Im heutigen digitalen Zeitalter spielt das Sammeln und Verarbeiten von persönlichen Daten eine immer wichtiger werdende Rolle. Konsumer Daten sind für viele Unternehmen zur Währung geworden. Umso notwendiger ist es daher, eine klares Bezugssystem an Regeln und Verordnungen für die Verarbeitung von personenbezogen Daten zu erarbeiten. Sowohl in der EU als auch in Kalifornien wurde dies erkannt und neue Datenschutz Regelungen wurden erlassen. In diesem Artikel möchten wir die Unterschiede und Ähnlichkeiten der europäischen Datenschutz-Grundverordnung und des California Consumer Privacy Acts gegenüberstellen.
Datenschutz-Grundverordnung (DSGVO)
Im Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) in Kraft getreten. Als Verordnung der Europäischen Union regelt sie die Verarbeitung personenbezogener Daten in der EU. Die DSGVO zielt darauf ab, die Verarbeitung personenbezogener Daten durch private sowie öffentliche Datenverarbeiter EU-weit zu regeln. Sie ersetzt dabei die Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr aus dem Jahr 1995.
California Consumer Privacy Act (CCPA)
Seit 1. Januar 2020 gelten in Kalifornien die Regelungen des California Consumer Privacy Acts (CCPA). Der CCPA ist ein bundesstaatliches Gesetz, das die Rechte auf Privatsphäre und Verbraucherschutz für Einwohner Kaliforniens in den Vereinigten Staaten verbessern soll. Das Gesetz wurde von der kalifornischen Landesgesetzgebung verabschiedet und am 28. Juni 2018 unterzeichnet, um Teil 4 der Abteilung 3 des kalifornischen Zivilgesetzbuches zu ändern, wo es offiziell als AB-375 bezeichnet wird.
Was genau umfasst die DSGVO?
Die DSGVO regelt alle Facetten rund um die Verarbeitung personenbezogener Daten. Diese Regelungen betreffen alle Vorgänge im Datenmanagement, wie zum Beispiel das Erheben, Erfassen, Ordnen, Speichern, Verändern, Verwenden, Übermitteln, Verbreiten oder Löschen von personenbezogenen Daten. Personenbezogene Daten sind dabei alle Informationen, die eine natürliche Person direkt oder indirekt identifizieren können. Die direkte Identifikation kann beispielsweise durch einen Namen, eine Kennnummer oder auch durch Standortdaten erfolgen. Physische oder kulturelle Merkmale hingegen können eine Person indirekt identifizieren und sind damit ebenfalls eingeschlossen.
Wer muss sich an die Regelungen der DSGVO halten?
Vielleicht anders als man vermuten würde, ist der Anwendungsbereich des europäischen Datenschutzrechtes nicht an den Ort der Datenverarbeitung gebunden. Vielmehr findet die DSGVO Anwendung, sobald Tätigkeiten in der EU stattfinden, in deren Zusammenhang eine Verarbeitung von personenbezogenen Daten steht. Der Ort der Datenverarbeitung ist damit nicht entscheidend. Die Bestimmungen gelten somit auch für außereuropäische Unternehmen, soweit diese Waren und Dienstleistungen im europäischen Markt anbieten.
Welche Kriterien muss eine DSGVO-konforme Webseite erfüllen?
Die DSGVO verfolgt zwei Grundsätze: „privacy by design“ und „privacy by default“. Die Idee hinter dem Konzept „privacy by design“ ist, nur so viele personenbezogene Daten zu erfassen, wie für die jeweilige Verwendung unbedingt notwendig sind. Steht bei der Datenverarbeitung das Erkennen von Trends und Zusammenhängen im Fokus, so sollten die Daten beispielsweise frühestmöglich anonymisiert werden.
Beim Grundsatz „privacy by default“ geht es hingegen um datenschutzfreundliche Voreinstellungen. Dabei soll sichergestellt werden, dass die Datenschutzanforderungen von der ersten Nutzung an gewahrt bleiben – auch dann, wenn vorgegebene Voreinstellungen vom Nutzer nicht geändert werden.
Für den Betreiber einer Webseite mit Datenerhebung bedeutet dies konkret, dass die Zustimmung des Nutzers durch eine Einwilligungserklärung eingeholt werden muss. Die Einwilligungserklärung muss dabei Informationen zu Zweck und Umfang der verarbeiteten Daten leicht zugänglich, in klarer Form und in einfacher Sprache zur Verfügung stellen. Zusätzlich muss auf das jederzeitige Widerrufsrecht hingewiesen werden.
DSGVO versus CCPA: vorherige Zustimmung steht dem Recht auf Opt-out gegenüber
Mit einigen grundlegenden Unterschieden kann California Consumer Privacy Act (CCPA) als kalifornisches Pendant zur DSGVO gesehen werden. Der CCPA verfolgt den Ansatz, mehr Transparenz in der Erhebung von persönlichen Daten und Haushaltsdaten zu schaffen.
Durch neu geschaffene Rechte werden kalifornische Verbraucher so ermächtigt, Unternehmen aufzufordern, gesammelte Daten offenzulegen, zu löschen oder den Verkauf dieser Daten an Dritte zu unterlassen.
Im Vergleich DSGVO versus CCPA lassen sich unter anderem drei entscheidende Unterschiede identifizieren:
- die territoriale Reichweite der Datenschutzverordnung,
- die Definition der geschützten Informationen,
- und das „Opt-out“ Recht bzgl. Verkauf der Informationen.
Der Geltungsbereich des CCPA erstreckt sich auf alle in Kalifornien ansässigen Verbraucher. Genauer gesagt treten die Regelungen der CCPA für Verbraucher in Kraft, die als natürliche Personen mit Wohnsitz in Kalifornien definiert werden. Somit sind Personen, die nicht langfristig in dem Bundesstaat ansässig sind, so zum Beispiel Urlauber, von dem CCPA ausgeschlossen.
Auch die Definition persönlicher Informationen ist laut CCPA eine andere als in der DSGVO: Während die DSGVO Daten betrachtet, die einem einzelnen Individuum zuzuordnen sind, umfasst der CCPA darüber hinaus Daten, die nicht eine einzelne Person, sondern einen Haushalt identifizieren.
Das dritte große Unterscheidungsmerkmal bildet das Recht auf „Opt-out“, das einem ausdrücklichen Nichteinverständnis bzgl. dem Verkauf der Daten entspricht. Im Gegensatz zur europäischen Datenschutzverordnung ist somit das Einholen der Zustimmung einer betroffenen Person vor Datenerhebung nicht notwendig. Und auch der Verkauf dieser Daten bedarf keiner vorherigen Zustimmung. Dem Nutzer muss jedoch die Möglichkeit gegeben werden, diesem Vorgang zu widersprechen. Dafür muss eine Webseite einen sichtbaren Link zu einer Seite besitzen, auf der Gebrauch von diesem Nichteinverständnis-Recht („Do Not Sell My Personal Information“) gemacht werden kann.
Zusammenfassung: DSGVO versus CCPA
Die DSGVO ist ein breiter gefasstes Gesetz zum Schutz der Privatsphäre, das einen Datenschutz-Rahmen für die EU bildet. Es beruht auf der vorherigen Zustimmung der EU-Nutzer, sodass die Privatsphäre grundsätzlich und von vornherein gewahrt wird. Die DSGVO verleiht den Bürgern in der EU zudem das Recht auf Zugang, Löschung und Information sowie das Recht auf Widerruf der Einwilligung.
Der CCPA ist im Vergleich dazu ein kleineres Gesetz, das den Einwohnern Kaliforniens das Recht einräumt, den Zugang oder das Löschen der Daten von Unternehmen (laut Definition des CCPA), die im Besitz dieser Daten sind, zu verlangen oder den Verkauf der gesammelten Daten an Dritte abzulehnen.