Wann ist das CCPA anwendbar?

Image of Iron Brands

Veröffentlicht am 11. Aug. 2023 von Iron Brands

Das CCPA liegt irgendwo zwischen dem Verbraucherrecht und dem Datenschutzrecht. Dies führt zu einiger Verwirrung darüber, für welche personenbezogenen Daten das Gesetz gilt. Gilt es für alle Unternehmen? Gilt es für Mitarbeiterdaten und Transaktionen zwischen Unternehmen? Und was ist mit gemeinnützigen Organisationen?

  1. Gilt der CCPA für alle Unternehmen?
  2. Gilt der CCPA nur für kalifornische Unternehmen?
  3. Gilt das CCPA auch für Nichtansässige?
  4. Gilt der CCPA für Mitarbeiter und Transaktionen zwischen Unternehmen?
  5. Gilt der CCPA auch für gemeinnützige Organisationen?
  6. Schlussfolgerungen
Logo of the Government of the United KingdomThe UK Government chose Simple AnalyticsJoin them

Finden wir es heraus!

Gilt der CCPA für alle Unternehmen?

Nein. Der CCPA gilt nur für große oder datenintensive Unternehmen.

Genauer gesagt, gilt das CCPA für Unternehmen, die in Kalifornien tätig sind und:

  1. einen Bruttojahresumsatz von über 25 Millionen Dollar haben
  2. persönliche Daten von 100.000 oder mehr kalifornischen Einwohnern, Haushalten oder Geräten kaufen, verkaufen oder weitergeben
  3. die Hälfte ihres Umsatzes oder mehr mit dem Verkauf personenbezogener Daten von Einwohnern Kaliforniens erzielen.

Diese Vorschrift ist etwas kompliziert, deshalb wollen wir sie kurz aufschlüsseln.

Die Verpflichtung, in Kalifornien Geschäfte zu machen, ist zwingend. Wenn Sie nicht in Kalifornien geschäftlich tätig sind, gilt der CCPA nicht für Sie.

Andererseits sind die Kriterien 1, 2 und 3 alternativ. Ein Beispiel: Wenn ein Unternehmen in Kalifornien tätig ist und die Hälfte seiner Einnahmen aus dem Verkauf personenbezogener Daten von Einwohnern Kaliforniens stammt, dann gilt der CCPA unabhängig von der Größe des Unternehmens und seinem Jahresumsatz.

Gilt der CCPA nur für kalifornische Unternehmen?

Nein. Der CCPA gilt für Unternehmen, die in Kalifornien geschäftlich tätig sind, sofern eines der anderen Kriterien erfüllt ist. Ein multinationales Unternehmen mit einem Umsatz in Milliardenhöhe muss also das CCPA einhalten, wenn es in Kalifornien geschäftlich tätig ist, unabhängig davon, ob es in Kalifornien, Delaware oder Frankreich ansässig ist.

Dies bezeichnen Juristen als die extraterritoriale Reichweite des Datenschutzrechts. Die extraterritoriale Reichweite ist im Datenschutzrecht sehr verbreitet, und das aus gutem Grund. Das Internet kennt keine physischen Grenzen, so dass personenbezogene Daten häufig zwischen verschiedenen Rechtsordnungen fließen. Wäre die Reichweite der Datenschutzgesetze begrenzt, würden die meisten ihrer Schutzmechanismen unwirksam werden.

Denken Sie nur daran, wie viele US-Big-Tech-Unternehmen Sie täglich mit Ihren persönlichen Daten versorgen. Wenn Google und Apple die Datenschutz-Grundverordnung völlig ignorieren könnten, was wäre dann der Sinn, europäischen Unternehmen alle möglichen Regeln und Anforderungen aufzuerlegen?

Gilt das CCPA auch für Nichtansässige?

Nein, der CCPA gilt nicht für personenbezogene Daten von Nicht-Einwohnern. Nur in Kalifornien ansässige Personen haben Rechte nach dem CCPA. Das ist schade, denn die Giganten des Silicon Valley verarbeiten enorme Mengen personenbezogener Daten von Gebietsfremden aus der ganzen Welt.

Dies steht in krassem Gegensatz zur Datenschutz-Grundverordnung (GDPR), denn nach der GDPR haben die Menschen Rechte, unabhängig davon, wo sie leben und wohnen. Wenn ein italienisches Unternehmen personenbezogene Daten von Einwohnern Kaliforniens verarbeitet, haben diese Einwohner nach der DSGVO genau dieselben Rechte wie italienische oder niederländische Bürger.

Gilt der CCPA für Mitarbeiter und Transaktionen zwischen Unternehmen?

Ja, der CCPA gilt sowohl für Mitarbeiterdaten als auch für personenbezogene Daten, die Transaktionen zwischen Unternehmen (B2B) betreffen.

Diese Kategorien personenbezogener Daten fielen ursprünglich nicht unter das CCPA, da das Gesetz befristete Ausnahmen vorsah. Diese Ausnahmen liefen im Jahr 2022 aus und wurden nicht verlängert. Infolgedessen fallen diese personenbezogenen Daten seit 2023 unter den CCPA.

Gilt der CCPA auch für gemeinnützige Organisationen?

In der Regel gilt der CCPA nicht für gemeinnützige Organisationen.

Es kann jedoch Ausnahmen für gemeinnützige Organisationen geben, die eng mit einem Unternehmen verbunden sind. Hierfür gibt es im Rahmen des CCPA genaue Voraussetzungen:

  • Ein Unternehmen besitzt 50 % oder mehr der stimmberechtigten Wertpapiere einer Einrichtung oder kontrolliert mindestens 50 % der Stimmrechte;
  • die Einrichtung und das Unternehmen haben ein gemeinsames Branding;
  • das Unternehmen gibt personenbezogene Daten der Verbraucher an das andere Unternehmen weiter.

Diese Kriterien sind Teil der Definition eines Unternehmens im Sinne des CCPA. Wenn also eine Einrichtung diese Kriterien erfüllt, gilt sie als Unternehmen im Sinne des CCPA und unterliegt denselben Verpflichtungen wie ein Unternehmen, unabhängig davon, ob sie gewinnorientiert arbeitet oder nicht.

Diese Kriterien sind insgesamt recht streng. In der Praxis können die meisten gemeinnützigen Organisationen sicher sein, dass der CCPA nicht auf sie anwendbar ist - obwohl dies keine Entschuldigung für Faulheit und Missachtung des Datenschutzes ist!

Schlussfolgerungen

Ich hoffe, Sie haben den CCPA jetzt ein wenig besser verstanden. Wir erklären gerne das Datenschutzrecht, weil uns der Datenschutz am Herzen liegt. Aus diesem Grund haben wir Simple Analytics entwickelt, um Unternehmen alle nötigen Einblicke zu geben, ohne persönliche Daten zu sammeln oder Besucher zu verfolgen! Wenn sich das für Sie gut anhört, können Sie uns gerne ausprobieren!

GA4 ist komplex. Versuchen Sie Simple Analytics

GA4 ist wie im Cockpit eines Flugzeugs zu sitzen, ohne einen Pilotenschein zu haben

14-Tage-Testversion starten