Home
Intern
veröffentlicht am 18. Oktober 2018 / Lesedauer: ca. 4 Minuten; Autoren: Alexander Theusner, Johannes Marco Holz, Maximilian S. Dachlauer „Do we actually comply with the GDPR?” Der weite räumliche Einflussbereich der Datenschutzgrundverordnung (DSGVO) hat sich mittlerweile bei Unternehmen weltweit herumgesprochen. Da die DSGVO für alle Unternehmen gilt, die personenbezogene Daten von Einwohnern der EU verarbeiten, müssen auch außereuropäische Unternehmen den Vorgaben der DSGVO entsprechen – auch wegen des erheblichen Sanktionsrisikos.
Zudem tendieren europäische Unternehmen immer mehr dazu, sich ihre außereuropäischen Vertragspartner danach auszusuchen, ob diese europäische Standards einhalten. Das ist bei Themen wie Anti-Korruption, Kinderarbeit und Nachhaltigkeit (etwa bei der Waldnutzung) bereits seit langem Alltag. Die Gewährleistung des Datenschutzes tritt nun als neues Thema hinzu.
Nicht zuletzt wegen ihres weltweiten Einflusses zeichnet sich ein weiterer Trend ab: Die DSGVO bzw. deren Regelungsmodell wird von Gesetzgebern weltweit aufgegriffen. Es ist also gut möglich, dass die DSGVO selbst zum Exportschlager wird.
Ein Beispiel dafür sind die Entwicklungen im US-Bundesstaat Kalifornien, der Heimat von Google, Facebook und weiteren datengetriebenen Konzernen von Weltrang. Der im Juni dieses Jahres verabschiedete „California Consumer Privacy Act (CCPA)” ist die schnelle Antwort des Bundesstaates auf den Skandal um „Cambridge Analytica” und den internationalen Datenhandel. Der Einfluss der DSGVO auf CCPA ist deutlich. Grund genug, das neue kalifornische Gesetzeswerk einmal näher zu beleuchten.
Erklärtes Ziel des CCPA ist die Stärkung der Datenschutzrechte der Einwohner Kaliforniens. Laut einem Report der „International Association of Privacy Professionals” wird das Gesetz mehr als 500.000 Unternehmen in den USA betreffen, kleine und mittelständische Unternehmen eingeschlossen. CCPA wurde im Juni 2018 vom kalifornischen Senat und der Versammlung verabschiedet und wird am 01. Januar 2020 wirksam werden. Hervorzuheben ist der ungewöhnlich schnelle Gesetzgebungsprozess. Er ist darauf zurückzuführen, dass es eigentlich zu einem Abstimmungsverfahren über den „Consumer Privacy Act” bei den Wahlen im November dieses Jahres hätte kommen sollen. Kalifornier können innerhalb der allgemeinen Wahlen auch über konkrete Gesetzgebungsfragen abstimmen. Die Initiative im Falle des Datenschutzrechts ging – ähnlich wie ein Volksbegehren in Bayern – auf eine Petition zurück. Ein auf diese Weise verabschiedetes Gesetz hätte indes nur unter engen Voraussetzungen geändert werden können. Daher kam der kalifornische Gesetzgeber den Initiatoren mit einem eigenen Gesetzesentwurf zuvor. Der Gouverneur des Bundesstaates unterzeichnete das neue Gesetz schließlich nur Stunden vor dem Ablauf der Frist für die Rücknahme der Petition. Der Anwendungsbereich des CCPA erstreckt sich zunächst auf alle Unternehmen mit einem Jahresumsatz von mehr als 24 Mio. US-Dollar, die personenbezogene Daten von in Kalifornien ansässigen Personen verarbeiten. Der Anwendungsbereich umfasst zudem Unternehmen, die personenbezogene Daten von mehr als 50.000 Personen, Haushalten oder Geräten verarbeiten oder mind. die Hälfte ihres Umsatzes mit dem Handel von personenbezogenen Daten erzielen.
Das Ziel der Stärkung der Datenschutzrechte kalifornischer Bürger verfolgt der CCPA durch die Schaffung einer Reihe von Rechten, etwa das Recht auf Auskunft, das Recht auf Zugang, das Recht auf Vergessenwerden und ein dem Widerspruchsrecht verwandtes Betroffenenrecht.
Wie auch die DSGVO will der CCPA damit die Transparenz der Datenverarbeitung für den Verbraucher erhöhen. Der Verbraucher kann nun ähnlich umfangreich Auskunft über den Umgang mit seinen Daten verlangen. Das „Recht auf Vergessenwerden” ist dabei ein Konzept, das direkt aus der DSGVO übernommen wurde.
So viel Ähnlichkeit auf den 1. Blick auch bestehen mag: Während die DSGVO Strafen bis zu 4 Prozent des Jahresumsatzes oder 20 Mio. Euro ansetzt, sieht der CCPA lediglich Bußgelder bis zu 7.500 US-Dollar pro Verstoß vor. Es stellt sich in dem Zusammenhang allerdings die Frage, wie Bußgelder bei Massenverstößen skaliert werden.
Auch bei den Rechten, die den Verbrauchern zugestanden werden, bestehen im Einzelnen Unterschiede. Im CCPA finden sich bspw. komplexe Ausnahmen und Antidiskriminierungsregeln in Bezug auf den Adresshandel, die so nicht in der DSGVO enthalten sind. Die Offenlegungspflichten des CCPA unterscheiden sich hingegen weniger von denen der DSGVO. Beispielhaft zu nennen ist etwa die Pflicht, einen „Do Not Sell My Information”-Link bereitzustellen.
Gerade das zuletzt genannte Opt-Out-Verfahren stellt Unternehmen vor erhebliche organisatorische Probleme – eine bemerkenswerte Parallele zu den Informationspflichten aus Art. 12 ff. DSGVO, die auch hierzulande organisatorische Herausforderungen mit sich bringen.
Eine weitere Besonderheit des CCPA ist die weite Definition des Begriffes „personenbezogene Daten”, der gegenüber der DSGVO noch weiter gefasst ist.
Demnach gelten als personenbezogene Daten alle Informationen, die eine Verbindung zu einem bestimmten Verbraucher oder Haushalt herstellen können oder in einem „vernünftigen Zusammenhang” zu diesem stehen. Die Definition erstreckt sich somit auch auf Verbraucherprofil- und Präferenzdaten. Daher kann davon ausgegangen werden, dass der kalifornische Gesetzgeber insbesondere Social-Media-Unternehmen und verhaltensorientierte Werbetreibende im Blick hatte. Es bleibt abzuwarten, ob Kalifornien diese strengen Maßnahmen bis zum Wirksamwerden des CCPA beibehält, oder ob die großen datengetriebenen Unternehmen – etwa jene im Silicon Valley – noch nachträgliche Änderungen durchsetzen können. Auf Grund von deutlicher Kritik an der als zu weit empfundenen Definition von personenbezogenen Daten und einer Individualklagebefugnis gegenüber Unternehmen werden bereits jetzt Forderungen nach einer Anpassung der CCPA laut. Handwerkliche Fehler bei der Formulierung seien auf die schnelle Entstehung zurückzuführen. Es wird daher eine erhebliche Begrenzung der Begriffsdefinitionen und des Anwendungsbereiches erwartet.
Auch wenn sich der CCPA streckenweise an die Konzepte der DSGVO anlehnt, handelt es sich mit Blick auf das Schutzniveau im Verhältnis zur DSGVO nicht um ein gleichwertiges Gesetz. Rückschlüsse aus der Einhaltung des CCPA auf die Einhaltung der DSGVO sind damit nicht möglich. Offen bleibt die Frage, inwieweit umgekehrt aus der Einhaltung der DSGVO auf die Einhaltung des CCPA geschlossen werden kann. Festzuhalten bleibt indes, dass Datenschutz im In- und Ausland nicht an Aktualität verliert und für jedes Unternehmen ein wichtiger Faktor bei der Unternehmensführung bleibt. Das Einhalten von Standards – im besten Fall über das vom Gesetzgeber geforderte Maß hinaus – wird in Zukunft noch mehr ein Verkaufsargument und besonderes Qualitätsmerkmal der eigenen Unternehmensorganisation sein.
Johannes Marco Holz
Rechtsanwalt, Fachanwalt für Informationstechnologierecht, Datenschutzbeauftragter (GDDcert.EU)
Associate Partner
Anfrage senden
Profil
Carina Richters
Rechtsanwältin, Compliance Officer (TÜV)
Manager
