CCPA – Das kalifornische Datenschutzgesetz
Aus europäischer Sicht, fühlt sich der CCPA, der California Consumer Privacy Act wie eine harmlose Variante der DSGVO an. Unternehmen, die sich an die DSGVO halten, brauchen bislang nur kleinere Anpassungen für die Verarbeitung personenbezogener Daten in Kalifornien vornehmen. Durch den CPRA, eine Konkretisierung des CCPA, ändert sich das ab dem 1. Januar 2023 allerdings. Die Details dazu haben wir für Sie aufgeschrieben.
Für wen gilt der CCPA
Der CCPA bezieht sich auf die Daten kalifornischer Verbraucherinnen und Verbraucher. Das Gesetz muss seit dem 1. Januar 2020 von allen Unternehmen eingehalten werden, die ihr Geschäft (auch) in Kalifornien betreiben und mindestens eine der drei Anforderungen erfüllen:
- Der Jahresumsatz übersteigt 25 Mio. US-Dollar.
- Das Unternehmen verkauft, kauft oder empfängt personenbezogene Daten von mehr als 50.000 kalifornischen Haushalten oder mehr als 50.000 Endgeräten.
- Das Unternehmen erzielt mehr als die Hälfte des Jahresumsatzes durch den Verkauf von personenbezogenen Daten.
Man erkennt in diesen Bedingungen die Absicht, gezielt die großen IT-Unternehmen im Silicon Valley zum Datenschutz zu zwingen. Facebook, Google, Apple… alle haben ihren Unternehmenssitz im sonnigen Kalifornien – und erfüllen ganz klar die Kriterien.
Doch ob der Plan, die Großen zu treffen, wirklich aufgeht ist fraglich. In einem vielbeachteten Artikel über CCPA erläutert das Magazin Wired, dass beispielsweise Facebook gar nicht wirklich personenbezogene Daten verkauft, vielmehr wandelt es die Daten in Pseudonyme um, die dann von Werbetreibenden für das Ausspielen zielgruppengerechter Werbung verwendet werden. Quelle
Trotzdem fühlt sich der CCPA für die US-amerikanische Digitalbranche wie ein Erdbeben an. Waren die dort ansässigen Unternehmen doch bisher kaum mit so lästigen Dingen wie Gesetzen zum Datenschutz behelligt worden.
Neue Rechte für Kalifornierinnen und Kalifornier
Für die Bürgerinnen und Bürger Kaliforniens ergeben sich durch den CCPA fünf wesentliche neue Rechte:
- Das Recht, Auskunft über Erhebung, Verwendung und Verkauf personenbezogener Daten zu erhalten.
- Das Recht, eine Kopie aller personenbezogenen Daten zu erhalten, die in den 12 Monaten vor der Anfrage gesammelt wurden.
- Das Recht auf Löschung personenbezogener Daten.
- Das Recht, dem Verkauf personenbezogener Daten zu widersprechen.
- Das Recht, nicht diskriminiert zu werden, weil von einem der oben genannten Rechte Gebrauch gemacht wurde.
Diskriminierungsverbot
Vor allem das Diskriminierungsverbot hat für großen Aufruhr gesorgt. In den USA ist es viel üblicher als in Europa, Daten abzugleichen, bevor jemand einen Arbeitsvertrag erhält oder eine Versicherung abschließen kann. Und auch im Gesundheitsbereich spielen Daten eine wichtige Rolle. Eine Studie aus dem Jahr 2019 hat die Vorausberechnungen eines Algorithmus für Gesundheitsvorsorge mit der Realität abgeglichen und eine massive Benachteiligung schwarzer Patienten festgestellt. Der CCPA bietet für solche Fälle nun die rechtliche Grundlage für eine Klage.
Schadenersatz
Zusätzlich besteht nun auch das Recht, Schadenersatz geltend zu machen, sollten personenbezogene Daten offengelegt worden sein. Diese Möglichkeit bietet die DSGVO nicht. Geldstrafen, die auf Grundlage europäischer Datenschutzgesetze verhängt werden, fließen stets in die Staatskasse.
Datenschutzerklärung
Eine leicht zu lösende Anforderung stellt der CCPA an Unternehmen mit der Pflicht, die Datenschutzerklärung alle 12 Monate zu aktualisieren. Damit Verbraucherinnen und Verbraucher das auf einen Blick nachprüfen können, muss die Datenschutzerklärung mit einem Datum versehen werden.
Ab 1. Januar 2023: CPRA
Mit den US-Wahlen Ende des Jahres 2020 stimmte Kalifornien mit „Proposition 24“ für eine Konkretisierung des CCPA – dem CPRA. Ziel ist es, kalifornischen Verbraucherinnen und Verbrauchern „das Recht [zu] geben, die Weitergabe von sensiblen Informationen zu verhindern“. Auch soll nicht nur der Verkauf, sondern auch der Austausch von Daten zukünftig als „Weitergabe“ verstanden werden. Hierfür wird eine neue Behörde geplant, die mit dem kalifornischen Justizministerium in stetigem Austausch steht.
Weitere Neuerungen, die mit dem California Privacy Right Act in Kraft treten, sind:
- Unternehmen, die persönliche Daten von mindestens 100.000 Verbraucherinnen und Verbrauchern oder 100.000 Haushalten verarbeiten, unterliegen dem CPRA.
- Ähnlich wie in Artikel 9 der DSGVO, wurde eine neue Unterkategorie von persönlichen Informationen definiert. Risikoreiche Daten sollen folglich als sensible persönliche Daten angesehen werden.
- Sind bei Datenschutzverstößen Jugendliche betroffen, die 16 Jahre oder jünger sind, sollen sich die geltenden Strafen verdreifachen.
Allerdings wird der CPRA auch kritisch betrachtet. So muss zwar für den Verkauf und das Teilen der eigenen persönlichen Daten eine Opt-Out-Möglichkeit geboten werden, jedoch ist diese nicht an das Recht, den Dienst zu nutzen gebunden. Personen, die gegen die Datenweitergabe stimmen, könnte der Anbieter also einfach von der Nutzung ausschließen.
Im Januar 2023 tritt der CPRA in Kraft und bezieht sich auf Daten, die seit dem 1. Januar 2022 gesammelt wurden. Unternehmen sollten allmählich damit beginnen, sich auf die Änderungen einzustellen. Da bereits beim CCPA weitere Staaten dem Beispiels Kalifornien gefolgt sind, kann stark davon ausgegangen werden, dass dies auch beim CPRA der Fall sein wird.
CCPA, CPRA und Verschlüsselung
Der drohende Schadenersatz bei Offenlegung personenbezogener Daten kann übrigens nur geltend gemacht werden, wenn diese Daten unverschlüsselt in falsche Hände gelangt sind. Hier ist der CCPA wesentlich konkreter als die DSGVO, in der nur von technischen und organisatorischen Maßnahmen (TOM) gesprochen wird, die zum Schutz der Daten ergriffen werden müssen.
Im CCPA hingegen wird sogar noch ein Ausnahmefall beschrieben: Betroffene können auch dann Schadenersatz einklagen, wenn zwar die offengelegten personenbezogenen Daten verschlüsselt waren, der Schlüssel aber ebenfalls offengelegt wurde. Denn in diesem Fall wären die Daten für Unbefugte ja letztendlich in Klartext einsehbar. Die Gerichte werden deshalb die für die Daten verantwortliche Person genau darüber befragen, in welchem Maße die Verschlüsselungsschlüssel von dem Datenleck betroffen sind.
Zusammenfassend kann man also sagen: Unternehmen schützen sich vor Strafzahlungen am besten, indem Sie auf echte Zero-Knowledge-Verschlüsselung setzen.
Wie kann Boxcryptor helfen?
Boxcryptor ist eine Verschlüsselungssoftware für Teams und Einzelnutzerinnen, bzw. Einzelnutzer. Die Software verschlüsselt Daten mit einer Kombination aus dem AES-256-Verschlüsselungsalgorithmus und RSA-Verschlüsselung vor der Übertragung in einen Cloud-Speicher. Mit Boxcryptor können Unternehmen und Privatpersonen einen wichtigen Schritt zur Sicherung Ihrer persönlichen und unternehmerischen Daten tun. Wir helfen Ihnen dabei, die gesetzlichen Kriterien von CCPA, CPRA sowie die Anforderungen von DSGVO und HIPAA zu erfüllen.