Zum Hauptinhalt springen

Kalifornisches Verbraucherschutzgesetz (California Consumer Privacy Act, CCPA)

Der California Consumer Privacy Act (CCPA) ist ein staatliches Gesetz, das 2018 unterzeichnet wurde, um die Datenschutzrechte und den Verbraucherschutz für die Bewohner des US-Bundesstaates zu verbessern. Das Gesetz, das im Januar 2020 in Kraft getreten ist, gibt den Verbrauchern mehr Kontrolle über ihre personenbezogenen Daten, die Unternehmen über sie sammeln, und legt neue Datenschutz­rechte der Verbraucher fest, unter anderem:

  • Das Recht, zu erfahren, welche personenbezogenen Daten ein Unternehmen über sie erhebt und wie diese verwendet und weitergegeben werden
  • Das Recht auf Löschung ihrer personenbezogenen Daten
  • Das Recht, den Verkauf ihrer personenbezogenen Daten abzulehnen
  • Das Recht auf Nicht-Diskriminierung bei der Ausübung ihrer CCPA-Rechte

Für wen gilt der CCPA?

Der CCPA gilt für alle gewinnorientierten Unternehmen, die in Kalifornien tätig sind und eines der folgenden Kriterien erfüllen:

  • Hat einen Bruttojahresumsatz von über 25 Millionen US-Dollar
  • Kauft oder verkauft personenbezogene Daten von mindestens 50.000 kalifornischen Bürgern, Haushalten oder Geräten
  • Erwirtschaftet mindestens 50 % seines Jahresumsatzes mit dem Verkauf personenbezogener Daten von kalifornischen Bürgern

Ist die Datenverschlüsselung für die Einhaltung des CCPA erforderlich?

Die Einhaltung des CCPA erfordert die Verschlüsselung der personenbezogenen Daten der Verbraucher, wie in Abschnitt 1798.150 des Gesetzes erwähnt: „Jeder Verbraucher, dessen unverschlüsselte und nicht bearbeitete personenbezogene Daten, wie in Unterabsatz (A) des Absatzes (1) des Buchstaben (d) von Artikel 1798.81.5 definiert, infolge einer Verletzung der Pflicht des Unternehmens, angemessene Sicherheits­verfahren und -praktiken einzuführen und aufrechtzuerhalten, die für die Art der Daten ange­messen sind, um die personenbezogenen Daten zu schützen, einem unbefugten Zugriff und Aus­schleusung, Diebstahl oder Offenlegung ausgesetzt sind, kann eine Zivilklage für jeden der folgenden Punkte einreichen:

  1. Schadenersatz in einer Höhe von mindestens einhundert US-Dollar (100 $) und höchstens sieben­hundertfünfzig US-Dollar (750 $) pro Verbraucher und Vorfall oder tatsächlichen Schäden, je nachdem, welcher Betrag höher ist.
  2. Unterlassungs- oder Feststellungsklage.
  3. Jede andere Maßnahme, die das Gericht für angemessen hält.“

Wie werden Datenschutzverletzungen im Rahmen des CCPA behandelt?

Verbraucher können ein Unternehmen nur dann nach dem CCPA verklagen, wenn bestimmte Voraus­setzungen erfüllt sind. Die gestohlenen personenbezogenen Daten müssen den Vornamen (oder den ersten Buchstaben) und den Nachnamen des Verbrauchers in Kombination mit folgenden Informationen zum Verbraucher enthalten:

  • Sozialversicherungsnummer
  • Führerscheinnummer, Steueridentifikationsnummer, Reisepassnummer, Militäridentifikationsnummer oder eine andere eindeutige Identifikationsnummer, die auf einem staatlichen Dokument ausgestellt ist, das üblicherweise zur Identifizierung einer Person verwendet wird
  • Kontonummer, Kreditkartennummer oder Debitkartennummer, wenn sie mit einem erforderlichen Sicherheitscode, Zugangscode oder Kennwort kombiniert sind, der jemandem Zugang zum Konto des Verbrauchers verschaffen würde
  • Medizinische Informationen oder Informationen zur Krankenversicherung
  • Fingerabdruck, Netzhaut- oder Irisbild oder andere eindeutige biometrische Daten, die zur Identifizierung einer Person verwendet werden (mit Ausnahme von Fotos, es sei denn, sie werden zur Gesichtserkennung verwendet oder gespeichert)

Diese Informationen müssen vor allem in unverschlüsselter und nicht bearbeiteter Form gestohlen worden sein.

Die damit zusammenhängende Gesetzgebung geht noch weiter und befasst sich mit den Folgen, die sich für Unternehmen aus einer Verletzung des Schutzes von Verbraucherdaten ergeben, wenn die Daten nicht verschlüsselt wurden oder wenn sowohl verschlüsselte Daten als auch Verschlüsselungscodes ge­stohlen wurden. Konkret heißt es in Abschnitt 1798.82 des California Civil Code, der Teil einer Änderung des Assembly Bill 1130 ist, unter anderem:

„Eine Person oder ein Unternehmen, die bzw. das in Kalifornien geschäftlich tätig ist und die bzw. das Eigentümer oder Lizenznehmer von computergestützten Daten ist, die personenbezogene Daten ent­halten, ist verpflichtet, eine Verletzung der Sicherheit des Systems nach der Entdeckung oder Benach­richtigung über die Verletzung der Sicherheit der Daten gegenüber einem Einwohner Kaliforniens offenzulegen, (1) dessen unverschlüsselte personenbezogene Daten von einer nicht auto­risierten Person erworben wurden oder von denen vernünftiger­weise angenommen wird, dass sie von einer nicht autorisierten Person erworben wurden, oder (2) dessen verschlüsselte personenbezogene Daten von einer nicht autorisierten Person erworben wurden oder von denen vernünftigerweise angenommen wird, dass sie von einer nicht autorisierten Person erworben wurden, und dessen Verschlüsselungscode oder die Sicherheitsberechtigung von einer nicht autorisierten Person erworben wurde oder von der vernünftigerweise angenommen wird, dass sie von einer nicht autorisierten Person erworben wurde, und die Person oder das Unternehmen, das die verschlüsselten Daten besitzt oder lizenziert, einen begrün­deten Verdacht hat, dass der Verschlüsselungscode oder die Sicherheitsberechtigung diese personenbezogenen Daten lesbar oder nutzbar machen könnte. Die Offenlegung erfolgt so schnell wie möglich und ohne unangemessene Verzögerung im Einklang mit den berechtigten Bedürfnissen der Strafverfolgung, wie in Unterabschnitt (c) vorgesehen, oder mit allen Maßnahmen, die erforderlich sind, um das Ausmaß der Verletzung zu bestimmen und die angemessene Integrität des Datensystems wiederherzustellen.“