Blog
DSGVO und CCPA: Zwei wichtige Datenschutzgesetze, die sich auf Ihr Unternehmen auswirken
November 23, 2021
Datenschutz ist nach wie vor ein wichtiges Thema für Verbraucher und Unternehmen in aller Welt. Es kommt einem fast so vor, als gäbe es jeden Tag eine Diskussion über eine neue Datenschutzverordnung oder ein neues Datenschutzgesetz, das in Kraft tritt – einige davon haben wir in unserem kürzlich erschienenen Blog mit dem Titel A Little Privacy Recap vorgestellt. Für Unternehmen, die Daten erheben und verarbeiten, kann es jedoch eine Menge zu beachten geben.
Zwei der wichtigsten Datenschutzbestimmungen, die in Kraft getreten sind, sind die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union und der California Consumer Privacy Act (CCPA). Obwohl diese Datenschutzgesetze einige Ähnlichkeiten aufweisen, unterscheiden sie sich in Bezug auf Anwendungsbereich, Schwerpunkt und Definitionen.
Beide Datenschutzverordnungen sind umfassend und weit gefasst und können sich auf alle Unternehmen auswirken, in denen personenbezogene Daten von Verbrauchern gesammelt und verarbeitet werden. Um Ihnen einen Überblick über die beiden Regelungen zu geben, werfen Sie einen Blick auf unsere Vergleichstabelle zu DSGVO und CCPA.
| EU-Datenschutz-Grundverordnung (DSGVO) | California Consumer Privacy Act (CCPA) | |
| Überblick | Die Datenschutz-Grundverordnung ist eine Verordnung im EU-Recht, die darauf abzielt, die Kontrolle und die Rechte von Einzelpersonen in Bezug auf ihre personenbezogenen Daten zu stärken und das rechtliche Umfeld für internationale Unternehmen zu vereinfachen. Sie ist als Verordnung und nicht als Richtlinie definiert, was bedeutet, dass sie unmittelbar verbindlich ist, den einzelnen EU-Mitgliedstaaten jedoch Flexibilität bietet. Das heißt, dass die Ansätze zur Einhaltung der Vorschriften in den einzelnen europäischen Ländern sehr unterschiedlich sein können. | Der CCPA soll den Verbrauchern die Möglichkeit geben, die von Unternehmen erhobenen und verarbeiteten personenbezogenen Daten zu kontrollieren. Der California Privacy Rights Act (CPRA), der im Jahr 2023 in Kraft tritt, wird den CCPA ändern und erweitern und gilt rückwirkend für alle Daten, die ab Januar 2022 erhoben wurden. |
| Datum des Inkrafttretens | Die DSGVO wurde am 14. April 2016 verabschiedet und trat am 25. Mai 2018 in Kraft. | Der CCPA trat am 1. Januar 2020 in Kraft (mit einigen Ausnahmen). |
| Website | gdpr.eu | oag.ca.gov/privacy/ccpa |
| Wen schützt die Datenschutzverordnung? | „Betroffene Personen“ sind natürliche Personen, deren Daten verarbeitet werden (wie Kunden und Website-Besucher). Die betroffenen Personen haben das Recht, darüber informiert zu werden, wie ihre personenbezogenen Daten erhoben und verwendet werden, das Recht auf Zugang zu den erhobenen Daten, das Recht, der Verarbeitung ihrer personenbezogenen Daten zu widersprechen, und das Recht, die Löschung ihrer Daten zu verlangen. | Der Schutz nach dem CCPA ist auf in Kalifornien ansässige Personen im Sinne der kalifornischen Steuergesetzgebung beschränkt. Als Einwohner Kaliforniens können Verbraucher von Unternehmen verlangen, dass sie die von ihnen gesammelten personenbezogenen Daten offenlegen, preisgeben, was das Unternehmen mit diesen Daten macht, und das Unternehmen auffordern, die Daten nicht zu verkaufen und/oder sie zu löschen. |
| Welche Art(en) von personenbezogenen Daten werden geschützt? | In der DSGVO sind personenbezogene Daten als alle Informationen definiert, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. | Nach der Definition des CCPA sind personenbezogene Daten alles, was einen bestimmten Verbraucher oder Haushalt identifiziert, sich auf ihn bezieht, ihn beschreibt, mit ihm in Verbindung gebracht werden kann oder der Logik nach mit ihm in Verbindung gebracht werden könnte. |
| Welche Art(en) von Einrichtungen sind davon betroffen? | Alle natürlichen oder juristischen Personen, Behörden, Agenturen und sonstigen Einrichtungen, die personenbezogene Daten von betroffenen Personen im Europäischen Wirtschaftsraum verarbeiten, müssen die DSGVO einhalten, wenn sich diese Verarbeitungstätigkeiten auf das Anbieten von Waren oder Dienstleistungen oder die Überwachung von Verhaltensweisen im Europäischen Wirtschaftsraum beziehen, und zwar unabhängig von ihrem Sitz oder dem Ort der Verarbeitung. Dazu gehören alle Einrichtungen, die solche Daten erheben, speichern, übermitteln oder anderweitig verarbeiten. Die DSGVO gilt auch für die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung einer Einrichtung im Europäischen Wirtschaftsraum, unabhängig davon, wo die Verarbeitung stattfindet und wo sich die betroffenen Personen befinden. | Das CCPA gilt für alle juristischen Personen mit der Absicht, Gewinne zu erzielen, die in Kalifornien geschäftlich tätig sind und eines der folgenden Kriterien erfüllen: – Sie haben einen Bruttojahresumsatz von mehr als 25 Millionen US-Dollar. – Sie kaufen, erhalten oder verkaufen personenbezogene Daten von mindestens 50.000 Einwohnern, Haushalten oder Geräten in Kalifornien. – Sie erwirtschaften 50 % oder mehr ihres Jahresumsatzes mit dem Verkauf persönlicher Daten von Einwohnern Kaliforniens. Der physische Hauptsitz des Unternehmens ist irrelevant, wenn es in Kalifornien tätig ist und die oben genannten Schwellenwerte erfüllt. |
| Schlüsselrollen | Verantwortlicher: Eine natürliche oder juristische Person, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Der Verantwortliche ist dafür zuständig, die Einhaltung der DSGVO durch die Einrichtung sicherzustellen. Datenverarbeiter: Eine natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Datenschutzbeauftragter (DSB): Dies ist eine von der EU-DSGVO geforderte Führungsrolle. Der Inhaber dieser Rolle ist für die Strategie, den Ansatz und die Ausführung der DSGVO-Compliance verantwortlich. Aufsichtsbehörde: Die Einhaltung der DSGVO wird von einer Behörde innerhalb eines EU-Landes (auch bekannt als Mitgliedsstaat) überwacht. Die Aufsichtsbehörde kann Audits durchführen, Empfehlungen aussprechen, Beschwerden nachgehen und Geldbußen verhängen. | Unternehmen: Ein Unternehmen ist jede juristische Person, die gewinnorientiert agiert, in Kalifornien tätig ist und mindestens einen der drei im CCPA definierten Schwellenwerte (oben beschrieben) erfüllt. Dienstanbieter : Ein Dienstanbieter ist eine juristische Person, die im Rahmen eines Dienstanbietervertrags tätig ist, gewinnorientiert arbeitet, personenbezogene Daten von Verbrauchern von einem Unternehmen erhält und personenbezogene Daten im Auftrag des Unternehmens verarbeitet. Dritter: Ein Dritter ist eine Einrichtung, bei der es sich weder um ein Unternehmen handelt, das personenbezogene Daten von Verbrauchern erhebt, noch um eine Person, an die ein Unternehmen personenbezogene Daten eines Verbrauchers weitergibt. Dritten, die personenbezogene Daten erhalten, ist es untersagt, die personenbezogenen Daten zu verkaufen, die Daten für andere Zwecke als den spezifischen Zweck der vertraglich festgelegten Dienstleistungen zu speichern, zu verwenden oder offenzulegen und Informationen außerhalb der direkten Geschäftsbeziehung zu speichern, zu verwenden oder offenzulegen. |
| Anforderungen an Unternehmen | Unternehmen müssen technische und betriebliche Sicherheitsvorkehrungen treffen, um die von ihnen kontrollierten personenbezogenen Daten zu schützen. Zudem müssen sie Aufzeichnungen über die Verarbeitungstätigkeiten führen. Bei Datenverarbeitungstätigkeiten, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringen, muss der für die Verarbeitung Verantwortliche eine Datenschutz-Folgenabschätzung durchführen. Darüber hinaus muss für jedwede Verarbeitung personenbezogener Daten, einschließlich der Einholung einer Einwilligung, eine Rechtsgrundlage vorhanden sein. In einigen Fällen müssen Unternehmen einen Datenschutzbeauftragten ernennen und ihre Datenschutzrichtlinie aktualisieren. Ihre Datenschutzrichtlinie muss knapp und präzise, transparent, verständlich und leicht zugänglich sein. Die genauen Anforderungen an die Datenschutzrichtlinie hängen davon ab, ob die Einrichtung Daten direkt von einer Person erhebt oder ob sie sie als Dritte erhält. Weitere Informationen zum Datenschutzhinweis finden Sie unter gdpr.edu/privacy-notice/. | Alle betroffenen Unternehmen müssen den Verbrauchern zum Zeitpunkt der Datenerhebung einen Hinweis bereitstellen, in dem alle personenbezogenen Daten, die das Unternehmen über die Verbraucher erhebt, sowie der Zweck der Datenerhebung aufgeführt sind. Der Hinweis muss einen Link zu den Datenschutzrichtlinien des Unternehmens enthalten, die eine vollständige Beschreibung der Datenschutzpraktiken des Unternehmens, der finanziellen Anreize und der Datenschutzrechte enthalten müssen. Wenn ein Unternehmen personenbezogene Daten von Verbrauchern verkauft (der „Verkauf“ personenbezogener Daten ist definiert als die Weitergabe personenbezogener Daten an ein anderes Unternehmen oder einen Dritten gegen Geld oder eine andere entgeltliche Gegenleistung), muss es den Verbrauchern eine Opt-out-Möglichkeit bieten, die über einen Link „Meine personenbezogenen Daten nicht verkaufen“ auf der Homepage oder Startseite einer Website oder Anwendung, auf der die Daten erfasst werden, zugänglich ist. |
| Geldbußen für Verstöße | Abhängig davon, gegen welche Bestimmungen verstoßen wird, können Verstöße zu einer Geldbuße von bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes des Unternehmens aus dem vorangegangenen Geschäftsjahr führen, je nachdem, welcher Betrag höher ist. Abhängig davon, gegen welche Bestimmungen verstoßen wird, können Verstöße zu einer Geldbuße von bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes des Unternehmens aus dem vorangegangenen Geschäftsjahr führen, je nachdem, welcher Betrag höher ist. | In anderen Fällen kann ein Bußgeld von bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes des Unternehmens aus dem vorangegangenen Geschäftsjahr verhängt werden, je nachdem, welcher Betrag höher ist. – Maximale zivilrechtliche Strafen von 7.500 Dollar für vorsätzliche Verstöße – Maximale zivilrechtliche Strafen von 2.500 Dollar für unbeabsichtigte Verstöße – Verbraucher können für jede Verletzung der Sicherheitspflichten gemäß CCPA, die zu einer Sicherheitsverletzung (oder einem Datenschutzverstoß) geführt hat, eine Privatklage auf maximal zwischen 100 und 750 Dollar oder tatsächlichen Schadenersatz einreichen (je nachdem, welcher Betrag höher ist). In allen Fällen haben die Unternehmen 30 Tage Zeit, um die Verstöße zu beheben, bevor sie die Strafen zahlen müssen. Es gibt keine Obergrenze für Sanktionen, und ein Unternehmen kann bei jedem Verstoß mit Sanktionen belegt werden. Das heißt, wenn ein Unternehmen gegen 50.000 einzelne Anfragen verstößt, die vom Generalstaatsanwalt als vorsätzlich eingestuft werden, könnten sich die Strafen auf rund 375 Millionen Dollar summieren. |
Einer der größten Unterschiede zwischen der DSGVO und dem CCPA ist der Umfang der geschützten Personen. Die DSGVO ist deutlich weiter gefasst, da sie eine „betroffene Person“ schützt, die sich im Europäischen Wirtschaftsraum befindet. Der CCPA wurde der DSGVO nachempfunden, schützt jedoch speziell „Verbraucher“, die als natürliche Person mit Wohnsitz in Kalifornien identifiziert werden.
Solange ein Unternehmen also Waren und Dienstleistungen anbietet oder das Verhalten einer betroffenen Person im EWR überwacht, muss es sich an die DSGVO halten. In ähnlicher Weise muss ein gewinnorientiertes Unternehmen, das eines der definierten Kriterien des CCPA erfüllt, die Anforderungen einhalten. Im Allgemeinen aber denken viele Unternehmen angesichts der Dynamik der neuen Datenschutzbestimmungen rund um den Globus nicht mehr über die Unterschiede zwischen CCPA und DSGVO nach, sondern darüber, was die DSGVO verlangt und umgekehrt.
Die Bedeutung einer verantwortungsvollen digitalen Bürgerschaft und der Datenethik
DSGVO und CCPA sind nur zwei Beispiele für einen größeren Trend, der sich auf den Datenschutz für einzelne Nutzer konzentriert. Es wird künftig noch mehr Anforderungen, Datenschutzgesetze und Vorschriften geben, die sich mit diesem Thema befassen. In dieser sich ständig wandelnden digitalen Welt müssen Unternehmen unabhängig von den technischen Aspekten eines Gesetzes einer verantwortungsvollen digitalen Bürgerschaft und der Datenethik in allen Rechtsordnungen Vorrang einräumen. Das bedeutet, dass Sie sicherstellen, dass Ihr Unternehmen die Vorschriften einhält, um sich sicher zu verhalten, verantwortungsvoll zu handeln und die Integrität des digitalen Raums zu wahren.
Fordern Sie eine Demo an, um zu erfahren, wie die Dialogue Consent Management Platform (CMP) von Sourcepoint Ihnen helfen kann, Datenschutzbestimmungen wie DSGVO und CCPA einzuhalten und gleichzeitig personalisierte Erlebnisse für Ihre Nutzer zu ermöglichen.
Haftungsausschluss: Die vorstehenden Informationen dienen lediglich allgemeinen Informationszwecken. Sie stellen keine Rechtsberatung dar und sollten nicht als Grundlage für rechtliche Entscheidungen herangezogen werden. Bitte lassen Sie sich von einem Anwalt beraten, um festzustellen, wie sich die rechtlichen Änderungen auf Sie oder Ihr Unternehmen auswirken können.
Latest Blog Posts
Für Publisher: 5 Tipps zur Optimierung der Anbieterprüfung
April 4, 2022Sie müssen die Datenverarbeiter auf Ihrer Seite genauer unter...
Warnbeispiele hinsichtlich der Anbieterliste: Was Sie tun können, um Ihre Website zu schützen
April 4, 2022Wann haben Sie das letzte Mal einen Blick auf...
FAQ: Die Entscheidung der belgischen Datenschutzbehörde bezüglich des TCF des IAB
März 11, 2022Dieser Beitrag wurde aktualisiert, um die Entscheidung der belgischen...
Latest White Papers
Ebook: Publisher-leitfaden zur Kuratierung von Anbieterlisten
Juni 9, 2022Gesetzliche Anforderungen einhalten und Compliance-Lücken erkennen