CCPA vs. DSGVO: Wesentliche Unterschiede zwischen US-amerikanischen und EU-Datenschutzvorschriften

CCPA vs. DSGVO steht im Mittelpunkt dieses Leitfadens. Der CCPA und die DSGVO sind die beiden einflussreichsten Datenschutzvorschriften weltweit, verfolgen jedoch grundlegend unterschiedliche Ansätze zum Schutz personenbezogener Daten. Das Verständnis dieser Unterschiede ist für Organisationen, die in beiden Rechtsordnungen tätig sind, unerlässlich.

CCPA vs. DSGVO: Philosophischer Ansatz

Die DSGVO ist präskriptiv: Sie legt strenge Regeln fest, was Organisationen mit personenbezogenen Daten tun können und was nicht, und verlangt eine Rechtsgrundlage vor jeder Verarbeitung. Der CCPA ermächtigt Verbraucher: Er gibt Einzelpersonen Rechte zur Kontrolle ihrer Daten, erlaubt Unternehmen aber erhebliche Freiheit, solange Verbraucher diese Rechte nicht aktiv ausüben.

Geltungsbereich und Anwendbarkeit

Die DSGVO gilt für jede Organisation, die Daten von EU-/EWR-Einwohnern verarbeitet, unabhängig von der Größe. Der CCPA gilt nur für gewinnorientierte Unternehmen, die bestimmte Umsatz- oder Datenvolumenschwellen erfüllen. Die DSGVO erfasst jede Verarbeitung personenbezogener Daten; der CCPA nimmt Mitarbeiterdaten und bestimmte andere Kategorien aus.

Einwilligung und Rechtsgrundlagen

Nach der DSGVO benötigen Organisationen eine spezifische Rechtsgrundlage für die Verarbeitung personenbezogener Daten, wobei die Einwilligung nur eine von sechs Optionen ist. Der CCPA erlaubt die Datenverarbeitung grundsätzlich standardmäßig, gibt Verbrauchern aber das Recht, dem Verkauf und der Weitergabe von Daten zu widersprechen.

Sensible Daten

Beide Regelwerke erkennen Kategorien sensibler Daten an, aber die DSGVO verhängt strenge Verarbeitungsbeschränkungen, die eine ausdrückliche Einwilligung erfordern, während der CCPA Verbrauchern erlaubt, die Nutzung sensibler Daten einzuschränken -- ein weniger restriktiver Ansatz.

Durchsetzung und Strafen

DSGVO-Bußgelder können bis zu 4 % des weltweiten Jahresumsatzes oder 20 Millionen Euro betragen. Die CCPA-Durchsetzung erfolgt durch den Attorney General und die California Privacy Protection Agency, mit zusätzlichen Strafen für ungelöste Verstöße nach einer 30-tägigen Nachbesserungsfrist. Der CCPA sieht zudem ein privates Klagerecht bei Datenschutzverletzungen vor.

Datentransferregeln

Die DSGVO hat aufwändige Regeln für internationale Datentransfers, die zu Durchsetzungsmaßnahmen gegen US-basierte Dienste geführt haben. Der CCPA schränkt grenzüberschreitende Datentransfers nicht in vergleichbarer Weise ein.