Auskunftsrecht zum Datenschutz regional umfangreicher als in der EU

Wer die CCPA-Regelungen zum Datenschutz beachten muss, sollte eine Stellungnahme der Generalstaatsanwaltschaft in Kalifornien kennen.

In Kalifornien geht das den Verbraucherinnen und Verbrauchern zugestandene Auskunftsrecht zum Datenschutz über das in Deutschland und der Europäischen Union hinaus. Das resultiert aus einer aktuellen Interpretation der Regeln im California Consumer Privacy Act (kurz CCPA) durch die dortige Generalstaatsanwaltschaft. Danach müssen nicht nur die über die reine Erfassung gewonnen Daten in den Auskünften enthalten sein.

Welche Auskunftsrechte sichern die CCPA-Regeln Verbrauchen zu?

Nach Auffassung der kalifornischen Generalsstaatsanwaltschaft müssen Unternehmen weit mehr offenlegen, als sie an Daten über die Kundinnen und Kunden gesammelt haben. Die Auskunftspflicht auf der Basis des California Consumer Privacy Act umfasst auch die Schlussfolgerungen, die unternehmensintern über spezielle Analysen aus den vorhandenen Kundendaten gewonnen werden. Das heißt, auch beispielsweise aus dem Kaufverhalten gezogene Schlussfolgerungen zum sozialen und wirtschaftlichen Status sowie spezifischen Interessen unterliegen der Auskunftspflicht. Hinzu kommen Erkenntnisse, die Unternehmen aus der Analyse der Profile der Kundinnen und Kunden in Social Networks gewonnen haben (zum Beispiel Alter, Hautfarbe, Schul- und Berufsabschlüsse, sexuelle und politische Orientierung). Diese Pflicht gilt für alle Erkenntnisse, die aus der Analyse von Daten stammen, die in irgendeiner Form zu den personenbezogenen Daten nach den Bestimmungen des CCPA gehören. Geschäftsgeheimnisse müssen die Unternehmen trotzdem nicht offenlegen, denn dafür sieht die Auskunftspflicht eine Ausnahme vor. Die genannten Auskünfte gehören nach der Auffassung der kalifornischen Generalsstaatsanwaltschaft jedoch nicht zu den Geschäftsgeheimnissen.

Wissenswertes rund um den California Consumer Privacy Act (CCPA)

Rechtlich stellt der CCPA das Pendant zum deutschen Datenschutzgesetz auf der Basis DSGVO der Europäischen Union dar. Er wurde im Jahr 2018 vom damaligen kalifornischen Gouverneur Jerry Brown unterzeichnet. Seither gab es mehrere Änderungen und Erweiterungen. Auslöser der Schaffung dieser Datenschutzgesetze war eine Unterschriftensammlung im Rahmen einer Initiative namens Californians for Consumer Privacy. Ausnahmen sehen die CCPA-Regeln für Gesundheitsinformationen vor. Dort müssen sich Unternehmen an die Regeln im Health Insurance Portability and Accountability Act (kurz HIPAA) halten. Bei klinischen Studien müssen die Vorschriften aus beiden Rechtsnormen beachtet werden. Für die Einhaltung der Datenschutzgesetze ist die im Jahr 2020 eigens dafür geschaffene California Privacy Protection Agency (kurz CPPA) zuständig. Von Bedeutung für deutsche Unternehmen ist die Tatsache, dass die Regeln auch für Firmen mit Sitz im Ausland gelten, wenn sie durch die Art ihrer Geschäftstätigkeit in den Besitz von Daten von Kalifornierinnen und Kaliforniern gelangen.

Quelle: Generalstaatsanwaltschaft Kalifornien

About Author