Kalifornien, das seit langem einen nationalen Präzedenzfall für Verbraucherschutz im digitalen Zeitalter darstellt, hat das bislang umfassendste Datenschutzgesetz der USA verabschiedet. Der California Consumer Privacy Act („CCPA“) gibt den kalifornischen Verbrauchern die Kontrolle über ihre persönlichen Daten und schafft die Voraussetzungen für eine grundlegende Neuausrichtung der Art und Weise, wie Unternehmen, die im Bundesstaat (und damit in den gesamten USA) geschäftlich tätig sind, mit den Daten ihrer Kunden umgehen.
Der Fokus auf die Datenschutzrechte der Verbraucher hat verständlicherweise zu Vergleichen zwischen dem CCPA und dem Datenschutz-Grundverordnung der EU („DSGVO“). Obwohl es offensichtlich ein hohes Maß an Überschneidungen gibt – und in einigen entscheidenden Bereichen sogar eine fast identische Sprache – sollte der CCPA nicht so sehr als kalifornische DSGVO verstanden werden, sondern vielmehr in seinem eigenen Sinne: erstens als Hinweis darauf, dass Datenschutz Bedenken haben den Atlantik überquert, und zweitens ist den Gesetzgebern klar geworden, dass sie den Datenschutz mit harten Maßnahmen ernst nehmen müssen – und zwar in typisch amerikanischer Manier, sowohl durch Gerichtsverfahren als auch durch Geldbußen.
Die Auslegung und Umsetzung des CCPA bis zum Inkrafttreten am 1. Juli 2020 dürfte für Unternehmen, die der Verordnung unterliegen, ebenso ein hektisches Durcheinander bedeuten wie die Verabschiedung der DSGVO. Dieser Blogbeitrag und das demnächst erscheinende Whitepaper zur Einordnung des CCPA in Richtlinien und Prozesse skizzieren die wichtigsten Änderungen des CCPA und bieten eine Reihe von Schritten zur Vorbereitung auf die kommenden Entwicklungen.
DSGVO vs. CCPA
Der Vergleich mit der DSGVO ist sicherlich aufschlussreich, da er zeigt, wo bestehende CCPA-Compliance-Bemühungen auf die bereits von der EU-Verordnung abgedeckten Bereiche umgestellt werden können – aber auch, wo zusätzliche oder sogar grundlegende Arbeit erforderlich ist:
Wie die DSGVO legt auch das CCPA Rechte der betroffenen Person Im Mittelpunkt steht dabei die Forderung, dass Unternehmen Rechenschaft darüber ablegen müssen, wie sie Kundeninformationen sammeln und verkaufen.
• Im Gegensatz zur DSGVO bietet der CCPA die Möglichkeit, Regeln festzulegen, die es Unternehmen ermöglichen, in bestimmten Situationen finanzielle Anreize im Austausch für Benutzerdaten anzubieten.
Wie die DSGVO erweitert auch das CCPA die Definition, welche Art von Daten geschützt und berücksichtigt werden müssen.
• Gemäß dem Gesetz umfassen personenbezogene Daten Informationen, die „einen bestimmten Verbraucher oder Haushalt identifizieren, sich auf ihn beziehen, ihn beschreiben oder mit ihm in Verbindung gebracht werden können“.
• CCPA umfasst IP-Adressen, Geolokalisierungsdaten, biometrische Informationen und „eindeutige Kennungen“ wie Geräte- und Cookie-IDs sowie Informationen zur Internetaktivität.
Wie die DSGVO sieht auch der CCPA erhebliche Strafen für Nichteinhaltung und Verletzung der Privatsphäre der Verbraucher vor.
• Obwohl die Bestimmung bereits Kritik auf sich gezogen hat, eröffnet das Gesetz den Verbrauchern eine neue „privates Klagerecht“ und die Fähigkeit eine Sammelklage wegen Verstößen zu erheben, die auf unzureichende Sicherheitsvorkehrungen zurückzuführen sind, sowie „wissentliche und vorsätzliche“ Verstöße. Darüber hinaus werden die Aufsichtsbehörden Geldstrafen zwischen 14.750 und 14.500 US-Dollar pro Verstoß verhängen – wodurch Verstöße noch kostspieliger werden als zuvor.
Im Einklang mit der DSGVO und den bestehenden kalifornischen Gesetzen zur Meldung von Verstößen unterliegen Unternehmen einer Frist, um Kunden im Falle eines Verstoßes zu benachrichtigen. Sie haften jedoch für den Verstoß selbst, nicht nur für die unterlassene Meldung.
• Das CCPA enthält eine Bestimmung, die es dem Generalstaatsanwalt von Kalifornien ermöglicht, im Namen der Verbraucher Klage auf bis zu 14.750.000 TP1 pro Verstoß einzureichen.
• Durch die Ausweitung dessen, was als personenbezogene Daten gilt, erweitert das CCPA effektiv den Umfang der Unternehmensdatenquellen und Datenkategorien, die im Falle eines Verstoßes der Meldepflicht unterliegen.
Gemeinsame Ziele: Kennen Sie Ihre Daten
Wie die DSGVO gewährt auch der CCPA den Einwohnern Kaliforniens ähnliche Datenschutzrechte wie das Recht auf Auskunft und Löschung ihrer Daten. Diese neuen Rechte erfordern, dass Unternehmen personenbezogene Daten in einer modernen Datenlandschaft, die Datenbanken, Fileshares, Protokolle, Big Data, die Cloud usw. umfasst, problemlos lokalisieren können.
Für Unternehmen mit komplexer Datenerfassung und -verarbeitung ist es wichtig, sich einen Überblick darüber zu verschaffen, welche personenbezogenen Daten erfasst werden und wie diese nachweislich und datenbasiert verwendet werden. Um die Rechte an personenbezogenen Daten zu erfüllen, muss zudem ermittelt werden, welche Daten gemäß CCPA als personenbezogen gelten und wem sie gehören, um auf Zugriffs- oder Löschanfragen von Einzelpersonen problemlos reagieren zu können.
Gemeinsame Ziele: Kennen Sie Ihre Datennutzung
Während der CCPA im Vergleich zur DSGVO einen engeren Anwendungsbereich der Zustimmungsanforderungen hat, führt die Bestimmung des Gesetzes zur Operationalisierung von Opt-outs für den Verkauf personenbezogener Daten dennoch zu ähnlichen Zustimmungsverantwortungs- und Transparenzanforderungen.
Um die Einhaltung des CCPA nachzuweisen und das Vertrauen der Verbraucher in Bezug auf die unbefugte Weitergabe von Daten zu stärken, sollten Unternehmen DSGVO-ähnliche Aufzeichnungen der Datenverarbeitung berücksichtigen, um die Datenfreigabe einfacher prüfen zu können. Gleichzeitig sollten sie ein Rahmenwerk zur Zustimmungsverwaltung implementieren, um Freigabepräferenzen aufzuzeichnen und die unbefugte Freigabe einzuschränken.
Countdown zur Einhaltung der Vorschriften
Wie die DSGVO führt auch der CCPA neue Datenschutzrechte für Verbraucher ein und sieht hohe Bußgelder für Unternehmen vor, die diese Rechte verletzen. Zudem haben Verbraucher das Recht, bei Nichteinhaltung Klage einzureichen. Daher müssen betroffene Organisationen sicherstellen, dass sie wissen, wo alle personenbezogenen Daten in ihrer IT-Umgebung gespeichert sind, um Anfragen angemessen und zeitnah beantworten zu können. Sie müssen außerdem leicht erkennen oder ableiten können, welche Personen in Kalifornien leben. Dies erfordert einen höheren Grad an Datenintelligenz.
Während der Gesetzgeber vor dem Inkrafttreten am 1. Januar 2020 noch weitere Änderungen am CCPA vornehmen wird, sollten betroffene Unternehmen bereits jetzt mit den Vorbereitungen zur Einhaltung der Vorschriften beginnen, indem sie die Werkzeuge zur Inventarisierung, Zuordnung, Verwaltung und Kontrolle ihrer personenbezogenen Daten prüfen.