DSGVO vs. CCPA: Alles über das kalifornische Verbraucherdatenschutzgesetz von 2020 (und wie es im Vergleich zur DSGVO abschneidet)

DSGVO Artikel 4, CCPA 1798.140

Betroffene Personen, definiert als identifizierte oder identifizierbare Personen, auf die sich personenbezogene Daten beziehen.

Verbraucher, definiert als in Kalifornien ansässige Personen, die entweder:

• In Kalifornien für andere als vorübergehende oder vorübergehende Zwecke.
• Sie sind in Kalifornien ansässig, befinden sich jedoch derzeit für einen vorübergehenden oder vorübergehenden Zweck außerhalb des Staates.

Zu den Verbrauchern gehören:

• Kunden von Haushaltswaren und Dienstleistungen.
• Angestellte.
• Business-to-Business-Transaktionen.

Während weder die DSGVO noch der CCPA für juristische Personen gelten, gelten beide für natürliche Personen, jedoch mit unterschiedlicher Definition. Der CCPA gibt eindeutig an, dass er für Einwohner Kaliforniens gilt, während die DSGVO den vageren Begriff „EU-betroffene Personen“ verwendet, ohne Anforderungen an den Wohnsitz oder die Staatsbürgerschaft zu nennen. Der CCPA schützt auch Daten, die einem bestimmten Haushalt zugeordnet werden können, und nicht nur einer Einzelperson, wie dies bei der DSGVO der Fall ist.

DSGVO Artikel 3, CCPA 1798.140

Datenverantwortliche und Datenverarbeiter:

• In der EU niedergelassene Personen, die personenbezogene Daten im Rahmen der Tätigkeiten der EU-Niederlassung verarbeiten, unabhängig davon, ob die Datenverarbeitung innerhalb der EU erfolgt.
• Nicht in der EU niedergelassen, die personenbezogene Daten betroffener Personen aus der EU im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen in der EU oder der Überwachung ihres Verhaltens verarbeiten.

Jedes gewinnorientierte Unternehmen, das in Kalifornien geschäftlich tätig ist und eines der folgenden Kriterien erfüllt:

• Hat einen Bruttoumsatz von mehr als 25 Millionen US-Dollar.
• Kauft, empfängt, verkauft oder teilt jährlich die persönlichen Daten von mehr als 50.000 Verbrauchern, Haushalten oder Geräten für kommerzielle Zwecke.
• 50 Prozent oder mehr seiner Jahreseinnahmen aus dem Verkauf personenbezogener Daten von Verbrauchern erzielt.

Der Anwendungsbereich der DSGVO ist weit gefasst: Sie gilt für alle Organisationen, von Unternehmen über öffentliche Einrichtungen bis hin zum gemeinnützigen Sektor. Der CCPA hat seine Anwendbarkeit inzwischen auf gewinnorientierte Unternehmen beschränkt, die sehr klare Anforderungen erfüllen.

In Bezug auf den geografischen Standort gilt die DSGVO für jedes Unternehmen, das die Daten von EU-Betroffenen verarbeitet, unabhängig davon, wo sich diese befinden. Der CCPA ist in diesem Punkt unklar: Unternehmen, die in seinen Zuständigkeitsbereich fallen, müssen „Geschäfte in Kalifornien tätigen“, aber es wird nicht klargestellt, ob das Unternehmen in dem Bundesstaat ansässig sein muss oder bestimmte Gewinnschwellen erfüllen muss, um als solches zu gelten.

DSGVO Artikel 4, CCPA 1798.140

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare betroffene Person beziehen. Die DSGVO verbietet die Verarbeitung definierter besonderer Kategorien personenbezogener Daten, es sei denn, es liegt eine rechtmäßige Rechtfertigung für die Verarbeitung vor.

Personenbezogene Daten, die einen bestimmten Verbraucher oder Haushalt identifizieren, sich darauf beziehen, ihn beschreiben, mit ihm in Verbindung gebracht werden können oder vernünftigerweise direkt oder indirekt mit ihm verknüpft werden können.

Die DSGVO gilt für alle Kategorien personenbezogener Daten, während der CCPA nur für Daten gilt, die nicht von bestehenden Bundesdatenschutzgesetzen wie dem Gramm-Leach-Bliley Act (GLBA) oder dem Health Information Portability and Accountability Act (HIPAA) abgedeckt sind.

DSGVO Artikel 4, CCPA 1798.140

Pseudonymisierte Daten gelten als personenbezogene Daten. Anonyme Daten gelten nicht als personenbezogene Daten.

Der CCPA beschränkt nicht die Fähigkeit eines Unternehmens, anonymisierte oder aggregierte Verbraucherinformationen zu sammeln, zu verwenden, aufzubewahren, zu verkaufen oder offenzulegen. Der CCPA legt jedoch eine hohe Messlatte für die Behauptung fest, dass Daten anonymisiert oder aggregiert werden. Pseudonyme Daten können unter dem CCPA als personenbezogene Daten gelten, da sie weiterhin einem bestimmten Verbraucher oder Haushalt zugeordnet werden können.

Die Definition von „Pseudonymisierung“ nach DSGVO und CCPA ist sehr ähnlich, da es sich um die Verarbeitung personenbezogener Daten in einer Weise handelt, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer identifizierten oder identifizierbaren Person zugeordnet werden können technische und organisatorische Maßnahmen treffen, die die für die Identifizierung erforderlichen zusätzlichen Informationen getrennt aufbewahren.

DSGVO Artikel 13, CCPA 1798.100

Datenverantwortliche müssen detaillierte Informationen über ihre Aktivitäten zur Erhebung und Verarbeitung personenbezogener Daten bereitstellen. Je nachdem, ob die Daten direkt bei der betroffenen Person oder bei einem Dritten erhoben werden, muss die Mitteilung spezifische Angaben enthalten.

Unternehmen müssen Verbraucher über Folgendes informieren:

• Die erfassten Kategorien personenbezogener Daten.
• Die beabsichtigten Verwendungszwecke für jede Kategorie.

Sowohl die DSGVO als auch der CCPA verlangen von Organisationen, offenzulegen, was sie mit den von ihnen erfassten personenbezogenen Daten tun. Der CCPA verlangt jedoch von Unternehmen, Datenverkäufe und Aktivitäten im Zusammenhang mit der Datenverarbeitung in den letzten 12 Monaten offenzulegen, während die DSGVO keine solchen Einschränkungen vorsieht.

DSGVO Artikel 24, CCPA 1798.150

Die DSGVO verlangt von Datenverantwortlichen und Datenverarbeitern, geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten.

Der CCPA stellt keine direkten Anforderungen an die Datensicherheit. Es begründet jedoch ein Klagerecht für bestimmte Datenschutzverletzungen, die sich aus Verstößen gegen die Pflicht eines Unternehmens ergeben, angemessene Sicherheitspraktiken und -verfahren einzuführen und aufrechtzuerhalten, die dem Risiko angemessen sind, das sich aus dem bestehenden kalifornischen Recht ergibt.

• Die erfassten Kategorien personenbezogener Daten.
• Die beabsichtigten Verwendungszwecke für jede Kategorie.

Im Wesentlichen ähnlich im gesetzlichen Ansatz, obwohl angemessene Sicherheitsmaßnahmen je nach den Umständen einer Organisation und der Auslegung der Aufsichtsbehörde in gewissem Maße variieren können.

DSGVO Artikel 12 – Artikel 21, CCPA 1798.120

Erweiterte Rechte des Einzelnen :

• auf ihre Informationen zugreifen;
• Ungenauigkeiten korrigieren lassen;
• Informationen löschen lassen;
• Direktmarketing verhindern;
• automatisierte Entscheidungsfindung und Profiling verhindern;
• Datenübertragbarkeit.

Erweiterte Rechte des Einzelnen :

• auf ihre Informationen zugreifen;
• Ungenauigkeiten korrigieren lassen;
• Informationen löschen lassen;
• Direktmarketing verhindern;
• automatisierte Entscheidungsfindung und Profiling verhindern;
• Datenübertragbarkeit.

Während die DSGVO von Organisationen verlangt, dass sie die vorherige Zustimmung der betroffenen Personen für die Datenverarbeitung und den Zugriff Dritter auf ihre Daten einholen, erlaubt der CCPA den betroffenen Personen, den Verkauf ihrer Daten abzulehnen, und verlangt, dass Unternehmen oben einen sichtbaren Link haben ihrer Homepage zu diesem Zweck.

Sowohl die DSGVO als auch der CCPA bieten das Recht auf Datenübertragbarkeit: nämlich Verbrauchern ihre personenbezogenen Daten in einem allgemein gebräuchlichen, maschinenlesbaren Format zur Verfügung zu stellen, die dann an eine andere Stelle übermittelt werden können.

Die DSGVO geht einen Schritt weiter in diese Richtung und verpflichtet Organisationen, die Informationen einer betroffenen Person auf Anfrage an einen anderen Datenverantwortlichen zu übermitteln.

Unter dem CCPA müssen Unternehmen den Verbrauchern die Informationen nur elektronisch in einem leicht verwendbaren Format zur Verfügung stellen.

Während das Recht auf Löschung der DSGVO einige bemerkenswerte Ausnahmen hat, wie z. B. Daten, die zur Ausübung des Rechts auf freie Meinungsäußerung erforderlich sind, oder Daten, die zur Einhaltung des Rechts der EU oder der EU-Mitgliedstaaten erforderlich sind, erweitert der CCPA diese Ausnahmen weiter, indem er nicht nur die Meinungs- und Informationsfreiheit einschließt die für Verträge benötigt werden, sondern vor allem auch interne Verwendungen, die mit dem Kontext vereinbar sind, in dem der Verbraucher die Daten bereitgestellt hat.

DSGVO Artikel 8, CCPA 1798.120

Das Standardalter für die Zustimmung der DSGVO beträgt 16 Jahre, obwohl das Gesetz einzelner Mitgliedstaaten das Alter auf nicht weniger als 13 Jahre senken kann.

Für Kinder unter dem Einwilligungsalter muss die sorgeberechtigte Person die Einwilligung erteilen. Kinder müssen eine altersgerechte Datenschutzerklärung erhalten.

Personenbezogene Daten von Kindern unterliegen erhöhten Sicherheitsanforderungen.

Der CCPA verbietet den Verkauf personenbezogener Daten eines Verbrauchers unter 16 Jahren ohne Zustimmung.

Kinder im Alter von 13 – 16 Jahren können direkt einwilligen. Kinder unter 13 Jahren benötigen die Zustimmung der Eltern.

Die DSGVO betont den besonderen Schutz von Kindern und sieht spezifische Bestimmungen zum Schutz personenbezogener Daten von Kindern vor, wenn diese zur Erbringung von Diensten der Informationsgesellschaft verarbeitet werden.

Der CCPA schafft eine Sonderregel für Kinder in Bezug auf den „Verkauf“ personenbezogener Daten, diese Regel ist jedoch nicht auf Dienste der Informationsgesellschaft beschränkt.