Logo Logo
Cookiebot

Die Datenschutzgrundverordnung (DSGVO) und die Datenschutzrichtlinie für die elektronische Kommunikation (ePR) regulieren ab sofort Cookie-Hinweise, Cookie-Banner und Cookie-Nutzung.

Überprüfen Sie jetzt hier kostenlos ob Ihre Cookie-Nutzung, Cookie-Hinweistexte und Online-Trackingverfahren mit den DSGVO-Richtlinien übereinstimmen.

The California Consumer Privacy Act (CCPA) is taking effect on January 1, 2020.

Was Washington D.C. für die Bundesregierung der Vereinigten Staaten ist, ist Kalifornien für die Technologieindustrie der Welt. Die Hauptstadt des Silicon Valley ist an den südlichsten Ufern der San Francisco Bay befestigt, aber ihre Reichweite ist global, das Ausmaß ihrer gewaltigen Kräfte erst kürzlich von Regierungen und Bürgern ergründet.

Kalifornien ist die physische Grenze Amerikas, an der der Kontinent in den Pazifik überläuft. Mit der Verabschiedung des California Consumer Privacy Act (CCPA) ist es ab dem 1. Januar 2020 auch die Grenze des Datenschutzrechts in den USA.

Indiesem Artikel werden wir versuchen, die Substanz des CCPA zu erfassen, seine Folgen für Unternehmen und Verbraucher zu erkennen und uns seine mögliche Zukunft vorzustellen.

Was ist der CCPA und warum ist Cookiebot daran interessiert?


Der CCPA oder California Consumer Privacy Act ist das Datenschutzgesetz, das im Bundesstaat Kalifornien am 1. Januar 2020 in Kraft tritt.

Es ist das stärkste und restriktivste Datenschutzgesetz, das in den Vereinigten Staaten bis heute verabschiedet wurde, aber seine praktische Zukunft ist noch etwas ungewiss.

Der Umfang der Durchsetzung ist so bemessen, dass der Generalstaatsanwalt von Kalifornien spätestens im Juli 2020 festlegen muss.

In der Zwischenzeit gibt es in der California State Legislative ein anhaltendes Tauziehen zwischen Big Business und Datenschutzaktivisten, das das kalifornische Datenschutzgesetz in beide Richtungen zieht, mit vorgeschlagenen Änderungen, um es entweder zu verengen oder zu erweitern.

Die Frist für Änderungen des CCPA ist der 13. September 2019.

Bei Cybot, dem Schöpfer von Cookiebot, verfolgen wir die Entwicklungen des Gesetzes, seine Implementierung und praktische Umsetzung sehr genau, da es sich um unser Fachgebiet handelt: den Online-Datenschutz.

Das bedeutet, zu wissen, wo und wie CCPA und Cookies zusammenlaufen.

Sobald der CCPA am 1. Januar 2020 in Kraft tritt, wird Cookiebot die Einhaltung des CCPA sowie der DSGVO und ePrivacy-Verordnung ermöglichen.

Aber - der CCPA verlangt, dass Unternehmen Aufzeichnungen über personenbezogene Daten zur Verfügung stellen, die in den vorangegangenen 12 Monaten vor der Aufforderung des Verbrauchers, Zugang zu diesen Informationen zu erhalten, über einen Verbraucher gesammelt wurden.

Das bedeutet, dass die heute gesammelten Informationen am 1. Januar 2020 von einem Verbraucher zur Offenlegung angefordert werden können, so dass ein Unternehmen jetzt mit der Vorbereitung auf den CCPA beginnen sollte.

Cookiebot ist ein Tool, das Website-Besitzern hilft, das geltende europäische Gesetz über DSGVO und die kommende ePrivacy-Verordnung, die 2019 oder 2020 erwartet wird, einzuhalten. Auch wenn die DSGVO in der EU verwurzelt ist, hat sie weltweite Wirkung, in dem Sinne, dass jede Website, unabhängig davon, von wo in der Welt sie betrieben wird, gegenüber Besuchern aus der Europäischen Union DSGVO-konform sein muss.

Wenn Sie also eine Website aus Kalifornien betreiben, müssen Sie trotzdem DSGVO-konform sein, sobald Sie auch Besucher aus der EU haben.

Überprüfen Sie, ob die Verwendung von Cookies und Tracking auf Ihrer Website mit der DSGVO und ePrivacy-Richtlinie übereinstimmt. Das kostenlose Website-Audit scannt bis zu fünf Seiten Ihrer Website und sendet Ihnen einen Bericht über alle betriebenen Cookies und Tracking. 

Registrieren Sie sich bei Cookiebot für einen vollständigen Scan und konforme Cookies.

Da der CCPA immer noch zwischen der Technologieindustrie und den Datenschutzbeauftragten in der California State Legislative hin und her gezogen wird, gibt dieser Artikel keine endgültigen Antworten darauf, wie der CCPA umgesetzt wird oder wie seine Umsetzung in der Praxis aussehen wird.

Stattdessen geben wir einen möglichst breiten Überblick über diesen Moment der Abrechnung mit der Technologie in Kalifornien und die Schritte zur Lösung einiger der großen Probleme im Zusammenhang mit Privatsphäre und Demokratie, die sich in den letzten Jahren gezeigt haben.

Lassen Sie uns kurz in den California Consumer Privacy Act eintauchen –

Prolog - CCPA-Datenschutz als unveräußerliches Recht der Menschen


1972 änderten kalifornische Wähler die kalifornische Verfassung, um das Recht auf Privatsphäre in die "unveräußerlichen" Rechte aller Menschen aufzunehmen.

46 Jahre später, im Juni 2018, wurde der CCPA (California Consumer Privacy Act, Assembly Bill No. 375) in das kalifornische Staatsrecht aufgenommen.

Er tritt am 1. Januar 2020 in Kraft.

1. Die Ursprungsgeschichte hinter dem CCPA


Ganz im Gegensatz zu der top-down zentralisierten Art und Weise, in der die Europäische Datenschutz-Grundverordnung (DSGVO) in Kraft gesetzt wurde, begann der California Consumer Privacy Act als Bottom-up-Initiative von unterschiedlichen Datenschutzaktivisten. Unter den Aktivisten: ein millionenschwerer Immobilienentwickler, ein ehemaliger CIA-Analyst, eine Managerin aus der Industrie und ein preisgekrönter Pulitzer-Journalist, der an den Snowden-Lecks für die Washington Post arbeitete.

CCPA started as a citizen ballot initiative in San Francisco and Oakland

Der CCPA begann als Bürgerinitiative in San Francisco und Oakland

“Californians for Consumer Privacy” (deutsch: Kalifornier für die Konsumenten-Privatsphäre), wie sich die Gruppe selbst nannte, wurde vom San Franciscoer Immobilienentwickler Alastair Mactaggart geleitet, der eine Abstimmungsinitiative zum Verbraucherschutz entwarf, um die Rechtslücke zu schließen.

"Sag mir, was du über mich weißt. Hör auf, es zu verkaufen. Bewahre es sicher." ("Tell me what you know about me. Stop selling it. Keep it safe"), wie Alastair Mactaggart den Vorschlag zusammenfasst. Mit den Enthüllungen des Facebook/Cambridge Analytica-Skandals bekam die kalifornische Wahlinitiative plötzlich einen starken Wind in den Rücken.

Californians for Consumer Privact gathered more than 600.000 signatures for the support of the CCPA

Californians for Consumer Privacy haben mehr als 600.000 Unterschriften gesammeltfür die Unterstützung dessen, was schließlich zum CCPA werden sollte.. 

Eine Wahlinitiative ist eine Möglichkeit für die kalifornische Gesellschaft, Bottom-up-Gesetze zu erlassen, indem sie einen Gesetzesvorschlag entwirft und genügend Unterschriften (acht Prozent der Personen, die bei der letzten Gouverneurswahl gewählt haben) sichert, damit der Vorschlag dann Teil der Parlamentswahl im November in diesem speziellen Staat wird. Die Wähler müssen dann am selben Tag, an dem sie für den Präsidenten oder den Kongress stimmen, Ja oder Nein wählen.

Im Falle des CCPA gab Mactaggart 3 Millionen Dollar seines eigenen Geldes aus, um mehr als 600.000 Unterschriften für den Vorschlag zu sammeln (was eine stärkere und härtere Version als diejenige war, die schließlich zum CCPA werden sollte), und sicherte sich damit einen Platz bei der allgemeinen Wahl im November 2018.

Kompromittiert: Wie die Technologiebranche den CCPA verändert hat

Mit der Bedrohung durch ein starkes Datenschutzgesetz, das mit der Mehrheit der Bürgerstimmen bei den Parlamentswahlen im November 2018 verabschiedet wurde, begann die Lobby der Technologiebranche, sich heftig gegen die Abstimmungsversion des CCPA zu wehren.

Heavy lobbying from Facebook weakened the CCPA

Californians for Consumer Privacy haben mehr als 600.00 Unterschriften gesammelt.

Einer der größten Kämpfe zwischen den Stimmzettelautoren und der Technologiebranche, insbesondere Facebook, war das so genannte private Recht auf Klage.

Es war ursprünglich ein Recht, das Verbraucher autorisierte, Unternehmen wegen Gesetzesverstößen verklagen zu können, nicht nur wegen Datenschutzverletzungen. Die Technologiebranche war sehr stark in ihrer Opposition, da sie große Haftungsrisiken befürchtete –

"Wir unterstützen grundsätzlich mehr Offenlegung, aber der Einsatz ist beim privaten Klagerecht einfach viel höher", sagte Will Castleberry, Vizepräsident für Staats- und Kommunalpolitik bei Facebook.

Google, Facebook, Verizon, Comcast und AT&T trugen jeweils 200.000 Dollar zu einem Ausschuss bei, der sich gegen die vorgeschlagene Stimmabgabe aussprach. Außerdem wurde geschätzt, dass sie rund 100 Millionen Dollar ausgeben würden, um gegen den Vorschlag zu kämpfen, wenn die Parlamentswahlen im November 2018 stattfinden.

So wurde die Initiative verwässert, um nur ein privates Klagerecht bei Datenverstößen (unbefugter Zugriff, Diebstahl etc.) zu umfassen.

Der CCPA wurde dann von Mactaggart entworfen, mitgeschrieben und von zwei demokratischen Gesetzgebern gesponsert, durch die staatliche Gesetzgebung getrieben, einstimmig verabschiedet und vom Gouverneur von Kalifornien am Donnerstag, den 28. Juni 2018, unterzeichnet - alles in weniger als einer Woche.

Sein Mitautor, der Abgeordnete Ed Chau, hat es "DSGVO light" genannt.

Informieren Sie sich hier über die DSGVO.

2.1. CCPA – das Recht Offenlegung zu verlangen


Der CCPA gewährt dem Verbraucher "das Recht, von einem Unternehmen, das die personenbezogenen Daten eines Verbrauchers sammelt, zu verlangen, dass es diesem Verbraucher die Kategorien und spezifischen persönlichen Daten, die das Unternehmen gesammelt hat, offen legt" (1798.100.a).

Definition der "personenbezogenen Daten" nach dem CCPA

Personenbezogene Daten sind im CCPA definiert als "Informationen, die einen bestimmten Verbraucher oder Haushalt identifizieren, sich auf ihn beziehen, ihn beschreiben oder mit ihm assoziiert werden können oder direkt oder indirekt mit ihm verbunden werden könnten".

A GDPRization of the world means that Californians now have their own privacy law, the CCPA

Eine DSGVOisierung der Welt bedeutet, dass die Kalifornier nun ihr eigenesDatenschutzrecht haben.

CCPA und Cookies

Persönliche Informationen beinhalten nach dem CCPA:

Ein Verbraucher hat das Recht auf Zugang und Erhalt einer Kopie der personenbezogenen Daten, die in den letzten 12 Monaten von einem Unternehmen erhoben wurden.

Der CCPA legt fest, dass die Verbraucher das Recht haben, die Offenlegung von

Einhaltung des "Rechts auf Offenlegung" durch den CCPA

Der Antrag auf Offenlegung muss überprüfbar sein, bevor das Unternehmen die Informationen zur Verfügung stellen muss (1798.100.c). Wenn nachprüfbar, muss ein Unternehmen unverzüglich Maßnahmen ergreifen, um die personenbezogenen Daten offenzulegen und diese dem Verbraucher kostenlos zur Verfügung zu stellen (1798.100.d).

Das Unternehmen muss zwei oder mehr Verfahren zur Einreichung von Anträgen (1798.130.a.1) zur Verfügung stellen und die erforderlichen Informationen innerhalb von 45 Tagen nach Eingang des überprüfbaren Antrags (1798.130.a.2) kostenlos offenlegen.

Um CCPA-konform zu sein, muss ein Unternehmen außerdem seine Datenschutzerklärung aktualisieren und folgendes inkludieren:

Denken Sie daran: Sie müssen auch DSGVO-konform sein, sobald Sie Besucher aus der EU haben.

Definition von "Unternehmen" nach dem CCPA

Im CCPA ist ein Unternehmen ein Oberbegriff, der sowohl Unternehmen, Körperschaften, Verbände, Partnerschaften als auch jede andere juristische Person umfasst, die zum Nutzen oder zum finanziellen Vorteil ihrer Aktionäre oder anderer Eigentümer organisiert oder betrieben wird.

Um jedoch als Unternehmen im Rahmen des CCPA betrachtet zu werden, muss ein Unternehmen mindestens eines der drei folgenden Eigenschaften erfüllen (1798.140.c):

Das bedeutet, dass, wenn Sie ein kleines Unternehmen haben, das weniger als 25 Millionen Dollar pro Jahr verdient und weniger als die Hälfte Ihres Geschäftseinkommens aus dem Verkauf personenbezogener Daten an Dritte stammt und Ihr Unternehmen nicht mehr als fünfzigtausend persönliche Daten von Kaliforniern verkauft, der CCPA für Sie nicht gilt.

Wenn Ihr Unternehmen jedoch "Common Branding" mit einem Unternehmen teilt, das eine der oben genannten Schwellenwerte erreicht, unterliegt Ihr Unternehmen der CCPA-Konformität.

2.2. CCPA - das Recht, die Löschung zu beantragen


Der CCPA gewährt dem Verbraucher "das Recht, von einem Unternehmen zu verlangen, dass es alle personenbezogenen Daten des Verbrauchers löscht, die das Unternehmen vom Verbraucher gesammelt hat" (1798.105.a).

Darin heißt es, dass "ein Unternehmen, das personenbezogene Daten sammelt, die Rechte des Verbrauchers, die Löschung der personenbezogenen Daten des Verbrauchers zu verlangen, offenlegen muss" (1798.105.b).

Definition von "Erhebung", "Verkauf" und "Löschung" nach dem CCPA

Der CCPA definiert die Erhebung als alles, was sich auf den aktiven oder passiven Zugang zu personenbezogenen Daten bezieht. Mit anderen Worten, das absichtliche und passive Sammeln von personenbezogenen Daten, wie z.B. IP-Adressen oder anderen Online-Identifikatoren, gilt als Sammlung.

Verkauf ist definiert als jede Weitergabe, Offenlegung oder Veräußerung personenbezogener Daten an Dritte gegen Entgelt oder einen anderen Wert.

Das Löschen ist ziemlich einfach. Es bedeutet die endgültige Löschung personenbezogener Daten auf Wunsch des Verbrauchers.

Ein Unternehmen muss den Verbrauchern klarmachen, dass sie das Recht haben, die Löschung ihrer Daten zu verlangen. Es muss dieses Recht - und wie es ausgeübt werden kann - beschreiben.

2.3. CCPA - das Recht auf Opt-out


Der CCPA gibt dem Verbraucher das Recht, von einem Unternehmen zu verlangen, dass es seine personenbezogenen Daten nicht an Dritte verkauft (1798.120.). Wenn eine solche Anfrage eingeht, ist es dem Unternehmen verboten, seine personenbezogenen Daten zu verkaufen.

The right to opt out is enshrined in the CCPA

Das Recht, sich aus den Überwachungsmärkten von Ad-Tech-Unternehmen zurückzuziehen ist gemäß dem California Consumer Privacy Act ein Menschenrecht.

"Opt out" bedeutet einfach, dass ein Verbraucher wählen kann, ob er ein Unternehmen anweisen will, den Verkauf seiner personenbezogenen Daten an Dritte zu stoppen. Die einzige Ausnahme ist hier die Weitergabe, Offenlegung oder der Verkauf personenbezogener Daten an bestimmte Bundesbehörden und kalifornische Gesundheitsdienste.

CCPA-Konformität mit dem Recht auf Opt-out

Ein Unternehmen muss auf seiner Website einen eindeutigen Link mit dem Titel "Verkaufen Sie meine personenbezogenen Daten nicht" (1798.135.a.1) angeben. Dieser Link darf vom Verbraucher nicht verlangen, ein Konto zu eröffnen, um das Unternehmen anzuweisen, seine Daten nicht zu verkaufen.

Wenn der Verbraucher unter 16 Jahre alt ist, muss das Opt-out vor der Anfrage erfolgen, d.h. ein Unternehmen kann seine personenbezogenen Daten nur verkaufen, wenn es zuvor von Eltern oder Erziehungsberechtigten genehmigt wurde.

Der CCPA verbietet die Diskriminierung von Verbrauchern aufgrund ihrer Entscheidung, ihre Rechte auszuüben.

Das bedeutet, dass, wenn ein Verbraucher sich gegen den Verkauf seiner Daten an Dritte entscheidet oder wenn er die Löschung seiner Daten beantragt, ein Unternehmen nicht berechtigt ist, z.B. unterschiedliche Preise für Dienstleistungen zu berechnen, unterschiedliche Niveaus oder Qualitäten von Dienstleistungen anzubieten oder den Verbrauchern die Dienstleistungen zu verweigern (1798.125.a).

Der CCPA ermächtigt Unternehmen jedoch auch, finanzielle Anreize, z.B. unterschiedliche Preise und Servicequalität, für die Erhebung, den Verkauf oder die Löschung personenbezogener Daten anzubieten (1798.125.a.1.b).

Testen Sie Cookiebot kostenlos, um das Sammeln und Verkaufen der Daten Ihrer Benutzer zu verhindern.

2.4. Mehrdeutige Bereiche im CCPA


Einer der Hauptbereiche für Unklarheiten im California Consumer Privacy Act betrifft die Definition von Daten, insbesondere die beiden Kategorien "Individualdaten" und "Haushaltsdaten".

Personenbezogene Daten - individuelle Daten vs. Haushaltsdaten?

Kritiker haben die Befürchtung geäußert, dass der CCPA dahingehend zu unklar ist, ob die Unterscheidung des Gesetzes zwischen "individuellen Daten" und "Haushaltsdaten" es möglicherweise jedem in einem sogenannten "Haushalt" ermöglichen würde, die persönlichen Daten einer anderen Person anzufordern und zu erhalten.

What is "household data" and how is it different from "individual data"?

Was sind "Haushaltsdaten" und wie unterscheiden sie sich von "Einzeldaten"?

Dies mag auf den ersten Blick harmlos erscheinen. Aber die Auswirkungen dieser Inkonsistenz könnten möglicherweise bedeuten, dass jeder, vom Mitbewohner des Colleges bis zum geschiedenen Partner, plötzlich in der Lage ist, persönliche Informationen über die Mitglieder seines registrierten "Haushalts" anzufordern.

Sowohl die Technologieindustrie als auch Aktivisten für den Datenschutz haben ihre Besorgnis zum Ausdruck gebracht und die staatliche Gesetzgebung aufgefordert, dieses Thema zu überarbeiten.

PAY FOR PRIVACY - finanzielle Anreize für personenbezogene Daten

Ein weiterer unklarer Bereich des CCPA ist das, was Kritiker als die Schlupflöcher bezüglich der finanziellen Anreize bezeichnet haben, die in Kalifornien möglicherweise ein "Pay for Privacy"-Modell schaffen könnten.

Der CCPA ermächtigt Unternehmen, den Verbrauchern finanzielle Anreize als Ausgleich für die Erhebung, den Verkauf oder die Löschung personenbezogener Daten zu bieten.

Dies bedeutet, dass ein Unternehmen dem Kunden einen anderen Preis, Tarif, ein anderes Niveau oder eine andere Qualität von Waren oder Dienstleistungen anbieten kann, "wenn dieser Preis oder diese Differenz in direktem Zusammenhang mit dem Wert steht, der durch die Daten des Verbrauchers geboten wird."

Im Prinzip soll ein finanzieller Anreiz dazu dienen, bestimmte Verhaltensweisen oder Handlungen zu fördern, in diesem Fall für die Unternehmen, um die kalifornischen Bürger zu motivieren, ihre personenbezogenen Daten verwenden zu lassen.

Aber es könnte auch bedeuten, dass Unternehmen den Verbrauchern eine gestaffelte Preisgestaltung anbieten könnten, je nachdem, ob sie sich abmelden oder ihre Daten löschen.

"Dieser Weg zu einer Pay-for-Privacy ist ein gefährlicher und rutschiger Abhang", sagte die demokratische Senatorin Hannah Beth Jackson von Santa Barbara über den CCPA, als er letzten Sommer verabschiedet wurde.

3. CCPA vs. DSGVO, Kalifornien & Europa im Vergleich


Wie steht der California Consumer Privacy Act also zu seinem europäischen Gegenstück, der im Mai 2018 in Kraft getretenen Datenschutz-Grundverordnung?

Zur Erinnerung: Was ist die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO) ist ein europäisches Gesetz, das weltweit zuständig ist, in dem Sinne, dass es die personenbezogenen Daten und Benutzerdaten aller europäischen Bürger schützt, unabhängig davon, wo auf der Welt sich die Website oder das Unternehmen, das mit den EU-Benutzerdaten umgeht, befindet.

Lesen Sie hier den offiziellen Text des DSGVO-Gesetzes.

Der Kern der DSGVO besteht darin, dass Websites und Unternehmen vor der Verarbeitung personenbezogener Daten eine klare und eindeutige Zustimmung ihrer Nutzer einholen müssen, nachdem sie alle Arten von Cookies und andere Tracking-Technologien angegeben haben, die auf ihren Seiten vorhanden sind. Sie verlangt auch, dass sie die Zustimmung jedes Benutzers sicher und vertraulich dokumentieren.

European privacy law differs on a vital point from its Californian counterpart.

Das europäische Datenschutzrecht unterscheidet sich in einem entscheidenden Punkt von seinem kalifornischen Pendant.

Der Umfang von DSGVO ist groß und befasst sich mit Daten aller Art (d.h. nicht nur mit personenbezogenen Daten), wie Unternehmen und Organisationen Transparenz sicherstellen und die Zustimmung der Nutzer dokumentieren müssen.

Cookiebot ermöglicht es Ihnen, DSGVO-konform zu sein. Hier können Sie es kostenlos testen.

Zustimmung gegen Antrag: die wichtigsten Unterschiede zwischen CCPA und DSGVO

Die klarste und konsequenteste Unterscheidung zwischen dem europäischen und dem kalifornischen Recht erfolgt zum Zeitpunkt der Zustimmung.

Die DSGVO räumt dem Nutzer das Recht auf Einwilligung ein, d.h. seine Daten dürfen erst verwendet werden, wenn der Nutzer seine Einwilligung dazu erteilt hat.

Diese Einwilligung kann auf verschiedene Weise erteilt werden, aber der springende Punkt ist, dass nach der DSGVO die vorherige Einwilligung gesetzlich vorgeschrieben ist.

Nun, im CCPA wird nichts dergleichen angegeben. Ein Unternehmen benötigt keine vorherige Zustimmung zur Verarbeitung personenbezogener Daten, noch muss eine Website die Zustimmung des Benutzers einholen, um seine Daten an Dritte zu verkaufen.

Was der CCPA tut, ist, dem Verbraucher das Recht einzuräumen, entweder die Offenlegung oder Löschung von einem Unternehmen zu verlangen, um den Verkauf seiner Informationen einzustellen. Aber das geschieht nach der Voraussetzung, dass sowohl die Sammlung als auch der Verkauf erfolgt.

Wenn die DSGVO eine verschließbare Tür für den Verbraucher schafft, schafft der CCPA ein Fenster, das der Verbraucher öffnen kann, um zu wissen, welche seiner persönlichen Daten bereits von einem Unternehmen erhalten wurden.

Die DSGVO ist eine Prävention, während der CCPA ein Mittel zur Transparenz und anschließenden Löschung (der in den letzten 12 Monaten erhobenen Daten) ist.

4. Mögliche Zukunft für den CCPA


Obwohl er im vergangenen Sommer verabschiedet wurde, wird der CCPA erst am 1. Januar 2020 in Kraft treten. Die Realität ist, dass bis dahin viel passieren kann.

Die folgenden Szenarien zeigen eine Reihe von möglichen Zukunftsoptionen für den CCPA.

SCENARIO NO.1 - der Kampf um Stärkung, Schwächung und Veränderung des CCPA vor Januar 2020

Seit Mai 2019 wurden mindestens zehn Folgegesetze an den CCPA sowohl von republikanischen als auch von demokratischen Gesetzgebern in der California State Legislature eingebracht. Vier von ihnen würden das Datenschutzgesetz erweitern und stärken, fünf von ihnen würden es verengen und schwächen.

A legal tug of war dominates the interim period before the CCPA takes effect on January 1, 2020.

Ein rechtliches Tauziehen dominiert die Übergangszeit vor Inkrafttreten des CCPA am 1. Januar 2020.

Sie versuchen entweder, auf dem Schutz und der Benutzerkontrolle personenbezogener Daten in der CCPA aufzubauen und ihn zu erweitern, um den Aktivisten- und Verbrauchergruppen entgegenzukommen, die sagen, dass das Gesetz nicht weit genug geht.

Oder sie versuchen, entweder die Interessen zu fördern oder die Befürchtungen der Technologiebranche zu zerstreuen, indem sie einige der wichtigsten Datenschutzbestimmungen des CCPA verwässern oder aufheben.

Ein Beispiel für die branchenfreundliche und Big-Business-gestützte Gesetzgebung, an der ab Mai 2019 gearbeitet wird, ist das anonym benannte Assembly Bill 1416, das die Möglichkeit bieten würde, Unternehmen von der Einhaltung des CCPA und von den gesetzlich vorgeschriebenen Datenbeschränkungen auszunehmen.

Ein Beispiel für das Gegenteil ist ein Gesetz mit dem Titel Privacy for All, das derzeit von mehr als 30 Datenschutzgruppen in den USA unterstützt wird.

Dieser Gesetzentwurf würde den Opt-out-Charakter des CCPA in ein Opt-in-Szenario ändern, das der vorherigen Zustimmung der DSGVO entspricht. Es würde den CCPA näher an die DSGVO heranführen, indem es einem Unternehmen untersagt, die personenbezogenen Daten eines Verbrauchers weiterzugeben, "es sei denn, der Verbraucher hat die Weitergabe ausdrücklich genehmigt".

Bis Mai 2019 gab es jedoch noch keine Anhörungen, d.h. es steht in einem frühen Stadium und ohne Garantie für die Rechtskraft.

SCENARIO NO. 2 – der Kampf um die Einschränkung oder Ausweitung der Durchsetzung des CCPA vor Juli 2020

In der Zwischenzeit ist eine Lobbyarbeit der Technologieindustrie im Gange, um den Umfang der Umsetzung des CCPA zu beeinflussen.

Wie der CCPA besagt, ist es der Generalstaatsanwalt von Kalifornien, der für die Durchsetzung des CCPA verantwortlich ist. Die spezifischen Regeln für die Vollstreckung müssen von der Generalstaatsanwaltschaft bis spätestens Juli 2020 schriftlich festgelegt werden.

How strong will CCPA enforcement be?

Wie stark wird die Durchsetzung des CCPA sein?

Dies bedeutet, dass potenzielle Klagen und Bußgelder wegen Verletzung des CCPA vom Justizministerium gegen Unternehmen wie Google, Facebook und die anderen Technologieriesen durchgesetzt werden müssen, deren Heimatstandort Silicon Valley südlich von San Francisco liegt.

Seit Mai 2019 versuchen die Lobbys der Technologiebranche, die Generalstaatsanwaltschaft in Richtung eines engen Anwendungsbereichs zu bewegen. Ihre Argumente für einen reduzierten Durchsetzungsspielraum sind die Behinderung des Wettbewerbs und eine weitere Belastung für Unternehmen, die mit der Einhaltung der DSGVO kämpfen.

In der Zwischenzeit wurde ein Gesetzesentwurf in die State Legislature eingebracht, der vom Generalstaatsanwalt von Kalifornien selbst mitfinanziert wurde und der das ursprüngliche private Klagerecht von Mactaggart wiederherstellen würde - d.h. den Verbrauchern erlauben würde, jedes Unternehmen zu verklagen, das ihre Rechte im Rahmen des CCPA verletzt hat.

"Es ist ungerecht, den kalifornischen Verbrauchern neue Rechte zu geben, ihnen aber die Möglichkeit zu verweigern, sich selbst zu schützen, wenn diese Rechte verletzt werden", sagte Generalstaatsanwalt Becerra am 19. April 2019 gegenüber der L.A. Times als Reaktion auf die Bemühungen, die Verbraucherdurchsetzung in der CCPA zu erweitern und zu ermöglichen.

Bis Mai 2019 ist keines dieser Gesetze in Kraft getreten.

SCENARIO NO. 3 – das Zustandekommen eines Bundesdatenschutzgesetzes, das die CCPA außer Kraft setzt.

Ein weiteres unsicheres Element bei der Durchsetzung des CCPA ist die Möglichkeit, dass in den gesamten USA ein Bundesgesetz verabschiedet und durchgesetzt wird. Dies könnte möglicherweise staatliche Vorschriften wie den CCPA außer Kraft setzen und eine ganz neue Landschaft höherer Rechtskompetenz schaffen.

CCPA enforcement is January 1, 2020.

Technologieunternehmen bilden eine Lobby für die Lockerung der Datenschutzgesetze des Bundes.

Dies könnte auch zu einer schwächeren landesweiten Version von strengeren Gesetzen auf Landesebene, wie bei dem CCPA, führen.

Dies liegt natürlich im Interesse des Silicon Valley, das sich aktiv gegen den CCPA eingesetzt hat.

Die Angst vor Datenschutzaktivisten und Verbrauchergruppen sowie den Autoren und Sponsoren des CCPA besteht darin, dass ein Bundesgesetz wie ein Sieg erscheinen kann, indem es ein einheitliches Recht in allen USA gewährleistet und gleichzeitig ein Verlust für die Verbraucher ist, denn diese einheitlichen Bundesgesetze könnten sich auf ein schwächeres Datenschutzniveau als den CCPA einigen.

Die Hoffnungen der Datenschutzaktivisten sind auch paradoxerweise, dass ein Bundesgesetz besser sein könnte als das kalifornische.

Ihre Hoffnung ist, dass Kalifornien der untere Balken sein wird, auf dem ein Bundesgesetz über den Datenschutz aufbauen könnte, anstatt ihn zu unterbieten.

As California goes, so goes the nation, wie es das alte amerikanische Sprichwort besagt.

Oder wie Alastair Mactaggart sagte, als er Washington besuchte, um sich mit wichtigen Senatoren und Trump-Regierungsbeamten in dieser Angelegenheit zu treffen: "Kalifornien führt, die anderen folgen".

Testen Sie Cookiebot kostenlos, um DSGVO-konform zu sein.

Epilog - Daten sind das neue Öl... wenn Öl etwas Lebendiges wäre...


Die Technologieindustrie wird oft mit der Ölindustrie vor hundert Jahren verglichen - ungeregelt, monopolistisch und zu mächtig.

Daten sind das neue Öl, der Treibstoff des 21. Jahrhunderts, sagen sie.

Data is the new oil.

Kalifornien war schon immer die Greze zwischen Chancen und Geschäften.

Früher war es "Gold", dann war es "Öl", jetzt sind es "Daten".

Dies ist in vielerlei Hinsicht ein passender Vergleich, denn sowohl der Goldrausch als auch der Ölboom der letzten Jahrhunderte begannen in Südkalifornien. Aber es lässt eine sehr wichtige Unterscheidung aus, die man unbedingt beachten sollte:

Während Öl eine unbelebte Ressource ist, die Maschinen antreibt; sind Daten die Abbildung des menschlichen Verhaltens, die digitale Infrastrukturen der Wahrscheinlichkeit antreiben, um das menschliche Verhalten vorherzusagen und vorhersehbar zu machen..

Es ist diese Sammlung und Monetisierung unseres inneren und äußeren Lebens, die das Silicon Valley zu einer Kraft parallel zu den Nationalstaaten in Macht und Reichtum gemacht hat.

Wo die unregulierte Ölindustrie ein paar Männer sehr reich und damit sehr mächtig machte, macht die unregulierte Technologieindustrie ein paar Männer sehr reich und sehr kenntnisreich und damit ungemein mächtiger als die Öl-Tycoons des späten Jahrhunderts.

Dieses Wissen ist das kollektive Verhaltensmuster von Gesellschaften und das private Innenleben von Milliarden von Menschen.

Die Sammlung und Monetisierung dieses Wissens hat die Ära des Überwachungskapitalismus eingeleitet, in der laut der Harvard Business School Professorin Shoshana Zuboff "die wirtschaftlichen Imperative die führenden Technologieunternehmen zwingen, einen Kollisionskurs mit der Demokratie einzuschlagen".

Der CCPA ist ein entscheidender Moment im Erwachen der großen Privatsphäre, das wir in diesen Jahren erleben.

Ressourcen


Probieren Sie Cookiebot kostenlos aus

Der offizielle Gesetzestext der CCPA

Der offizielle Gesetzestext der DSGVO

The fascinating story of how a group of citizens took on Silicon Valley from the bottom-up and created the CCPA (California Consumer Privacy Act)

California has become a battleground for the protection of consumer privacy laws

The Privacy for All proposal currently being worked on by the California State Legislature.

Other privacy bills and legislation is being worked on in California

A look into the tech industry and big business lobbying in California going on now

Big business is trying to gut California’s landmark privacy law

A federal privacy law could do better than California’s

California law could be Congress’ model for data privacy. Or it could be erased.

After avoiding Congress for years, tech companies are now asking for help

Take a look at “The Age of Surveillance Capitalism” by Harvard Business professor Shoshana Zuboff

Machen Sie heute die Verwendung von Cookies und Online-Tracking auf Ihrer Website DSGVO-/ePR-konform

Jetzt kostenlos testen