Strafe in Millionenhöhe für Verstöße gegen CCPA-Regeln

Wer gegen die CCPA-Regeln verstößt, muss mit empfindlichen Strafen rechnen. Das beweist eine aktuelle Mitteilung der kalifornischen Generalstaatsanwaltschaft.

In einem Vergleich einigte sich die kalifornische Generalstaatsanwaltschaft in einem aktuellen Verfahren über Verstöße gegen die CCPA-Regeln mit einer Einzelhandelskette auf eine Strafe in Höhe von 1,2 Millionen Dollar. Es ist die erste mit öffentlichem Interesse eingereichte Durchsetzungsklage. Sie richtete sich gegen ein ausländisches Unternehmen, das seine Produkte in den USA und damit auch in Kalifornien online vertreibt.

Welche Verstöße gegen die CCPA-Regeln wurden festgestellt?

Das in Frankreich beheimatete Unternehmen Sephora nutzte in seinen Onlineshops Tracking-Technologien, durch welche Kundendaten an Drittanbieter übermittelt werden können. Auf den Websites gab es keine Möglichkeit, diese Übermittlung seitens der Kundinnen und Kunden aktiv zu blockieren. Zwar enthalten die Datenschutzhinweise eine Information, dass das Sephora keine personenbezogenen Daten verkauft, allerdings konnte das Unternehmen keine Dienstanbietervereinbarungen vorweisen. Die kalifornische Generalstaatsanwaltschaft ging deshalb davon aus, dass die Weitergabe der Daten einem Verkauf gleichzusetzen ist. Interessant ist das Verfahren vor allem deshalb, weil es nicht nur die Erfüllung der aktuell gültigen CCPA-Regeln verlangt, sondern ergänzend auch die Erfüllung der Ansprüche nach GPC (Global Privacy Control) als zwingend erachtet. GPC ist die 2009 entwickelte „Do Not Track“-Funktion, die inzwischen auch alle gängigen Browser als optionale Einstellung anbieten. Pionier auf diesem Gebiet war Mozilla mit dem Browser Firefox.

CCPA soll schon bald von CPRA abgelöst werden

Das Kürzel CCPA steht für den „California Consumer Privacy Act“, der im Jahr 2018 vom damaligen Gouverneur Jerry Brown unterzeichnet wurde. Er gilt für Unternehmen, die Einnahmen mit dem Verkauf von personenbezogenen Daten erzielen, Daten von mehr als 50.000 Verbrauchern erhalten oder Bruttoeinnahmen von mehr als 25 Millionen Dollar pro Jahr erzielen. Dabei ist zu beachten, dass nur einer der genannten Parameter zutreffen muss. Als personenbezogen stuft der CCPA alle Daten ein, die zu einer direkten oder indirekten Verknüpfung mit einzelnen Verbrauchern oder Haushalten führen können.
Mitte des laufenden Jahres wurde ein Gesetzesentwurf vorgelegt, der unter dem Kürzel CPRA (California Privacy Rights Act) bereits ab Januar 2023 greifen soll. Er fordert zwingend die Bereitstellung eines „Opt-out-Präferenzsignals“ und beinhaltet erstmals eine verbindliche Definition einer solchen Funktion. Ein wichtiger Punkt dabei ist, dass der Weg zum Klick zur Anwendung höherer Stufen des Datenschutzes nicht länger als bei niedrigeren Datenschutzeinstellungen sein darf. Das heißt, dass viele Betreiber von Websites die Möglichkeiten zum individuellen Setzen von Datenschutzeinstellungen überarbeiten müssen. Vielfach ist die einfache Zustimmung mit nur einem Klick möglich, während individuelle Einstellungen Klicks in einem Untermenü erfordern. Das würde ab Januar 2023 einen Verstoß gegen die neuen CPRA-Regeln bedeuten.

Quelle: Generalstaatsanwaltschaft Kalifornien, California Privacy Protection Agency

About Author