Am 1. Januar 2020 ist das California Consumer Privacy Act (CCPA) (Verbraucherdatenschutzgesetz) in Kraft getreten, das in Kalifornien wohnhaften natürlichen Personen einen umfangreichen Schutz der personenbezogenen Daten ermöglicht. Geschützt werden die Belange der kalifornischen „Verbraucher“ jedoch vom Grundsatz her nur gegenüber dort tätigen Unternehmen.
Das neue kalifornische Verbraucherdatenschutzgesetz verpflichtet Unternehmen zu besonderen datenschutzrechtlichen Maßnahmen, um die Belange der Verbraucher (consumers) zu wahren. Das Gesetz wurde als Titel 1.81.5. in das kalifornische Zivilgesetzbuch (Civil Code of California – CCC) eingefügt und umfasst dort §§ 1798.100. bis 1798.199. Ob ein Unternehmen in Europa unmittelbar oder mittelbar von den Regelungen des CCPA erfasst wird, kann im Einzelfall zweifelhaft sein. Die folgenden Ausführungen erläutern die gesetzlichen Vorschriften – auch aus dem Blickwinkel ihrer Übersetzung ins Deutsche – und bieten einen Überblick über die auf englischsprachigen Internetseiten vertretenen Auffassungen zu den Auswirkungen dieses Gesetzes.
Anwendungsbereich des CCPA
Die Verpflichtungen des kalifornischen Verbraucherdatenschutzgesetz (CCPA) gelten nur für Einzelunternehmen und juristische Personen, die in Kalifornien geschäftlich und gewinnorientiert tätig sind (organized or operated for the profit or financial benefit of its shareholders or other owners [… and] that do business in the State of California) (§ 1798.140.(c)(1) CCC), wobei hier zu beachten ist, dass eine Zweigniederlassung oder eine Vertriebsstelle auf jeden Fall ausreicht. Es wird auch die Meinung vertreten, dass ein Unternehmen gar keine physische Präsenz oder Mitarbeiter in Kalifornien haben muss, sondern dass es genügt, wenn das Unternehmen dort nur „geschäftlich tätig“ ist (does business), also beispielsweise von Deutschland aus Marketingdienstleistungen über das Internet erbringt, die sich unter anderem an in Kalifornien wohnhafte Verbraucher richten.
Andere nehmen an, dass gemäß der kalifornischen Abgabenordnung (California Revenue and Taxation Code) eine „Erheblichkeitsgrenze“ gilt, nach der beispielsweise ein Unternehmen mehr als 500.000 US-Dollar Jahresumsatz in Kalifornien oder über 25 Prozent seines gesamten Umsatzes dort erzielen muss – je nachdem, was geringer ist –, um als in Kalifornien „geschäftlich tätig“ zu gelten („a business is doing business in California if sales exceed the lesser of $500,000 or 25% of the business’s total sales“).
Zudem müssen die betreffenden Unternehmen personenbezogene Daten von Verbrauchern erheben und dazu Zweck und Art der Datenverarbeitung bestimmen (collect consumers’ personal information and […] determine the purposes and means of the processing) (§ 1798.140.(c)(1) CCC). Der im CCPA verwendete Begriff „personal information“ meint dasselbe wie der Begriff „personal data“ in der englischsprachigen Fassung von Art. 4 Abs.1 Datenschutz-Grundverordnung (DSGVO) „Personal information“ ist ein Synonym für „personal data“ („personenbezogene Daten“).
Nach dem CCPA ist Verbraucher jede natürliche Person, die in Kalifornien im Sinne der Verwaltungsvorschriften „wohnhaft“ ist (a natural person who is a California resident, as defined in […] the California Code of Regulations) (§ 1798.140.(g) CCC). Ist die Person in Kalifornien steuerlich veranlagt, mittlerweile jedoch woanders wohnhaft, reicht das für die Anwendung des CCPA aus.
Wie definiert das CCPA personenbezogene Daten?
Das CCPA versteht unter „personenbezogenen Daten“ sämtliche „Daten, die einen bestimmten Verbraucher oder einen bestimmten Haushalt identifizieren oder mit ihm zusammenhängen oder ihn beschreiben oder die auf nachvollziehbare Weise dazu geeignet sind, eine Verbindung zwischen den Daten und dem Verbraucher oder dem Haushalt herzustellen, oder auf nachvollziehbare Weise dazu geeignet sind, die Herstellung einer solchen Verbindung unmittelbar oder mittelbar zu ermöglichen“ („personal information” means information that identifies, relates to, describes, is reasonably capable of being associated with, or could reasonably be linked, directly or indirectly, with a particular consumer or household“) (§ 1798.140.(o)(1) CCC).
Ausnahmen von der Anwendung des CCPA für kleinere und nicht sehr aktiv im Verbrauchergeschäft tätige Unternehmen
Grundsätzlich gilt das CCPA für sämtliche in Kalifornien tätige Unternehmen, die personenbezogene Daten von Verbrauchern erheben und verarbeiten. Es gibt jedoch Ausnahmeregelungen für kleinere Unternehmen, die kaum im Verbrauchergeschäft tätig sind und nur geringfügig oder gar nicht mit dem direkten Verkauf von Verbraucherdaten Erlöse erzielen. Unternehmen, auf die das CCPA Anwendung findet, müssen mindestens eine der drei folgenden Bedingungen erfüllen (satisfy one or more of the following thresholds) (§ 1798.140.(c)(1) CCC):
1. Das Unternehmen erzielt mehr als 25 Millionen US-Dollar Jahresumsatz (annual gross revenues) (§ 1798.140.(c)(1)(A) CCC), wobei zu beachten ist, dass diese Grenze (threshold) für den Bruttoerlös alle zwei Jahre (in den ungeraden Jahren, also bereits 2021) gemäß § 1798.185.(a)(5) CCC an den Anstieg des (kalifornischen) Verbraucherpreisindex (Consumer Price Index) angepasst wird. Hier sollte man auch beachten, dass, anders als in manchen deutschsprachigen Hinweisen vermutet, nicht der Gewinn, sondern der Umsatz (Erlös) gemeint ist. Die Schwelle ist nicht besonders hoch. Umgerechnet 23 Millionen Euro Jahresumsatz schaffen heute durchaus bereits Unternehmen mit 100 Mitarbeitern. Der kalifornische Gesetzgeber wollte also mit dieser Bedingung eher Klein- und Kleinstunternehmen vom Anwendungsbereich des Gesetzes ausschließen. Es ist allerdings nicht geklärt, ob diese Grenze nur für die geschäftliche Tätigkeit in Kalifornien oder darüber hinaus beispielsweise auch für den Gesamtumsatz eines Konzerns gilt. Vermutet wird zumeist, dass der Gesamtumsatz eines Konzerns gemeint ist.
2. Es handelt sich um ein Unternehmen, das alleine oder zusammen mit geschäftlichen Partnern (alone or in combination) im Rahmen seiner geschäftlichen Tätigkeit (in Kalifornien) pro Jahr personenbezogene Daten (personal information) von mindestens 50.000 Verbrauchern, Haushalten oder Geräten von Verbrauchern oder Haushalten (50,000 or more consumers, households, or devices) kauft, erhält, verkauft oder weitergibt (buys, receives, sells or shares) (§ 1798.140.(c)(1)(B) CCC).
3. Das Unternehmen erzielt mindestens die Hälfte seines Jahreserlöses mit dem Verkauf von personenbezogenen Daten von Verbrauchern (derives 50 percent or more of its annual revenues from selling consumers’ personal information) (§ 1798.140.(c)(1)(C) CCC). Für Unternehmen, die überwiegend im Geschäft mit dem Daten- oder Adresshandel tätig sind (beispielsweise Telemarketing-Agenturen, Agenturen für Internetmarketing, Betreiber von Kundenbindungsprogrammen oder Wirtschaftsauskunfteien), gelten keine Ausnahmen auf Grundlage des geringen Umsatzes oder der geringfügigen Datenerhebungstätigkeit.
Gelten die Datenschutzrechte des CCPA auch für Arbeitnehmer?
Da jede natürliche Person, die in Kalifornien wohnhaft ist (§ 1798.140.(g) CCC) oder steuerlich veranlagt wird, „Verbraucher“ ist (siehe oben), wurde die Meinung vertreten, dass das CCPA in seiner ersten Fassung grundsätzlich auch für kalifornische Arbeitnehmer in Bezug auf ihren in Kalifornien tätigen Arbeitgeber galt. Auch in dieser Rechtsbeziehung werden personenbezogene Daten von natürlichen Personen erhoben und verarbeitet, so dass Mitarbeiter auf Basis des CCPA ihre personenbezogenen Daten hätten schützen können. Für das deutsche Recht kommen die Kommentierungen zu § 13 BGB bei der Frage, ob ein Arbeitnehmer „Verbraucher“ sein kann, zu ähnlichen Ergebnissen.
Im Herbst 2019, also vor Inkrafttreten des CCPA, wurde jedoch bereits eine Gesetzesänderung verabschiedet, die die Anwendung dieses Gesetzes in Bezug auf Bewerber, Arbeitnehmer, Vorstandsmitglieder und Geschäftsführer, leitende Angestellte, medizinisches Personal und Auftragnehmer eines Unternehmens weitgehend einschränkt, sofern die personenbezogenen Daten in Hinsicht auf diese konkrete Rolle des „Verbrauchers“ erhoben werden (personal information that is collected by a business about a natural person in the course of the natural person acting as a job applicant to, an employee of, owner of, director of, officer of, medical staff member of, or contractor of that business) (§ 1798.145.(h)(1)(A) CCC).
Die Gesetzeskraft dieser einschränkenden Bestimmung endet jedoch bereits am 1. Januar 2021 (sog. „sunset clause“ oder Auslaufklausel in § 1798.145.(g)(4) CCC). Über neue Gesetzesvorhaben in 2020 oder 2021 zu diesem Thema wird spekuliert. Falls der kalifornische Gesetzgeber jedoch keine entsprechende neue gesetzliche Bestimmung erlässt, würde das CCPA ab 1. Januar 2021 wohl für kalifornische Arbeitnehmer und deren Arbeitgeber gelten. Bestimmte andere Arbeitnehmerrechte unter dem CCPA bleiben jedoch auch von der oben genannten Einschränkung unberührt, beispielsweise das Recht, eine „Auskunft bei Datenerhebung“ (Notice at Collection) zu erhalten, welche den Arbeitnehmer über die erhobenen Datenkategorien und die Nutzung der Daten informiert.
Auf Auftragsverarbeiter und sonstige Datenverarbeiter in Europa könnten neue vertragliche Regelungen aufgrund des CCPA zukommen
Das CCPA verpflichtet grundsätzlich nur die in Kalifornien geschäftlich tätigen Unternehmen. Europäische Firmen, die für in Kalifornien tätige Unternehmen bestimmte Daten verarbeiten, könnten allerdings von Regelungen des CCPA über die Haftung von Auftragsverarbeitern oder von sonstigen Datenverarbeitern betroffen sein. Die DSGVO bezeichnet Unternehmen, die im Auftrag eines Verantwortlichen Daten verarbeiten, als „Auftragsverarbeiter“ (processor) (vgl. Art. 28 DSGVO (EN) und – die Haftung betreffend – Art. 82 Abs. 2 S. 2 DSGVO (DE)). Das CCPA unterscheidet dagegen zwischen „Dienstleistern“ (service providers) gemäß § 1798.140.(v) i.V.m. § 1798.140.(w)(2) CCC und „Dritten“ (third parties) bzw. „Personen“ (persons) gemäß § 1798.140.(w)(2). Im Internet wurde daher bereits zwischen „service provider“ (ein Unternehmen, das Daten im Auftrag eines anderen Unternehmens gemäß schriftlichem Vertrag über die Datenverarbeitung verarbeitet) und einer „1798.140(w)(2) person“ (einem Dritten) unterschieden.
Im Internet ist zudem die Meinung vertreten worden, dass ein Auftragsverarbeiter („service provider“ gemäß § 1798.140.(v) CCC), der Daten über die „operativen Erfordernisse“ (operational needs) des Auftraggebers hinaus (und damit vertragswidrig) nutzt, automatisch in Bezug auf diese Daten den mit höherem Haftungsrisiko einhergehenden third-party-Status erhält. Unter operativen Erfordernissen werden beispielsweise die Buchführung oder die Bestell- und Zahlungsabwicklung genannt. Die operativen Erfordernisse werden auch als „‘business purpose‘ for which the service provider was retained“ („der geschäftliche Zweck, für den der Dienstleister beauftragt wurde“) bezeichnet.
Der Begriff des „geschäftlichen Zwecks“ ist deshalb wichtig, weil ein Verkauf von Daten im Rahmen des „geschäftlichen Zwecks“ (business purpose) kein „Verkauf“ im Sinne des CCPA ist, da § 1798.140.(t)(2)(C)(ii) CCC bestimmt: „Ein Unternehmen verkauft keine personenbezogenen Daten, wenn der Dienstleister (service provider) die personenbezogenen Daten des Verbrauchers nicht über das für die Durchführung des geschäftlichen Zwecks notwendige Maß hinaus erhebt, verkauft oder nutzt“ (a business does not sell personal information when the service provider does not further collect, sell, or use the personal information of the consumer except as necessary to perform the business purpose).
Was ist ein service provider gemäß dem CCPA?
Ein „Dienstleister“ (service provider) gemäß dem CCPA ist ein Unternehmen, das im Auftrag eines anderen Unternehmens (on behalf of a business) Daten verarbeitet und sich durch schriftlichen Vertrag (pursuant to a written contract) verpflichtet hat, die erhaltenen personenbezogenen Daten nur zum Zweck der Durchführung der im Vertrag vereinbarten Dienstleistungen – und nicht zu anderen gemäß dem CCPA zulässigen Zwecken – zu speichern, zu verwenden oder weiterzugeben (provided that the contract prohibits the entity receiving the information from retaining, using, or disclosing the personal information for any purpose other than for the specific purpose of performing the services specified in the contract for the business, or as otherwise permitted by this title) (§ 1798.140.(v)CCC).
Der Berliner Rechtsanwalt Dr. Thomas Schwenke hat darauf hingewiesen, dass in Kalifornien tätige Unternehmer – anders als unter der DSGVO – nach dem CCPA nicht für die von vertraglich verpflichteten „Dienstleistern“ (service providers) verursachten Verletzungen der CCPA-Datenschutzvorschriften haften (shall not be liable under this title; „this title“ = Titel 1.81.5 CCC = „California Consumer Privacy Act of 2018“), sofern der Unternehmer nicht bereits bei der Weitergabe der personenbezogenen Daten Grund hatte, davon auszugehen, dass der Dienstleister (service provider) eine Verletzung des CCPA beabsichtigte (§ 1798.140.(w)(2)(B) CCC).
Für die Definition eines selbsthaftenden „Dienstleisters“ (service provider), „a person covered by this paragraph“ – gemeint ist die gesamte Ziffer 2 (paragraph 2) von § 1798.140.(w) CCC –, wird im Absatz w (subdivision w) von § 1798.140 CCC die in Absatz v (subdivision v) enthaltene Definition eines „Dienstleisters“ um das Verbot des Verkaufs von Daten (selling the personal information) und um die Pflicht zur Unterzeichnung einer Erklärung, sämtliche Einschränkungen für Dienstleister gemäß § 1798.140.(w)(2)(A) CCC verstanden zu haben, ergänzt (a certification that the person understands the restrictions).
Wenn kalifornische Unternehmen also vermeiden wollen, für Verstöße ihrer Dienstleister (service providers) gegen das CCPA zu haften, müssen sie von Dienstleistern die Unterzeichnung von Verträgen verlangen, die an § 1798.140.(w)(2) CCC angepasst sind. Sie müssen den Dienstleistern also unter anderem den (ungerechtfertigten) Verkauf und die vertragswidrige Nutzung von Daten untersagen und sie eine Erklärung unterzeichnen lassen, dass sie sämtliche Einschränkungen verstanden haben. Nicht geklärt ist, was in diesem Zusammenhang genau unter den „Verkauf“ von Daten (bzw. das Verkaufsverbot) fällt, da die Definition des „Verkaufs“ Ausnahmen für Dienstleister enthält (wie oben ausgeführt).
Für nur in Europa tätige Unternehmen, die an in Kalifornien tätige „Dienstleister“ (service providers) (in etwa: Auftragsverarbeiter) Daten weitergeben, gibt es in Bezug auf das CCPA kaum etwas zu beachten, denn das CCPA gilt nur für in Kalifornien Daten erhebende Unternehmen. Wenn also ein deutsches Unternehmen personenbezogene Daten von in Deutschland wohnhaften Personen an einen Dienstleister in Kalifornien zur Verarbeitung sendet, werden weder das eine noch das andere Unternehmen vom CCPA erfasst (siehe FAQ 6 des Links).
Verbraucherschutzverbände und Unternehmen können im Auftrag Dritter einer Datenverarbeitung widersprechen (z.B. „Do Not Sell My Personal Information“ gemäß § 1798.135(a)(1) CCC)
Nach dem CCPA kann ein kalifornischer Verbraucher (im Sinne des Gesetzes) eine andere (natürliche oder juristische) Person damit beauftragen, in seinem Namen dem Verkauf seiner personenbezogenen Daten zu widersprechen (a consumer may authorize another person solely to opt out of the sale of the consumer’s personal information on the consumer’s behalf) (§ 1798.135(c) CCC). Ein solcher Widerspruch ist für das datenerhebende Unternehmen bindend, wobei der genaue Ablauf eines solchen Widerspruchsverfahrens durch den kalifornischen Justizminister (einer der Amtsbereiche des Attorney General des Bundesstaates) noch auf dem Verordnungswege festzulegen ist.
Diese Bestimmung ist für Verbraucherschutzverbände interessant (natürlich besonders für kalifornische oder amerikanische Verbraucherschutzverbände), da Verbraucher ihre Datenschutzrechte oft nicht in Anspruch nehmen, wenn sie persönlich aktiv werden müssen – was sicher oft an zeitlicher oder sonstiger Überforderung liegt. Umgekehrt legt es die Latte für Unternehmen höher, da sie sich im Bereich des Datenschutzes in der Regel mit sehr professionell agierenden und juristisch informierten Verbänden konfrontiert sehen werden, wenn es um den Widerspruch gegen den Verkauf von personenbezogenen Daten von kalifornischen Verbrauchern geht.
Im Internet wurde darauf hingewiesen, dass diese Regelung nicht nur für Verbände interessant ist, sondern auch bestimmten Unternehmen einen Anreiz bieten könnte, mit einer Vielzahl von „Heimarbeitern“ nach einem neuen Geschäftsmodell Geld zu verdienen: Verbrauchern, die im Bereich des Datenschutzes sensibel sind, könnte danach angeboten werden, gegen Bezahlung als deren Bevollmächtigte an eine Vielzahl von potenziellen Unternehmen mit einem Widerspruch gemäß dem CCPA gegen den Verkauf der personenbezogenen Daten heranzutreten („this may incentivize a cottage industry of companies seeking to monetize the statute by serving as agents for consumers across multiple businesses“).
Welche Sanktionen sieht das CCPA vor?
Bei einem Verstoß gegen die Bestimmungen des CCPA (im folgenden Zitat „this title“ genannt) droht eine Geldbuße von 7.500 US-Dollar pro vorsätzlichem Verstoß (any business, service provider, or other person that violates this title shall be liable for a civil penalty of seven thousand five hundred dollars ($7,500) for each intentional violation) (§ 1798.155.(b) CCC). Bei nicht vorsätzlichen Verstößen droht eine Geldbuße bis zu 2.500 US-Dollar pro Verstoß (not more than two thousand five hundred dollars ($2,500).
Englische juristische Übersetzungen genau ausführen lassen
Insgesamt sollten in Kalifornien tätige europäische Unternehmen, die nicht primär englischsprachig sind, darauf achten, dass sämtliche in diesem Zusammenhang ins Englische übersetzten Texte der Terminologie des CCPA entsprechen und keine missverständlichen Formulierungen enthalten.
Edward Viesel
Hinweis: Die Originalzitate wurden aus Gründen der besseren Lesbarkeit in der Regel ohne Hinzufügen von Auslassungszeichen gekürzt. Außerdem kann im Einzelfall der Numerus an den deutschen Text angepasst worden sein, um die Lesbarkeit zu erhöhen.