Der US-Bundesstaat Kalifornien hat 2018 den California Consumer Privacy Act (CCPA) erlassen, der am 1.1.2020 in Kraft getreten ist. Im Rahmen der Wahlen am 3.11.2020 wurden in Kalifornien eine Reihe von Gesetzentwürfen, darunter der sog. California Privacy Rights Act (CPRA) zur Abstimmung gestellt, der das Datenschutzrecht in Kalifornien verstärken soll. In diesem Beitrag werden die wesentlichen Inhalte des CPRA erläutert.

I. Ausgangssituation

II. Änderungen

1. Erfasste Unternehmen

2. Neue Kategorien von Daten, insb. „sensitive personal information“

3. Erweiterte und neue Rechte der Verbraucher

a) Erweiterungen bestehender Verbraucherrechte

b) Neue Verbraucherrechte

4. Zusätzliche Verpflichtungen des Verantwortlichen gegenüber Verbrauchern, Auftragsverarbeitern, Subunternehmern und Dritten

5. Ausnahmen bzgl. des B2B-Geschäfts

III. Weitere, ergänzende Rechtsverordnungen

IV. Schaffung einer Datenschutzbehörde und weitere Regelungen zur Durchsetzung des Gesetzes sowie Haftungsregelungen

V. Abschließende Bewertung
 

I. Ausgangssituation

Der CPRA tritt zum 1.1.2023 in Kraft und findet Anwendung auf personenbezogene Daten, die ab dem 1.1.2022 erhoben wurden. Allerdings wird den Unternehmen noch eine „grace period“ bis zum 1.1.2023 eingeräumt, d.h. nur Rechtsverletzungen, die an oder nach diesem Termin stattfinden, werden dann von den zuständigen Aufsichtsgremien geahndet. Der CCPA bleibt deshalb konsequenterweise bis zum 1.7.2023 in Kraft.

Die wesentlichen Inhalte des CPRA beziehen sich auf folgende Punkte:

• Änderungen hinsichtlich der vom CPRA erfassten Unternehmen („covered businesses“);
• neue Kategorien von Daten, insb. „sensitive personal information“;
• neue und erweitere Rechte der Verbraucher;
• Zusätzliche Verpflichtungen des Verantwortlichen gegenüber Auftragverarbeitern und Sub-Unternehmen;
• Ausnahmen bzgl. des B2B-Geschäfts;
• weitere, ergänzende Rechtsverordnungen;
• Schaffung einer Datenschutzbehörde und weitere Regelungen zur Durchsetzung des Gesetzes sowie Haftungsregelungen.

II. Änderungen

1. Erfasste Unternehmen

Die Kriterien, unter denen Unternehmen unter das Datenschutzgesetz fallen, wurden geändert. Wie bisher ist das Gesetz anwendbar, wenn das Unternehmen Brutto-Einnahmen i.H.v. mehr als 25 Mio. USD aufweisen kann, diese Größe wird aber, anders als früher, jetzt nach den Zahlen des unmittelbar vorhergehenden Kalenderjahrs berechnet. Alternativ findet das Gesetz Anwendung, wenn ein Unternehmen eine bestimmte Anzahl von personenbezogenen Daten verarbeitet („buys or sells or shares“). Der Schwellenwert wurde aber von bisher 50.000 auf zukünftig von 100.000 oder mehr Verbraucher oder Haushalte heraufgesetzt. Dafür wurden Gerätschaften wie Mobiltelefone („devices“), die bisher mitgezählt wurden, herausgenommen; die Nutzung derartiger Geräte ist jetzt Teil der Definition eines Haushalts („household“). Die dritte Alternative, die zum Anwendungsbereich führt, nämlich dass ein Unternehmen mehr als 50 Prozent der Einnahmen daraus erzielt, personenbezogene Daten an Dritte weiterzugeben, wurde dahingehend erweitert, dass eine Weitergabe zu Zwecken der kontextübergreifenden verhaltensbezogenen Werbung („sharing“) ausreicht.

Neu ist eine Regelung bzgl. Joint Ventures, bei denen jede Partei mindestens 40 Prozent der Anteile besitzt. Firmen, die zusammen ein derartiges Joint Venture bilden, sollen als eigenständige Unternehmen anzusehen sein, für die jeweils das Gesetz Anwendung findet, wenn die o.g. Kriterien erfüllt sind, aber personenbezogene Informationen, die jedes dieser am Joint Venture beteiligten Unternehmen in Besitz hat und die dem Joint Venture zur Verfügung gestellt werden, sollen nicht als Verarbeitung i.S.d. Gesetzes („shall not be shared“) angesehen werden.

Nach der Definition fallen auch konzernangehörige Unternehmen unter das Gesetz, die selbst nicht die Kriterien erfüllen, wenn ggf. eine andere Konzerngesellschaft die Kriterien erfüllt, dem konzernangehörigen Unternehmen die personenbezogene Informationen übermittelt und der Konzern unter einheitlichem Branding auftritt, so dass der Verbraucher davon ausgehen darf, dass die mehreren Firmen zusammengehören und unter einheitlicher Leitung stehen.

Es ist in Zukunft möglich, dass Unternehmen, die einer Geschäftstätigkeit in Kalifornien nachgehen, aber nicht die o.g. Kriterien erfüllen, die zur Anwendbarkeit des Gesetzes führen, sich freiwillig gegenüber der neuen kalifornischen Datenschutzaufsichtsbehörde verpflichten können, sich den Regelungen des Gesetzes zu unterwerfen.

Es bleibt dabei, dass das Gesetz auf Verbraucher („consumer“) anwendbar ist. Gemäß der Definition 9 handelt es sich um natürliche Personen mit nicht nur vorübergehendem Wohnsitz in Kalifornien, die ggf. durch sog. „unique identifier“ d.h. Telefonnummern, Cookies, Internet Protokoll-Adressen etc. identifiziert werden können. Das Gesetz ist nicht anwendbar, wenn die personenbezogenen Informationen, die in irgendeiner Weise verarbeitet werden sollen, „deidentified“ wurden oder es sich um aggregierte Verbraucherinformationen handelt.

2. Neue Kategorien von Daten, insb. „sensitive personal information“

Durch den CPRA wird in Kalifornien eine neue Kategorie von personenbezogenen Informationen eingeführt, die als (...)