California Consumer Privacy Act (CCPA)

Worum es geht, wen es betrifft, was beachtet werden muss und welche Bußgelder drohen.

Stephan Hendel, LL.M.

Rechtsanwalt

Worum geht es beim CCPA?

Im Gegensatz zur EU gibt es in den USA kein einheitliches Datenschutzgesetz. Aufgrund des Föderalismus in den USA sind die existierenden Gesetze auf einzelne Bereiche oder Bundesstaaten beschränkt.

Entsprechend verhält es sich auch mit dem CCPA. Das am 1.1.2020 eingeführte (und ab 1.7.2020 durchsetzbare) Datenschutzgesetz ist auf den Bundesstaat Kalifornien beschränkt. Damit trifft es insbesondere das Silicon Valley. In kaum einem anderen Bundesstaat der USA werden mehr Daten gesammelt und verarbeitet als hier.

Es soll vor allem die Rechte der Verbraucher im Hinblick auf ihre personenbezogenen Daten stärken.

Für welche Unternehmen erlangt der CCPA Bedeutung?

Der CCPA wird für Unternehmen relevant, die eine geschäftliche Tätigkeit (es genügt auch eine Zweig- oder Vertriebsstelle) in Kalifornien haben und eine oder mehrere der folgenden Voraussetzungen erfüllen:

Sammeln von mehr als 50.000 persönlichen Daten pro Jahr
Sie müssen mehr als 50.000 Daten von in Kalifornien ansässigen Verbrauchern, Haushalten oder deren Gerätschaften sammeln. Dies bedeutet, dass hierunter auch Smart Devices aus dem IoT fallen.
Jährliche Bruttoeinnahmen von mehr als 25 Millionen $ oder
50 % (und mehr) des Umsatzes werden mit dem Verkauf von personenbezogenen Informationen von Verbrauchern erwirtschaftet

Der Gesetzestext des CCPA hierzu lautet wie folgt:

“(…) that does business in the State of California, and that satisfies one or more of the following thresholds:

(A) Has annual gross revenues in excess of twenty-five million dollars ($25,000,000), as adjusted pursuant to paragraph (5) of subdivision (a) of Section 1798.185.

(B) Alone or in combination, annually buys, receives for the business’ commercial purposes, sells, or shares for commercial purposes, alone or in combination, the personal information of 50,000 or more consumers, households, or devices.

(C) Derives 50 percent or more of its annual revenues from selling consumers’ personal information (…).”

Anhand dieser Voraussetzungen wird klar, dass es das eine oder andere Unternehmen betreffen wird.

Was muss beachtet werden?

Es gibt eine Vielzahl von Verpflichtungen, welche das CCPA auferlegt. So ist beispielsweise der Umgang mit Marketing-Cookies ohne Opt-In in gewissen Fällen möglich. Bei Personen ab 16 Jahren ist die Verarbeitung von Cookies ohne eine Einwilligung zulässig. Bei Personen unter 16 Jahren müssen diese aktiv zustimmen und bei Personen unter 13 Jahren müssen die Eltern zustimmen.

Allerdings gilt auch hier, dass ein ausdrücklicher Hinweis auf die Opt-Out Möglichkeit gegeben sein muss. Insofern wird auch in den USA der in Deutschland bereits bekannte Cookie-Banner Einzug halten.

Gilt die DSGVO vor dem CCPA?

Sollten für Sie beide Gesetze einschlägig sein, so müssen Sie auch beide Gesetze beachten. insofern sollten Sie Ihren Datenschutzbeauftragten eindringlich fragen, ob er sich mit dem neuen CCPA bereits auseinandergesetzt hat. Denn auch hier drohen Bußgelder. Es ist vor allem zu erwarten, dass die Kalifornier bei Bußgeldverstößen härter durchgreifen.

Muss ein Bußgeld doppelt bezahlt werden?

Höchstwahrscheinlich ja. Bei Verstößen gegen den CCPA müssen Unternehmen 7.500,00 $ (bei Fahrlässigkeit reduziert sich die Summe auf 2.500,00 $) zahlen. Sollte Ihr Datenschutzverstoß auch unter die DSGVO fallen, so ist mit einer weiteren Strafe auch in Europa zu rechnen.

Bemerkenswert (und gefährlich) ist für Unternehmer, dass 20 % der Sanktionen in einen speziellen Fond der Kalifornier fließt, welcher die staatliche Verfolgung von CCPA-Verstößen finanzieren wird. Es kann daher von einem exponentiellen Wachstum der Verfolgungen der Verstöße gegen den CCPA ausgegangen werden.

Praxishinweis

Sollte Ihr Unternehmen eine der oben genannten Voraussetzungen erfüllen, so sollten Sie dringend überprüfen, ob Ihr Unternehmen (oder die Zweigstelle) die Erfordernisse des CCPA erfüllt. Der Gesetzestext des CCPA lässt vermuten, dass die Bußgelder in jedem Einzelfall verhängt werden können. Dies bedeutet, dass beispielsweise bei 100 Website-Besuchern mit einem falschen/fehlenden Cookie-Hinweis Bußgelder zwischen 250.000,00 $ und 750.000,00 $ (unterschieden zwischen Vorsatz und Fahrlässigkeit) fällig werden können.

Sollten Sie Fragen zum CCPA haben, so steht Ihnen unser Rechtsanwalt Stephan Hendel gerne zur Verfügung.