Kalifornien springt beim Datenschutz (wieder) an die Spitze – so geht's

Anmerkung des Herausgebers: WRAL TechWire hat kürzlich eine 5-teilige Serie zum Datenschutzrecht herausgebracht, um etwas Klarheit in einen der am schnellsten wachsenden und komplexesten Bereiche des Technologierechts zu bringen. Dies ist Teil 3. Die vorherigen Beiträge sind in diese Geschichte eingebettet.

Steve Britt ist Counsel for Cyber, Data Privacy & Technology (CIPP/E, CIPM), Parker Poe und Sarah Hutchins ist Partner for Cyber, Data Privacy & Technology (CIPP/US), Parker Poe.

+ + +

So wie Kalifornien 2002 als erster Staat ein Gesetz zur Meldung von Datenschutzverletzungen erließ (Alabama war das 50^th State im Jahr 2018) war es der erste Staat, der 2020 ein umfassendes Datenschutzgesetz erließ, das als California Consumer Privacy Act (CCPA) bekannt ist. Mit der DSGVO als Leitfaden, aber dem Endergebnis seinen eigenen Stempel aufdrückend, teilte Kalifornien viele Elemente mit der DSGVO gemeinsam, darunter:

• Eine breite Definition von Personal Information, um alle Informationen aufzunehmen, die sich auf eine natürliche Person beziehen oder zur Identifizierung verwendet werden könnten, einschließlich IP-Adressen (Internetprotokoll), Gerätedaten und andere Online-Identifikatoren,
• Annahme der meisten (aber nicht aller) der DSGVO-Rechte betroffener Personen, vorbehaltlich klarer, transparenter Erklärungen, wie diese Rechte ausgeübt werden können,
• Die Forderung nach detaillierten Datenschutzhinweisen darüber, welche Daten gesammelt werden, zu welchen Zwecken diese gesammelt werden und ob sie an Dritte weitergegeben werden,
• Das Erfordernis einschränkender Verträge für bestimmte Arten von Dritten, mit denen die Daten geteilt werden,
• Auferlegung risikobasierter Datensicherheitsstandards,
• Die Anforderung einer umfassenden Mitarbeiterschulung für alle Mitarbeiter, die mit personenbezogenen Daten umgehen,
• Ein begrenzter privater Klagegrund für eine Datenschutzverletzung, die sich aus dem Versäumnis ergibt, eine angemessene Datensicherheit mit gesetzlichem Schadensersatz von 100 bis 750 US-Dollar pro Verbraucher und Vorfall bei solchen Klagen zu gewährleisten, und schließlich
• Durchsetzung des CCPA durch eine Regierungsbehörde, in diesem Fall den Attorney General of California.

Datenschutz & Sie: Was Sie aus rechtlicher Sicht wirklich wissen müssen

Zum Zeitpunkt seiner Verabschiedung wurde CCPA als bezeichnet DSGVO-Lite, aber das war wirklich nur im konzeptionellen Sinne wahr, da sich der CCPA in einigen bedeutsamen Punkten von der DSGVO unterschied. Zum Beispiel CCPA:

• 2 Jahre lang nicht für gemeinnützige oder staatliche Organisationen und freigestellte Mitarbeiter und Business-to-Business (B3B)-Kontakte galten,
• Gilt nur für gewinnorientierte Unternehmen, die in Kalifornien geschäftlich tätig sind und zusammen mit verbundenen Unternehmen gemeinsamer Marken einen weltweiten Jahresumsatz von 25,000,000 USD oder mehr erzielen, Daten von mindestens 50,000 Verbrauchern (einschließlich ihrer Geräte) verarbeiten oder 50 % ihrer Einnahmen aus dem Verkauf erhalten von personenbezogenen Daten,
• Gewährung einer privaten Klage für Schäden aus einer Datenschutzverletzung, die aus dem Versäumnis einer angemessenen Datensicherheit resultierte (14 Staaten erlauben jetzt eine private Klage in ihren Gesetzen zur Meldung von Datenschutzverletzungen),
• Ausgeschlossene Unternehmen, die von Gramm-Leach-Bliley, dem Fair Credit Reporting Act, dem Driver's Privacy Protection Act und Informationen, die durch den Health Insurance Portability and Accountability Act (HIPAA) reguliert werden, reguliert werden,
• Benötigte eine Web-Schaltfläche auf der Homepage eines Unternehmens mit der Bezeichnung „Meine persönlichen Daten nicht verkaufen” zur Übermittlung personenbezogener Daten an einen Dritten, der nicht als „Dienstleister“ qualifiziert ist,
• Definiert als „Verkauf“ von Daten ist jede Weitergabe gegen „nicht monetäre Gegenleistung“, die Werbetechnologie- und Marketingtechnologieanbieter erbeutet, und
• Erforderte weder Cookie-Popups noch eine positive Zustimmung für Marketingmitteilungen.

Gastmeinung: Datenschutz-Grundverordnung oder DSGVO – Wo alles begann

Doch so weitreichend der CCPA auch war, bevor die Tinte darauf trocknen konnte, erließ Kalifornien im November 2020 den California Privacy Rights Act (CPRA) per Abstimmungsinitiative mit Wirkung zum 1. Januar 2023. CPRA änderte den CCPA und erweiterte ihn in mehreren Punkten sinnvolle Wege. Zum Beispiel CPRA:

• Erhöhte den gerichtlichen Auslöser für CCPA zur Erhebung von Daten über 100,000 Verbraucher (statt 50,000) und ließ die Abdeckung der „Geräte“ eines Verbrauchers fallen.
• Ausgeschlossene verbundene Unternehmen mit gemeinsamen Markennamen in der Definition von abgedeckten Unternehmen, es sei denn, das kalifornische Unternehmen hat tatsächlich die persönlichen Daten von Kaliforniern mit seinem verbundenen Unternehmen geteilt,
• Aufnahme einer neuen Kategorie personenbezogener Daten mit der Bezeichnung „sensible Daten“ und Erweiterung des Widerspruchsrechts auf solche Daten,
• Erstellung einer Kategorie für die Offenlegung von Daten durch Dritte mit der Bezeichnung „Teilen“ und Erweiterung der Schaltfläche „Nicht verkaufen“ auf „Meine personenbezogenen Daten nicht verkaufen oder weitergeben“.
• erweiterte seine Datenrechte, um die Mitarbeiter und Business-to-Business (B2B)-Kontakte eines Unternehmens abzudecken, und
• Schaffung der landesweit ersten dedizierten staatlichen Datenschutzbehörde (California Privacy Protection Agency) mit weitreichenden Regulierungsbefugnissen, einschließlich 22 neuer Bereiche für potenzielle neue Vorschriften.

Die weitreichenden Befugnisse der California Privacy Protection Agency (CPPA) sollten nicht übersehen werden, zumal die CCPA bereits Gegenstand von vier Runden von Generalstaatsanwaltsverordnungen war, die in einigen Fällen Regeln auferlegten, die über das hinausgingen, was im Gesetz vorgesehen war. Außerdem haben der private Klagegrund Kaliforniens und in bestimmten anderen Gerichtsbarkeiten die Möglichkeit von Rechtsstreitigkeiten nach Datenschutzgesetzen die Risiken im Zusammenhang mit der Datenverwaltung exponentiell erhöht.

Die Komplexität des CCPA, geändert durch CPRA, konkurriert bereits mit der DSGVO, aber sowohl Kalifornien als auch die Europäische Union haben das Ziel zum Ausdruck gebracht, bei grenzüberschreitenden Übertragungsbeschränkungen und einer Reihe anderer EU-Initiativen zusammenzuarbeiten. Wie wir in unserem nächsten Artikel sehen werden, orientieren sich unterdessen andere US-Bundesstaaten an Kalifornien.

Steve Britt, CIPP/E, CIPM, ist Anwalt für Cyber, Datenschutz und Technologie bei der Anwaltskanzlei Parker Poe. Er konzentriert seine Praxis auf Gesetze und Vorschriften zur Cybersicherheit und zum Datenschutz. Britt berät seine Mandanten im gesamten Spektrum des Datenschutzrechts. Er ist erreichbar unter stevebritt@parkerpoe.com.

Sarah Hutchins, CIPP/US, ist Anwalt für Cyber, Datenschutz und Technologie bei der Anwaltskanzlei Parker Poe. Sie hilft Kunden bei Geschäftsstreitigkeiten, behördlichen Ermittlungen sowie Datenschutz und Cybersicherheit. Hutchins ist unter erreichbar sarahhutchins@parkerpoe.com.