Was ist der Unterschied zwischen CCPA und GDPR?

Image of Carlo Cilento

Veröffentlicht am 24. Feb. 2023 und bearbeitet am 15. Aug. 2023 von Carlo Cilento

Auf dem Gebiet des Datenschutzes ist derzeit viel los. Mehrere EU-Länder gehen hart gegen US-amerikanische Cloud-Dienste wie Google Analytics vor, und letzten Monat hat die Datenschutz-NGO noyb einen großen Prozess gegen Facebook wegen der Verwendung personalisierter Werbung gewonnen. Es ist jedem klar, dass der Datenschutz immer mehr in den Vordergrund rückt, aber es ist schwierig, sich im Dschungel der Datenschutzgesetze zurechtzufinden. Daher soll dieser Artikel einen Überblick über die verschiedenen Datenschutzgesetze geben, um die Dinge zu klären.

Wir konzentrieren uns insbesondere auf den kalifornischen Consumer Privacy Act, das berüchtigtste US-Datenschutzgesetz. Es ist auch ein sehr wichtiger Rechtsakt, da viele große Technologieunternehmen in Kalifornien ansässig sind. Wir werden einen Blick darauf werfen und sehen, wie es im Vergleich zur EU-DSGVO abschneidet.

  1. Der CCPA
  2. Für wen gilt der CCPA?
  3. Welche Verpflichtungen ergeben sich für Ihr Unternehmen aus dem CCPA?
  4. Gibt es in den USA ein Bundesgesetz zum Datenschutz?
  5. Ist das CCPA eine "GDPR light"?
  6. Wie regeln der CPPA und die GDPR Cookies?
  7. Wie regeln CCPA und GDPR die Datenübermittlung?
  8. Wie funktioniert die Einwilligung im CCPA und in der GDPR?
  9. Schlussfolgerungen
Logo of MichelinMichelin chose Simple AnalyticsJoin them

Der CCPA

Der Californian Consumer Privacy Act(CCPA&aqs=chrome) ist ein kalifornisches Gesetz. Es wurde 2018 verabschiedet und ist 2020 in Kraft getreten. Es räumt Verbrauchern bestimmte Rechte ein, darunter das Recht auf Information, das Recht auf Löschung ihrer Daten und das Recht auf Opt-out.

Der CCPA wurde 2020 durch ein weiteres Gesetz, den California Rights Privacy Act, geändert. Mit dieser Änderung wurden neue Datenschutzrechte eingeführt und die California Privacy Protection Agency eingerichtet, die ab Juli 2023 für die Durchsetzung des CPPA sorgen wird. Die neueste und geänderte Fassung ist diejenige, auf die wir uns in diesem Blog beziehen werden.

Um es zusammenzufassen:

  • das CCPA ist ein kalifornisches Datenschutzgesetz
  • das CPRA ist ein weiteres kalifornisches Gesetz, das das CPPA abändert
  • das CPPA ist die Behörde, die das kalifornische Datenschutzrecht ab Juli 2023 durchsetzen wird.

Fazit: Kalifornien ist schrecklich im Aussuchen von Namen. Wir werden uns nun das CCPA genauer ansehen und prüfen, wie es im Vergleich zur GDPR abschneidet.

islands.png

Für wen gilt der CCPA?

Der CCPA gilt hauptsächlich für Unternehmen, die bestimmte Schwellenwerte in Bezug auf Umsatz und Menge der verarbeiteten personenbezogenen Daten erreichen. Das CPPA gilt auch für einige Institutionen und öffentliche Einrichtungen, nicht aber für gemeinnützige Organisationen.

Es ist zu beachten, dass der CCPA für Unternehmen gilt, die in Kalifornien tätig sind, unabhängig von ihrem Sitz. Ein nicht-amerikanisches Unternehmen muss also unter Umständen das CCPA einhalten, wenn es auf dem kalifornischen Markt tätig ist.

Neben den Unternehmen enthält das CPPA auch Vorschriften für Dienstleister, Auftragnehmer und Dritte.

Welche Verpflichtungen ergeben sich für Ihr Unternehmen aus dem CCPA?

Unternehmen haben nach dem CCPA mehrere Pflichten. Sie müssen Auskunft darüber geben, wie die Daten verarbeitet werden, Daten auf Anfrage löschen oder korrigieren, die Datenspeicherung begrenzen und Verbrauchern die Möglichkeit geben, dem Verkauf und der Weitergabe ihrer Daten zu widersprechen. Die Verbraucher können sie auch wegen Datenschutzverletzungen verklagen.

Gibt es in den USA ein Bundesgesetz zum Datenschutz?

In den USA gibt es kein umfassendes Bundesgesetz zum Datenschutz, aber es gibt Bundesgesetze, die bestimmte Bereiche wie Gesundheitsdaten(HIPAA) und Kinderdaten(COPPA) regeln. Ein Bundesgesetz zum Datenschutz ist in Arbeit: der American Data Privacy and Protection Act(ADPPA).

Derzeit gibt es in sechs Staaten Datenschutzgesetze. Kalifornien ist einer von ihnen, die anderen sind Colorado, Connecticut, Nevada, Utah und Virginia. Die Wechselwirkung zwischen dem ADPPA und den lokalen Datenschutzgesetzen ist ein strittiger Punkt in den politischen Verhandlungen über den Vorschlag. Einige Staaten mit Datenschutzgesetzen wollen nicht, dass der ADPPA ihre eigenen Gesetze außer Kraft setzt, weil sie befürchten, dass dadurch die Datenschutzrechte ihrer Bürger geschwächt werden. Gleichzeitig bestehen einige Befürworter des Gesetzentwurfs darauf, dass das ADPPA die lokalen Gesetze außer Kraft setzt, um eine Rechtszersplitterung in den USA zu vermeiden.

Ist das CCPA eine "GDPR light"?

Das CCPA wurde in gewisser Weise von der Datenschutz-Grundverordnung inspiriert und wird manchmal auch als "GDPR light" bezeichnet. Die beiden Verordnungen sind in mancher Hinsicht ähnlich:

  • Beide haben unter bestimmten Umständen extraterritoriale Wirkung. Das bedeutet, dass Unternehmen außerhalb Kaliforniens möglicherweise das CCPA einhalten müssen und Unternehmen außerhalb der EU möglicherweise die GDPR einhalten müssen
  • Einige Datenschutzrechte sind in beiden Verordnungen ähnlich, z. B. das Recht auf Information und das Recht auf Löschung. Beide Gesetze zielen darauf ab, dem Einzelnen mehr Kontrolle über seine Daten zu geben
  • beide bieten einen besonderen Schutz für sensible Daten, obwohl die Definitionen für sensible Daten unterschiedlich sind
  • Die GDPR wird hauptsächlich von den Datenschutzbehörden der einzelnen EU-Mitgliedstaaten durchgesetzt. Ab Juni 2023 wird die CCPA auch von einer Datenschutzbehörde (der CPPA) zusammen mit dem kalifornischen Generalstaatsanwalt durchgesetzt.
  • DieNichteinhaltung kann teuer werden. Die Geldbußen nach der DSGVO können bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes eines Unternehmens betragen, während die zivilrechtlichen Strafen nach dem CCPA bis zu 7.500 USD pro Verstoß betragen können. Für Unternehmen, die große Mengen personenbezogener Daten verarbeiten, können sich die Zahlen schnell summieren!

Es gibt auch wichtige Unterschiede:

  • DieDatenschutz-Grundverordnung (GDPR) hat einen breiteren Anwendungsbereich und gilt nicht nur für Unternehmen, sondern auch für eine Vielzahl von für die Datenverarbeitung Verantwortlichen. Andererseits ist das CCPA ein Verbraucherschutzgesetz und richtet sich hauptsächlich an Unternehmen
  • die DSGVO ist ein längeres, komplexeres Gesetz. Sie enthält mehr Vorschriften und ein umfassendes System von Grundsätzen
  • die Datenschutz-Grundverordnung ist im Allgemeinen strenger. Zum Beispiel ist die Regelung für die Verarbeitung sensibler Daten restriktiver.
  • Die Datenschutz-Grundverordnung schützt die Datenrechte aller Menschen in der Europäischen Union und im Europäischen Wirtschaftsraum, auch die von Nicht-EU-Bürgern. Das CCPA hingegen gilt nur für die Daten von in Kalifornien ansässigen Personen.

Wie regeln der CPPA und die GDPR Cookies?

Das CCPA regelt Cookies nicht ausdrücklich, aber Cookies von Drittanbietern fallen unter die Regeln für die gemeinsame Nutzung von Daten. Nach dem Gesetz müssen Unternehmen die Nutzer informieren und ihnen die Möglichkeit geben, sich dagegen zu entscheiden.

Dies ist ein Fall, in dem das EU-Datenschutzrecht strenger ist: Nach der Datenschutz-Grundverordnung und der Datenschutzrichtlinie für elektronische Kommunikation müssen die für die Verarbeitung Verantwortlichen die Zustimmung über ein Opt-in-System für nicht wesentliche Cookies einholen (die Schaltfläche "Akzeptieren" auf Cookie-Bannern). Und anders als das CCPA unterscheidet das EU-Recht nicht zwischen Erst- und Drittanbieter-Cookies.

Wie regeln CCPA und GDPR die Datenübermittlung?

Das CCPA regelt keine Datenübertragungen und setzt keine Grenzen für Datenübertragungen außerhalb von Kalifornien oder den USA.

Dies ist ein weiterer wichtiger Unterschied zur Datenschutz-Grundverordnung. Die Datenschutz-Grundverordnung enthält ein kompliziertes System von Regeln für Datenübertragungen, um sicherzustellen, dass personenbezogene Daten nur sicher übertragen werden können.

Im Allgemeinen kann ein Unternehmen Daten nur auf der Grundlage eines von mehreren Compliance-Mechanismen übermitteln. Die gebräuchlichsten sind Standardvertragsklauseln (SCC), die in einen Vertrag mit dem Datenempfänger aufgenommen werden müssen und diesem vorschreiben, was er mit den Daten tun darf und was nicht.

Auch die Europäische Kommission kann ein Land mit einem so genannten Angemessenheitsbeschluss als sicheres Zielland für Daten "grünes Licht" geben. Es gab zwei solcher Entscheidungen für die USA, aber beide wurden vom EU-Gerichtshof in den Urteilen Schrems I und II aufgrund von Bedenken über die Überwachung ausländischer Daten durch die USA für ungültig erklärt.

Die Überwachung durch die USA erschwert auch Datenübermittlungen auf der Grundlage von SCCs, da diese Klauseln nur wenig zum Schutz europäischer Daten beitragen können. In der Schrems-II-Entscheidung wurde klargestellt, dass Unternehmen, die Daten in die USA übermitteln, die SCCs durch zusätzliche Garantien ergänzen müssen, was in der Praxis sehr schwer zu bewerkstelligen ist. Dieses Problem steht im Mittelpunkt der rechtlichen Probleme von Google Analytics bei der Datenübermittlung und ist der Grund dafür, dass mehrere europäische Datenschutzbehörden gegen die Verwendung von Google Analytics entschieden haben (wir haben in unserem Blog ausführlich darüber geschrieben).

Ein neuer Angemessenheitsbeschluss für die USA steht bevor, wird aber sicherlich vor dem Europäischen Gerichtshof angefochten werden. Die USA haben einige Änderungen an ihrem Überwachungssystem vorgenommen, aber es ist schwer zu sagen, ob der Gerichtshof damit zufrieden sein wird. Mit anderen Worten: Schrems III steht vor der Tür, und es ist ungewiss, wie es ausgehen wird.

Wie funktioniert die Einwilligung im CCPA und in der GDPR?

Im Großen und Ganzen verlangt das CCPA keine vorherige Zustimmung zur Verarbeitung von Verbraucherdaten: Das Gesetz basiert größtenteils auf einem Opt-out-System. In bestimmten Situationen ist jedoch eine vorherige Einwilligung erforderlich.

Eine gültige Einwilligung ist nach der Datenschutz-Grundverordnung immer ein Opt-in. Die Einwilligung ist jedoch nur eine von mehreren Rechtsgrundlagen für die Verarbeitung personenbezogener Daten. Das bedeutet, dass Daten in einigen Fällen auch ohne Einwilligung rechtmäßig verarbeitet werden können. Kurz gesagt: Eine Einwilligung ist nicht immer erforderlich, aber wenn sie erforderlich ist, muss es sich um eine Opt-in-Einwilligung handeln.

Wir haben einen Blog zu diesem Thema verfasst, falls Sie sich für die anderen Rechtsgrundlagen im Rahmen der Datenschutz-Grundverordnung interessieren.

Schlussfolgerungen

Die Datenschutz-Grundverordnung und das CCPA sind beide wichtige Datenschutzgesetze. Beide haben eine extraterritoriale Wirkung, daher sollten sich Unternehmen mit ihnen vertraut machen oder sich an einen Fachmann wenden, um ihre Einhaltung sicherzustellen. Die DSGVO ist etwas komplexer, und wir tun unser Bestes, um in diesem Blog einige Grundlagen zu behandeln und sie verdaulich zu machen.

Es ist erwähnenswert, dass sowohl die DSGVO als auch das CCPA nur für personenbezogene Daten gelten. Aus Sicht der Einhaltung der Vorschriften ist der Verzicht auf die Verarbeitung personenbezogener Daten ein Allheilmittel für beide Gesetze - und für das Datenschutzrecht im Allgemeinen. Das ist nicht immer möglich, denn es gibt Dinge, die man ohne personenbezogene Daten einfach nicht tun kann.

Glücklicherweise gibt es immer mehr datenschutzfreundliche Lösungen, die zeigen, dass es auch ohne personenbezogene Daten geht. Simple Analytics zum Beispiel ist eine datenschutzfreundliche Alternative zu Google Analytics, die mit der DSGVO konform ist und Ihnen dennoch die benötigten Einblicke in Ihre Website verschafft.

In den USA ansässige Cloud-Dienste sind in letzter Zeit wegen ihrer Nichteinhaltung der DSGVO in die Kritik geraten. Daher suchen Unternehmen, denen der Datenschutz wichtig ist und die ihn einhalten wollen, nach alternativen Lösungen. Wenn Sie daran interessiert sind, sollten Sie sich die Website "European Alternatives" ansehen. Sie gibt Ihnen einen Überblick darüber, welche Alternativen es in verschiedenen Kategorien wie Webanalyse, E-Mail-Anbieter, Hosting-Anbieter usw. gibt.

Wir haben Simple Analytics entwickelt, weil wir an ein unabhängiges, besucherfreundliches Internet glauben. Also weniger Cookies und weniger Tracking. Wenn Sie sich davon angesprochen fühlen, können Sie Simple Analytics gerne ausprobieren.

GA4 ist komplex. Versuchen Sie Simple Analytics

GA4 ist wie im Cockpit eines Flugzeugs zu sitzen, ohne einen Pilotenschein zu haben

14-Tage-Testversion starten