Am 1. Januar 2020 trat in Kalifornien mit dem California Consumer Privacy Act (CCPA) das wohl strengste Datenschutzgesetz der USA in Kraft. Nun werden die bestehenden Regelungen des CCPA durch den neuen California Privacy Rights Act (CPRA) noch einmal deutlich erweitert und damit auch weiter an die aus der EU bekannten Standards angenähert. Die geänderten Vorgaben treten Anfang 2023 in Kraft.
Kalifornien zählt zu den Top-Wirtschaftsmächten der Welt. Mit einem nominalen Bruttoinlandsprodukt in Höhe von knapp drei Billionen US-Dollar läge Kalifornien weltweit auf Platz 5, wäre der amerikanische Bundesstaat ein eigenes Land. Dies hat Kalifornien insbesondere den mächtigen Digitalkonzernen zu verdanken, die sich dort niedergelassen haben.
Doch ebendiese Digitalkonzerne erregen wegen ihres Umgangs mit personenbezogenen Daten regelmäßig Aufsehen. Die Nutzung von personenbezogenen Social-Media-Daten durch ein Datenanalyse-Unternehmen zu Wahlkampfzwecken, führte beispielsweise zu negativer Medienberichterstattung. Aus diesen Vorfällen resultiert auf Druck der kalifornischen Bürger letztlich der CCPA, durch den Verbraucher nun über weitreichende – und in dieser Gesamtheit in den USA einzigartige – Rechte hinsichtlich ihrer personenbezogenen Daten verfügen. Bereits im November 2020 stimmten die kalifornischen Wähler mit großer Mehrheit für eine Änderung und Erweiterung des California Consumer Privacy Acts durch den neuen California Privacy Rights Act. Dieser wird am 1. Januar 2023 in Kraft treten und ab dem 1. Juli 2023 voll einklagbar sein – rückwirkend für alle Daten, die ab dem 1. Januar 2022 erhoben wurden.
Barbara Scheben
Partner, Head of Forensic, Head of Data Protection
KPMG AG Wirtschaftsprüfungsgesellschaft
Geltungsbereich des CCPA
Anders als in Deutschland und den anderen EU-Mitgliedsstaaten, die seit der EU-Datenschutz-Grundverordnung (DSGVO) auf ein einheitliches Datenschutzniveau vertrauen können, gibt es in den USA kein übergreifendes Datenschutzgesetz. Datenschutzvorschriften bestehen lediglich für einzelne Bereiche, wie beispielsweise den Gesundheitssektor, oder auf Ebene einzelner Bundesstaaten. So ist auch der CCPA ein auf den kalifornischen Bundestaat beschränktes Datenschutzgesetz.
Geschützt werden durch den CCPA die „Verbraucher“. Der Begriff des Verbrauchers umfasst jede natürliche Person, die als Einwohner Kaliforniens gilt. Die Adressaten des CCPA sind alle in Kalifornien geschäftlich tätigen Unternehmen, die mindestens eine der folgenden Voraussetzungen erfüllen:
- Der weltweite Bruttoumsatz beträgt jährlich mehr als USD 25 Mio.
- Das Unternehmen kauft, verkauft, erhält oder übermittelt zu kommerziellen Zwecken personenbezogene Daten von mindestens 50.000 Verbrauchern, Haushalten oder Geräten (ab Geltung des CPRA: Kauf, Verkauf oder Weitergabe personenbezogener Daten von jährlich mehr als 100.000 Verbrauchern oder Haushalten).
- Das Unternehmen erlangt mindestens 50 Prozent seiner Einnahmen aus dem Verkauf (ab Geltung des CPRA: aus der Weitergabe) von personenbezogenen Daten von Verbrauchern.
Für eine mögliche Anwendbarkeit des CCPA ist es nicht erforderlich, dass das Unternehmen seinen Sitz in Kalifornien hat, sodass auch deutsche Unternehmen in den Anwendungsbereich des CCPA fallen können, wenn sie eine der vorgenannten Voraussetzungen erfüllen. Gleich der DSGVO kann der CCPA somit extraterritoriale Geltung entfalten und auch europäische Unternehmen zur Einhaltung der datenschutzrechtlichen Anforderungen verpflichten.
Die Rechte und Pflichten nach dem CCPA
Im Mittelpunkt des CCPA steht die Schaffung einer erhöhten Transparenz hinsichtlich der Erhebung, Verarbeitung und Weitergabe von personenbezogenen Daten. Hierzu sieht der CCPA weitreichende Betroffenenrechte vor.
So können Verbraucher beispielsweise jederzeit Auskunft über die beim Unternehmen gespeicherten personenbezogenen Daten und den geplanten Verwendungszweck verlangen sowie die Löschung dieser Daten fordern.
Dieses Recht auf Löschung wird durch den neuen CPRA noch einmal erweitert, sodass Unternehmen zukünftig auch Dritte über das Löschersuchen informieren müssen. Darüber hinaus werden durch den CPRA auch die Rechte auf Berichtigung, auf Information über und Widerspruch gegen automatisierte Entscheidungsfindungen sowie auf Einschränkung der Nutzung sensibler Daten eingeführt.
Als weiteres Betroffenenrecht sieht der CCPA das sog. Opt-Out-Recht vor, mit dem Verbraucher einen Verkauf ihrer personenbezogenen Daten an Dritte zu Werbezwecken unterbinden können. Durch den neuen CPRA wird dieses Recht weiter konkretisiert, sodass Verbraucher sich zukünftig gegen jede (auch kostenlose) Datenweitergabe für Zwecke kontextübergreifender, verhaltensbezogener Werbung entscheiden können, während nicht-personalisierte Werbezwecke nicht mehr den Opt-Out-Anforderungen unterliegen werden. Zur Erleichterung der Geltendmachung des Opt-Out-Rechts sind Unternehmen u. a. dazu verpflichtet, einen Link auf ihrer Website mit dem Titel „Do Not Sell My Personal Information“ (zukünftig: „Do Not Sell Or Share My Personal Information“) zu implementieren.
Machen Verbraucher ihre Rechte nach dem CCPA geltend, dürfen sie von dem jeweiligen Unternehmen nicht in Form von Preisnachteilen oder ähnlich wirkenden Benachteiligungen diskriminiert werden. Preisvorteile für erteilte Einwilligungen in zustimmungsbedürftige Verarbeitungen sind hingegen möglich.
Durch den neuen CPRA werden überdies zusätzliche Rechte in Bezug auf sensible personenbezogene Daten (SPI) eingeführt, wie etwa das Recht auf Beschränkung der Nutzung und Offenlegung dieser Informationen. Auch in diesem Zusammenhang müssen Unternehmen für kalifornische Nutzer einen entsprechenden Link („Limit The Use Of My Sensitive Personal Information“) auf ihrer Website bereitstellen.
Parallelen und Unterschiede zur DSGVO
Der CCPA stellt die Rechte der Verbraucher in den Mittelpunkt. Die starke Stellung dieser Betroffenenrechte ist in der EU bereits aus der DSGVO bekannt und stellt eine deutliche Parallele zwischen den beiden Gesetzen dar.
Ähnlich ist auch das Verständnis hinsichtlich der Definition von personenbezogenen Daten: Sowohl der CCPA als auch die DSGVO legen den Begriff der personenbezogenen Daten sehr weit aus und schließen personenbeziehbare Daten in ihren jeweiligen Schutzbereich mit ein. Nach kalifornischem Datenschutzrecht sind allerdings bestimmte öffentlich verfügbare Informationen vom Begriff der personenbezogenen Daten ausgenommen. Durch den neuen CPRA wird zudem die Kategorie der SPI (sensitive personal information) eingeführt. Neben allen Informationen, die auch aus Art. 9 Abs. 1 DSGVO als „besondere Kategorien personenbezogener Daten“ bekannt sind (u. a. ethnische Herkunft, Gesundheitsdaten, Religion oder Gewerkschaftszugehörigkeit), sind nach der CPRA-Definition auch Sozialversicherungs-, Führerschein- und Reisepassnummern sowie Finanzinformationen und genaue Geolokalisationen als SPI anzusehen und unterliegen dadurch einem besonderen Schutz.
Mit dem CPRA kommen auf Unternehmen überdies neue Anforderungen hinsichtlich Datenminimierung, Zweckbindung und Speicherbegrenzung zu, die eng an die DSGVO-Vorgaben angelehnt sind.
Jedoch lässt der CCPA auch einige wichtige Regelungsinhalte der DSGVO vermissen. Während beispielsweise die DSGVO ein generelles „Verbot mit Erlaubnisvorbehalt“ statuiert, verlangt der CCPA für die Verarbeitung personenbezogener Daten im Allgemeinen keine spezifische Rechtsgrundlage und erklärt nur bestimmte Verarbeitungen für zustimmungsbedürftig. Auch Vorgaben zur Sicherstellung eines einheitlichen Datenschutzniveaus bei Datentransfers außerhalb Kaliforniens sind nicht vorgesehen.
Einen wesentlichen Unterschied stellen auf den ersten Blick auch die möglichen Bußgelder dar, die für Verstöße gegen die jeweiligen Gesetze verhängt werden können. Während die DSGVO Geldbußen in Höhe von bis zu 4% des gesamten weltweiten Vorjahresumsatzes vorsieht, wird bei einem vorsätzlichen Verstoß gegen den CCPA lediglich eine Geldbuße in Höhe von USD 7.500 (bei Fahrlässigkeit USD 2.500) fällig und dies auch nur dann, wenn der Datenschutzverstoß nicht innerhalb von 30 Tagen behoben wird. Allerdings wird diese CCPA-Regelung bislang überwiegend dahingehend ausgelegt, dass die genannte Maximalgeldbuße in Bezug auf jeden betroffenen Verbraucher fällig werden kann. Mit anderen Worten: Sind von einem Verstoß die Daten vieler Verbraucher betroffen, kann auch eine Geldbuße nach dem CCPA schnell in die Millionen gehen.
Für die Durchsetzung des CCPA und die Ahndung von Verstößen ist aktuell der kalifornische Generalstaatsanwalt zuständig. Mit Umsetzung des CPRA geht diese Zuständigkeit ab dem 1. Januar 2023 auf die neu zu schaffende California Privacy Protection Agency (CPPA) über. Kalifornien wird damit der erste US-Bundesstaat sein, der über eine Datenschutzbehörde verfügt, die mit denen der EU vergleichbar ist.
Neben den angedrohten Sanktionen räumt der CCPA betroffenen Verbrauchern – ähnlich wie die DSGVO – auch einen Anspruch auf Schadensersatz ein, etwa bei Datensicherheitsverstößen wie Hacking oder Identitätsdiebstahl. Die Schadensersatzsummen können zwischen USD 100 und USD 750 pro Verbraucher pro Verstoß liegen. Ebenso können Verbraucher auf Feststellung oder Unterlassung klagen oder auch auf eine andere Entschädigung, die das Gericht für angemessen hält.
Handlungsbedarf für Unternehmen
Der CCPA macht für Unternehmen, die geschäftlich in Kalifornien tätig sind und in den Anwendungsbereich des Gesetzes fallen, die Umsetzung der Anforderungen in Bezug auf die Schaffung von Transparenz und die Sicherstellung der Betroffenenrechte erforderlich. Viele der Anforderungen sind in ähnlicher Form bereits aus der DSGVO bekannt, sodass bestehende Datenschutz-Prozesse ggf. nur geringer Anpassungen bedürfen, um auch die kalifornischen Vorgaben erfüllen zu können. Gleichwohl gibt es ebenso wesentliche Unterschiede und Besonderheiten, die zu berücksichtigen sind. Unternehmen sollten sich hierbei auch frühzeitig auf die zahlreichen Änderungen einstellen, die das kalifornische Datenschutzrecht durch den neuen CPRA erfahren wird, sodass mögliche Sanktionen, Schadensersatzforderungen und Reputationsschäden bestmöglich vermieden werden können.
Die Expertinnen und Experten von KPMG stehen Ihnen für die Analyse des etwaigen Umsetzungsbedarfs zur Verfügung. Sprechen Sie uns gern an.