Seit 1. Januar 2020 hat Kalifornien seine eigene kleine DSGVO, den California Consumer Privacy Act (CCPA). Ein erster Schritt in Richtung Datenschutz, der nicht zuletzt bei den vielen datengetriebenen Tech-Unternehmen in diesem Bundesstaat für Unruhe gesorgt hat.
Ein “Do not sell my personal information”-Link ist nun Pflicht auf vielen Webseiten. Und das ist erst der Beginn einer neuen amerikanischen Datenschutzbewegung, denn das Gesetz wird stetig ausgebaut und weitere US-Bundesstaaten wollen nachziehen.
Aber wen betrifft das neue Gesetz eigentlich? Was bedeutet es für uns in Europa? Und wie unterscheiden sich CCPA und DSGVO? Wir haben die wichtigsten Infos zusammengestellt.
CCPA – Wen betrifft es?
Die meisten europäischen Unternehmen können sich entspannt zurücklehnen. Denn der CCPA betrifft nur Unternehmen, die mindestens einen der folgenden Punkte erfüllen:
Das Unternehmen muss
- in Kalifornien geschäftlich tätig sein
- einen Gesamtumsatz von über 25 Millionen US-Dollar (vor Steuern) haben
- pro Jahr mehr als 50.000 Daten von in Kalifornien wohnhaften Nutzern sammeln
- die Hälfte seines Umsatzes mit dem Verkauf von personenbezogenen Daten der Nutzer erzielen
Wichtig zu wissen: Der CCPA wurde bereits im Juni 2018 verabschiedet. In Kraft getreten ist er am 1. Januar 2020. Allerdings besteht im Moment noch eine Art Schonfrist für Unternehmen, da das Gesetz derzeit noch ausgebaut und verändert wird. Ab dem 1. Juli 2020 wird es voraussichtlich ernst und das Gesetz wird mit aller Konsequenz durchgesetzt.
CCPA – Wen schützt er?
Nur kalifornische Staatsbürger bzw. Haushalte fallen unter den Schutz der CCPA. Anders als bei der DSGVO, die über nationale Grenzen hinweg gilt.
Wichtig zu wissen: In den USA gibt es kein einheitliches Datenschutzgesetz – wie beispielsweise in der EU. Sofern es Datenschutzgesetze gibt, beziehen diese sich auf spezielle Bereiche (wie z.B. den Gesundheitssektor) oder – wie eben der CCPA – auf einzelne Bundesstaaten.
DSGVO oder CCPA – Was gilt?
Sowohl die DSGVO, als auch der CCPA sind extraterritoriale Gesetze. Sie gelten also auch außerhalb des Hoheitsgebiets des Landes oder Staates, in dem sie eingeführt wurden. Unternehmen, die in einem dieser europäischen Länder oder im amerikanischen Bundesstaat Kalifornien geschäftlich tätig sind und Nutzerdaten verarbeiten, müssen sich also an die jeweiligen Spielregeln halten.
Besucht also ein europäischer Staatsbürger eine US-kalifornische Webseite gilt die DSGVO.
Surft ein kalifornischer Staatsbürger auf einer Webseite eines Unternehmens in der EU, gelten für ihn sowohl der CCPA als auch die DSGVO. Das ist aber nur der Fall, wenn sich verargumentieren lässt, dass sich das jeweilige Angebot auch an Nutzer außerhalb des Heimatmarkts richtet. Wichtig: Im Zweifelsfall sollte man sich am strengeren Gesetz, also der DSGVO orientieren und diese für sämtliche Besucher durchsetzen.
Was unterscheidet DSGVO und CCPA?
Der CCPA ist im Prinzip nichts anderes als eine Verbraucherschutzregelung, wohingegen die DSGVO das Thema Datenschutz umfassender regelt. So gilt die DSGVO z.B. auch im B2B-Bereich. Insgesamt ist die CCPA aber deutlich unspezifischer, konkrete Regelungen wie die in der DSGVO vorgesehene Bestellpflicht eines Datenschutzbeauftragten sieht der CCPA nicht vor.
Der größte Unterschied des CCPA im Vergleich zur DSGVO zeigt sich bei der Verwendung der personenbezogenen Daten:
Um Nutzerdaten überhaupt DSGVO-konform sammeln zu dürfen und sie anschließen weiterzugeben, muss dem Webseitenbetreibenden eine vorherige ausdrückliche Einwilligung (Opt-in) des Nutzers vorliegen.
Die CCPA hingegen basiert auf dem Widerspruchsprinzip (Opt-out). Um CCPA-konform zu sein, muss auf der Webseite eines Unternehmens ein deutlich sichtbarer Link mit dem Wortlaut “Do not sell my personal information” zu finden sein, sodass der Nutzer aktiv der Weitergabe und dem Verkauf von personenbezogenen Daten widersprechen kann.
Bei Kindern zwischen 13 und 16 Jahren muss zur Datenweitergabe eine ausdrückliche Einwilligung vorliegen. Bei Kindern unter 12 Jahren sogar die Einwilligung der Erziehungsberechtigten. Da bei einigen Webseiten nicht ausgeschlossen werden kann, dass auch unter 16-Jährige unter den Besuchern sind, sollte man auf Nummer sicher gehen und für alle den Opt-in einholen, was somit wieder dem DSGVO-Ansatz entspricht.
Die DSGVO handhabt den Kinderschutz etwas strenger: Die Verarbeitung von personenbezogenen Daten ist hier generell erst ab dem vollendeten 16. Lebensjahr erlaubt. Ist das Kind jünger, muss die Einwilligung der Erziehungsberechtigten vorliegen.
Die DSGVO enthält allerdings eine Öffnungsklausel, wonach Mitgliedstaaten die Altersgrenze auch auf 13 Jahre heruntersetzen können. Deutschland macht von dieser Regelung jedoch keinen Gebrauch, Österreich beispielsweise schon. Für Unternehmen, die EU-weit tätig sind, ein Thema, das sie im Blick haben müssen.
Wie regelt der CCPA die Nutzung von Cookies?
First Party Cookies, die personenbezogene Daten z.B. zum Nutzerverhalten auf einer Webseite erheben, fallen unter den Geltungsbereich der CCPA. Ausgenommen von dieser Regelung sind Essential Cookies, die nur dazu dienen die wesentlichen Vorgänge auf einer Webseite zu ermöglichen.
In Bezug auf Third Party Cookies ist die Gesetzesauslegung derzeit noch unklar. Im Rahmen der CCPA kann beispielsweise auch das Teilen von Nutzerdaten mit Werbedrittanbietern oder auch das Nutzen von Analysetools eines Drittanbieters z.B. für Retargeting-Maßnahmen als “Verkauf von Daten” ausgelegt werden.
Möchte ein Nutzer nicht getrackt werden, kann er nun aufgrund der CCPA die gesetzlich vorgeschriebene Opt-Out Möglichkeit wahrnehmen. Seine Daten können so weder verwertet noch weitergegeben werden, was zu erheblichem Verlust von Werbeeinnahmen für den jeweiligen Webseitenbetreiber führen kann – es sei denn, er holt eine ausdrückliche Einwilligung des Nutzers über eine CCPA-konforme Consent Management Platform (CMP) ein und ist so rechtlich auf der sicheren Seite.
Welche Rechte haben Verbraucher laut CCPA?
Der CCPA stärkt folgende vier grundlegende Verbraucherrechte:
- Das Recht auf Auskunftserteilung
Der Verbraucher kann von einem Unternehmen oder einer Organisation jederzeit (rückwirkend für 12 Monate) einen vollständigen Bericht anfordern, welche Daten wann und zu welchem Zweck gesammelt und gespeichert wurden.
Interessant: Dem Sammeln von persönlichen Daten kann laut CCPA im Gegensatz zur DSGVO nicht widersprochen werden. Die Verarbeitung oder der Verkauf der Daten können allerdings untersagt werden (“Do not sell my personal information”).
- Das Recht auf Löschung
Der Verbraucher hat das Recht die Löschung seiner personenbezogenen Daten zu verlangen.
- Das Recht auf Gleichbehandlung
Dem Verbraucher darf kein Nachteil entstehen, wenn er seine durch den CCPA gegebenen Rechte tatsächlich geltend macht. Dieses Diskriminierungsverbot sorgt dafür, dass ihm beispielsweise keine höheren Preise angezeigt werden dürfen als Verbrauchern, die der Verarbeitung ihrer personenbezogenen Daten zugestimmt haben.
- Das Recht auf Datenübertragbarkeit
Der Verbraucher kann jederzeit alle seine personenbezogenen Daten bei einem Unternehmen anfordern. Dieses muss sie ihm dann innerhalb von 25 Tagen in einem portablen und technisch leicht übertragbaren Format zukommen lassen, damit sie dann beispielsweise an andere Unternehmen übermittelt werden können.
Welche Strafen warten bei Verstößen gegen die CCPA?
Während bei Verstößen gegen die DSGVO empfindliche Bußgelder bis zu 20 Millionen Euro oder 4% des Jahresumsatzes warten, sieht der CCPA deutlich mildere Strafen vor: 7.500 USD werden bei einer vorsätzlichen Verletzung der Datenschutzpflicht fällig. Allerdings hat das Unternehmen 30 Tage Zeit, seinen Fehler gegenüber dem Verbraucher zu korrigieren. Bei fahrlässigen Verstößen wartet ein Bußgeld von 2.500 USD.
Brisant: Bei Datenverlust oder Datendiebstahl fällt ein gesetzlicher Schadensersatz von 100.000 USD bis 750.000 USD pro Verbraucher und Vorfall an. Datenpannen können sich für große Unternehmen also schnell zu Millionenbeträgen summieren.
Die Lösung: Der Einsatz einer CCPA-fähigen CMP
Will ein Unternehmen auf seiner Webseite Daten von kalifornischen Verbrauchern datenschutzkonform verarbeiten, ist eine CCPA-konforme Consent Management Platform unerlässlich – nicht nur um das Risiko von Bußgeldern zu minimieren, sondern vor allem auch, um beim Einholen, Verwalten und Optimieren der Nutzer-Einwilligungen und Opt-outs rechtlich auf der sicheren Seite zu sein. Denn nur ein sauberes Consent Management ermöglicht zukunftsfähiges Marketing.
Schützen Sie Ihre Werbeeinnahmen und machen Sie Datenschutz zu ihrem persönlichen Wettbewerbsvorteil. Gestalten Sie Ihre Webseite noch heute CCPA-konform – schnell, einfach und individuell. Kontaktieren Sie uns, wir beraten Sie gerne!
Disclaimer
Bitte beachten Sie, dass dieser Artikel keine Rechtsberatung darstellt. Bitte wenden Sie sich bei Rechtsfragen an Ihren Anwalt.