Rechtsbericht | USA | Datenschutzrecht
Datenschutzgesetz in Kalifornien
Der California Consumer Privacy Act ist das wohl bekannteste umfassende Datenschutzgesetz in den USA.
25.10.2023
Von Jan Sebisch | Bonn
Der California Consumer Privacy Act (CCPA) ist am am 1. Januar 2020 in Kraft getreten. Die endgültigen Regelungen sind im August 2020 vom California Office of Administrative Law genehmigt worden. Ferner haben die kalifornischen Wähler am 3. November 2020 der Verabschiedung des California Privacy Rights Act (CPRA) zugestimmt. Der CPRA ergänzt die Regelungen des CCPA und ist (vollständig) am 1. Januar 2023 in Kraft getreten. Mit dem vollständigen Inkrafttreten des CPRA unterliegen betroffene Unternehmen nunmehr den gleichen strengen Anforderungen für die Erfassung, Aufbewahrung und Nutzung von Daten ihrer Angestellten, die der CCPA für Verbraucher vorschreibt.
Der Anwendungsbereich des CCPA erstreckt sich grundsätzlich auf Unternehmen (profit businesses), die in Kalifornien geschäftlich tätig sind (are doing business in California), personenbezogene Daten von Verbraucher sammeln (collect or use personal information about natural persons who reside in California) und einen der folgenden drei Schwellenwerte überschreiten:
das Unternehmen hat einen jährlichen Bruttoumsatz von mehr als 25 Millionen US-Dollar;
das Unternehmen kauft jährlich, erhält, verkauft oder übermittelt sogenannte personenbezogene Informationen von mehr als 50.000 Verbrauchern, Geräten oder Haushalten für kommerzielle Zwecke;
das Unternehmen erzielt mindestens 50 Prozent der jährlichen Einnahmen aus dem Verkauf von personenbezogenen Informationen.
Als Verbraucher (consumer) im Sinne des CCPA gelten natürliche Personen mit Wohnsitz in Kalifornien.
Der CCPA definiert personenbezogene Daten als Informationen, die einen bestimmten Verbraucher identifizieren, sich auf ihn beziehen, ihn beschreiben, mit ihm in Verbindung gebracht werden können oder vernünftigerweise direkt oder indirekt mit ihm in Verbindung gebracht werden könnten.
Der CCPA räumt Verbrauchern unter anderem ein Recht auf Auskunft, Löschung und Berichtigung ihrer personenbezogenen Daten ein.
Der CCPA wird vom kalifornischen Generalstaatsanwalt (California Attorney General) durchgesetzt. Der Generalstaatsanwalt ist verpflichtet, Unternehmen über einen etwaigen Verstoß zu informieren und ihnen 30 Tage Zeit zu geben, den Verstoß zu beheben. Verstöße gegen den CCPA können mit zivilrechtlichen Strafen von bis zu 7.500 US-Dollar pro Verstoß sanktioniert werden. In bestimmten Konstellationen sieht der CCPA - im Unterschied zu den meisten anderen bundesstaatlichen Datenschutzgesetzen - ein privates Klagerecht vor.