Die DSGVO entfaltet weltweit Wirkung. Nicht nur auf Unternehmen in anderen Ländern, die, sofern sie sich mit Angeboten an Personen in der EU richten, sich an die hiesigen Regeln halten müssen, sondern auch auf Staaten. Immer mehr richten ihre Datenschutz-Gesetzgebung an der DSGVO aus. In den USA, in denen, von Ausnahmen wie Gesundheits- und Finanzdaten abgesehen, die Bundesstaaten den Datenschutz eigenständig regeln, ist Kalifornien der Vorreiter mit dem California Consumer Privacy Act (CCPA). Im Juni 2018 wurde er verabschiedet, Anfang 2020 soll er rechtskräftig werden, nicht wirklich zur Freude der IT-Unternehmen im wirtschaftskräftigsten Bundesstaat der USA.
Wer wird geschützt?
Geschützt werden die Daten der in Kalifornien ansässigen, im Gesetz als „consumer“, Verbraucher, bezeichneten natürlichen Personen. Personen aus anderen (Bundes-)Staaten, die sich vorübergehend dort aufhalten, gehören nicht dazu, wohl aber Kalifornier, die sich vorübergehend nicht in ihrem Heimatstaat aufhalten.
Welche Informationen werden geschützt?
Zu den personenbezogenen Daten gehören laut CCPA alle Informationen, mittels derer ein Verbraucher identifiziert oder beschrieben werden kann wie Namen, Aliasse, Adressen, E-Mail-Adressen, Passnummern, biometrische Daten, Informationen zu Bildungsabschlüssen und Beschäftigung, Ortungsdaten, dazu Cookie-Informationen, Suchhistorien und weitere sowie aus den personenbezogenen Daten abgeleitete Daten für Profile zu Konsumgewohnheiten, Vorlieben, Veranlagung, Verhalten etc.
Für wen gilt der CCPA?
Dem CCPA unterliegen Unternehmen, die ihre Angebote in Kalifornien zur Verfügung stellen, personenbezogene Daten sammeln und die folgenden Grenzwerte überschreiten: Jahresumsatz 25 Millionen US-Dollar; Kauf, Verkauf und Nutzung zu kommerziellen Zwecken von 50.000 Verbraucher-Datensätzen; 50 Prozent des Jahresumsatzes aus dem Verkauf von Verbraucherdaten.
Rechte und Pflichten
Die Verbraucher haben das Recht auf die Auskunft, welche personenbezogenen Daten im Unternehmen vorliegen, und können die Daten löschen lassen. Weiterhin haben sie das Recht zu erfahren, welche Daten gesammelt und ob sie weiterverkauft werden und an wen, und können per Opt-out das Sammeln und den Verkauf ihrer Daten untersagen. Die Opt-out-Möglichkeit muss auf der Webseite deutlich sichtbar sein. Für Anfragen müssen die Unternehmen mehrere Möglichkeiten anbieten und die Anfragen kostenfrei innerhalb von 45 Tagen beantworten.
Geldbußen
Bei Zuwiderhandlungen erhebt der Bundesstaat, je nach den Umständen wie unzureichende Schutzmaßnahmen oder Absicht, Geldbußen bis zu 7.500 US-Dollar pro Datensatz und Vorfall. Die Geldbußen erscheinen gering im Vergleich zu den in der DSGVO veranschlagten, aber in den USA riskieren die Unternehmen zivilrechtliche Sammelklagen betroffener Verbraucher, die nicht nur zu Vertrauensverlust führen, sondern zusätzlich ganz erheblich ins Geld gehen können.
Datenerfassung und Datenschutz werden zunehmend gesetzlich geregelt. Unternehmen müssen sicherstellen, dass ihre Firmenrichtlinien und Schutzmaßnahmen den Vorgaben entsprechen. Zum Glück gibt es technische Lösungen, die bei der Einhaltung der Richtlinien helfen.