Einen Monat nach in Kraft treten der DSGVO am 25.05.2018 hat der Bundesstaat Kalifornien in nur 72h den California Consumer Privacy Act (kurz CCPA) eingebracht und verabschiedet. Der CCCPA tritt am 01.01.2020 in Kraft und gilt als die kleine Schwester der DSGVO.
An English version of the article can be found here (PDF).
Datenschutz ist in den USA Ländersache, so kann jeder Bundesstaat ein eigenes Datenschutzgesetz verabschieden. Kalifornien, der Bundesstaat mit den meisten Tech-Unternehmen und Start-Ups ist hier Vorreiter. Der Schutz personenbezogener Daten ging von einer Bürgerinitiative aus. Bürger haben ein maßgebliches Interesse an der Mitbestimmung des Umgangs mit ihren Daten.
Der CCPA gilt für Unternehmen und Dienstanbieter, ähnlich wie die DSGVO. Anders als die DSGVO, die umfassende Vorgaben zur Umsetzung des Datenschutzes vorsieht, umfasst der CCPA nur den Verbraucherdatenschutz. Ein Großteil der in der DSGVO verankerten Prinzipien, wie u.a. Rechtmäßigkeit der Verarbeitung, Datenminimierung, Auskunftsrecht, finden sich auch im CCCPA wieder.
Auswirkungen des CCPA für Europa
Und was hat das mit deutschen bzw. europäischen Unternehmen zu tun?
Der CCPA findet Anwendung auf alle Anbieter, die Daten von kalifornischen Verbrauchern verarbeiten. Er ist, wie die DSGVO auch, ein Gesetz mit extraterritorialer Wirkung, es gilt das sogenannte Marktortprinzip. Anwendbar ist er auf Unternehmen mit jährlichen Bruttoeinnahmen von über 25 Millionen US-Dollar und/oder auf derartige Unternehmen, die mehr als 50% ihrer jährlichen Einnahmen mit dem Verkauf von personenbezogenen Daten generienen. Damit werden kleine und mittlere Unternehmen zunächst von den Anforderungen verschont.
Bußgelder bei Datenschutzverstößen
Bußgelder werden für einzelne Verstöße erhoben und direkt von den betroffene Person geltend gemacht. Die Bußgelder zwischen 2.500 und 7.500 $ gelten pro Verstoß und sind nicht gedeckelt auf eine absolute Anzahl an Verstößen. Das Unternehmen kann innerhalb von 30 Tagen nach Bekanntwerden des Verstoßes diesen beheben um einer Verantwortlichkeit zu entgehen. Der CCPA sieht Individualklagen gegen das verletzende Unternehmen vor, welche besonders effektiv im Wege der Sammelklage durchzusetzen sind. Durch den weiten Anwendungsbereich des CCPA können davon auch europäische Unternehmen betroffen sein.
The good news is: Unternehmen, die bereits mit Einführung der DSGVO ein funktionierendes Daten- und Datenschutzmanagement implementiert haben sind gut aufgestellt.
Fazit
Der CCPA ist kein gleichwertiges Gesetz zur DSGVO, jedoch bleibt festzuhalten, dass Datenschutz im In- und Ausland nicht an Aktualität verliert und für jedes Unternehmen ein wichtiger Faktor bei der Unternehmensführung ist und bleibt.