Kalifornisches Datenschutzrecht betrifft auch europäische Unternehmen
Hintergrund
Am 1.1.2020 ist in den USA der California Consumer Privacy Act (CCPA) in Kraft getreten.
Auch wenn das Gesetz nur kalifornische Verbraucher schützt, kann es Unternehmen auf der ganzen Welt betreffen. So sollten europäische Unternehmen, die die Vorschriften der Datenschutz-Grundverordnung (DSGVO) umgesetzt haben, prüfen, ob eine der folgenden Voraussetzungen gegeben ist und sie damit den Vorschriften des CCPA unterliegen:
- Unternehmen mit jährlichen Bruttoeinnahmen von mehr als 25 Mio. $
- Verarbeitung der Informationen von mindestens 50.000 kalifornischen Verbrauchern, Haushalten oder Geräten
- Mindestens 50 % der Einnahmen erzielt das Unternehmen mit dem Verkauf von Verbraucherdaten
Es ist nicht erforderlich, dass das Unternehmen eine Zweigstelle in Kalifornien betreibt. Vielmehr genügt es, wenn sich das Unternehmen auch an kalifornische Kunden wendet. Insbesondere die 50.000 kalifornischen Verbraucher, Haushalte oder Geräte können schnell erreicht werden, wenn europäische Unternehmen auf ihrer englischsprachigen Website Tracking-Tools einsetzen.
Welche Strafen drohen bei einem Verstoß?
Zwar erscheinen die Strafen von bis zu 7.500 $ für vorsätzliche Verstöße gegenüber den Geldbußen nach der DSGVO (bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes) verhältnismäßig gering, jedoch können in den USA durch Sammelklagen hohe Schadensersatzsummen erzielt werden, da der CCPA einen gesetzlichen Schadensersatz von 100 bis 750 $ pro Einwohner und Vorfall vorsieht. Bei größeren Datenpannen entstehen dort schnell Schadensersatzsummen in Millionenhöhe.
Welche Rechte erhalten die kalifornischen Verbraucher durch den CCPA?
Für die kalifornischen Verbraucher muss eine Möglichkeit bestehen, mit der sie einfach einen Widerspruch gegen den „Verkauf“ ihrer Daten einreichen können. Unter „Verkauf“ im Sinne des CCPA ist nicht nur der Tausch gegen Geld, sondern auch gegen eine andere werthaltige Gegenleistung zu verstehen, etwa der Tausch gegen eine Auswertung des Nutzerverhaltens bei einem Tracking-Tool.
Die Verbraucher müssen, bevor die Daten gesammelt werden, Informationen über die Kategorien und die Zwecke der Datensammlung erhalten. Zudem sind Sie dazu angehalten, in der Datenschutzerklärung Ihres Unternehmens ausführlich darüber zu informieren, aus welcher Quelle die Daten stammen, welche Geschäftszwecke Sie verfolgen, welche Datenkategorien Sie verarbeiten und wie Sie diese Daten verkaufen oder auf andere Weise an Dritte übertragen.
Wie nach der DSGVO haben die Verbraucher ein Recht auf Auskunft, Löschung und Datenübertragung.
Außerdem schreibt der CCPA ausdrücklich vor, dass Verbraucher, die ihre Rechte geltend machen, nicht wegen der Ausübung dieser Rechte diskriminiert werden dürfen.
Auch wenn die europäische DSGVO im Großen und Ganzen einen umfassenderen Datenschutz erreichen möchte als die CCPA, sollten sich Unternehmen mit den Regelungen des CCPA auseinandersetzen und prüfen, ob Anpassungsbedarf besteht.
Sprechen Sie uns bei Fragen zu diesem Thema gerne an. Wir beraten Sie persönlich.