Das Jahr 2020 war nicht nur aufgrund der Präsidentschaftswahl ein spannendes Jahr in den USA. Auch im Bereich Datenschutz haben sich einige Neuerungen ergeben, die die Rechte der Bürger mehr schützen und von der Industrie teilweise als kritisch gesehen werden.
Consumer Privacy Act
Bereits am 01. Januar 2020 trat der California Consumer Privacy Act (CCPA) im Bundesstaat Kalifornien in Kraft und wurde Mitte des Jahres in Vollzug gesetzt. Der CCPA ist das erste umfassende Datenschutzgesetz in den Vereinigten Staaten. Die Vorgaben im CCPA beziehen sich in erster Linie auf die Rechte des Verbraucherschutzes der Bürger in Kalifornien (das CCPA gilt auch nur im Bundesstaat Kalifornien) und enthalten deutlich höhere Datenschutzregelungen, die von den Unternehmen erfüllt werden müssen.
So müssen die Unternehmen neben weitreichenden Betroffenenrechten (ähnlich die der DSGVO) auch ein Recht auf ein sog. „Opt-Out“ auf Ihrer Website zur Verfügung stellen. Auf der Website muss ein deutlicher Link platziert werden, der dem Unternehmen den Verkauf von personenbezogenen Daten Untersagt („Do Not Sell My Personal information“). Ist die betroffene Person ein Kind (13-16 Jahre) gelten strengere Vorgaben. Kinder müssen ihre ausdrückliche Einwilligung in der „Verkauf“ ihrer personenbezogenen Daten geben. Unter 12 Jahren, bedarf er der Zustimmung eines Erziehungsberechtigten.
Als eine Besonderheit des CCPA kann gesehen werden, dass auch Haushalts- und Gerätedaten als personenbezogene Daten betrachtet werden, da auch solche Daten grundsätzlich dazu verwendet werden können, mit dem Verbraucher verknüpft zu werden.
Consumer Privacy Rights Act
Im Rahmen einer bundesweiten Abstimmung im November 2020 wurde über ein weiteres Datenschutzgesetz in Kalifornien abgestimmt und von den Wählern gebilligt, dem Consumer Privacy Rights Act (CPRA). Der CPRA hat das Ziel die Anforderungen an die Unternehmen zu erhöhen und die Datenschutzrechte der Verbraucher weiter zu stärken und zu ergänzen. So räumt der CPRA den Verbrauchern z.B. zusätzlich das Recht ein, sich auch gegen die Weitergabe ihrer Daten zu kontextübergreifenden und verhaltensbezogenen Werbezwecken zu entscheiden, wenn zwischen den Unternehmen keine finanzielle Gegenleistung für die Daten fließt. Ein weiterer wesentlicher Aspekt im CPRA ist, dass nun eine unabhängige Datenschutzbehörde (California Privacy Protection Agency) zur Durchsetzung der Vorgaben eingerichtet wird. In Kraft treten wird der CPRA erst im Jahr 2023. Alle Unternehmen, die ohnehin schon den Vorgaben des CCPA unterliegen, müssen ab diesem Zeitpunkt ebenfalls die ergänzenden Vorgaben des CPRA erfüllen.
Für wen gelten die neuen Vorgaben?
Gilt der CCPA/CPRA auch für deutsche bzw. europäische Unternehmen? Unternehmen, die in Kalifornien geschäftlich tätig sind und personenbezogene Daten der Verbraucher „sammeln“ unterliegen den Vorgaben und das unabhängig vom Unternehmenssitz. Zusätzlich muss mind. eine der folgenden Voraussetzungen erfüllt sein: 1. Bruttoumsatz > 25 Mio. USD, 2. 50 % oder mehr des Jahresumsatzes aus dem Verkauf persönlicher Verbraucherinformationen erzielen, 3. die persönlichen Informationen von mehr als 100.000 Verbrauchern kaufen, verkaufen oder weitergeben.
Sanktionen bei Nichteinhaltung
Bei Nichteinhaltung der Vorgaben drohen den Unternehmen neben Geldstrafen auch Sammelklagen der Bürger und Imageschäden. Bei vorsätzlichen Verstößen drohen bis zu 7.500 USD pro Verstoß, bei fahrlässigen Verstößen 2.500 USD pro Verstoß und zusätzlich können betroffene Verbraucher einen Anspruch auf Schadensersatz von 100 – 750 USD pro Vorfall gegen das Unternehmen haben.
Fazit und Vergleich mit der Datenschutzgrundverordnung
Die neuen Gesetze weisen, insbesondere durch den CPRA, vielfach Gemeinsamkeiten mit der Datenschutzgrundverordnung (DSGVO) auf (insbesondere im Bereich der Transparenzpflichten und Betroffenenrechte), unterscheiden sich aber dennoch an viele Stellen. Insgesamt Betrachtet stellt die DSGVO höhere Anforderungen. Doch die neuen Gesetze in Kalifornien können als wichtiger Schritt zur Angleichung an die DSGVO gesehen werden und ein erster richtiger Schritt sein, dass Kalifornien langfristig den Status eines Gebiets mit einem angemessenen Datenschutzniveau erhält (Art. 45 Abs. 1 DSGVO). Weitere US-Bundesstaaten wollen ähnliche Gesetze erlassen oder befinden sich bereits im Gesetzgebungsverfahren.
Autor: Philipp Kuper (LL.M.) – Senior Data Privacy Consultant