Kalifornisches Datenschutzrecht betrifft auch europäische Unternehmen

Hintergrund

Am 1.1.2020 ist in den USA der California Consumer Privacy Act (CCPA) in Kraft getreten.

Auch wenn das Gesetz nur kalifornische Verbraucher schützt, kann es Unternehmen auf der ganzen Welt betreffen. So sollten europäische Unternehmen, die die Vorschriften der Datenschutz-Grundverordnung (DSGVO) umgesetzt haben, prüfen, ob eine der folgenden Voraussetzungen gegeben ist und sie damit den Vorschriften des CCPA unterliegen:

  • Unternehmen mit jährlichen Bruttoeinnahmen von mehr als 25 Mio. $
  • Verarbeitung der Informationen von mindestens 50.000 kalifornischen Verbrauchern, Haushalten oder Geräten
  • Mindestens 50 % der Einnahmen erzielt das Unternehmen mit dem Verkauf von Verbraucherdaten 

Es ist nicht erforderlich, dass das Unternehmen eine Zweigstelle in Kalifornien betreibt. Vielmehr genügt es, wenn sich das Unternehmen auch an kalifornische Kunden wendet. Insbesondere die 50.000 kalifornischen Verbraucher, Haushalte oder Geräte können schnell erreicht werden, wenn europäische Unternehmen auf ihrer englischsprachigen Website Tracking-Tools einsetzen.

Welche Strafen drohen bei einem Verstoß?

Zwar erscheinen die Strafen von bis zu 7.500 $ für vorsätzliche Verstöße gegenüber den Geldbußen nach der DSGVO (bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes) verhältnismäßig gering, jedoch können in den USA durch Sammelklagen hohe Schadensersatzsummen erzielt werden, da der CCPA einen gesetzlichen Schadensersatz von 100 bis 750 $ pro Einwohner und Vorfall vorsieht. Bei größeren Datenpannen entstehen dort schnell Schadensersatzsummen in Millionenhöhe. 

Welche Rechte erhalten die kalifornischen Verbraucher durch den CCPA?

Für die kalifornischen Verbraucher muss eine Möglichkeit bestehen, mit der sie einfach einen Widerspruch gegen den „Verkauf“ ihrer Daten einreichen können. Unter „Verkauf“ im Sinne des CCPA ist nicht nur der Tausch gegen Geld, sondern auch gegen eine andere werthaltige Gegenleistung zu verstehen, etwa der Tausch gegen eine Auswertung des Nutzerverhaltens bei einem Tracking-Tool. 
Die Verbraucher müssen, bevor die Daten gesammelt werden, Informationen über die Kategorien und die Zwecke der Datensammlung erhalten. Zudem sind Sie dazu angehalten, in der Datenschutzerklärung Ihres Unternehmens ausführlich darüber zu informieren, aus welcher Quelle die Daten stammen, welche Geschäftszwecke Sie verfolgen, welche Datenkategorien Sie verarbeiten und wie Sie diese Daten verkaufen oder auf andere Weise an Dritte übertragen.

Wie nach der DSGVO haben die Verbraucher ein Recht auf Auskunft, Löschung und Datenübertragung. 

Außerdem schreibt der CCPA ausdrücklich vor, dass Verbraucher, die ihre Rechte geltend machen, nicht wegen der Ausübung dieser Rechte diskriminiert werden dürfen. 

Auch wenn die europäische DSGVO im Großen und Ganzen einen umfassenderen Datenschutz erreichen möchte als die CCPA, sollten sich Unternehmen mit den Regelungen des CCPA auseinandersetzen und prüfen, ob Anpassungsbedarf besteht.

Sprechen Sie uns bei Fragen zu diesem Thema gerne an. Wir beraten Sie persönlich.

Ähnliche Beiträge

10. Oktober 2019

Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU (2. DSAnpUG-EU)

Diverse Änderungen finden im Rahmen des zweiten Datenschutz-Anpassungs- und Umsetzungsgesetzes EU (2. DSAnpUG-EU) statt. Hierbei handelt es sich vor allem um Begriffsbestimmungen und Rechtsgrundlagen für die Datenverarbeitung. Auch die Grenze der Mitarbeiter, die für die Ernennung eines Datenschutzbeauftragten ausschlaggebend ist, wurde revidiert.
Datenschutz
EU-DSGVO
13. Dezember 2019

Update: Datenschutz im Lichte des Brexits

Durch die gestrigen Neuwahlen in Großbritannien wird der Brexit zum 31. Januar 2020 immer wahrscheinlicher. Mit der absoluten Mehrheit können die Konservativen um Premier Johnson ins Parlament einziehen und damit ihr Versprechen vom Brexit wohl leichter umsetzen. Damit gilt es spätestens jetzt auch für deutsche Unternehmen, Vorbereitungen zu treffen. Insbesondere auch im Datenschutzrecht, wenn Daten an Dienstleister im Vereinten Königreich übertragen werden. Was Sie beachten sollten.
Datenschutz
EU-DSGVO
Brexit
16. Juli 2019

Prüfungen der Datenschutzbehörden im Jahr 2019

Das erste Jahr der neuen Datenschutzgrundverordnung (DSGVO) liegt hinter uns. Häuften sich mit Inkrafttreten noch die Meldungen über Prüfungen und Bußgelder, ist es inzwischen relativ ruhig geworden. Doch wie und was genau prüfen die Datenschutzbehörden der einzelnen Länder wirklich? Wir haben für Sie Informationen zu Vorgehensweisen und zum Umfang der Prüfungen zusammengestellt.
EU-DSGVO
Datenschutz
09. Juli 2019

Ein Zertifikat für Ihren Datenschutz

Seit Einführung der Datenschutzgrundverordnung (DSGVO) häufen sich die Nachfragen nach Zertifizierungen zu deren ordnungsgemäßer Umsetzung. Gerade Dienstleister, die eine Vielzahl an Daten verarbeiten müssen, werden häufig nach einem solchen Nachweis gefragt, da Kunden sicherstellen möchten, dass auch hier die DSGVO eingehalten wird. Inzwischen existiert ein entsprechender Prüfungsstandard, nach dem Unternehmen geprüft und zertifiziert werden können. Gerne stehen wir Ihnen für Ihre Fragen zur Verfügung.
EU-DSGVO
Datenschutz
16. Januar 2019

Wie prüfen die Aufsichtsbehörden den Datenschutz?

Inzwischen liegen die ersten Bekanntmachungen und Checklisten vor, wie die deutschen Aufsichtsbehörden DSGVO-Prüfungen vornehmen. Diese bieten gute Anhaltspunkte dazu, welche Punkte Sie in Ihrem Unternehmen in den Fokus rücken sollten.
Datenschutz
EU-DSGVO
Zurück

Dr. Christian Lenz

Rechtsanwalt / Fachanwalt für Steuerrecht / Fachanwalt für Informationstechnologierecht

Zum Profil von Dr. Christian Lenz

Kirsten Garling

Rechtsanwältin

Zum Profil von Kirsten Garling

Alexandra Hecht

Rechtsanwältin, Fachanwältin für Arbeitsrecht

Zum Profil von Alexandra Hecht

René Manz

IT-Prüfer und Berater

Zum Profil von René Manz

Datenschutz EU-DSGVO

Kontakt

Nehmen Sie mit uns Kontakt auf

Mail Kontaktformular Telefon +49 228 81000 0 Newsletter Newsletter
YouTube Video laden
Permalink