CCPA – die USA legen in Sachen Datenschutzgesetz nach

Zum Jahreswechsel haben nun auch die USA – genauer gesagt der Bundesstattat Kalifornien – einen Datenschutz-D-Day erlebt, wie die Europäische Union letztes Jahr im Mai – CCPA, der „California Consumer Privacy Act“.

Der CCPA ist bereits seit Juni 2018 als Gesetz verabschiedet und zum 1. Januar 2020 in Kraft getreten. Auch wenn es kein Gesetz gibt, das in den gesamten USA gilt, so wird dem CCPA doch landesweiter Symbolcharakter zugeschrieben. Und das schon alleine durch die Tatsache, dass Kalifornien beinahe ausnahmslos alle großen und global agierenden IT-Giganten beheimatet und somit Einfluss auf deren Geschäftsfelder in Gesamt-USA ausübt.

Das neue kalifornische Gesetz geht auf eine Bürgerinitiative zurück, die sich wegen weltweit bekannter Datenskandale, wie etwa bei Facebook, selbst bei den generell eher sorglos agierenden US-Bürgern formiert hatte. Allerdings gibt es zur DSGVO, die in Europa den Datenschutz definiert, erhebliche Unterschiede. Während von den Bestimmungen der DSGVO letztlich jede Institution betroffen ist, die personenbezogene Daten verarbeitet, fokussiert der CCPA gezielt auf Unternehmen, die in großem Stil Handel mit personenbezogenen Daten betreiben. Gemeint sind Unternehmen, deren Gewinn zu 50 Prozent oder mehr aus Verkaufserlösen aus Deals mit Personendaten zustande kommt. Außerdem sind Unternehmen betroffen, die pro Jahr mindestens 25 Millionen Dollar Umsatz generieren. Drittes, rechtlich relevantes Indiz ist die Anzahl der Verbraucher, die bei einer Company in der Kundenliste stehen: Mindesten 50000 Kunden oder Haushalte müssen es sein, damit der CCPA zur Anwendung kommt.

Die Gemeinsamkeiten von DSGVO und CCPA

Wie auch bei den Schöpfern der DSGVO geht es bei dem CCPA im Kern darum, Konsumenten vor willkürlichem Umgang mit personenbezogenen Daten zu schützen. Entsprechend gibt es zahlreiche Parallelen zwischen den Regelungen beider Vorschriften. Da wäre beispielsweise das Recht auf Auskunftserteilung. Auch in Kalifornien tätige Unternehmen müssen gegenüber Kunden und Konsumenten auf Anfrage Rechenschaft ablegen und deutlich machen, welche persönlichen Daten erfasst und gespeichert werden, wie lange diese Speicherung andauert und an welche Drittanbieter die Daten weitergereicht werden.

Ebenso haben die Kunden dieser Unternehmen ein Recht auf Löschung. Prinzipiell haben Privatpersonen also ein Recht darauf, dass ihre Daten gelöscht werden, sobald eine weitere Speicherung, etwa durch den Wegfall des aktiven Kundenverhältnisses, unnötig wird. Allerdings gibt es dabei auch etliche Ausnahmeregelungen, die in der DSGVO ebenfalls vorkommen. Dazu gehört beispielsweise, wenn ein übergeordnetes Gesetz eine haftungs- oder steuerrelevante Speicherung vorschreibt.

Der CCPA sieht auch eine Opt-out-Entscheidung vor: Verbraucher können also aktiv verhindern, dass ihre personenbezogenen Daten an Dritte weitergeleitet werden.

Eklatante Unterschiede beider Vorschriften

Auch wenn viele Parallelen auszumachen sind, geht die DSGVO unterm Strich deutlich weiter als das amerikanische Gesetz. Beispielsweise müssen in Kalifornien tätige Unternehmen unabhängig von ihrer Größe weder einen internen noch einen externen Datenschutzbeauftragten benennen. Ferner gilt der CCPA ausschließlich für die Verhältnisse zwischen Unternehmen und Kunden. Der gesamte B2B-Bereich bleibt vom Gesetz absolut unberührt. Ebenso sind vom kalifornischen Gesetz Institutionen oder öffentliche Einrichtungen, wie beispielsweise Vereine oder kommunale Behörden, nicht berührt, ein weiterer großer Unterschied zur DSGVO.

Es gibt aber auch einen Aspekt, den die Amerikaner weiter gefasst haben als die europäischen Datenschützer. So sind von dem CCPA auch Daten betroffen, die etwa in Haushaltsgeräten gespeichert und beispielsweise für Service-Leistungen genutzt werden. Wenn diese Daten einen Zusammenhang zu einem Verbraucher herstellen lassen, werden sie in der Behandlung mit originären Kundendaten gleichgestellt.

Verstöße werden mit vergleichsweise harmlosen Bußgeldern belegt

Wer an Schmerzensgelder oder Schadenersatzforderungen in den USA denkt, bringt dies vermutlich mit horrenden Summen in Verbindung. Da haben sich die Schöpfer des CCPA und die zuständigen Behörden in Kalifornien offenbar für eine andere Taktik entschieden. Denn im Vergleich zu den theoretisch möglichen Bußgeldern, die für Verstöße gegen die DSGVO verhängt werden können, nehmen sich die US-Strafen eher wie Taschengelder aus. Während einem großen Unternehmen in Europa beim Datenmissbrauch bis zu zwei Prozent des Jahresumsatzes auf den Bußgeldbescheid geschrieben werden, landen die US-Bescheide vermutlich tatsächlich in der Rechnungsstelle „Portokasse“: 2500 Dollar zahlt ein Unternehmen für einen Verstoß, der nicht innerhalb von 30 Tagen abgestellt wird. Handelt es sich um einen vorsätzlichen Verstoß, werden 7500 Dollar Bußgeld fällig. Rechnet man dagegen den immensen Wert, den sensible Kundendaten inzwischen für Unternehmen haben, haben Strafgelder in dieser Höhe wohl eher kaum abschreckende Wirkung.