Europäische Datenschutzgrundverordnung und California Consumer Privacy Act – eine Gegenüberstellung

 

Am 25. Mai 2018 wurde in Europa die Datenschutzgrundverordnung (DSGVO) eingeführt – und mit ihr viele Veränderungen. Die DSGVO ist das bisher umfangreichste Datenschutzgesetz der Welt. Für private Konsumenten hat es viele Vorteile, für Unternehmen jedoch ist es mit zahlreichen Herausforderungen verknüpft. Nach Europa ziehen nun auch einzelne Bundesstaaten der Vereinigten Staaten nach: Am 1. Januar 2020 soll in Kalifornien die sogenannte CCPA (California Consumer Privacy Act) eingeführt werden. Dieses Gesetz soll – ähnlich wie die DSGVO – die Rechte der Verbraucher stärken und ihre (digitale) Privatsphäre schützen. Um auf die neuen gesetzlichen Vorgaben vorbereitet zu sein, sollte man mit den dafür erforderlichen Prozessen idealerweise ca. 12 Monate vor Inkrafttreten der CCPA beginnen. Nur so können Organisationen und Unternehmen gewährleisten, bis zum Gesetzeseintritt die richtigen Vorkehrungen getroffen zu haben. Im Folgenden werden nun einmal die Ähnlichkeiten und Unterschiede zwischen der Europäischen DSGVO und des Kalifornischen CCPA im Detail betrachtet:

 

Grunddefinitionen:
 

Persönliche Daten/Persönliche Informationen:

Sowohl die DSGVO als auch die CCPA definieren „persönliche Daten“ und „persönliche Informationen“ sehr allgemein. In der DSGVO sind generell nur identifizierte und identifizierbare Einzelpersonen gemeint, die CCPA schließt jedoch auch Haushalte mit ein. Außerdem hat die DSGVO eine „spezielle Datenkategorie“ erstellt, was sensible Daten wie Herkunft, sexuelle Vorlieben etc. betrifft, und verboten, diese Informationen zu verarbeiten.
 

Pseudonymisierung

DSGVO und CCPA betrachten diesen Begriff sehr ähnlich. Eine Pseudonymisierung verhindert, dass personenbezogene Daten auf eine bestimmte Person verweisen können, außer man hat zusätzliche Informationen, die separat abgelegt sind. Die DSGVO erlaubt es dem Betroffenen, diese zusätzlichen Informationen bereitzustellen, während die CCPA dies komplett ausschließt.
 

Kinder

Kinder unter 16 brauchen laut DSGVO die Einwilligung ihres Erziehungsberechtigten, wohingegen die CCPA eine optionale Bestimmung beinhaltet, die den Verkauf der Daten bewilligt. Kinder unter 13 brauchen laut CCPA für diese Zustimmung ebenfalls die Einwilligung des Erziehungsberechtigten.
 

Forschung

Auch hier nehmen sich beide Gesetze die Freiheit, diesen Begriff sehr offen zu behandeln. Die Pseudonymisierung spielt für die Forschung eine große Rolle. Die DSGVO hat in diesem Bereich ganz klar die Datennutzung auf das jeweilige Forschungsprojekt begrenzt, die CCPA hat dagegen dem jeweiligen Unternehmen das Recht zugesprochen, die gesammelten Daten auch für andere Zwecke zu benutzen (außer zum Verkauf).

 

Geltungsbereich:
 

Persönlicher Geltungsbereich

Im Vergleich zur DSGVO, welche für Firmen, Öffentliche Einrichtungen, Institutionen und auch Non-Profit-Organisationen gilt, betrifft die CCPA nur Firmen. Außerdem werden hier nur Personen geschützt, die auch Einwohner des Staates Kalifornien sind. Das Gesetz wird für diejenigen Unternehmen gelten, die geschäftliche Angelegenheiten in Kalifornien vornehmen, sofern sie dabei einen der folgenden Schwellenwerte erreichen: • jährliche Bruttoeinnahmen von mehr als USD 50 Millionen, • Verarbeitung von personenbezogenen Informationen im Umfang von 50.000 oder mehr Verbrauchern, Haushalten oder Gerätschaften, die von in Kalifornien ansässigen Personen stammen, für geschäftliche Zwecke des Unternehmens, • der Gewinn des Unternehmens resultiert zu 50 % oder mehr aus den jährlichen Einnahmen durch den Verkauf von personenbezogenen Informationen.

 

Örtlicher/Territorialer Geltungsbereich

Die DSGVO betrifft alle Organisationen innerhalb und außerhalb der EU, wenn diese Güter oder Dienste an Betroffenen innerhalb Europas anbieten. Die CCPA hat seinen territorialen Geltungsbereich noch nicht genau definiert. Das Gesetz besagt derzeit, dass es für Firmen gilt, die in Kalifornien mit Einwohnern von Kalifornien Geschäfte machen.

 

Rechte Betroffener:
 

Der Verbraucher hat nach beiden Gesetzen das Recht, die Löschung seiner persönlichen Daten zu verlangen. Außerdem hat er/sie das Recht zu wissen, wann und zu welchem Zweck seine Daten gesammelt und gespeichert werden (diese Daten können dann auch nur zu diesem Zweck verwendet werden). Des Weiteren kann der Betroffene bei jeder Organisation einen vollständigen Bericht über die von ihm gesammelten Daten anfordern. Dieser Bericht muss ihm in einem gängigen und übersichtlichen Format zur Verfügung gestellt werden, sodass eine unproblematische Einsehung garantiert ist. Die DSGVO und CCPA räumen dem Konsumenten das Recht ein, Unternehmen die Verarbeitung und den Verkauf der Daten untersagen zu können. Laut CCPA kann jedoch nicht dem Sammeln von persönlichen Daten widersprochen werden. In der DSGVO dagegen fällt das Sammeln von Daten in den Bereich der Verarbeitung und kann daher also auf Wunsch ebenso eingeschränkt werden.
 
 
 

Durchsetzung:
 

Die Einhaltung dieser Gesetze werden bei der DSGVO von der Nationalen Datenschutzbehörde überwacht, die auch Teil des Europäischer Datenschutzausschusses ist. Für die CCPA obliegt die Aufsicht dem Generalstaatsanwalt von Kalifornien. In beiden Fällen werden Nichteinhaltungen der Gesetze mit Geldbußen geahndet, welche für die DSGVO seitens einer Datenschutzbehörde und für die CCPA seitens des Gerichts verhängt werden. Sowohl einzelne Privatleute als auch kollektive Zusammenschlüsse können sich auf die DSGVO und die CCPA berufen.
 

Fazit:
 

Mit der Einführung des CCPA erhofft man sich eine Stärkung der Datenschutzrechte der Einwohner Kaliforniens. Bei einer vorsätzlichen Verletzung der Datenschutzpflichten gegen den CCPA muss das jeweilige Unternehmen eine Strafe in Höhe von bis zu USD 7.500 zahlen. Kommt das Unternehmen den Forderungen des Verbrauchers innerhalb von 30 Tagen nach, kann eine Strafe verhindert werden. Die Europäische DSGVO und die Kalifornische CCPA haben viele Gemeinsamkeiten. Vor allem die Rechte Betroffener sind sich bei den beiden Gesetzen sehr ähnlich. Diese bieten bei der Umsetzung der Gesetze die größte Baustelle. Viele der Erfahrungen, die durch die Einführung der DSGVO gesammelt wurden, können also teilweise adaptiert und wiederverwendet werden. Die bereits erarbeiteten technischen Lösungen können ebenfalls für die CCPA verwendet werden.
 

Ausblick:
 

Abzuwarten bleibt, ob auch andere Staaten dem kalifornischen folgen werden oder die US-Regierung sogar ein einheitliches Datenschutzsystem entwickelt. Verpassen sie nicht unseren nächsten Artikel in dem wir Ihnen die relevanten Handlungsfelder der CCPA und deren Auswirkungen und technischen Realisierungsmöglichkeiten in IT Systemlandschaften vorstellen. Haben Sie Fragen oder benötigen Sie Hilfe bei Ihrem eigenen Datenschutzprojekt? Dann ist Natuvion der ideale Ansprechpartner – wir unterstützen und begleiten Sie gerne auf Ihrem Weg.

 

Questions, suggestions, feedback? We are looking forward to hearing it!