Datenschutz – IP Law Blog

30. September 202028. Dezember 2020

DE| Facebook Irland ist in Australien lediglich im Auftrag von Facebook USA tätig

Sobald es um Datenschutz geht, ist der Anbieter von sozialen Netzwerkdiensten Facebook nicht aus den Nachrichten wegzudenken. Vor dem Federal Court of Australia in Sydney läuft derzeit – im Jahre 2020 – ein Prozess gegen Facebook, bei dem es um Verstöße gegen Datenschutzbestimmungen im Zusammenhang mit dem Cambridge-Analytica-Skandal von 2018 geht. Bevor es überhaupt zu einer Verhandlung in der Hauptsache kommen konnte, hat die Facebook Inc. mit Sitz im kalifornischen Menlo Park jedoch in einem Verfahren der einstweiligen Anordnung (interlocutory hearing) bestritten, passiv legitimiert zu sein.Als richtige Beklagte wurde die Facebook Ireland Ltd mit Sitz in Dublin benannt. Das australische Gericht hat diesen Antrag jedoch im September 2020 abgewiesen.

Der Federal Court of Australia ist nicht etwa das höchste Gericht Australiens, sondern ist Australiens höchstem Gericht, dem High Court of Australia, nachgeordnet. Die Zuständigkeit des Federal Court of Australia wird im ersten Rechtszug (original jurisdiction) für Einzelfälle gesetzlich geregelt und betrifft laut Wikipedia insbesondere Bereiche des Bundesrechts wie Steuerrecht, Handelspraktiken, die Landrechte der Ureinwohner, geistiges Eigentum, Arbeitsrecht, Gesellschaftsrecht, Einwanderung und Insolvenzfälle (matters relating to taxation, trade practices, native title, intellectual property, industrial relations, corporations, immigration and bankruptcy).

Der Cambridge-Analytica-Skanal

Die hier gegenständliche Klage wurde von der australischen Datenschutzbeauftragten (Australian Information Commissioner) Angelene Falk angestrengt (Australian Information Commissioner gegen Facebook Inc & Facebook Ireland Limited, Aktenzeichen NSD246/2020). Laut einer Presseerklärung der Datenschutzbeauftragten vom 9. März 2020 ist folgender Klagegrund gegeben:

Die Datenschutzbeauftragte macht geltend, dass Facebook Inc. dafür verantwortlich ist, dass die personenbezogenen Daten von etwa 311.127 australischen Facebook-Nutzern verkauft wurden und dadurch die Nutzung der personenbezogenen Daten für verschiedene Zwecke, einschließlich der Erstellung eines Persönlichkeitsprofils zu politischen Zwecken, ermöglicht wurde. Die Facebook-Nutzer konnten mit dem Verkauf und der entsprechenden Nutzung keinesfalls rechnen und waren darüber auch nicht informiert (We claim these actions left the personal data of around 311,127 Australian Facebook users exposed to be sold and used for purposes including political profiling, well outside users’ expectations.)

Weiterhin wird in der Klageschrift (statement of claim) geltend gemacht, dass Facebook zwischen März 2014 und Mai 2015 die personenbezogenen Daten von australischen Facebook-Nutzern an den App-Dienst „This Is Your Digital Life“ weitergegeben habe und damit gegen den australischen Datenschutzgrundsatz Nr. 6 verstoßen habe. Die meisten betroffenen Nutzer hätten die genannte App nicht selbst installiert. Ihre personenbezogenen Daten seien vielmehr aufgrund einer Nutzung der App durch Freunde und Bekannte weitergegeben worden.

[The statement of claim lodged in the Federal Court today alleges that, from March 2014 to May 2015, Facebook disclosed the personal information of Australian Facebook users to This Is Your Digital Life, in breach of Australian Privacy Principle 6. Most of those users did not install the app themselves, and their personal information was disclosed via their friends’ use of the app.]

Dreizehn australische Datenschutzgrundsätze seit 2014

Die insgesamt 13 australischen Datenschutzgrundsätze (Privacy Principles) sind ein wesentlicher Bestandteil des australischen Datenschutzgesetz von 1988 (Privacy Act 1988). Ursprünglich galt Anhang 1 (Schedule 1), der den Wortlaut von Datenschutzgrundsätzen enthält, nur für Bundesbehörden und für von ihnen beauftragte Organisationen. Im Jahre 2000 wurde mit dem Anhang 3 (Schedule 3) ein ähnlicher Grundsätzekatalog auch für mittlere und große Unternehmen (einschließlich gemeinnütziger Organisationen) geschaffen. Im Jahre 2014 wurden diese beiden Bereiche dann unter dem Namen „Australian Privacy Principles (APPs)“ in Anhang 1 des Gesetzes vereinigt.

G rundsatz 6 lautet wie folgt:

Australischer Datenschutzgrundsatz 6: Nutzung oder Weitergabe von personenbezogenen Daten.
Nutzung oder Weitergabe:
6.1 Sofern eine Organisation, die den australischen Datenschutzgrundsätzen unterliegt („APP entity“), personenbezogene Daten über eine natürlichen Person besitzt, die für einen bestimmten Zweck erhoben wurden („ursprünglicher Zweck“), ist es dieser Organisation nicht gestattet, die betreffenden Daten zu anderen Zwecken zu nutzen oder weiterzugeben („Sekundärzweck“), es sei denn:
a) die betreffende natürliche Person hat der Nutzung oder Weitergabe der Daten zugestimmt oder
b) Absatz 6.2 oder 6.3 findet auf die Nutzung oder Weitergabe der Daten Anwendung.

[Australian Privacy Principle 6 — use or disclosure of personal information.
Use or disclosure:
6.1 If an APP entity holds personal information about an individual that was collected for a particular purpose (the primary purpose), the entity must not use or disclose the information for another purpose (the secondary purpose) unless:
a) the individual has consented to the use or disclosure of the information; or
b) subclause 6.2 or 6.3 applies in relation to the use or disclosure of the information.]

In Absatz 6.2 (subclause 6.2) werden vor allem Ausnahmen zu Absatz 6.1 geregelt, von denen insbesondere Spiegelstrich 2 (APP 6.2(a)) von Bedeutung ist: Ein Abweichen von der oben zitierten Regelung ist zulässig, falls „die natürliche Person billigerweise mit einer Sekundärnutzung oder -weitergabe rechnen kann und eine solche Nutzung oder Weitergabe mit dem ursprünglichen Zweck der Erhebung im Zusammenhang steht oder – im Falle von sensiblen Daten – eine solche Nutzung oder Weitergabe direkt mit dem ursprünglichen Zweck zusammenhängt. (The individual would reasonably expect the secondary use or disclosure, and that is related to the primary purpose of collection or, in the case of sensitive information, directly related to the primary purpose (APP 6.2(a)).

Vor allem über Freunde sind Daten abgeflossen

Die australische Datenschutzbeauftragte macht gemäß ihrer Presseerklärung weiter geltend, dass Facebook im genannten Zeitraum (März 2014 bis Mai 2015) keine angemessenen Maßnahmen ergriffen hat, um die personenbezogenen Daten der Facebook-Nutzer vor unberechtigter Weitergabe zu schützen. Damit habe Facebook gegen den australischen Datenschutzgrundsatz 11 („Schutz personenbezogener Daten“) verstoßen. (The statement of claim also alleges that Facebook did not take reasonable steps during this period to protect its users’ personal information from unauthorised disclosure, in breach of Australian Privacy Principle 11.)

In der Kurzfassung der Klageschrift (concise statement) vom 3. März 2020 wird außerdem geltend gemacht: „Sofern eine natürliche Person nicht in einem komplexen Verfahren ihre Einstellungen auf Facebook veränderte, wurden die personenbezogenen Daten der betreffenden Person automatisch (by default) an die App „This is Your Digital Life“ weitergegeben. Facebook hat die betroffenen australischen Personen nicht angemessen darüber informiert, auf welche Weise deren personenbezogene Daten weitergegeben werden würden. Facebook hat die betroffenen australischen Personen auch nicht angemessen darüber informiert, dass deren personenbezogene Daten möglicherweise an eine App weitergegeben werden könnten, die nicht von der betreffenden natürlichen Person, sondern von einem Freund oder einer Freundin installiert worden war.“ (Rn. 2)

[Unless those individuals undertook a complex process of modifying their settings on Facebook, their personal information was disclosed by Facebook to the “This is Your Digital Life” App by default. Facebook did not adequately inform the Affected Australian Individuals of the manner in which their personal information would be disclosed, or that it could be disclosed to an app installed by a friend, but not installed by that individual.]

Gericht: Zustellung an Facebook USA kann erfolgen

Am 6. Mai 2020 hat Facebook Inc. (auch „Facebook USA“ genannt) vor Gericht den Antrag gestellt, der australischen Datenschutzbeauftragten zu untersagen, die entsprechenden Schriftsätze (legal documents) an Facebook USA zustellen zu lassen. Das Gericht hatte zuvor in einer vorhergehenden Entscheidung einer solchen Zustellung zugestimmt. Als Begründung wurde von Facebook angegeben, dass Facebook USA in Australien nicht geschäftlich tätig sei. Sämtliche Geschäfte dort würden von Facebook Irland (Facebook Ireland Ltd) betrieben.

Am 14. September 2020 hat das Federal Court of Australia durch Richter Thomas Thawley nun (laut Presseerklärung der Datenschutzbeauftragten) entschieden, dass die australische Datenschutzbeauftragte glaubhaft dargelegt habe (had established a prima facie case), dass Facebook USA in Australien tätig sei und dort im streitgegenständlichen Zeitraum (März 2014 und Mai 2015) personenbezogene Daten erhoben und besessen habe. Gegen Facebook USA sei ein Verfahren zulässig; die Klage könne auch außerhalb Australiens (also in den USA) zugestellt werden.

[Justice Thawley was satisfied that the Commissioner had established a prima facie case that Facebook Inc was carrying on business in Australia, and was collecting and holding personal information in Australia at the relevant time. […] the Court held the matters were sufficiently arguable to justify service outside of Australia and subjecting Facebook Inc to proceedings in Australia.]

Facebook Irland ist lediglich Auftragnehmer

Bereits am 23. April 2020 hatte das Federal Court of Australia entschieden, dass Facebook Irland lediglich als Auftragnehmer von Facebook USA in Australien tätig sei. Das Gericht kam auf Basis der vorliegenden Unterlagen zu dem Schluss, 1) dass der Vertrag der australischen Nutzer zwar mit Facebook Irland zustandekam, wobei sich dieses Unternehmen selbst als Verantwortlicher (data controller) (für Datenschutz, vergleichbar im Sinne der DSGVO) für australische Facebook-Nutzer bezeichnete, und 2) dass Facebook Irland jedoch die Dienstleistung für die australischen Nutzer im Auftrag von Facebook USA erbracht hat.

[The prima facie case arises from material which is capable of supporting the conclusion that: (1) Australian users contracted with Facebook Ireland, which described itself as the “data controller for Australian Facebook users”; (2) Facebook Ireland provided the Facebook service to Australian users as agent for Facebook Inc.]

Was Facebook USA zu befürchten hat, wenn es zusätzlich zu Facebook Irland (letztlich eine hundertprozentige Tochtergesellschaft von Facebook USA) als Beklagter benannt wird, habe ich den verschiedenen Kommentaren im Internet nicht entnehmen können. Ein Artikel im Sydney Morning Herald scheint davon auszugehen, dass Facebook USA zunächst mit „Winkelzügen“ versucht habe, der Datenschutz-Klage zu entgehen (a bid to dodge a privacy lawsuit).

Der australische Blogger und Rechtsanwalt Peter A. Clarke, der sich mit diesem Fall befasst hat, meint jedoch, dass die vom Gericht im gesamten Verfahren angewandten Kriterien von „ungeheuer großer Bedeutung“ seien, da es nur wenige australische Präzedenzfälle im Bereich Datenschutz und kaum bedeutende Präzedenzfälle in Bezug auf das australische Datenschutzgesetz von 1988 gebe (Given the corpus of privacy law is small[,] and that relating to the Privacy Act is even less significant[,] the approach taken by the Federal Court in this case will be of outsized importance.)

Große Technologieunternehmen haben – in der Regel zur eigenen Steueroptimierung – überall auf der Welt Tochterunternehmen gegründet Auch für Juristen außerhalb Australiens ist die Auffassung des Federal Court of Australia zur Verteilung der Verantwortlichkeit zwischen Tochterunternehmen und der jeweiligen Muttergesellschaft sicher interessant.

Edward Viesel

Hinweis: Die Originalzitate wurden aus Gründen der besseren Lesbarkeit in der Regel ohne Hinzufügen von Auslassungszeichen gekürzt oder angepasst. Außerdem kann im Einzelfall der Numerus an den deutschen Text angepasst worden sein. Im Falle von Unklarheiten nehmen Sie bitte Bezug auf die im Text verlinkten Originaldokumente.

28. Januar 202026. Februar 2020

DE| Für welche Unternehmen gilt das CCPA?

Am 1. Januar 2020 ist das California Consumer Privacy Act (CCPA) (Verbraucherdatenschutzgesetz) in Kraft getreten, das in Kalifornien wohnhaften natürlichen Personen einen umfangreichen Schutz der personenbezogenen Daten ermöglicht. Geschützt werden die Belange der kalifornischen „Verbraucher“ jedoch vom Grundsatz her nur gegenüber dort tätigen Unternehmen.

Das neue kalifornische Verbraucherdatenschutzgesetz verpflichtet Unternehmen zu besonderen datenschutzrechtlichen Maßnahmen, um die Belange der Verbraucher (consumers) zu wahren. Das Gesetz wurde als Titel 1.81.5. in das kalifornische Zivilgesetzbuch (Civil Code of California – CCC) eingefügt und umfasst dort §§ 1798.100. bis 1798.199. Ob ein Unternehmen in Europa unmittelbar oder mittelbar von den Regelungen des CCPA erfasst wird, kann im Einzelfall zweifelhaft sein. Die folgenden Ausführungen erläutern die gesetzlichen Vorschriften – auch aus dem Blickwinkel ihrer Übersetzung ins Deutsche – und bieten einen Überblick über die auf englischsprachigen Internetseiten vertretenen Auffassungen zu den Auswirkungen dieses Gesetzes.

Anwendungsbereich des CCPA

Die Verpflichtungen des kalifornischen Verbraucherdatenschutzgesetz (CCPA) gelten nur für Einzelunternehmen und juristische Personen, die in Kalifornien geschäftlich und gewinnorientiert tätig sind (organized or operated for the profit or financial benefit of its shareholders or other owners [… and] that do business in the State of California) (§ 1798.140.(c)(1) CCC), wobei hier zu beachten ist, dass eine Zweigniederlassung oder eine Vertriebsstelle auf jeden Fall ausreicht. Es wird auch die Meinung vertreten, dass ein Unternehmen gar keine physische Präsenz oder Mitarbeiter in Kalifornien haben muss, sondern dass es genügt, wenn das Unternehmen dort nur „geschäftlich tätig“ ist (does business), also beispielsweise von Deutschland aus Marketingdienstleistungen über das Internet erbringt, die sich unter anderem an in Kalifornien wohnhafte Verbraucher richten.

Andere nehmen an, dass gemäß der kalifornischen Abgabenordnung (California Revenue and Taxation Code) eine „Erheblichkeitsgrenze“ gilt, nach der beispielsweise ein Unternehmen mehr als 500.000 US-Dollar Jahresumsatz in Kalifornien oder über 25 Prozent seines gesamten Umsatzes dort erzielen muss – je nachdem, was geringer ist –, um als in Kalifornien „geschäftlich tätig“ zu gelten („a business is doing business in California if sales exceed the lesser of $500,000 or 25% of the business’s total sales“).

Zudem müssen die betreffenden Unternehmen personenbezogene Daten von Verbrauchern erheben und dazu Zweck und Art der Datenverarbeitung bestimmen (collect consumers’ personal information and […] determine the purposes and means of the processing) (§ 1798.140.(c)(1) CCC). Der im CCPA verwendete Begriff „personal information“ meint dasselbe wie der Begriff „personal data“ in der englischsprachigen Fassung von Art. 4 Abs.1 Datenschutz-Grundverordnung (DSGVO) „Personal information“ ist ein Synonym für „personal data“ („personenbezogene Daten“).

Nach dem CCPA ist Verbraucher jede natürliche Person, die in Kalifornien im Sinne der Verwaltungsvorschriften „wohnhaft“ ist (a natural person who is a California resident, as defined in […] the California Code of Regulations) (§ 1798.140.(g) CCC). Ist die Person in Kalifornien steuerlich veranlagt, mittlerweile jedoch woanders wohnhaft, reicht das für die Anwendung des CCPA aus.

Wie definiert das CCPA personenbezogene Daten?

Das CCPA versteht unter „personenbezogenen Daten“ sämtliche „Daten, die einen bestimmten Verbraucher oder einen bestimmten Haushalt identifizieren oder mit ihm zusammenhängen oder ihn beschreiben oder die auf nachvollziehbare Weise dazu geeignet sind, eine Verbindung zwischen den Daten und dem Verbraucher oder dem Haushalt herzustellen, oder auf nachvollziehbare Weise dazu geeignet sind, die Herstellung einer solchen Verbindung unmittelbar oder mittelbar zu ermöglichen“ („personal information” means information that identifies, relates to, describes, is reasonably capable of being associated with, or could reasonably be linked, directly or indirectly, with a particular consumer or household“) (§ 1798.140.(o)(1) CCC).

Ausnahmen von der Anwendung des CCPA für kleinere und nicht sehr aktiv im Verbrauchergeschäft tätige Unternehmen

Grundsätzlich gilt das CCPA für sämtliche in Kalifornien tätige Unternehmen, die personenbezogene Daten von Verbrauchern erheben und verarbeiten. Es gibt jedoch Ausnahmeregelungen für kleinere Unternehmen, die kaum im Verbrauchergeschäft tätig sind und nur geringfügig oder gar nicht mit dem direkten Verkauf von Verbraucherdaten Erlöse erzielen. Unternehmen, auf die das CCPA Anwendung findet, müssen mindestens eine der drei folgenden Bedingungen erfüllen (satisfy one or more of the following thresholds) (§ 1798.140.(c)(1) CCC):

1. Das Unternehmen erzielt mehr als 25 Millionen US-Dollar Jahresumsatz (annual gross revenues) (§ 1798.140.(c)(1)(A) CCC), wobei zu beachten ist, dass diese Grenze (threshold) für den Bruttoerlös alle zwei Jahre (in den ungeraden Jahren, also bereits 2021) gemäß § 1798.185.(a)(5) CCC an den Anstieg des (kalifornischen) Verbraucherpreisindex (Consumer Price Index) angepasst wird. Hier sollte man auch beachten, dass, anders als in manchen deutschsprachigen Hinweisen vermutet, nicht der Gewinn, sondern der Umsatz (Erlös) gemeint ist. Die Schwelle ist nicht besonders hoch. Umgerechnet 23 Millionen Euro Jahresumsatz schaffen heute durchaus bereits Unternehmen mit 100 Mitarbeitern. Der kalifornische Gesetzgeber wollte also mit dieser Bedingung eher Klein- und Kleinstunternehmen vom Anwendungsbereich des Gesetzes ausschließen. Es ist allerdings nicht geklärt, ob diese Grenze nur für die geschäftliche Tätigkeit in Kalifornien oder darüber hinaus beispielsweise auch für den Gesamtumsatz eines Konzerns gilt. Vermutet wird zumeist, dass der Gesamtumsatz eines Konzerns gemeint ist.

2. Es handelt sich um ein Unternehmen, das alleine oder zusammen mit geschäftlichen Partnern (alone or in combination) im Rahmen seiner geschäftlichen Tätigkeit (in Kalifornien) pro Jahr personenbezogene Daten (personal information) von mindestens 50.000 Verbrauchern, Haushalten oder Geräten von Verbrauchern oder Haushalten (50,000 or more consumers, households, or devices) kauft, erhält, verkauft oder weitergibt (buys, receives, sells or shares) (§ 1798.140.(c)(1)(B) CCC).

3. Das Unternehmen erzielt mindestens die Hälfte seines Jahreserlöses mit dem Verkauf von personenbezogenen Daten von Verbrauchern (derives 50 percent or more of its annual revenues from selling consumers’ personal information) (§ 1798.140.(c)(1)(C) CCC). Für Unternehmen, die überwiegend im Geschäft mit dem Daten- oder Adresshandel tätig sind (beispielsweise Telemarketing-Agenturen, Agenturen für Internetmarketing, Betreiber von Kundenbindungsprogrammen oder Wirtschaftsauskunfteien), gelten keine Ausnahmen auf Grundlage des geringen Umsatzes oder der geringfügigen Datenerhebungstätigkeit.

Gelten die Datenschutzrechte des CCPA auch für Arbeitnehmer?

Da jede natürliche Person, die in Kalifornien wohnhaft ist (§ 1798.140.(g) CCC) oder steuerlich veranlagt wird, „Verbraucher“ ist (siehe oben), wurde die Meinung vertreten, dass das CCPA in seiner ersten Fassung grundsätzlich auch für kalifornische Arbeitnehmer in Bezug auf ihren in Kalifornien tätigen Arbeitgeber galt. Auch in dieser Rechtsbeziehung werden personenbezogene Daten von natürlichen Personen erhoben und verarbeitet, so dass Mitarbeiter auf Basis des CCPA ihre personenbezogenen Daten hätten schützen können. Für das deutsche Recht kommen die Kommentierungen zu § 13 BGB bei der Frage, ob ein Arbeitnehmer „Verbraucher“ sein kann, zu ähnlichen Ergebnissen.

Im Herbst 2019, also vor Inkrafttreten des CCPA, wurde jedoch bereits eine Gesetzesänderung verabschiedet, die die Anwendung dieses Gesetzes in Bezug auf Bewerber, Arbeitnehmer, Vorstandsmitglieder und Geschäftsführer, leitende Angestellte, medizinisches Personal und Auftragnehmer eines Unternehmens weitgehend einschränkt, sofern die personenbezogenen Daten in Hinsicht auf diese konkrete Rolle des „Verbrauchers“ erhoben werden (personal information that is collected by a business about a natural person in the course of the natural person acting as a job applicant to, an employee of, owner of, director of, officer of, medical staff member of, or contractor of that business) (§ 1798.145.(h)(1)(A) CCC).

Die Gesetzeskraft dieser einschränkenden Bestimmung endet jedoch bereits am 1. Januar 2021 (sog. „sunset clause“ oder Auslaufklausel in § 1798.145.(g)(4) CCC). Über neue Gesetzesvorhaben in 2020 oder 2021 zu diesem Thema wird spekuliert. Falls der kalifornische Gesetzgeber jedoch keine entsprechende neue gesetzliche Bestimmung erlässt, würde das CCPA ab 1. Januar 2021 wohl für kalifornische Arbeitnehmer und deren Arbeitgeber gelten. Bestimmte andere Arbeitnehmerrechte unter dem CCPA bleiben jedoch auch von der oben genannten Einschränkung unberührt, beispielsweise das Recht, eine „Auskunft bei Datenerhebung“ (Notice at Collection) zu erhalten, welche den Arbeitnehmer über die erhobenen Datenkategorien und die Nutzung der Daten informiert.

Auf Auftragsverarbeiter und sonstige Datenverarbeiter in Europa könnten neue vertragliche Regelungen aufgrund des CCPA zukommen

Das CCPA verpflichtet grundsätzlich nur die in Kalifornien geschäftlich tätigen Unternehmen. Europäische Firmen, die für in Kalifornien tätige Unternehmen bestimmte Daten verarbeiten, könnten allerdings von Regelungen des CCPA über die Haftung von Auftragsverarbeitern oder von sonstigen Datenverarbeitern betroffen sein. Die DSGVO bezeichnet Unternehmen, die im Auftrag eines Verantwortlichen Daten verarbeiten, als „Auftragsverarbeiter“ (processor) (vgl. Art. 28 DSGVO (EN) und – die Haftung betreffend – Art. 82 Abs. 2 S. 2 DSGVO (DE)). Das CCPA unterscheidet dagegen zwischen „Dienstleistern“ (service providers) gemäß § 1798.140.(v) i.V.m. § 1798.140.(w)(2) CCC und „Dritten“ (third parties) bzw. „Personen“ (persons) gemäß § 1798.140.(w)(2). Im Internet wurde daher bereits zwischen „service provider“ (ein Unternehmen, das Daten im Auftrag eines anderen Unternehmens gemäß schriftlichem Vertrag über die Datenverarbeitung verarbeitet) und einer „1798.140(w)(2) person“ (einem Dritten) unterschieden.

Im Internet ist zudem die Meinung vertreten worden, dass ein Auftragsverarbeiter („service provider“ gemäß § 1798.140.(v) CCC), der Daten über die „operativen Erfordernisse“ (operational needs) des Auftraggebers hinaus (und damit vertragswidrig) nutzt, automatisch in Bezug auf diese Daten den mit höherem Haftungsrisiko einhergehenden third-party-Status erhält. Unter operativen Erfordernissen werden beispielsweise die Buchführung oder die Bestell- und Zahlungsabwicklung genannt. Die operativen Erfordernisse werden auch als „‘business purpose‘ for which the service provider was retained“ („der geschäftliche Zweck, für den der Dienstleister beauftragt wurde“) bezeichnet.

Der Begriff des „geschäftlichen Zwecks“ ist deshalb wichtig, weil ein Verkauf von Daten im Rahmen des „geschäftlichen Zwecks“ (business purpose) kein „Verkauf“ im Sinne des CCPA ist, da § 1798.140.(t)(2)(C)(ii) CCC bestimmt: „Ein Unternehmen verkauft keine personenbezogenen Daten, wenn der Dienstleister (service provider) die personenbezogenen Daten des Verbrauchers nicht über das für die Durchführung des geschäftlichen Zwecks notwendige Maß hinaus erhebt, verkauft oder nutzt“ (a business does not sell personal information when the service provider does not further collect, sell, or use the personal information of the consumer except as necessary to perform the business purpose).

Was ist ein service provider gemäß dem CCPA?

Ein „Dienstleister“ (service provider) gemäß dem CCPA ist ein Unternehmen, das im Auftrag eines anderen Unternehmens (on behalf of a business) Daten verarbeitet und sich durch schriftlichen Vertrag (pursuant to a written contract) verpflichtet hat, die erhaltenen personenbezogenen Daten nur zum Zweck der Durchführung der im Vertrag vereinbarten Dienstleistungen – und nicht zu anderen gemäß dem CCPA zulässigen Zwecken – zu speichern, zu verwenden oder weiterzugeben (provided that the contract prohibits the entity receiving the information from retaining, using, or disclosing the personal information for any purpose other than for the specific purpose of performing the services specified in the contract for the business, or as otherwise permitted by this title) (§ 1798.140.(v)CCC).

Der Berliner Rechtsanwalt Dr. Thomas Schwenke hat darauf hingewiesen, dass in Kalifornien tätige Unternehmer – anders als unter der DSGVO – nach dem CCPA nicht für die von vertraglich verpflichteten „Dienstleistern“ (service providers) verursachten Verletzungen der CCPA-Datenschutzvorschriften haften (shall not be liable under this title; „this title“ = Titel 1.81.5 CCC = „California Consumer Privacy Act of 2018“), sofern der Unternehmer nicht bereits bei der Weitergabe der personenbezogenen Daten Grund hatte, davon auszugehen, dass der Dienstleister (service provider) eine Verletzung des CCPA beabsichtigte (§ 1798.140.(w)(2)(B) CCC).

Für die Definition eines selbsthaftenden „Dienstleisters“ (service provider), „a person covered by this paragraph“ – gemeint ist die gesamte Ziffer 2 (paragraph 2) von § 1798.140.(w) CCC –, wird im Absatz w (subdivision w) von § 1798.140 CCC die in Absatz v (subdivision v) enthaltene Definition eines „Dienstleisters“ um das Verbot des Verkaufs von Daten (selling the personal information) und um die Pflicht zur Unterzeichnung einer Erklärung, sämtliche Einschränkungen für Dienstleister gemäß § 1798.140.(w)(2)(A) CCC verstanden zu haben, ergänzt (a certification that the person understands the restrictions).

Wenn kalifornische Unternehmen also vermeiden wollen, für Verstöße ihrer Dienstleister (service providers) gegen das CCPA zu haften, müssen sie von Dienstleistern die Unterzeichnung von Verträgen verlangen, die an § 1798.140.(w)(2) CCC angepasst sind. Sie müssen den Dienstleistern also unter anderem den (ungerechtfertigten) Verkauf und die vertragswidrige Nutzung von Daten untersagen und sie eine Erklärung unterzeichnen lassen, dass sie sämtliche Einschränkungen verstanden haben. Nicht geklärt ist, was in diesem Zusammenhang genau unter den „Verkauf“ von Daten (bzw. das Verkaufsverbot) fällt, da die Definition des „Verkaufs“ Ausnahmen für Dienstleister enthält (wie oben ausgeführt).

Für nur in Europa tätige Unternehmen, die an in Kalifornien tätige „Dienstleister“ (service providers) (in etwa: Auftragsverarbeiter) Daten weitergeben, gibt es in Bezug auf das CCPA kaum etwas zu beachten, denn das CCPA gilt nur für in Kalifornien Daten erhebende Unternehmen. Wenn also ein deutsches Unternehmen personenbezogene Daten von in Deutschland wohnhaften Personen an einen Dienstleister in Kalifornien zur Verarbeitung sendet, werden weder das eine noch das andere Unternehmen vom CCPA erfasst (siehe FAQ 6 des Links).

Verbraucherschutzverbände und Unternehmen können im Auftrag Dritter einer Datenverarbeitung widersprechen (z.B. „Do Not Sell My Personal Information“ gemäß § 1798.135(a)(1) CCC)

Nach dem CCPA kann ein kalifornischer Verbraucher (im Sinne des Gesetzes) eine andere (natürliche oder juristische) Person damit beauftragen, in seinem Namen dem Verkauf seiner personenbezogenen Daten zu widersprechen (a consumer may authorize another person solely to opt out of the sale of the consumer’s personal information on the consumer’s behalf) (§ 1798.135(c) CCC). Ein solcher Widerspruch ist für das datenerhebende Unternehmen bindend, wobei der genaue Ablauf eines solchen Widerspruchsverfahrens durch den kalifornischen Justizminister (einer der Amtsbereiche des Attorney General des Bundesstaates) noch auf dem Verordnungswege festzulegen ist.

Diese Bestimmung ist für Verbraucherschutzverbände interessant (natürlich besonders für kalifornische oder amerikanische Verbraucherschutzverbände), da Verbraucher ihre Datenschutzrechte oft nicht in Anspruch nehmen, wenn sie persönlich aktiv werden müssen – was sicher oft an zeitlicher oder sonstiger Überforderung liegt. Umgekehrt legt es die Latte für Unternehmen höher, da sie sich im Bereich des Datenschutzes in der Regel mit sehr professionell agierenden und juristisch informierten Verbänden konfrontiert sehen werden, wenn es um den Widerspruch gegen den Verkauf von personenbezogenen Daten von kalifornischen Verbrauchern geht.

Im Internet wurde darauf hingewiesen, dass diese Regelung nicht nur für Verbände interessant ist, sondern auch bestimmten Unternehmen einen Anreiz bieten könnte, mit einer Vielzahl von „Heimarbeitern“ nach einem neuen Geschäftsmodell Geld zu verdienen: Verbrauchern, die im Bereich des Datenschutzes sensibel sind, könnte danach angeboten werden, gegen Bezahlung als deren Bevollmächtigte an eine Vielzahl von potenziellen Unternehmen mit einem Widerspruch gemäß dem CCPA gegen den Verkauf der personenbezogenen Daten heranzutreten („this may incentivize a cottage industry of companies seeking to monetize the statute by serving as agents for consumers across multiple businesses“).

Welche Sanktionen sieht das CCPA vor?

Bei einem Verstoß gegen die Bestimmungen des CCPA (im folgenden Zitat „this title“ genannt) droht eine Geldbuße von 7.500 US-Dollar pro vorsätzlichem Verstoß (any business, service provider, or other person that violates this title shall be liable for a civil penalty of seven thousand five hundred dollars ($7,500) for each intentional violation) (§ 1798.155.(b) CCC). Bei nicht vorsätzlichen Verstößen droht eine Geldbuße bis zu 2.500 US-Dollar pro Verstoß (not more than two thousand five hundred dollars ($2,500).

Englische juristische Übersetzungen genau ausführen lassen

Insgesamt sollten in Kalifornien tätige europäische Unternehmen, die nicht primär englischsprachig sind, darauf achten, dass sämtliche in diesem Zusammenhang ins Englische übersetzten Texte der Terminologie des CCPA entsprechen und keine missverständlichen Formulierungen enthalten.

Edward Viesel

Hinweis: Die Originalzitate wurden aus Gründen der besseren Lesbarkeit in der Regel ohne Hinzufügen von Auslassungszeichen gekürzt. Außerdem kann im Einzelfall der Numerus an den deutschen Text angepasst worden sein, um die Lesbarkeit zu erhöhen.