CCPA vs. DSGVO – Einführung
Der California Consumer Privacy Act (CCPA) ist die erste große bundesweite Datenschutzgesetzgebung in den USA.
Er trat am 1. Januar 2020 in den USA in Kraft, nachdem die europäische DSGVO im Mai 2018 das Datenschutzrecht neu gestaltet hat.
Natürlich haben auch Maine und Nevada neue Datenschutzgesetze oder Änderungen an bestehenden Gesetzen verabschiedet. Das Datenschutzgesetz von Nevada trat sogar schon am 01. Oktober 2019 in Kraft.
Allerdings ist der CCPA von einer ganz anderen Größenordnung.
Der CCPA ändert die Art und Weise, wie Kalifornier mit ihren eigenen Daten umgehen können, da er ihnen neue Rechte einräumt, Unternehmen aufzufordern, die bereits gesammelten Daten offenzulegen oder zu löschen oder den Datenverkauf durch Dritte vollständig abzulehnen.
Die CCPA-Forderungen schaffen auch neue Verpflichtungen für Unternehmen, die in Kalifornien geschäftlich tätig sind. Ob Ihr Unternehmen unter den CCPA fällt, hängt von einer Reihe von Definitionen ab, die wir später in diesem Artikel beleuchten werden.
Die Durchsetzung des CCPA hat begonnen!
Am 14. August wurden die endgültigen Bestimmungen des CCPA verabschiedet und traten sofort in Kraft.
Das bedeutet, dass mit der Durchsetzung des Gesetzes begonnen wird.
Wenn Ihr Unternehmen noch nicht mit dem CCPA konform ist, sollten Sie jetzt dafür sorgen, dass Sie es tun.
Erfahren Sie mehr über die endgültigen Bestimmungen des CCPA
Werden Sie mit Cookiebot 14 Tage lang kostenlos CCPA-konform – oder für immer, wenn Sie eine kleine Website haben
DSGVO vs. CCPA
Die Datenschutz-Grundverordnung (DSGVO) ist ein EU-Gesetz, das im Mai 2018 in Kraft getreten und in allen EU-Mitgliedstaaten einheitlich verbindlich ist.
Die DSGVO regelt, wie Websites, Unternehmen und Organisationen personenbezogene Daten verarbeiten dürfen, die definiert sind als Namen, E-Mail-Adressen, Standortdaten, Browser-Historie sowie etwaige andere Dinge.
Wenn Ihre Website Besucher aus der EU hat und Sie – oder eingebettete Dienste Dritter wie Google oder Facebook – jegliche Art von personenbezogenen Daten verarbeiten, müssen Sie laut DSGVO zunächst die vorherige Zustimmung des Nutzers einholen.
Damit diese Einwilligung gültig ist, muss sie auf einer klaren Information über Zweck, Umfang und Dauer Ihrer Datenverarbeitung beruhen.
EDPB-Guidelines zu DSGVO-Konformität
Wenn Sie dies über einen Banner zur Cookie-Einwilligung auf Ihrer Website tun, besagen die EDPB-Guidelines zu gültiger Zustimmung, dass –
- Ihr Banner keine vorausgewählten Kontrollkästchen in irgendeiner Cookie-Kategorie haben darf, außer denen, die für den Betrieb Ihrer Website unbedingt erforderlich sind,
- das Scrollen oder fortgesetzte Browsen auf Ihrer Website durch Nutzer nicht als gültige Zustimmung betrachtet wird,
- es Ihnen nicht gestattet ist Cookie-Walls zu verwenden, d.h. die Zustimmung für den Zugang zu Ihrer Website von einer Bedingung abhängig zu machen (erzwungene Zustimmung).
Die EDPB-Guidelines gelten für jede Website, unabhängig davon, wo auf der Welt sie sich befindet und von wo aus sie betrieben wird, solange sie Besucher aus der Europäischen Union hat.
Somit ist die DSGVO für eine Website in Kalifornien anzuwenden, wenn diese Website auch Besucher aus der EU hat.
Die Consent Management-Plattform von Cookiebot macht Ihre Website konform mit der DSGVO, dem CCPA und weiteren wichtigen Datenschutzgesetzen auf der ganzen Welt.
Unsere automatische Geo-Targeting-Funktion stellt sicher, dass Ihre Website immer die richtige und konforme Einwilligungslösung auf der Grundlage des spezifischen rechtlichen Systems des einzelnen Benutzers darstellt.
Haben Sie Zweifel, ob Ihre Website DSGVO-konform ist? Dann überprüfen Sie es mit dem kostenlosen Konformitätstest von Cookiebot.
Testen Sie Cookiebot 14 Tage lang kostenlos… oder für immer, wenn Sie eine kleine Website haben.
CCPA vs. DSGVO – Gesamtvergleich
Die DSGVO konzentriert sich auf die Schaffung eines “privacy by default” (standardmäßigen Datenschutz) -Rechtsrahmens für die gesamte EU, während es beim CCPA darum geht, Transparenz in der riesigen Datenwirtschaft Kaliforniens und Rechte für seine Verbraucher zu schaffen.
Wo die DSGVO eine Tür für den EU-Nutzer schafft, die er vor jeder Datenverarbeitung verschließen kann, schafft der CCPA ein Fenster, das dem kalifornischen Verbraucher die Möglichkeit gibt, herauszufinden, welche seiner Daten bereits von einem Unternehmen erhalten oder an einen Dritten verkauft wurden.
Diese Metapher verdeutlicht den Hauptunterschied zwischen dem CCPA und der DSGVO – nämlich den Unterschied zwischen der vorherigen Zustimmung und dem Opt-out.
DSGVO vs. CCPA: Rechtsgrundlagen vs. Opt-Out
Wenn die DSGVO verlangt, dass Websites, Unternehmen und Betriebe eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten in der EU haben müssen (wobei die erste Rechtsgrundlage die Einwilligung ist), hat der CCPA keinen solchen Rahmen.
Nach dem CCPA braucht ein Unternehmen keine vorherige Zustimmung eines Nutzers, bevor es seine Daten verarbeitet, und eine Website braucht auch nicht die vorherige Zustimmung eines Nutzers, bevor sie ihre Daten an Dritte verkauft.
Hauptrechte in CCPA und DSGVO
Zu den wichtigsten Rechten des CCPA und der DSGVO gehören das Recht auf Information, das Recht auf Zugang und das Recht auf Übertragbarkeit.
Sie umfassen jeweils das Recht auf Löschung (“right to deletion” im CCPA und “right to erasure” in der DSGVO), mit sehr geringen Unterschieden zwischen den beiden, sowie das Recht auf Opt-out (CCPA) und das Recht auf vorherige Zustimmung (DSGVO).
Die beiden letztgenannten sind in gewisser Weise unvergleichbar, da das Recht auf Opt-Out am besten mit dem Recht auf Widerruf der Zustimmung (DSGVO) verglichen werden kann, während das Grundrecht der vorherigen Zustimmung (DSGVO) im CCPA keine Entsprechung hat.
Für einen umfassenden Vergleich zwischen den Rechten des CCPA und der DSGVO, sehen Sie Seite 26 im FPF-Vergleich zum Datenschutzrecht.
Beim Vergleich der Rechte des CCPA vs. DSGVO wird deutlich, dass die vorherige Zustimmung – ausschließlich der DSGVO – wirklich den Unterschied ausmacht, da sie EU-weit einen Rechtsrahmen schafft, der die Privatsphäre priorisiert, durch die Kontrolle der Nutzer.
CCPA vs. DSGVO – worum geht es in den Gesetzen?
In diesem Abschnitt werfen wir einen Blick auf den Gegenstand und den Bereich des CCPA und der DSGVO.
Persönliche Informationen (CCPA) vs. persönliche Daten (DSGVO)
Der CCPA definiert persönliche Informationen als “Informationen, die einen bestimmten Verbraucher oder Haushalt identifizieren, sich auf ihn beziehen, ihn beschreiben, mit ihm assoziiert werden können oder vernünftigerweise direkt oder indirekt mit ihm in Verbindung gebracht werden könnten“.
Die DSGVO definiert personenbezogene Daten als “alle Informationen über eine bestimmte oder bestimmbare natürliche Person (betroffene Person), die sich direkt oder indirekt, insbesondere durch Bezugnahme auf eine Kennung, auf diese beziehen“.
Der Unterschied zwischen dem CCPA und der DSGVO besteht darin, dass die Definition des CCPA extra-personenbezogen ist, d.h. sie umfasst Daten, die nicht personenbezogen sind, sondern als Haushaltsdaten kategorisiert werden, während die DSGVO ausschließlich personenbezogen bleibt.
Im Gegensatz zum CCPA schafft die DSGVO jedoch eine spezielle Kategorie von Daten, die als sensible personenbezogene Daten bezeichnet werden und deren Verarbeitung untersagt ist, wenn nicht eine der spezifischen Anforderungen erfüllt ist.
„Verkaufen Sie meine personenbezogenen Daten nicht“ (CCPA) vs. Rechtsgrundlagen für die Datenverarbeitung (DSGVO)
Die DSGVO hat sechs rechtliche Grundlagen für die Verarbeitung personenbezogener Daten in der EU, der CCPA hat keine für die Verarbeitung personenbezogener Daten in Kalifornien.
Das bedeutet, dass Unternehmen Daten über Kalifornier verarbeiten können, wie sie wollen, es sei denn, die Verbraucher machen von ihrem Recht Gebrauch, ihre Daten nicht verkaufen zu lassen.
Dies zeigt sich in der Anforderung des CCPA an Unternehmen, eine Schaltfläche oder einen Link auf der Website des Unternehmens bereitzustellen, auf dem ausdrücklich steht: “Do Not Sell My Personal Information” (Verkaufen Sie meine personenbezogenen Daten nicht), was es den Verbrauchern ermöglicht, den Verkauf von Daten Dritter schnell abzulehnen.
Wenn Ihr Unternehmen also unter die CCPA-Definition eines Unternehmens fällt (siehe Definition unten), müssen Sie, um dem Gesetz gerecht zu werden, einen “Do Not Sell My Personal Information“-Button haben, der für Ihre Benutzer auf Ihrer Website klar, sichtbar und zugänglich ist.
CCPA vs. DSGVO – für wen gelten die Gesetze?
In diesem Abschnitt werfen wir einen Blick auf den Anwendungsbereich der kalifornischen und EU-Datenschutzgesetze.
Verbraucher (CCPA) vs. betroffene Personen (DSGVO)
Die DSGVO schützt betroffene Personen, die als “eine bestimmte oder bestimmbare natürliche Person” definiert sind, während der CCPA Verbrauchern bestimmte Rechte einräumt, die als “eine natürliche Person mit Wohnsitz in Kalifornien” definiert sind.
Eine betroffene Person kann nach der DSGVO jede Person sein und nicht nur in der EU ansässige Personen oder Bürger, im Gegensatz zu einem Verbraucher, der im CCPA entweder als eine Person definiert wird, “die sich zu anderen als temporären oder vorübergehenden Zwecken im Staat befindet” oder als eine Person, “die in dem Staat ansässig ist und sich zu temporären oder vorübergehenden Zwecken außerhalb des Staates befindet“.
Alle anderen Personen sind Ausländer, entscheidet der CCPA.
Die DSGVO schützt im Gegensatz zum CCPA die betroffenen Personen und nicht die Bürger oder Gebietsansässigen.
Wenn ein amerikanischer Tourist in der EU reist und seine Daten während seines Aufenthalts in der Union verarbeitet werden, werden sie durch die DSGVO geschützt. Die Unternehmen, die ihre Daten verarbeiten, selbst wenn sie in den USA ansässig sind, müssen sich an die Vorschriften halten, solange sie den betroffenen Personen innerhalb der EU Dienstleistungen anbieten.
Mit anderen Worten, betroffene Personen sind alle natürlichen Personen, die Daten innerhalb der EU von Unternehmen verarbeiten lassen, die Dienstleistungen und/oder Produkte für die Union anbieten.
Geltungsbereich des CCPA vs. DSGVO
Sowohl der CCPA als auch die DSGVO haben eine extraterritoriale Reichweite.
Der CCPA gilt für Unternehmen, die unter die Definition eines Geschäfts (siehe unten) fallen, unabhängig davon, ob das Unternehmen selbst in Kalifornien ansässig ist.
Ein Beispiel: Ein Unternehmen mit Sitz in Europa, das unter die Definition eines Geschäfts im CCPA fällt (z.B. Handel mit den Daten von mehr als 50.000 Kaliforniern jährlich), ist zur Einhaltung des CCPA verpflichtet.
Ebenso gilt die DSGVO für alle Websites, Unternehmen und Organisationen (Data Controller) weltweit, wenn sie Waren oder Dienstleistungen an Privatpersonen innerhalb der EU anbieten.
Der Unterschied im Geltungsbereich besteht jedoch darin, dass die DSGVO jede Person (betroffene Person) schützt, die sich zum Zeitpunkt der Erhebung oder Verarbeitung in der Europäischen Union befindet, während der CCPA nur Personen schützt, die unter seine Definition eines Verbrauchers als in Kalifornien ansässig fallen (d.h. die sich zu anderen als temporären oder vorübergehenden Zwecken in diesem Staat aufhalten).
Unternehmen (CCPA) vs. für die Datenverarbeitung Verantwortliche (DSGVO)
Der CCPA kontrolliert die Bedingungen für Unternehmen und ihre Datenverarbeitungstätigkeiten und definiert diese mit einer Reihe von engen Klassifizierungen.
Ein Unternehmen ist laut CCPA eine Einheit, die gewinnorientiert ist, persönliche Daten von Verbrauchern sammelt, den Zweck und die Art der Verarbeitung bestimmt, in Kalifornien geschäftlich tätig ist und mindestens eine der folgenden Schwellenwerte erfüllt:
- Jahresumsatz über 25 Millionen Dollar,
- Verarbeitet die persönlichen Daten von mindestens fünfzigtausend Kaliforniern pro Jahr,
- Erzielt fünfzig Prozent oder mehr seiner jährlichen Einnahmen aus dem Verkauf von persönlichen Informationen.
Dies schließt natürlich eine Vielzahl von Unternehmen, Organisationen und Websites aus, die täglich persönliche Daten von Kaliforniern verarbeiten und dies auch nach dem Inkrafttreten des CCPA weiterhin tun dürfen.
Die DSGVO-Anforderungen hingegen gelten für die für die Datenverarbeitung Verantwortlichen, definiert als jede Art von Unternehmen mit Datenverarbeitungstätigkeiten.
Die DSGVO legt keine Beschränkungen hinsichtlich der Größe, mit oder ohne Gewinn, öffentlich oder privat, innerhalb oder außerhalb der EU, oder andere Schwellenwerte fest, die im CCPA zu finden sind.
Ein für die Datenverarbeitung Verantwortlicher ist nach der DSGVO einfach jede Stelle, die Daten in der EU sammelt und/oder verarbeitet.
Dazu gehören alle Unternehmen, Betriebe, Organisationen und – nicht zuletzt – jede Website, unabhängig von Größe, Form und Zweck. Im Gegensatz zum CCPA sind Sie, wenn Sie Daten verarbeiten, DSGVO-pflichtig.
Dies unterstreicht einen großen Unterschied zwischen dem CCPA und der DSGVO: nämlich, dass letzterer einen viel breiteren Geltungsbereich hat, was die Frage betrifft, für wen und was er gilt, da er nicht z.B. nach der Höhe der Einnahmen eines Unternehmens oder einer Organisation im Jahr diskriminiert.
Zusammenfassend lässt sich sagen, dass die DSGVO einfach mehr Menschen vor mehr Datenverarbeitungspraktiken schützt als der CCPA.
CCPA vs. DSGVO – Vollzugs- und Aufsichtsbehörde
Wenn es um die Durchsetzung des CCPA vs. DSGVO geht, sind die beiden Datenschutzgesetze von der Art her ähnlich, unterscheiden sich aber wiederum in ihrem Anwendungsbereich.
Die DSGVO kann durch Geldstrafen durchgesetzt werden, die von den nationalen Datenschutzbehörden in den EU-Mitgliedsstaaten erlassen werden. Diese können bis zu 4 % des weltweiten Jahresumsatzes eines Unternehmens oder 20 Millionen Euro betragen, je nachdem, welcher Betrag höher ist.
Die Geldbußen nach DSGVO richten sich nach Art, Schwere und Dauer des Verstoßes. Die bisher höchsten Bußgelder für DSGVO-Verstöße werden von der französischen Datenschutzbehörde CNIL in Höhe von $50 Mio. verhängt.
Der CCPA kann vom Generalstaatsanwalt Kaliforniens durch Geldstrafen durchgesetzt werden, die jedoch wesentlich geringer sind als die für die Nichteinhaltung der DSGVO verhängten Strafen.
Sie haben ein Maximum von $2.500 pro Verstoß, mit internationalen Verstößen von bis zu $7.500.
Verstöße und Nichteinhaltung des CCPA werden durch Zivilklagen des Generalstaatsanwalts von Kalifornien beurteilt und ausgestellt.
DSGVO vs. CCPA: Aufsichtsbehörde
In der EU sind es laut DSGVO die nationalen Datenschutzbehörden, die die Aufgabe haben, das Bewusstsein zu fördern und Unternehmen, Organisationen und Websites zu beraten, wie sie DSGVO-konform sein können.
Die EU-Datenschutzbehörden haben auch Ermittlungsbefugnisse, d.h. sie können Prüfungen bei Unternehmen durchführen, die im Verdacht stehen, gegen die DSGVO zu verstoßen. Sie können Warnungen aussprechen und die für die Datenverarbeitung Verantwortlichen zur Einhaltung der DSGVO anweisen sowie Verarbeitungsverbote, Verwaltungsstrafen und die Löschung unrechtmäßig erlangter Daten verhängen.
Der CCPA hingegen hat wesentlich engere Kontrollmöglichkeiten. Die Einleitung von Ermittlungen ist allein Sache des Generalstaatsanwalts.
Durchsetzung begann im August 2020 mit den endgültigen Bestimmungen des CCPA.
Erfahren Sie mehr über die endgültigen Bestimmungen des CCPA
Werden Sie CCPA-kompatibel mit Cookiebot kostenlos für 14 Tage – oder für immer, wenn Sie eine kleine Website haben.
Zusammenfassung: CCPA vs. DSGVO
Die DSGVO ist ein größeres, breiter angelegtes Gesetz zum Schutz der Privatsphäre, das einen Datenschutzrahmen in der EU bildet, in dem die Privatsphäre die Vorgabe ist und auf der vorherigen Zustimmung der EU-Nutzer beruht. Sie verleiht den Bürgern in der EU das Recht auf Zugang, Löschung und Information sowie das Recht auf Widerruf der Einwilligung.
Der CCPA ist im Vergleich dazu ein kleineres, spezifischeres sektorales Gesetz, das den Einwohnern Kaliforniens das Recht einräumt, über die Daten, die bestimmte Unternehmen (die der Definition des CCPA entsprechen) erhalten haben, zu entscheiden, indem sie Zugang zu diesen Daten beantragen, sie löschen lassen oder den Verkauf der gesammelten Daten an Dritte ganz ablehnen können.
Die beiden Gesetze unterscheiden sich in grundlegender Hinsicht und schaffen in Europa und Kalifornien zwei sehr unterschiedliche rechtliche Rahmenbedingungen für den Datenschutz und die Datenautonomie.
Wie Sie die DSGVO und den CCPA einhalten
Cookiebot kann Ihnen helfen, DSGVO- und CCPA-Compliance auf Ihrer Website zu erreichen.
Cookiebot ist ein Consent Management Tool, das Ihre Website scannt, alle Cookies und Tracker findet und automatisch pausiert, bis Ihre Endbenutzer ihre Zustimmung dazu geben, welche spezifischen Kategorien von Cookies sie auf ihren Geräten platzieren dürfen.
Cookiebot ermöglicht mehrere Compliance-Lösungen auf derselben Website mit einer Geotargeting-Funktion, so dass Besucher aus der EU einen DSGVO-konformen Banner erhalten, während Besucher aus Kalifornien die CCPA-konforme Cookie-Erklärung bekommen.
Auf diese Weise kann Ihre Website ihre Endbenutzer auf eine Weise schützen, die mit den Datenschutzgesetzen ihres eigenen Landes oder Staates konform ist.
Probieren Sie Cookiebot 14 Tage lang kostenlos… oder für immer, wenn Sie eine kleine Website haben.
FAQ
Was ist die DSGVO?
Die Allgemeine Datenschutz-Grundverordnung (DSGVO) ist ein EU-Gesetz, das die Verarbeitung personenbezogener Daten von Personen innerhalb der Europäischen Union regelt. Die DSGVO schreibt vor, dass Websites vor der Verarbeitung von personenbezogenen Daten die klare und positive Einwilligung der Nutzer einholen müssen.
Was ist der CCPA?
Der California Consumer Privacy Act (CCPA) ist ein landesweites Gesetz, das regelt, wie Unternehmen die persönlichen Daten von Einwohnern Kaliforniens sammeln, verarbeiten und weitergeben dürfen. Der CCPA verlangt von Unternehmen (die unter die gesetzliche Definition von Unternehmen fallen), Verbrauchern die Möglichkeit zu geben, sich gegen die Weitergabe und den Verkauf ihrer persönlichen Daten an Dritte zu entscheiden und Zugang zu bereits erfassten Daten zu erhalten und diese löschen zu lassen.
Was sind wichtige Unterschiede zwischen CCPA und DSGVO?
Der wichtigste Unterschied zwischen der DSGVO und dem CCPA besteht in der Frage der vorherigen Zustimmung im Gegensatz zum Opt-out. Die DSGVO verlangt, dass die Nutzer vor der Erfassung und Verarbeitung ihrer persönlichen Daten ihre klare und positive Zustimmung geben müssen, während der CCPA von den Unternehmen verlangt, dass sie den Verbrauchern die Möglichkeit geben müssen, sich gegen eine Weitergabe oder den Verkauf ihrer Daten an Dritte zu entscheiden. Die DSGVO verlangt eine rechtliche Grundlage (z.B. Einwilligung) für die Sammlung persönlicher Daten. Nach dem CCPA müssen Sie den Benutzern die Möglichkeit geben, sich gegen die Erfassung Ihrer persönlichen Daten zu entscheiden. Die DSGVO schützt jede Person, die sich innerhalb der EU befindet, während der CCPA die Einwohner Kaliforniens schützt.
Wer muss sich an den CCPA und die DSGVO halten?
Die DSGVO schreibt vor, dass jede Website, jedes Unternehmen oder jede Organisation, die personenbezogene Daten über Personen innerhalb der EU verarbeitet, diese Bestimmungen einhalten muss – auch wenn sie selbst nicht innerhalb der EU ansässig sind. Nach dem CCPA sind nur Unternehmen oder gewinnorientierte Organisationen, die der gesetzlichen Definition von Unternehmen entsprechen, zur Einhaltung verpflichtet.
Lesen Sie mehr über den CCPA und die Definition von Unternehmen.
Ressourcen
Kalifornisches Datenschutzgesetz (CCPA)
CCPA and Cookies (in Englisch)
CCPA-Konformität mit Cookiebot
DSGVO offizieller Gesetzestext
CCPA offizieller Gesetzestext (in Englisch)
EDPB-Guidelines zu gültiger Zustimmung
Future of Privacy Forum: umfassender Vergleich zwischen CCPA und DSGVO (in Englisch)
Der EU-Gerichtshof und seine Entscheidung über die gültige Zustimmung in der EU