In den USA macht das Datenschutzrecht kleine, aber entscheidende Fortschritte. Vorreiter ist der kalifornische Bundesstaat, der in seiner Verfassung ein Grundrecht auf „Privacy“ bereits verankert hat und damit seinen Bürgern das Recht auf Privatheit und Privatsphäre schon auf grundrechtlicher Ebene zugesteht. Nach dem seit 2020 geltenden California Consumer Privacy Act (CCPA) steht nun mit dem zum 1.1.2023 in Kraft tretenden „California Privacy Rights Act (CPRA)“ die nächste Fortentwicklung im Raum.
CCPA
Der derzeit noch geltende CCPA war ein Meilenstein und ist im Kern der DSGVO gar nicht so unähnlich: Es werden Pflichten der Verarbeiter und festgezurrte Rechte der Betroffenen (vor allem: Informations-, Widerspruchs- und Löschungspflichten) geklärt. Dabei stellt sich, wie bei jeder datenschutzrechtlichen Regelung, die Frage, wer durch das Gesetz konkret geschützt wird und wer verpflichtet wird; oder etwas pauschaler: „Bin ich davon betroffen als deutscher Unternehmer“?
Der CCPA bezieht sich auf die Einwohner Kaliforniens, ohne dass diese als Verbraucher zu qualifizieren sein müssen; zwingend aber ist das Erfordernis des Wohnsitzes in Kalifornien mit dem CCPA. Geschützt werden diese dann insoweit, als der CCPA tatsächlich weltweit gilt, was zuerst für einige Irritationen sorgte. Tatsächlich aber ist Datenschutz in einer vernetzten Welt nicht denkbar, wenn man territorial begrenzte Gesetze erlässt. Betroffen wäre also jedes Unternehmen, das Daten von kalifornischen Bürgern verarbeitet (andersherum ist man vom CCPA ausgenommen, wenn eine solche Verarbeitung ausgeschlossen sein kann – eine Ausrichtung der Geschäftstätigkeit auf Kunden aus Kalifornien wird im Zweifel reichen!).
Wer sich nun noch betroffen fühlt, muss im Weiteren eines der folgenden Kriterien erfüllen, um wirklich vom CCPA betroffen zu sein:
- Jährlicher Umsatz von mindestens 25 Millionen US-Dollar (wobei gestritten wird, ob die in Kalifornien oder insgesamt erzielt werden müssen);
- Es werden jährlich 50.000 Datensätze verarbeitet, die kalifornische Bürger betreffen. Klingt nach viel, kann sich aber relativieren, da etwa einzelne Geräte ebenso zählen wie wohl auch IP-Adressen;
- Das Unternehmen darf nicht mehr als 50% seiner jährlichen Einnahmen mit dem Handel personenbezogener Daten erreichen;
Insgesamt sollte die Frage, ob man dem CCPA unterfällt, damit in einer ersten kurzen Prüfung durchaus zu beantworten sein.
Seltsame CCPA-Mails
Im Zusammenhang mit dem CCPA gibt es mitunter seltsame Mails, die mich und meine Mandanten erreicht haben. Diese Mails sind nicht neu, sie kursierten schon vorher als „GDPR“-Mails und haben immer den nahezu gleichen Wortlaut (siehe rechts, kam von einer Mailadresse @potomacmail.com). Wer hier verunsichert ist: Es scheint eine Form von SPAM oder gar SCAM eine Online-Studie einer Uni zu sein, die Vermutung steht im Raum, dass hier ein Anbieter versucht den Fuß in die Türe zu bekommen, um ein Tool zur Bearbeitung von Datenschutz-Anfragen zu vermarkten. Zu Vertiefung seien dieser Beitrag sowie dieser Betrag hier empfohlen. Update: Inzwischen haben die Veranstalter klargestellt, dass es im Rahmen einer Studie war (siehe unten)!
Questions About CCPA Data Access Process for (DOMAIN)
To Whom It May Concern: My name is (NAME), and I am a resident of Norfolk, Virginia. I have a few questions about your process for responding to California Consumer Privacy Act (CCPA) data access requests:
- Would you process a CCPA data access request from me even though I am not a resident of California?
- Do you process CCPA data access requests via email, a website, or telephone? If via a website, what is the URL I should go to?
- What personal information do I have to submit for you to verify and process a CCPA data access request?
- What information do you provide in response to a CCPA data access request?
To be clear, I am not submitting a data access request at this time. My questions are about your process for when I do submit a request.
Thank you in advance for your answers to these questions. If there is a better contact for processing CCPA requests regarding (…) I kindly ask that you forward my request to them. I look forward to your reply without undue delay and at most within 45 days of this email, as required by Section 1798.130 of the California Civil Code.
Sincerely (NAME)
California Privacy Rights Act (CPRA)
Kurz noch einige Sätze zum California Privacy Rights Act (CPRA): Dieser „baut“ auf dem CCPA auf und wird zum 1.1.23 in Kraft treten (mit einer Übergangsphase zum 1.7.23). Hinsichtlicher obiger Anwendungskriterien ist zu bemerken, dass die Zahl von 50.000 zu verarbeitenden Daten auf 100.000 herausgesetzt wurde, im Übrigen verleibt es im Kern bei den bekannten Kriterien.
Inhaltlich nähert sich der CPRA weiter der DSGVO an, etwa wenn die „Sensitiven personenbezogenen Daten“ eingeführt werden, auch die Rechte auf Berichtigung und Datenportabilität kennt man aus der DSGVO bereits. Spiegelbildlich dazu werden die Pflichten der Unternehmen ausgebaut, etwa mit Blick auf Datenminimierung und Zweckbindung. Neu für das US-Gesetz, bekannt aber aus der DSGVO: Eine Variante der Auftragsverarbeitung mit Notwendigkeit einer schriftlichen Vereinbarung wird geschaffen.
Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht, Arbeitsrecht und IT-Recht / Technologierecht.
- BGH entscheidet zur Beweisermittlung von „Schwarzlöhnen“ bei Steuerhinterziehung - 23. April 2024
- BGH-Entscheidung zur psychiatrischen Begutachtung im Strafprozess: Neue Anforderungen und Perspektiven - 23. April 2024
- Software als Medizinprodukt - 23. April 2024