Das im Jahr 2018 in Kraft getretene California Consumer Privacy Act (CCPA), das am 1. Januar 2020 in Kraft tritt, bietet Verbrauchern in Kalifornien zusätzliche Rechte und Schutzmöglichkeiten in Bezug auf die Verwendung persönlicher Daten durch Unternehmen gemäß der Allgemeinen Datenschutzverordnung (DSGVO) der Europäischen Union (EU). Dennoch kann ein Unternehmen, das die DSGVO bereits einhält, zusätzliche Verpflichtungen im Rahmen des CCPA haben.
Die zentralen Thesen
- Das kalifornische Verbraucherschutzgesetz (CCPA) trat am 1. Januar 2020 in Kraft. Es verleiht den Verbrauchern in diesem Bundesstaat zusätzliche Rechte in Bezug auf ihre persönlichen Daten.
Rechte für kalifornische Verbraucher
- Ein Recht zu erfahren, welche personenbezogenen Daten von Unternehmen gesammelt, verwendet, geteilt oder verkauft werden. Ein Recht auf Löschung personenbezogener Daten. Ein Recht, den Verkauf personenbezogener Daten zu untersagen. Kinder unter 16 Jahren müssen ausdrücklich einwilligen, damit ihre Daten zum Verkauf angeboten werden können, und ein Elternteil oder Erziehungsberechtigter muss ausdrücklich einwilligen, dass Kinder unter 13 Jahren ihre Rechte nicht ausüben dürfen mit höheren Preisen oder niedrigerem Servicelevel bestraft als diejenigen, die dies nicht tun.
Welche Unternehmen unterliegen der CCPA?
- Unternehmen, die mindestens eines der folgenden drei Kriterien erfüllen, unterliegen der CCPA. Ein jährlicher Umsatz von mindestens 25 Mio. USD. Unternehmen, die personenbezogene Daten von mindestens 50.000 Personen, Haushalten oder Geräten kaufen, erhalten oder verkaufen Daten machen 50% oder mehr des Jahresumsatzes aus. Darüber hinaus können Unternehmen, die mit personenbezogenen Daten von mehr als 4 Millionen Verbrauchern umgehen, zusätzliche Verpflichtungen eingehen.
Verpflichtungen für Unternehmen
- Benachrichtigung der Verbraucher im Voraus über die Erhebung personenbezogener Daten. Erleichterung der Ausübung der Rechte der Verbraucher aus dem Gesetz, z. B. durch Bereitstellung von Links auf ihren Websites und mobilen Apps, um den Verkauf ihrer Daten zu untersagen. Beantwortung von Anfragen von innerhalb eines bestimmten Zeitrahmens Verbraucher im Rahmen des Gesetzes. Überprüfung der Identität von Verbrauchern, die im Rahmen des Gesetzes Anträge stellen. Offenlegung etwaiger finanzieller Anreize für die Speicherung oder den Verkauf personenbezogener Daten sowie Berechnung des Werts dieser Daten. Außerdem müssen Unternehmen erläutern, warum sie glauben, dass solche Anreize im Rahmen des CCPA zulässig sind. Aufzeichnungen über alle im Rahmen des Gesetzes gestellten Anfragen führen und wie sie darauf reagiert haben. Datenbestände führen und Datenflüsse abbilden. Offenlegung von Datenschutzrichtlinien und -praktiken.
Umfang und Kosten
Nach Schätzungen von Berkeley Economic Advising and Research, LLC. Für die im August 2019 veröffentlichte standardisierte Folgenabschätzung werden durch die CCPA personenbezogene Daten im Wert von mehr als 12 Milliarden US-Dollar geschützt, die jedes Jahr in kalifornischer Werbung verwendet werden. Die Kosten für die Einhaltung des Verordnungsentwurfs, jedoch unter Ausschluss der allgemeinen Kosten für die Einhaltung des zugrunde liegenden CCPA-Gesetzes, werden im gleichen Bericht für den Zeitraum von 2020 bis 2030 auf zwischen 467 Mio. USD und 16, 454 Mrd. USD geschätzt.
Öffentlicher Kommentar
Nach den Bestimmungen der CCPA muss der Generalstaatsanwalt von Kalifornien einen Beitrag von einer breiten Öffentlichkeit einholen, um die Formulierung und Umsetzung von Vorschriften zu steuern, die die Ziele des Gesetzes fördern sollen. Entsprechend dieser Bestimmung hielt der Generalstaatsanwalt Anfang Dezember 2019 eine Reihe von öffentlichen Anhörungen ab, und der 6. Dezember 2019 war die Frist für schriftliche Stellungnahmen der Öffentlichkeit.
Umsetzung und Anliegen
Während das CCPA am 1. Januar 2020 in Kraft trat, wird die Durchsetzung, einschließlich der Verhängung von Geldbußen, bis Juni verschoben. Internetbasierte Unternehmen, von denen viele in Kalifornien ansässig sind, gehören zu den lautstärksten Gegnern des Gesetzes und plädieren stattdessen für eine US-Bundesgesetzgebung, die landesweit einheitliche Standards setzen würde. Ein Teil ihrer Besorgnis ist, dass jeder Verstoß gegen die CCPA möglicherweise Tausende von Dollar an Geldbußen zur Folge haben kann, die sich allein in Kalifornien auf Millionen von Nutzern summieren können.
Die Internetgiganten Facebook Inc. (FB) und Google Parent Alphabet Inc. (togetL, toget) erfüllen jedoch bereits die Anforderungen der EU-Datenschutzrichtlinie (GDPR), die einen stärkeren Schutz als die CCPA bietet, insbesondere durch die Anforderung von Opt-Ins für den Austausch personenbezogener Daten anstelle von ebenso wie das neue kalifornische Gesetz. Infolgedessen glauben einige Beobachter, dass die CCPA für kleinere Spieler eine größere Belastung darstellen und somit die führenden Anbieter von Online-Werbung festigen wird.
