„Vom Feind zum Freund?“ – CCPA und COPRA für den Datenschutz

CCPA

Die USA und der Datenschutz dürften bislang nicht die besten Freunde gewesen sein. Zu oft wurde in der Vergangenheit über kleinere sowie größere Datenpannen berichtet, welche in Verbindung mit einem Transfer über „den großen Teich“ in die USA gestanden haben. Es könnte zudem teilweise der Eindruck erweckt worden sein, dass die amerikanischen „Global Player“ den Datenschutz nicht so ernst genommen haben. Dies könnte jedoch in Zukunft der Vergangenheit angehören, da ein Schritt in die vermeintlich richtige Richtung in vergangener Zeit gemacht wurde. Grund hierfür ist das kalifornische Gesetz „California Consumer Privacy Act“ (kurz CCPA), welches im Juni 2018 verabschiedet und am 01. Januar 2020 in Kraft treten wird. Zusätzlich wurde kürzlich der Gesetzesentwurf „Consumer Online Privacy Rights Act“ (COPRA) im US-Senat vorgestellt, welcher Regelungen zum Datenschutz im gesamten Gebiet der USA enthält.

Welche Neuerungen das CCPA mit sich bringt bzw. welche weiteren Regelungen in punkto Datenschutz und USA kommen könnten, erklärt Ihnen Ihr externer Datenschutzbeauftragter.

CCPA – Kalifornien macht den ersten Schritt

Als Vorreiter in Sachen Datenschutz macht der Bundesstaat Kalifornien den ersten Schritt. Der Sonnenstaat hat ein Datenschutzgesetz entwickelt, welches den Namen „California Consumer Privacy Act“, kurz CCPA, trägt. Das Gesetz wurde im Juni 2018 verabschiedet und soll am 01. Januar 2020 in Kraft treten. Beim Inhalt hat man sich augenscheinlich stark an der Datenschutz-Grundverordnung (DS-GVO) orientiert, was durchaus zu befürworten sein dürfte. Inhaltlich wurde unter anderem geregelt, dass Verbraucher weitgehende Auskunftsrechte in Bezug auf die Verarbeitung ihrer personenbezogenen Daten erhalten sollen. Dies beschreibt in der DS-GVO bereits Art. 15 DS-GVO „das Recht auf Auskunft“. Weiterhin werden Verbraucher mit einem umfassenden Klagerecht gegenüber Unternehmen ausgestattet, welches dem Recht auf Beschwerde bei einer Aufsichtsbehörde nach Art. 77 DS-GVO ähneln dürfte. Der Unterschied in diesem Fall ist, dass die Betroffenen auf direktem Wege Unternehmen verklagen können, sofern diese keine zutreffende Auskunft über die verarbeiteten Daten erteilen oder diese ohne Einwilligungen weiterverarbeiten bzw. gar verkaufen. Damit dürften gewisse Parallelen zur Datenschutz-Grundverordnung, insbesondere hinsichtlich der Betroffenenrechte, deutlich zu sehen sein.

Kalifornien nimmt in diesem Zusammenhang die Vorreiterrolle in Sachen Datenschutz ein, jedoch mit „einem lachenden und einem weinenden Auge“. Das Gesetz erstreckt sich in seinem Anwendungsbereich nämlich lediglich auf den Staat Kalifornien. Für die restlichen 49 Bundesstaaten der USA greift das Gesetz nicht und es bleibt abzuwarten, welche Staaten sich an Kalifornien ein Beispiel nehmen und diesem nachziehen werden. Die letzte Woche lässt jedoch stark darauf hoffen, dass in der Zukunft der Datenschutz einen höheren Stellenwert im gesamten Gebiet der USA erhalten dürfte. Grund dafür ist der Gesetzesentwurf mit dem Namen „Consumer Online Privacy Rights Act“, kurz COPRA.

COPRA – Consumer Online Privacy Rights Act

Ende November wurde nun vom US-Senat ein Gesetzesentwurf unter dem Namen „Consumer Online Privacy Rights Act“ (COPRA) vorgestellt, welcher im gesamten Gebiet der USA Anwendung finden soll. Dem Gesetzesentwurf sind weiterhin 110 Gesetzgebungsverfahren, welche den Datenschutz betreffen, in verschiedenen US-Staaten anhängig. Dies lässt in Sachen Datenschutz positives hoffen. Die Regelungen innerhalb von COPRA lassen zahlreich vermuten, dass auch hier die DS-GVO als Vorbildfunktion diente. Unter anderem sind auch hier Regelungen vorgesehen, welche den Zugang und die Transparenz der verarbeiteten personenbezogenen Daten regeln sollen. Betroffene sollen demnach detaillierte und klare Informationen über die Verarbeitung und die vermeintliche Weitergabe ihrer Daten erhalten. Vergleichbar ist dies mit den Regelungen zu den Informationspflichten nach Art. 13 und 14 DS-GVO. Damit einhergehend sollen Betroffene ein Recht auf Kontrolle ihrer Daten erhalten, um ihnen insbesondere die Möglichkeit zu geben, eine Weitergabe ihrer personenbezogenen Daten an unbekannte Dritte zu verhindern. Zusätzlich enthält der Gesetzesentwurf das Recht auf Löschung oder Berichtigung der personenbezogenen Daten sowie das Recht auf Datenübertragbarkeit. Auch hier dürften die Ähnlichkeiten zu den Regelungen aus der DS-GVO nicht von der Hand zu weisen sein. Der Entwurf selbst wurde von der US-Senatorin Maria Cantwell entwickelt, welche zahlreiche Unterstützungserklärungen von verschiedenen Verbraucher- und Datenschutzverbänden enthält.

Auch „Global Player“ wie Apple oder Microsoft äußerten sich in der Vergangenheit zum Thema Datenschutz, dass die fehlende Privatsphäre mittlerweile einen kritischen Punkt erreicht haben dürfte. All dies lässt vermuten, dass der Datenschutz einen nicht unwesentlichen Anteil an Zustimmung bereits in der Bevölkerung gefunden haben dürfte.

CCPA und COPRA – Rechte vs. Pflichten

Mit den geplanten sowie verabschiedeten Gesetzen und Regelungen erhalten Betroffene und Verbraucher nun die notwendigen Rechte in Bezug auf deren personenbezogenen Daten. Die Betroffenenrechte bringen jedoch unweigerlich gewisse Pflichten für Unternehmen mit sich, welche umgesetzt werden müssen. Im Gesetzesentwurf ist – genauso wie in der Datenschutz-Grundverordnung – vorgesehen, dass Unternehmen gewisse „Präventiv- und Korrekturmaßnahmen“ treffen und entsprechend nachweisen können müssen. Dies beschreiben auch die zahlreichen Dokumentationspflichten der DS-GVO. Es dürfte hier demnach davon ausgegangen werden, dass zukünftig auch amerikanische Unternehmen geeignete technische und organisatorische Maßnahmen (TOM) vorsehen müssen.

CCPA und COPRA – Lichtblick für den Datenschutz?

Auch wenn zum aktuellen Zeitpunkt noch nicht ganz klar ist, ob oder zu welchem Zeitpunkt das Gesetz „Consumer Online Privacy Rights Act“ in Kraft treten wird, bedeutet die Verabschiedung vom „California Consumer Privacy Act“ einen Schritt in die richtige Richtung und dürfte ein Lichtblick für die Beziehung zwischen der USA und dem Datenschutz darstellen. Weiterhin dürfte die Entwicklung vermuten lassen, dass auch die Bedeutung bzw. das Bewusstsein für den Datenschutz in der amerikanischen Bevölkerung zugenommen hat. Die Verabschiedung des CCPA sowie der Gesetzesentwurf von COPRA lassen im punkto Datenschutz Hoffnung aufkommen und es bleibt abzuwarten, wie sich der Datenschutz landesübergreifend in den USA entwickeln wird.

Haben Sie weitere Fragen zu diesem Thema oder wollen Sie sich im Datenschutz dauerhaft besser positionieren?

Brands Consulting steht Ihnen gerne als kompetenter und fachkundiger Ansprechpartner in Sachen Datenschutz zur Seite. Kontaktieren Sie uns und/oder holen Sie sich ein unverbindliches und kostenloses sowie auf Ihre Bedürfnisse abgestimmtes Datenschutz-Angebot bei uns ein.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. das Gesetz über den Kirchlichen Datenschutz (KDG)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen