CCPA - die USA legen in Sachen Datenschutz nach
Welche Gemeinsamkeiten gibt es zwischen der CCPA und der DSGVO?
Der CCPA ist bereits im Juni 2018 als Gesetz verabschiedet worden und zum 1.Januar 2020 in Kraft getreten. Auch wenn es in den gesamten USA kein gültiges Gesetz gibt, so wird dem CCPA doch ein landesweiter Symbolcharakter zugeschrieben. Und das alleine durch die Tatsache, dass Kalifornien beinahe ausnahmslos alle großen und global agierenden IT-Giganten beheimatet und somit Einfluss auf deren Geschäftsfelder in den gesamten USA ausübt.
Das neue Kalifornische Gesetz ist auf eine Bürgerinitiative zurückzuführen. Diese hat sich wegen weltweit bekannter Datenskandale, wie etwa bei Facebook, selbst bei den generell eher sorglos agierenden US-Bürgern formiert. Allerdings gibt es zur DSGVO, die in Europa den Datenschutz definiert, erhebliche Unterschiede. Während von den Bestimmungen der DSGVO letztlich jede Institution betroffen ist, die personenbezogene Daten verarbeitet, fokussiert der CCPA gezielt jene Unternehmen, die im großen Stil Handel mit personenbezogenen Daten betreiben. Damit sind die Unternehmen gemeint, deren Gewinn zu mindestens 50 Prozent aus dem Verkauf von personenbezogenen Daten stammt. Auch Unternehmen die pro Jahr mindestens 25 Millionen Dollar Umsatz generieren sind davon betroffen. Ein drittes und rechtlich sehr relevantes Indiz hierfür, ist auch die Anzahl der Verbraucher. Für Unternehmen die persönliche Informationen von mehr als 50.000 Verbrauchern kaufen, verkaufen oder weitergeben, tritt die CCPA in Kraft.
Die Gemeinsamkeiten von DSGVO und CCPA
Wie bei der DSGVO geht es dem CCPA darum, Konsumenten vor willkürlichem Umgang mit personenbezogenen Daten zu schützen. Da wären zum Beispiel das Recht auf Auskunftserteilung. In Kalifornien tätige Unternehmen müssen gegenüber dem Kunden und Konsumenten auf Anfrage Rechenschaft ablegen und deutlich machen, welche persönliche Daten erfasst und gespeichert werden, wie lange diese Speicherung andauert und an welche Drittanbieter die Daten weitergegeben werden. Ebenso hat der Kunde ein Recht auf Löschung. Das soll heißen, das Privatpersonen ein Recht darauf haben, das Ihre Daten gelöscht werden, sobald eine Speicherung, etwa durch den Wegfall des aktiven Kundenverhältnisses, unnötig wird. Hier gibt es allerdings einige Ausnahmeregelungen, wie sie auch in der DSGVO vorkommen. Der CCPA sieht auch eine Opt-out-Entscheidung vor. Wenn ein Verbraucher sich für ein „Opt-out“ entschieden hat, ist das Unternehmen verpflichtet, den Datenverkehr persönlicher Informationen an Dritte zu deaktivieren. Verbraucher könen also aktiv verhindern, das ihre personenbezogene Daten an Dritte weitergegeben werden.
Eklatante Unterschiede beider Vorschriften
Die DSGVO geht jedoch viel weiter als das amerikanische Gesetz. In Kalifornien tätige Unternehmen müssen weder einen internen noch einen externen Datenschutzbeauftragten benennen. Die CCPA gilt ausschließlich für die Verhältnisse zwischen dem Unternehmen und Kunden. Der gesamte B2B-Bereich bleibt daher vom Gesetz absolut unberührt. Ein großer Unterschied zur DSGVO ist auch, dass Institutionen oder öffentliche Einrichtungen, wie beispielsweise Vereine oder kommunale Behörden vom kalifornischen Gesetz unberührt bleiben.
Einen Aspekt haben die Amerikaner jedoch weiter gefasst als die Europäischen Datenschützer. So sind von der CCPA auch Daten betroffen, die in Haushaltsgeräten gespeichert und für Service-Leistungen genutzt werden. Wenn diese Daten einen Zusammenhang zu einem Verbraucher herstellen lassen, werden sie in der Behandlung mit originären Kundendaten gleichgestellt.
Verstöße werden mit vergleichsweise harmlosen Bußgeldern belegt
Wenn man in den USA an Schmerzensgelder oder Schadenersatzforderungen denkt, dann bringt man das vermutlich mit horrenden Summen in Verbindung. Die zuständigen Behörden in Kalifornien und die Schöpfer des CCPA haben sich hierbei für eine andere Taktik entschieden. Im Vergleich zu den möglichen Bußgeldern, die für Verstöße gegen die DSGVO verhängt werden können, sehen die US-Strafen eher wie Taschengelder für die Unternehmen aus. In einem großen Unternehmen in Europa werden bei einem Datenmissbrauch bis zu zwei Prozent des Jahresumsatzes auf den Bußgeldbescheid geschrieben, während die US-Bescheide vermutlich in der Rechnungsstelle „Portokasse“ landen. Wenn ein Verstoß nicht innerhalb von 30 Tagen abgestellt wird, zahlt ein Unternehmen lediglich 2500 Dollar. Handelt es sich hingegen um einen vorsätzlichen Verstoß, müssen 7.500 Dollar Bußgeld bezahlt werden. Eine solche Höhe der Bußgelder, wird jedoch kaum eine abschreckende Wirkung haben – leider – rechnet man hier den immensen Wert, den sensible Kundendaten für Unternehmen haben.
Quelle: Microsoft, Mensch und Medien GmbH, Rathausstraße 41, D-86946 Vilgertshofen, Web: menschundmedien.de, https://docs.microsoft.com/de-de/microsoft-365/compliance/ccpa-faq