Ihre Datenschutzrechte unter dem CCPA: Ein Verbraucher-Leitfaden

Der California Consumer Privacy Act (CCPA) ist eines der bedeutendsten Datenschutzgesetze in den Vereinigten Staaten. In Ermangelung eines umfassenden bundesweiten Datenschutzgesetzes ist Kalifornien zum Vorreiter für digitalen Datenschutz geworden, wobei andere Bundesstaaten den CCPA als Vorbild für ihre eigenen Gesetze nutzen.

Verbraucherrechte unter dem CCPA

Der CCPA etabliert sechs zentrale Verbraucherrechte, wobei die letzten beiden durch die CPRA-Änderung von 2020 hinzugefügt wurden:

Recht auf Auskunft: Verbraucher können Informationen darüber anfordern, welche personenbezogenen Daten ein Unternehmen erfasst, woher diese stammen, zu welchem Zweck sie erhoben werden und mit wem sie geteilt werden. Dies ist von der Pflicht des Unternehmens zu unterscheiden, eine Hinweismitteilung bei der Erhebung bereitzustellen, die proaktiv angezeigt werden muss.

Recht auf Löschung oder Berichtigung: Verbraucher können die Löschung oder Berichtigung ihrer personenbezogenen Daten verlangen, mit begrenzten Ausnahmen für öffentlich zugängliche Daten, Kreditauskunftsinformationen und Daten, die für Rechtsansprüche benötigt werden. Unternehmen müssen innerhalb von 90 Tagen nachkommen.

Recht auf Widerspruch: Verbraucher können dem Verkauf und der Weitergabe personenbezogener Daten widersprechen. Websites müssen einen sichtbaren Link "Meine Daten nicht verkaufen oder weitergeben" bereitstellen. Das Gesetz erfasst ausdrücklich die Weitergabe von Daten an Werbeplattformen für Marketing- und Retargeting-Zwecke. Der Global Privacy Control (GPC)-Browsermechanismus ermöglicht automatisierte Opt-out-Anfragen auf allen besuchten Websites.

Recht auf Einschränkung der Nutzung sensibler Daten: Bestimmte Datenkategorien -- darunter Behördenkennungen, genaue Standortdaten, Gesundheitsdaten, genetische Daten und Informationen zur sexuellen Orientierung -- erhalten zusätzlichen Schutz. Verbraucher können Unternehmen darauf beschränken, diese Daten nur so weit zu nutzen, wie es für die Erbringung der angeforderten Dienste unbedingt erforderlich ist.

Recht auf Nichtdiskriminierung: Unternehmen dürfen Verbraucher nicht benachteiligen, weil sie ihre CCPA-Rechte ausüben.

Wie der CCPA im Vergleich zur DSGVO abschneidet

Einige CCPA-Rechte spiegeln DSGVO-Bestimmungen wider: Das Recht auf Auskunft, Löschung und Berichtigung funktioniert in beiden Rahmenwerken ähnlich. Die zugrunde liegenden Philosophien unterscheiden sich jedoch grundlegend.

Der CCPA ermächtigt Verbraucher, über ihre Daten durch Opt-out-Mechanismen zu entscheiden. Unternehmen genießen erhebliche Freiheit, solange Verbraucher nicht aktiv Einspruch erheben. Die DSGVO verfolgt den entgegengesetzten Ansatz und stellt strenge Voranforderungen an Organisationen, bevor eine Datenverarbeitung stattfindet.

Das Verbraucher-Ermächtigungsmodell hat praktische Grenzen. Täglich Dutzende von Websites zu besuchen und die Opt-out-Präferenzen für jede einzeln zu verwalten, ist unrealistisch. Obwohl der Global Privacy Control hilft, bleibt die Verbreitung begrenzt. Der Ansatz der DSGVO, die Datenschutzlast auf Organisationen statt auf Einzelpersonen zu legen, bietet wohl einen wirksameren Schutz, wenn auch auf Kosten komplexer Compliance-Anforderungen, die kleinere Unternehmen herausfordern können.

Bei sensiblen Daten ist die Einbeziehung genauer Standortdaten und Behördenkennungen durch den CCPA bemerkenswert vorausschauend. Allerdings sind die präskriptiven Beschränkungen der DSGVO für die Verarbeitung sensibler Daten erheblich strenger als das Opt-out-Rahmenwerk des CCPA.