veröffentlicht von RA Max-Lion Keller, LL.M. (IT-Recht)

IT-Recht Kanzlei überarbeitet Datenschutzerklärung für USA

News vom 09.01.2020, 09:09 Uhr | Keine Kommentare

Das Kalifornische Datenschutzgesetz für Verbraucher (California Consumer Privacy Act „CCPA“) tritt am 1. Januar 2020 in Kraft. Es ist das schärfste Datenschutzgesetz in den Vereinigten Staaten. Als der wirtschaftlich wichtigste Bundesstaat prägt Kalifornien mit diesem Gesetz den Datenschutzstandard in den gesamten Vereinigten Staaten. Eine Regelung des Datenschutzes auf Bundesebene ist zurzeit nicht in Sicht. Das CCPA ist der europäischen Datenschutzverordnung nachgebildet. Allerdings gibt es einige wichtige Besonderheiten.

Die IT-Recht Kanzlei stellt ihren Mandanten, die in den USA Waren oder Dienstleistungen vertreiben, eine aktualisierte Datenschutzerklärung nach den Vorgaben des CCPA zur Verfügung.

Für Online-Händler mit Wohnsitz in Deutschland, die Waren oder Dienstleistungen in den USA vertreiben, stellt sich die Frage, ob sie das CCPA beachten müssen.

Wenn Sie an diesem Thema interessiert sind, dann lesen Sie den folgenden Beitrag.

1. Wann findet das CCPA Anwendung auf deutsche Online-Händler?

Deutsche Online-Händler, die Waren oder Dienstleistungen an Personen mit Wohnsitz in Kalifornien vertreiben und persönliche Daten von solchen Verbrauchern erheben, unterliegen dem CCPA, wenn einer der folgenden Voraussetzungen erfüllt sind:

  • Ihr Umsatz übersteigt $ 25 Mio., oder
  • Persönliche Daten von mehr als 50.000 Verbraucher mit Wohnsitz in Kalifornien werden erhoben, oder
  • 50% oder mehr des Umsatzes des Online-Unternehmens wird über den Verkauf von persönlichen Daten von Verbrauchern mit Wohnsitz in Kalifornien erwirtschaftet.

Die entscheidende Frage wird hier sein, ob sich der Begriff des Umsatzes nur auf den Umsatz in Kalifornien oder auf den weltweiten Umsatz bezieht. Die gesetzliche Regelung bleibt hier unklar. Der hier maßgebliche neu gefasste $ 1798,140 /c) (A) des kalifornischen Zivilgesetzbuches bezieht sich zwar nicht ausdrücklich auf den globalen Umsatz eines Unternehmens. Es gibt aber auch keinen ausdrücklichen Bezug nur auf den Umsatz im Bundesstaat Kalifornien, wie er zum Beispiel in Section 17942(a)(2) des kalifornischen Steuergesetzes zu finden ist. Diese Frage wird wahrscheinlich später durch kalifornische Gerichte zu klären sein.

Starterpaket

2. Gilt das CCPA nur für den Vertrieb von Waren und Dienstleistungen in Kalifornien?

Rein rechtlich findet das CPPA nur Anwendung im Bundesstaat Kalifornien. Aber welcher deutscher Online-Händler, der Waren in den Vereinigten Staaten vertreibt, kann ausschließen, dass seine Produkte auch von Personen gekauft werden, die im bevölkerungsreichsten US-Bundesstaat ansässig sind? Darum sollte das CCPA als Datenschutzstandard für die gesamten Vereinigten Staaten angesehen werden.

3. Empfehlung der IT-Recht Kanzlei

Es wird deutschen Online-Händlern mit Tätigkeit im Bundesstaat Kalifornien empfohlen, aus Gründen der Rechtssicherheit ihren globalen Umsatz als Richtschnur zu nehmen. Wenn sich kalifornische Gerichte für eine restriktive Auslegung des Umsatzbegriffes entscheiden sollten, umso besser. Aus Rechtssicherheitsgründen ist es bei Online-Vertrieb von Waren und Dienstleistungen in den USA empfehlenswert, den kalifornischen Datenschutzstandard für die gesamten Vereinigten Staaten zugrunde zu legen. Dies gilt umso mehr, als mehrere Bundesstaaten ähnliche Datenschutzgesetze wie in Kalifornien planen.

Die IT-Recht Kanzlei wird hierzu berichten.

Aber auch für Online-Unternehmen mit einem geringen Umsatz in den USA könnte es aus Gründen der Kundenbindung in den USA interessant sein, eine Datenschutzerklärung nach den Vorgaben des kalifornischen Datenschutzgesetzes anzubieten. Gerade Kunden in den Vereinigten Staaten, die Wert auf Datenschutz legen, könnten so gewonnen werden.

4. Was haben deutsche Online-Händler, für die das CCPA maßgebend ist, zu beachten?

Deutsche Online-Händler, die ihren Internetauftritt und ihre Datenschutzerklärung bereits an die EU-Datenschutzgrundverordnung (DSGVO) angepasst haben, haben nur einige Besonderheiten des CPPA zu beachten.

Der Begriff der persönlichen Daten ist weiter als nach der DSGVO gespannt und umfasst jegliche persönliche Information, mit der vernünftigerweise eine Person identifiziert werden kann. Umfasst werden so zum Beispiel auch Daten im Hinblick auf den Browserverlauf, Geolokalisierungsdaten, Audio und elektronische Daten und Interaktionen mit Apps.

Sie sollten in Ihrer Webseite mit Hilfe einem spezialisierten Consent Management Dienstleister ein CCPA-Banner einfügen mit dem Titel „Do not Sell My Personal Information“, das direkt verlinkt ist mit Ihrer entsprechenden Datenschutzerklärung, die den Verbraucher auf sein Recht hinweist, dass die Weitergabe von Daten an Dritte zu unterlassen ist (opt-out). Der Begriff „Sell“ wird hier sehr weit gefasst und umfasst auch die bloße Weitergabe von Daten. Das Recht die Weitergabe von Daten zu blockieren, ist in dem CCPA wesentlich einfacher geregelt als in der DSGVO. Dem „Opt-Out“ Verlangen sollte innerhalb einer Frist von 45 Tagen entsprochen werden. Zusätzlich sollte das o.g. Banner noch die Information zur Verwendung von Cookies und zur Opt-Out Möglichkeit beinhalten, z.B. mit folgendem Wortlaut:

"We use cookies to improve our site performance, for analytic purposes and to show you content and advertising that is relevant to you. You can change your consent choices at any time by updating your privacy settings."

Zu beachten ist eine weitere Besonderheit des CCPA. Personen, die von ihrem o.g. „Opt-Out“ Recht Gebrauch machen, dürfen nicht durch erhöhte Preise für Produkte oder andere Sanktionen wie dem Wegfall von Gutscheinen, etc. benachteiligt werden.
Das CCPPA ist in der Frage der vorherigen Einwilligung für die Anwendung von Cookies und Tracking-Technologien großzügiger als die DSGVO. Mit dem Besuch der Webseite und der Erfassung von Kundendaten darf unterstellt werden, dass der Kunde mit der Anwendung von Cookies und Tracking-Technologien einverstanden ist. Dies wird durch ein vereinfachtes Opt-Out Verfahren kompensiert. Allerdings gilt die vorherige Einwilligung (Opt-In) bei Minderjährigen unter 16 Jahren. Bei Kindern unter 13 Jahren muss ein allgemeines Verbot für die Anwendung von Cookies und Tracking-Technologien gilt bei Kindern unter 13 Jahren muss ein Elternteil oder ein Erziehungsberechtigter eine Einwilligung im Namen des Kindes geben.

5. Sanktionen bei Nichtbeachtung des CCPA

Bei einer Nichtbeachtung der Vorschriften des CCPA ist mit einer Geldbuße von $ 2.500 bis $ 7.500 pro Beschwerdeführenden zu rechnen. Eine derartige Datenschutzverletzung kann sich bei einer Vielzahl von Kunden schnell aufaddieren. Der Online-Händler kann eine solche Geldbuße verhindern, wenn er innerhalb von 30 Tagen die Forderungen des betroffenen kalifornischen Verbrauchers erfüllt.

6. Aktualisierte Datenschutzerklärung der IT-Recht Kanzlei nach den Vorgaben des CCPA

Die IT-Recht Kanzlei stellt ihren Mandanten, die in den USA Waren oder Dienstleistungen vertreiben, eine aktualisierte Datenschutzerklärung nach den Vorgaben des CCPA zur Verfügung.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Veröffentlicht von:
Max-Lion Keller, LL.M. (IT-Recht)
Rechtsanwalt

Besucherkommentare

Bisher existieren keine Kommentare.

Vielleicht möchten Sie der Erste sein?

© 2005-2020 ·IT-Recht Kanzlei Keller-Stoltenhoff, Keller
IT-Recht Kanzlei München 311
4.9 5