Woran orientiert sich das kalifornische Verbraucherdatenschutzgesetz und wie unterscheidet es sich von der DSGVO?

1. Einführung

Das kalifornische Verbraucherdatenschutzgesetz trat am 1. Januar 2020 in Kraft und stellt das erste größere Datenschutzgesetz in den USA dar. Fast genau 1 ½ Jahre nach dem Inkrafttreten der DSGVO stellt sich somit die Frage, was in dem vermeidlich kalifornischen Pendant zur DSGVO geregelt wird und wo gewisse Unterschiede zur DSGVO liegen.

2. CCPA

Der California Consumer Privacy Act (CCPA) ist ein im Bundesstaat Kalifornien erlassenes nationales Gesetz. Eine Regelungszuständigkeit auf Bundesebene existiert im Bereich Datenschutz in den USA nicht.

Sinn und Zweck des CCPA ist es das verfassungsrechtlich geschützte Recht auf Privatsphäre, zu dem auch die Kontrolle und Verwendung, insbesondere der Verkauf von persönlichen Informationen gehört, zu regeln wie es in SEC. 2 des CCPA lautet.

Im CCPA werden damit den Kaliforniern weitere Rechte zur Kontrolle wie mit ihren Daten umgegangen wird, eingeräumt. Hierzu gehört unter anderem eine Offenlegung der betreffenden Daten, eine Löschung oder eine vollständige Ablehnung des Verkaufs der Daten.

Trotzdem liest sich der CCPA als ein Verbraucherschutzgesetz mit Transparenzpflichten für gewisse Unternehmen

3. DSGVO

Die ab dem 25. Mai 2018 geltende Datenschutzgrundverordnung gilt als verbindliche Verordnung der Europäischen Union als Vorreiter datenschutzrechtlichen Bewusstseins in Europa und der Welt.

Sie DSGVO verfolgt das Ziel die Rechte von betroffenen Personen zu stärken sowie einen reibungslosen Datenverkehr in der EU zu gewährleisten. Hierbei gewährt sie den betroffenen Personen eine Reihe an Betroffenenrechten und erlegt den datenverarbeitenden Unternehmen einige Pflichten auf, die nun genauer betrachtet werden sollen.

 4. Unterschiede

Persönlicher Anwendungsbereich

Im persönlichen Anwendungsbereich werden die vom CCPA gewährten Rechte nur Verbrauchern gewährt, die auf nicht unbestimmte Zeit in Kalifornien ihren Wohnsitz haben bzw. dort leben.

Im Gegensatz dazu setzt die DSGVO für betroffene Personen keine EU-Bürgerschaft oder einen Wohnsitz voraus, vielmehr kann jede lebende Person eine betroffene Person sein gem. Art. 4 Nr. 1, EG 4, 14, 24.

Weiterhin gelten die Pflichten der DSGVO für jede juristische Person, die personenbezogene Daten verarbeitet unabhängig dessen Größe.

Im CCPA werden dagegen nur solche Unternehmen erfasst, die

  • auf Profit
  • persönliche Informationen von Verbrauchern sammeln,
  • über die Mittel und den Zweck der Verarbeitung entscheiden,
  • in Kalifornien ihr Geschäft erledigen, und
  • eine der drei folgenden Voraussetzungen erfüllen:
    • Jahresumsatz über 25 Millionen Dollar,
    • Verarbeitet die persönlichen Informationen von mindestens fünfzigtausend Kaliforniern pro Jahr, oder
    • Erzielt fünfzig Prozent oder mehr seiner jährlichen Einnahmen aus dem Verkauf von persönlichen Informationen.

Räumlicher Anwendungsbereich

Die DSGVO ist nicht nur auf Unternehmen in der EU anwendbar, sondern für jeden der seine Waren, Dienstleistungen an EU-Bürger richtet oder dessen Nutzerverhalten überwacht gem. Art. 3 DSGVO

Der CCPA richtet sich dagegen ausschließlich an Unternehmen, die in Kalifornien ihr Unternehmen betreiben bzw. dort wirtschaften. Es besteht jedoch auch die Möglichkeit als nichtkalifornisches Unternehmen in Kalifornien Business zu machen, wenn bestimmte Voraussetzungen erfüllt werden gem. Sec. 1798.145 (a)(6) CCPA. 

Rechtsgrundlage

Ein weiterer Unterschied liegt in der Systematik und Kernkompetenz des Gesetzes. Der CCPA gewährt dem Kalifornier eine Art Widerspruchsrecht in Form eines Opt-Outs für den Verkauf seiner Daten, wohingegen die DSGVO die Verarbeitung von personenbezogenen Daten unter einer der sechs Rechtsgrundlagen stellt.

Hierbei zeigt sich der Unterschied, dass im europäischen Recht eine Art Verbot mit Erlaubnisvorbehalt existiert, der in Kalifornien durch die Möglichkeit eines Opt-Outs gewährt wird. Somit kann ein Unternehmen jegliche Daten von Personen verarbeiten, sofern die Person dem nicht ausdrücklich widersprochen hat.

Betroffenenrechte

Im CCPA wird dem Kalifornier ebenso wie in der DSGVO ein Widerspruchsrecht eingeräumt. Hiernach kann er die Unternehmen auffordern, die Verarbeitung und den Verkauf seiner personenbezogenen Daten einzustellen. Dies wird durch die Verpflichtung der Einführung eines „Do Not Sell My Personal Information“ Button auf der Homepage ermöglicht. Ebenso verpflichtet der CCPA jeden Dritten, der die Daten erhalten hat, diese nur mit ausdrücklicher Zustimmung des Individuums verarbeiten zu dürfen.

Im Vergleich zur DSGVO wird der betroffenen Person ermöglicht gem. Art. 21 DSGVO gegen jegliche Verarbeitung, die auf berechtigten Interessen des Verantwortlichen beruhen, zu widersprechen. Dies beschränkt sich nicht auf einen bestimmten Zweck der Verarbeitung und muss durch eine weitere Interessenabwägung der Parteien gerechtfertigt werden. Daneben kann die betroffene Person durch den Widerruf ihrer Einwilligung gegen die Verarbeitung widersprechen.

Durchsetzung

Ein weiterer Unterschied zeigt sich in der Durchsetzung und den Bußgeldern der Vorschriften. Während beide Gesetze die Zahlung von Bußgeldern für Verstöße gegen die Vorschriften erkennen, unterscheiden sie sich jedoch gravierend in der Höhe und dem Verfahren.

Im CCPA werden die „monetary penalties“ nur von einem Gericht verhängt und können ausgehend von der Verletzung $2.500 pro Verletzung oder $7,500 pro vorsätzliche Verletzung bedeuten. Hierbei gibt es jedoch keine Obergrenze und jede Verletzung wird von der Staatsanwaltschaft im Zivilprozess vorgetragen.

Nach der DSGVO können die Bußgelder bis zu 2% des Umsatzes des letzten Jahres oder 10 Mio € bzw. 4% des Umsatzes des letzten Jahres oder 20 Mio € annehmen. Die genaue Berechnung erfolgt jeweils unter Abwägung der Verletzung den Umständen des Einzelfalls. Weiterhin können die Bußgelder direkt von der zuständigen Aufsichtsbehörde verhängt werden.

Schadensersatzansprüche

Grundsätzlich gewähren beide die Möglichkeit, dass betroffene Personen einen Schadensersatzanspruch geltend machen können, jedoch ist Reichweite im CCPA deutlich geringer.

Nach dem CCPA sind nur Schadensersatzansprüche für Verletzungen aufgrund von Sicherheitslücken und technischen und organisatorischen Maßnahmen sowie Datenpannen möglich. Die Höhe bestimmt sich dann zwischen $100 und $750 pro Verbraucher pro Verletzung oder des echten Schadens, je nachdem welcher Wert größer ist.

In der DSGVO kann jede Verletzung eine Möglichkeit zu einem Schadensersatzanspruch führen, wobei ein materieller wie immaterieller Schaden möglich ist.

5. Gemeinsamkeiten

Sachlicher Anwendungsbereich

Die DSGVO unterscheidet sich vom CCPA in der sachlichen Anwendung relativ wenig. Beide Gesetze setzen eine Verarbeitung voraus, wobei die Ausnahmen einer Verarbeitung im CCPA größer sind als in der DSGVO. In der DSGVO fallen die Verarbeitung von anonymisierten Daten und zu privaten Zwecken bzw. im familiären Bereich nicht unter den Anwendungsbereich der DSGVO.

Einige Unterschiede ergeben sich aus den Ausnahmen der Verarbeitung im CCPA für das Opt-Out Recht nur beim Verkauf oder Teilen von persönlichen Informationen oder spezialgesetzliche Vorschriften.

Definitionen

Überwiegende Übereinstimmung liegt auch bei der Definition von den relevanten personenbezogenen Daten/persönlichen Informationen vor.

Nach dem CCPA ist die Definition der persönlichen Informationen (CCPA)

„Informationen, die einen bestimmten Verbraucher oder Haushalt identifizieren, sich auf ihn beziehen, ihn beschreiben, mit ihm assoziiert werden können oder vernünftigerweise direkt oder indirekt mit ihm in Verbindung gebracht werden könnten".

und personenbezogenen Daten (DSGVO)

„alle Informationen über eine bestimmte oder bestimmbare natürliche Person (betroffene Person), die sich direkt oder indirekt, insbesondere durch Bezugnahme auf eine Kennung, auf diese beziehen".

Das kalifornische Gesetz enthält in ihrer Definition eine weitere Eigenschaft der persönlichen Information, die sich auf Haushaltsdaten bezieht. Diese müssen dabei keinen Personenbezug aufweisen, wohingegen die DSGVO diesen als eine Grundvoraussetzung der verarbeitenden Daten ansieht.

Pseudonymisierung

Der Begriff der Pseudonymisierung ist sowohl in der DSGVO als auch im CCPA sehr ähnlich, in dem Sinne, dass eine Person nicht mehr ohne zusätzliche Informationen, die durch ausreichende technische und organisatorische Maßnahmen geschützt sind, identifiziert werden kann.

Der einzige Unterschied liegt in der Identifizierung der betroffenen Person nach Bereitstellung zusätzlicher Informationen durch die betroffene Person in der Ausübung ihrer Betroffenenrecht gem. Art. 11 Abs. 2 DSGVO. Diese Möglichkeit besteht nach dem CCPA nicht.

Betroffenenrechte

In ihrer Gesamtheit sind die Betroffenenrecht in der DSGVO mit dem CCPA vergleichbar. Das Recht auf Löschung (Recht auf Vergessenwerden) ist dabei in seinem Kern in beiden Gesetzen gleich. Sie unterscheiden sich lediglich in der Anwendung, Frist und den Ausnahmen.

Ebenfalls sehr ähnlich sind die Informationspflichten des Verantwortlichen, Recht auf Löschung, Recht auf Auskunft und das Recht auf Datenübertragbarkeit.

Ihr Ansprechpartner:

Erdem Durmus

Externer Datenschutzbeauftragter

CIPP/E
Basiszertifikat Projektmanagement von der GPM
Fachkundenachweise zum Datenschutzbeauftragten