- Das California Consumer Privacy Act (CCPA) tritt am 1. Januar 2020 in Kraft.
- CCPA hat spezielle Anforderungen für Onlineunternehmen und hebt den Datenschutz-Standard.
- CCPA und DSGVO sind teilweise inkompatibel mit unterschiedlichen Anforderungen und Definitionen.
- Das CCPA gilt bei jährlichen Bruttoeinnahmen von mindestens 25 Mio. US-Dollar.
- Unternehmen, die 50% oder mehr ihrer Einnahmen durch den Verkauf von personenbezogenen Daten erzielen, fallen unter CCPA.
- CCPA betrifft auch die Verarbeitung von 50.000 oder mehr Verbrauchern in Kalifornien.
- Strafen bei vorsätzlicher Datenschutzverletzung betragen bis zu 7.500 US-Dollar pro Verstoß.
Für wen ist es relevant?
Am 1. Januar 2020 wird in Kalifornien das California Consumer Privacy Act (CCPA) in Kraft treten, welches ähnlich zur DSGVO/GDPR den Datenschutz-Standard heben soll, aber gerade auch für Onlineunternehmen besondere Anforderungen aufstellt.
Gilt beides?
Beide Gesetzeswerke sind aber nur bedingt kompatibel. So haben CCPA und die DSGVO unterschiedliche Anforderungen, unterschiedliche Definitionen und unterschiedliche Anwendungsbereiche z.B. bei der Erhebung personenbezogener Daten ohne ausdrückliche Zustimmung hat und der DSGVO ein Recht Opt-out fehlt, was das CCPA fordert. Auch gilt CCPA nur für bestimmte Arten von Unternehmen.
Das CCPA gilt aktuell wenn
- Die jährlichen Bruttoeinnahmen sich auf mindestens 25 Mio. US-Dollar belaufen.
- Der Unternehmensgewinn zu 50 Prozent oder mehr aus den jährlichen Einnahmen durch den Verkauf von personenbezogenen Daten resultiert.
- Der Umfang der Verarbeitung von personenbezogenen Daten für geschäftliche Zwecke mindestens 50.000 oder mehr Verbraucher, Geräte oder Haushalte, die in Kalifornien leben betrifft.
Welches Strafen gibt es?
Eine mögliche Strafe nach der CCPA im Fall einer vorsätzlichen Datenschutzverletzung beträgt je Verstoß 7.500 US-Dollar, für den Fall einer fahrlässigen Handlung 2.500 US-Dollar je Verstoß.
