müssen Sie aufgrund Ihrer Sorgfaltspflichten zumindest im geschäftlichen und beruflichen Umfeld die geänderten Datenschutzhinweise und Auftragsverarbeitungsverträge prüfen. Auch wenn die Änderungen für Sie eher nicht relevant sein dürften.
Tipp für mehr Rechtssicherheit
Vermeiden Sie Abmahnungen und Bußgelder mit rechtssicherer DSGVO-Datenschutzerklärung: mit aktuellen 500 Modulen, u.a. mit Social Media und E-Mail-Marketing Testen ohne Anmeldung Kein Abo Nur 99,00 Euro netto (nur für Unternehmen). Grundmodule gratis für Privat.