Am heutigen 1. Januar 2020 tritt der California Consumer Privacy Act (CCPA) in Kraft.
Das neue Datenschutzgesetz im amerikanischen Bundesstaat Kalifornien gilt für Unternehmen – auch für Unternehmen im Ausland – , die eine der drei folgenden Schwellen überschreiten:
- jährlicher Brutto-Umsatz von mehr als 25 Millionen Dollar, oder
- Handel / kommerzielle Übermittlung der Personendaten von mindestens 50’000 Konsumenten, Haushalten oder Geräten pro Jahr, oder
- mindestens 50 Prozent der jährlichen Einnahmen stammen aus dem Verkauf von Personendaten von Verbrauchern.
Auch Unternehmen, die für betroffene Unternehmen in Kalifornien und anderswo tätig sind, können vom CCPA betroffen sein. Gleichzeitig gibt es Ausnahmen, zum Beispiel sind HIPAA-regulierte Unternehmen vom CCPA ausgenommen.
Der restriktive CCPA erinnert teilweise an die europäische Datenschutz-Grundverordnung (DSGVO).
Allerdings gibt es erhebliche Unterschiede:
- Zum Beispiel verbietet die DSGVO grundsätzlich die Bearbeitung von Personendaten (Verbot mit Erlaubnisvorbehalt), während der CCPA grundsätzlich die Bearbeitung von Personendaten erlaubt, aber ein weitgehendes «Opt-out»-Recht vorsieht (Erlaubnis mit Verbotsvorbehalt). Damit erinnert der CCPA an das Datenschutzgesetz (DSG) in der Schweiz, das ebenfalls nicht versucht, die Bearbeitung von Personendaten zu verbieten und nur ausnahmsweise zu erlauben.
- Wer die DSGVO einhält, kann nicht davon ausgehen, den CCPA automatisch einzuhalten. Es gibt aber auch Gemeinsamkeiten zwischen CCPA und DSGVO, zum Beispiel die Notwendigkeit für Auftragsverarbeitungsverträge und Datenschutzerklärungen.
- Kalifornien kennt bislang keine unabhängige Datenschutz-Aufsichtsbehörde. Vorläufig ist die Generalstaatsanwaltschaft zuständig. Sie hat angekündigt, ab Mitte 2020 damit zu beginnen, den CCPA durchzusetzen.
Im benachbarten Bundesstaat Nevada trat das neue Datenschutzgesetz bereits im letzten Jahr in Kraft:
Die «Senate Bill No. 220 […] relating to Internet privacy» gilt im Gegensatz zum CCPA nicht offline und ist enger gefasst. Die SB 220 wird seit dem 1. Oktober 2019 durchgesetzt.
Siehe auch:
- Fact Sheet «California Consumer Privacy Act (CCPA)» (Office of the Attorney General, Kalifornien)
- California Consumer Privacy Act: Das sollten Sie über das neue Datenschutzgesetz wissen (Computerwoche)
- California Consumer Protection Act: Verpflichtungen für Service Provider auch in Europa (beck-community)
- Kalifornien tritt beim Datenschutz in die Fussstapfen der EU (Neue Zürcher Zeitung, NZZ)
(Auch via Datenschutzpartner / Cornelia Diethelm und @MichaelSeidlitz.)