12. Dez 2019   Business Recht Tools

US-Datenschutz CCPA kommt: So sind EU-Firmen betroffen

Roland Marko ©Roland Unger / Wolf Theiss

Datenschutz. Am 1.1. 2020 tritt Kaliforniens neues Datenschutzrecht CCPA in Kraft: Auch EU-Firmen müssen es künftig bei Geschäften mit Verbrauchern in den USA beachten, sagt Wolf Theiss-Spezialist Roland Marko.

Extrajournal.Net: Das kalifornische Gesetz zum Schutz von Verbraucherdaten (California Consumer Privacy Act, CCPA) tritt am 1.1. 2020 in Kraft. Es stellt die persönlichen Daten von kalifornischen Konsumenten unter Schutz und droht auch Unternehmen außerhalb von Kalifornien Strafen bei Verstößen an. Bedeutet das für EU-Unternehmen, dass sie ab 1. Jänner auf die Kalifornier unter ihren Kunden Rücksicht nehmen müssen – so wie US-Firmen das bereits gegenüber Europäern machen müssen, für die die DSGVO gilt?

Roland Marko: Der CCPA stellt in den USA einen bedeutenden Schritt dar. Kalifornien reagiert damit in vieler Hinsicht auf die Datenschutz-Grundverordnung (DSGVO) der EU. Die DSGVO hat einen einheitlichen Rechtsrahmen für den Datenschutz geschaffen, und zwar auf einem sehr hohen Schutzniveau. Dabei gilt das Marktortprinzip. Die DSGVO gilt demnach auch für die Verarbeitung personenbezogener Daten von Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang mit einem Angebot von Waren oder Dienstleistungen in der EU oder dem Monitoring des Verhaltens von Personen in der Union steht.

Sie kann daher also auch Unternehmen außerhalb der EU betreffen, wenn sie persönliche Daten von EU-Bürgern verarbeiten. Diese müssen dann die Bestimmungen der DSGVO einhalten und können bei Verstößen bestraft werden. Dieses Prinzip liegt – mit umgekehrten Vorzeichen – im Wesentlichen auch dem CCPA zugrunde.

In den USA war der Datenschutz bis jetzt hauptsächlich als Recht der einzelnen Bundesstaaten geregelt. Nicht alle Bundesstaaten haben überhaupt Datenschutzregeln. Auf Bundesebene gibt es lediglich sektoralen Datenschutz, z.B. bei Gesundheitsdaten. Dieser ist zwar teilweise streng, gilt aber eben nur in eng gefassten Bereichen. Kaliforniens CCPA führt nun Datenschutzvorschriften auf ansehnlichem Niveau ein. Dieser Schritt war auch innerhalb des Staats durchaus umstritten. Viele BigTech Unternehmen haben ja ihren Sitz in Kalifornien, und manche sind im Vorfeld gegen den CCPA aufgetreten. Für die Einführung des CCPA waren allerdings jene BigTechs, die bereits DSGVO-Anforderungen umgesetzt haben.

Kalifornien ist mit Abstand der bevölkerungsreichste Staat der USA und auch der wirtschaftlich bedeutendste. Was bedeutet dieser Schritt für die USA insgesamt? Jedes US-Unternehmen muss ja damit rechnen, dass es Kalifornier als Kunden hat – auch wenn es selbst nicht in Kalifornien ansässig ist.

Marko: Die CCPA gilt nur für „Businesses“, also profitorientierte Unternehmen, die Daten von „consumern“ verarbeiten. Das unterscheidet den CCPA von der DSGVO, die ja auch z.B. gemeinnützige Vereine betrifft und Daten von allen natürlichen Personen, als auch zB Einzelunternehmern, erfasst. Aber grundsätzlich ist die Problematik klar: Viele US-Unternehmen werden eine bedeutende Anzahl von Kunden aus Kalifornien haben. Es kommt also hier ein beträchtliches Bewegungsmoment zusammen, die Bestimmungen der CCPA einzuhalten.

Werden viele Unternehmen der Einfachheit halber allen ihren Kunden die Rechte der CCPA einräumen – einfach weil eine Trennung zu aufwändig wäre? Hat also Kalifornien mit dem CCPA de facto die US-amerikanische DSGVO geschaffen?

Marko: Rein rechtlich gesehen lautet die Antwort: nein. Es ist und bleibt das Gesetz eines einzelnen Bundesstaats. Allerdings gilt der CCPA eben für alle Unternehmen, die den aufgezeigten Bezug zu Kaliforniern haben. Und er setzt natürlich auch Standards für eine mögliche zukünftige US-Bundesregelung. Ob es zu einer solchen kommt, bleibt allerdings abzuwarten. Es gibt bei diesem Thema zweifellos große Meinungsverschiedenheiten zwischen dem kalifornischen Gesetzgeber und der jetzigen US-Administration in Washington. Kurzfristig würde ich nicht damit rechnen.

Ein weiterer Aspekt: Datenschutz ist nur so wirksam, wie es die Sanktionen sind, mit denen er bewehrt ist. Ich beschäftige mich nun schon 15 Jahre mit dem Thema. In der Vergangenheit war es beinahe eine Art Orchideenfach. Zwar hatten wir in Österreich auch schon vor der DSGVO einen hohen Standard beim Datenschutz, aber die Sanktionen waren eben weitaus weniger streng.

Jetzt zur spannenden Frage: Müssen auch EU-Unternehmen die CCPA einhalten? Und was passiert, wenn sie es nicht tun?

Marko: Grundsätzlich lautet die Antwort: Ja, wenn man Kalifornier als Kunden hat. Wenn man zum Beispiel ein Start-up ist und eine Fitness-App für ein weltweites Publikum herausbringt, die auch auf Englisch verfügbar ist, dann läuft man natürlich „Gefahr“, auch kalifornische Verbraucher unter den Usern zu haben, und müsste daher den CCPA einhalten. Wer sich aber ausschließlich an europäische Kunden wendet, bei dem wird die Problematik geringer sein.

Heutzutage kann aber ein Kalifornier die Texte einer App, die es z.B. nur auf Deutsch gibt, mit Diensten wie Google Translate für sich übersetzen und die App dann einsetzen. Auch dann hat das betreffende österreichische Start-up mit ihm einen kalifornischen User.

Marko: Ja, aber damit richtet sich die App dennoch nur an europäische Kunden.

Ist die Frage vielleicht rein akademisch? Als EU-Unternehmen muss man bereits die DSGVO einhalten, seinen Kunden also beispielsweise die Möglichkeit zum Löschen persönlicher Daten geben. Die DSGVO war das erklärte Vorbild für die CCPA. Man sollte also glauben, dass wir Europäer damit automatisch auch die CCPA einhalten.

Marko: Es wird Sie nicht überraschen, wenn ich jetzt sage: In der Praxis leider nein. Vieles ist zwar ähnlich, so gibt es beispielsweise ein Auskunftsrecht und ein Löschungsrecht. Doch es gibt auch Unterschiede. Der CCPA wird oft eine Art DSGVO light genannt, aber er ist nicht in allen Belangen so streng wie die DSGVO und betrachtet auch nicht alle Sachverhalte genauso. Die Einhaltung der DSGVO ist immerhin ein massiver Schritt in Richtung CCPA – und wohl auch umgekehrt.

Welche Unterschiede bestehen?

Marko: Ein grundsätzlicher Unterschied besteht im Blickwinkel. Bei der DSGVO geht es um die Verarbeitung personenbezogener Daten und es gilt der Grundsatz: Es ist verboten, was nicht explizit erlaubt ist – wobei die Erlaubnis unter anderem in der Zustimmung des Kunden oder auch im überwiegenden Geschäftsinteresse des Unternehmens liegen kann. Der CCPA sieht Datenverarbeitungen dagegen grundsätzlich als erlaubt an, schreibt aber vor dass ein Opt-out möglich sein muss. Es ist also umgekehrt erlaubt, was nicht verboten ist.

Der CCPA stellt weiters auf Mindestgrößen bei den erfassten Unternehmen ab. Die Schwellen liegen bei einem Umsatz von 25 Millionen US-Dollar oder der Datenverarbeitung von 50.000 Konsumenten, Haushalten oder auch „Devices“ – ein Wert, der schnell erreicht sein kann, da ja heutzutage fast jeder gleich mehrere Geräte benützt. Und schließlich unterliegen auch jene Unternehmen dem CCPA, die mehr als 50% des Umsatzes im Datenhandel erwirtschaften. Wer unter diesen Schwellen liegt, für den gilt der CCPA nicht. Die DSGVO gilt dagegen für Datenverarbeitung von Unternehmen und Vereinen aller Größenordnungen.

Liegt ein wichtiger Unterschied nicht auch darin, dass die Strafandrohungen geringer sind?

Marko: Das ist grundsätzlich richtig. Während die DSGVO Strafen bis zu 4% des weltweiten Konzernumsatzes kennt, sieht der CCPA nur eine Strafe von 7.500 US-Dollar vor. Allerdings ist zu beachten, dass in Kalifornien die Möglichkeit zu einer Sammelklage nach US-Muster (class action suit) besteht.

Wenn man eine App herausgebracht hat und 25.000 geschädigte Kalifornier klagen nach einem Verstoß gegen den CCPA jeweils 100 Dollar Schadenersatz ein, weil ihre Daten nicht gelöscht wurden – nun, dann hat man eine erhebliche finanzielle Belastung zu gewärtigen. Diese Möglichkeit besteht auch bei EU-Unternehmen, wenn der CCPA auf sie anwendbar ist.

Was würden Sie einem EU-Unternehmen raten, das den US-Markt bearbeitet: Sich nach dem CCPA richten oder nach dem Recht anderer Bundesstaaten?

Es ist grundsätzlich wohl vernünftig, sich nach dem jeweils strengsten Recht zu orientieren – jedenfalls ist das der sicherere Weg.

Roland Marko ist Partner und Spezialist für Datenschutz / IT bei Wolf Theiss Rechtsanwälte in Wien.

Link: Wolf Theiss

 

    Weitere Meldungen:

  1. Tracing-App: Die Wünsche der Datenschützer
  2. Microsoft 365: Streit um Rechtskonformität
  3. Covid-19 verändert Kundenverhalten grundlegend
  4. Sicherheitstipps für Smartphones von UBIT