Was ist der CCPA?

Der California Consumer Privacy Act (CCPA) ist ein staatliches Gesetz, das 2018 unterzeichnet wurde, um die Datenschutzrechte und den Verbraucherschutz für die Bewohner des US-Bundesstaates zu verbessern. Das Gesetz, das im Januar 2020 in Kraft getreten ist, gibt den Verbrauchern mehr Kontrolle über ihre personenbezogenen Daten, die Unternehmen über sie sammeln, und legt neue Datenschutz­rechte der Verbraucher fest, unter anderem:

• Das Recht, zu erfahren, welche personenbezogenen Daten ein Unternehmen über sie erhebt und wie diese verwendet und weitergegeben werden
• Das Recht auf Löschung ihrer personenbezogenen Daten
• Das Recht, den Verkauf ihrer personenbezogenen Daten abzulehnen
• Das Recht auf Nicht-Diskriminierung bei der Ausübung ihrer CCPA-Rechte

Die oben aufgeführten Rechte müssen in der Datenschutzrichtlinie des Unternehmens enthalten sein, die den Verbrauchern in einem leicht lesbaren, verständlichen und druckbaren Format zur Verfügung gestellt werden muss.

Das CCPA verpflichtet die Unternehmen, den Verbrauchern die folgenden Hinweise in leicht lesbarer und verständlicher Form zur Verfügung zu stellen:

• Datenschutzerklärung
• Hinweis auf die Erhebung personenbezogener Daten
• Hinweis auf das Recht, den Verkauf persönlicher Daten abzulehnen
• Hinweis auf finanzielle Anreize

Der CCPA gilt für alle gewinnorientierten Unternehmen, die in Kalifornien tätig sind und eines der folgenden Kriterien erfüllen:

• Hat einen Bruttojahresumsatz von über 25 Millionen US-Dollar
• Kauft oder verkauft personenbezogene Daten von mindestens 50.000 kalifornischen Bürgern, Haushalten oder Geräten
• Erwirtschaftet mindestens 50 % seines Jahresumsatzes mit dem Verkauf personenbezogener Daten von kalifornischen Bürgern

Unternehmen, die gegen das CCPA verstoßen, müssen mit Geldstrafen in Höhe von 2.500 US-Dollar für jeden versehentlichen Verstoß, 7.500 US-Dollar für jeden vorsätzlichen Verstoß sowie 750 US-Dollar Schadenersatz pro betroffenem Verbraucher rechnen.

Zur Erfüllung der Anforderungen des CCPA müssen Unternehmen personenbezogene Verbraucherdaten verschlüsseln, wie in Abschnitt 1798.150 des Gesetzes beschrieben: „Jeder Verbraucher, dessen unver­­schlüsselte und nicht bearbeitete personenbezogene Daten, wie in Unterabsatz (A) des Absatzes (1) des Buchstaben (d) von Artikel 1798.81.5 definiert, infolge einer Verletzung der Pflicht des Unternehmens, angemessene Sicherheitsverfahren und -praktiken einzuführen und aufrechtzuerhalten, die für die Art der Daten angemessen sind, um die personenbezogenen Daten zu schützen, einem unbefugten Zugriff und Ausschleusung, Diebstahl oder Offenlegung ausgesetzt sind, kann eine Zivilklage für jeden der folgenden Punkte einreichen:

a. Schadenersatz in einer Höhe von mindestens einhundert US-Dollar (100 $) und höchstens sieben­hundertfünfzig US-Dollar (750 $) pro Verbraucher und Vorfall oder tatsächlichen Schäden, je nachdem, welcher Betrag höher ist.

b. Unterlassungs- oder Feststellungsklage.

c. Jede andere Abhilfe, die das Gericht für angemessen hält.“

Vereinfacht ausgedrückt: Wenn unverschlüsselte Verbraucherdaten von einem Unternehmen gestohlen werden, können die Betroffenen das Unternehmen entweder auf maximal 750 US-Dollar pro Verbraucher oder auf den tatsächlichen Schadenersatz verklagen, je nachdem, welcher Betrag höher ist.

Verbraucher können ein Unternehmen nur dann nach dem CCPA verklagen, wenn bestimmte Voraus­setzungen erfüllt sind. Die gestohlenen personenbezogenen Daten müssen den Vornamen (oder den ersten Buchstaben) und den Nachnamen des Verbrauchers in Kombination mit folgenden Informationen zum Verbraucher enthalten:

• Sozialversicherungsnummer
• Führerscheinnummer, Steueridentifikationsnummer, Reisepassnummer, Militäridentifikationsnummer oder eine andere eindeutige Identifikationsnummer, die auf einem staatlichen Dokument ausgestellt ist, das üblicherweise zur Identifizierung einer Person verwendet wird
• Kontonummer, Kreditkartennummer oder Debitkartennummer, wenn sie mit einem erforderlichen Sicherheitscode, Zugangscode oder Kennwort kombiniert sind, der jemandem Zugang zum Konto des Verbrauchers verschaffen würde
• Medizinische Informationen oder Informationen zur Krankenversicherung
• Fingerabdruck, Netzhaut- oder Irisbild oder andere eindeutige biometrische Daten, die zur Identifizierung einer Person verwendet werden (mit Ausnahme von Fotos, es sei denn, sie werden zur Gesichtserkennung verwendet oder gespeichert)

Diese Informationen müssen vor allem in unverschlüsselter und nicht bearbeiteter Form gestohlen worden sein.

Das CCPA selbst geht nicht auf Verschlüsselungscodes ein. Wir verweisen jedoch erneut auf Abschnitt 1798.150 des Gesetzes (siehe „Ist die Verschlüsselung von Daten für die Einhaltung des CCPA erforderlich?“ weiter oben) und die Aussage „… infolge einer Verletzung der Pflicht des Unternehmens, angemessene Sicherheitsverfahren und -praktiken einzuführen und aufrechtzuerhalten, die für die Art der Daten angemessen sind, um die personenbezogenen Daten zu schützen, einem unbefugten Zugriff und Ausschleusung, Diebstahl oder Offenlegung ausgesetzt sind …“ (Unterstreichung zur Hervorhebung hinzugefügt). In der Annahme, dass die Aufzeichnungen verschlüsselt wurden, wäre es ratsam, bei einer Prüfung nach dem Verstoß auch zu prüfen, wie und wo die Verschlüsselungsschlüssel aufbewahrt wurden. Wenn die Schlüssel am gleichen Ort wie die gestohlenen Unterlagen oder in einem anderen System mit ähnlichem Schutzniveau aufbewahrt wurden, sind solche Verfahren und Praktiken in den Augen des Prüfers möglicherweise nicht „angemessen“. Daher ist es ratsam, die Verschlüsselungscodes getrennt von den verschlüsselten Daten zu schützen.

Die damit zusammenhängende Gesetzgebung geht zudem noch weiter und befasst sich mit den Folgen, die sich für Unternehmen aus einer Verletzung des Schutzes von Verbraucherdaten ergeben, wenn die Daten nicht verschlüsselt wurden oder wenn sowohl verschlüsselte Daten als auch Verschlüsselungs­codes gestohlen wurden. Konkret heißt es in Abschnitt 1798.82 des California Civil Code, der Teil einer Änderung des Assembly Bill 1130 ist, unter anderem:

„Eine Person oder ein Unternehmen, die bzw. das in Kalifornien geschäftlich tätig ist und die bzw. das Eigentümer oder Lizenznehmer von computergestützten Daten ist, die personenbezogene Daten ent­halten, ist verpflichtet, eine Verletzung der Sicherheit des Systems nach der Entdeckung oder Benach­richtigung über die Verletzung der Sicherheit der Daten gegenüber einem Einwohner Kaliforniens offenzulegen, (1) dessen unverschlüsselte personenbezogene Daten von einer nicht auto­risierten Person erworben wurden oder von denen vernünftiger­weise angenommen wird, dass sie von einer nicht autorisierten Person erworben wurden, oder (2) dessen verschlüsselte personenbezogene Daten von einer nicht autorisierten Person erworben wurden oder von denen vernünftigerweise angenommen wird, dass sie von einer nicht autorisierten Person erworben wurden, und dessen Verschlüsselungscode oder die Sicherheitsberechtigung von einer nicht autorisierten Person erworben wurde oder von der vernünftigerweise angenommen wird, dass sie von einer nicht autorisierten Person erworben wurde, und die Person oder das Unternehmen, das die verschlüsselten Daten besitzt oder lizenziert, einen begrün­deten Verdacht hat, dass der Verschlüsselungscode oder die Sicherheitsberechtigung diese personenbezogenen Daten lesbar oder nutzbar machen könnte. Die Offenlegung erfolgt so schnell wie möglich und ohne unangemessene Verzögerung im Einklang mit den berechtigten Bedürfnissen der Strafverfolgung, wie in Unterabschnitt (c) vorgesehen, oder mit allen Maßnahmen, die erforderlich sind, um das Ausmaß der Verletzung zu bestimmen und die angemessene Integrität des Datensystems wiederherzustellen.“

Die CCPA-Verordnung ist weit gefasst und verlangt von den Unternehmen eine Reihe von Maßnahmen, um die Verbraucher über ihre Rechte zu informieren und ihre persönlichen Daten zu schützen. Eine umfassende CCPA-Lösung muss Funktionen wie Datenverschlüsselung, rechtzeitige Verbraucher­benachrichtigung und Kundendienst beinhalten.

Kalifornien war zwar der erste Staat, der ein umfassendes Datenschutzgesetz erlassen hat, aber viele andere Staaten haben entweder bereits Gesetze verabschiedet oder arbeiten an solchen, die ähnliche Anforderungen wie das CCPA stellen. Bis Mitte 2022 erließen bereits vier weitere US-Bundesstaaten (Colorado, Connecticut, Utah und Virginia) Gesetze zum Schutz der Verbraucherdaten, die jeweils 2023 in Kraft treten. In mindestens einem Dutzend weiterer US-Bundesstaaten sind Datenschutzgesetze in Arbeit, und es wird erwartet, dass weitere folgen.