Neues Datenschutzgesetz CCPA in Kalifornien

Die USA ziehen nach: Pünktlich zum Jahresbeginn ist in Kalifornien ein umfangreiches Datenschutzgesetz in Kraft getreten, das der DSGVO in vielen Bereichen ähnelt.

Mit dem CCPA – dem „California Consumer Privacy Act“, wurde schon im Juni 2018 ein Gesetz verabschiedet, das nun zum Start ins Jahr 2020 in Kraft getreten ist. Auch wenn es kein Gesetz gibt, das in den gesamten USA gilt, so wird dem CCPA doch landesweiter Symbolcharakter zugeschrieben. Und das schon alleine durch die Tatsache, dass Kalifornien beinahe ausnahmslos alle großen und global agierenden IT-Giganten beheimatet und somit Einfluss auf deren Geschäftsfelder in Gesamt-USA ausübt.

Ausschlaggebend für dieses Datenschutzgesetz war die Gründung einer Initiative von betroffenen Bürgern, die beispielsweise ihrem Ärger wegen großer Datenskandale, wie etwa bei Facebook, Ausdruck verleihen wollten. Das ist umso bemerkenswerter, da ja die Amerikaner eher dafür bekannt sind, sich bei der freiwilligen Datenherausgabe sehr unbekümmert zu verhalten. Allerdings gibt es beim kalifornischen Gesetz zur DSGVO, die in Europa den Datenschutz definiert, erhebliche Unterschiede. Während von den Bestimmungen der DSGVO letztlich jede Institution betroffen ist, die personenbezogene Daten verarbeitet, fokussiert der CCPA gezielt auf Unternehmen, die in großem Stil Handel mit personenbezogenen Daten betreiben. Gemeint sind Unternehmen, deren Gewinn zu 50 Prozent oder mehr aus Verkaufserlösen aus Deals mit Personendaten zustande kommt. Außerdem sind Unternehmen betroffen, die pro Jahr mindestens 25 Millionen Dollar Umsatz generieren. Das dritte Indiz, das ein Unternehmen in die Pflicht nimmt, resultiert aus der Kundenmenge. Übersteigt diese Anzahl 50000, kommt der CCPA zur Anwendung.

Einiges haben CCPA und DSGVO gemeinsam

Der Konsumentenschutz vor Willkür beim Umgang mit persönlich relevanten Daten stand für beide Vorschriften im Mittelpunkt des Interesses. Daher verwundert es nicht, dass sich die beiden Vorschriftentxte ähneln. Wie etwa beim Recht auf Auskunftserteilung. Auch in Kalifornien tätige Unternehmen müssen gegenüber Kunden und Konsumenten auf Anfrage Rechenschaft ablegen und deutlich machen, welche persönlichen Daten erfasst und gespeichert werden, wie lange diese Speicherung andauert und an welche Drittanbieter die Daten weitergereicht werden.

Ebenso haben die Kunden dieser Unternehmen ein Recht auf Löschung. Prinzipiell haben Privatpersonen also ein Recht darauf, dass ihre Daten gelöscht werden, sobald eine weitere Speicherung, etwa durch den Wegfall des aktiven Kundenverhältnisses, unnötig wird. Allerdings gibt es dabei auch etliche Ausnahmeregelungen, die in der DSGVO ebenfalls vorkommen. Dazu gehört beispielsweise, wenn ein übergeordnetes Gesetz eine haftungs- oder steuerrelevante Speicherung vorschreibt.

Auch eine Opt-out-Regelung wie in der DSGVO findet sich in der US-Variante. Konsumenten und Stammkunden steht es frei, aktiv gegen eine Weitergabe ihrer Daten an Dritte vorzugehen.

Die Unterschiede sind dennoch sehr groß

Trotz der Gemeinsamkeiten ist die DSGVO deutlich weiter und verzweigter gefasst als das kalifornische Werk. Die Verpflichtung, einen Datenschutzbeauftragten zu bestellen und zu benennen, gibt es in dem CCPA beispielsweise nicht, egal wie groß das Unternehmen ist. Ferner gilt der CCPA ausschließlich für die Verhältnisse zwischen Unternehmen und Kunden. Der gesamte B2B-Bereich bleibt vom Gesetzt absolut unberührt. Ebenso sind vom kalifornischen Gesetz Institutionen oder öffentliche Einrichtungen, wie beispielsweise Vereine oder kommunale Behörden nicht berührt, ein weiterer großer Unterschied zur DSGVO.

Es gibt aber auch einen Aspekt, den die Amerikaner weiter gefasst haben als die europäischen Datenschützer. So sind von dem CCPA auch Daten betroffen, die etwa in Haushaltsgeräten gespeichert und beispielsweise für Service-Leistungen genutzt werden. Ist es möglich, dass solche Daten in Zusammenhang mit einem identifizierbaren Verbraucher zu bringen sind, gelten sie ebenso als personenrelevant wie „herkömmliche“ Daten in der Kundenpflege.

Strafen in den USA überraschenderweise sehr niedrig

In Sachen Schmerzensgeld oder Schadenersatzansprüche gelten die Vereinigten Staaten als „Hochpreis-Land“. Bei Ahndung von Datenschutzverstößen hat der kalifornische Gesetzgeber allerdings eher laxe Strafen vorgesehen. Denn im Vergleich zu den theoretisch möglichen Bußgeldern, die für Verstöße gegen die DSGVO verhängt werden können, nehmen sich die US-Strafen eher wie Taschengelder aus. Während einem großen Unternehmen in Europa beim Datenmissbrauch bis zu zwei Prozent des Jahresumsatzes auf den Bußgeldbescheid geschrieben werden, landen die US-Bescheide vermutlich tatsächlich in der Rechnungsstelle „Portokasse“: 2500 Dollar zahlt ein Unternehmen für einen Verstoß, der nicht innerhalb von 30 Tagen abgestellt wird. Auch bei einem vorsätzlichen Verstoß wird es kaum teurer: 7500 Dollar stehen auf einem Bußgeldbescheid, wenn vorsätzlicher Datenmissbrauch nachgewiesen wird. Angesichts des großen wirtschaftlichen Werts von echten Kundendaten dürften diese Bußgelder wohl kaum besonders abschreckend wirken.