DATA & TARGETING

CCPA: Wie Kalifornien jetzt beim Datenschutz ernst macht

21. August 2018 (jvr)
 Photo by Ryan Brisco on Unsplash

Nicht nur die EU mit der GDPR, auch der amerikanische Gesetzgeber will den Datenschutz für seine Bürger verbessern. Aufgrund der ausgeprägt förderativen Struktur der USA beginnt das Umdenken in einzelnen Bundesstaaten. Taktgeber ist Kalifornien mit der CCPA. Das Akronym steht für California Consumer Privacy Act, der am 28. Juni verabschiedet wurde und ab dem 1. Januar 2020 im US Bundesstaat Rechtskraft entfaltet. Also genau da, wo Google und Facebook ihren Hauptsitz haben.

CCPA ist der allgemeine Begriff für das neue Gesetz (Assembly Bill) AB-375. Dieses räumt den kalifornischer Verbrauchern neue Rechte beim Umgang ihrer Daten ein. CCPA fokussiert sich dabei auf das Sammeln personenbezogener Daten und will vor allem den Handel über Third-Party-Anbieter unterbinden, sofern dies ohne Wissen des Verbrauchers geschieht.

Das neue Gesetz wird dem Verbraucher jederzeit das Recht einräumen zu erfahren:

  1. welche personenbezogenen Daten gesammelt werden,
  2. und ob diese Daten weiterverkauft werden und an wen.
  3. Es gewährt das Recht, dem Sammeln und der Weitergabe per Opt-out zu widersprechen
  4. Es gewährt das Recht, als Verbraucher Zugang zu den eigenen Daten zu erhalten.

Das Gesetz betrifft zunächst einmal nur die Verbraucher Kaliforniens, immerhin etwa 40 Mio. Menschen bzw. 12% der US Bevölkerung. Es betrifft damit alle Unternehmen, die mit Daten der Kalifornier handeln. Der Begriff der personenbezogene Daten umfasst digital Cookie-Informationen aus dem Browser genauso wie die Suchhistorie. Zudem sollen auch alle Folgedaten (englisch: Inferences), die auf Basis der personenbezogenen Daten entstehen, dazugehören. „The bill would prescribe various definitions for its purposes and would define “personal information” with reference to a broad list of characteristics and behaviors, personal and commercial, as well as inferences drawn from this information.“ Neben dem Opt-out verlangt das Gesetz beim Handel personenbezogener Daten von Verbrauchern unter 16 Jahren zudem eine Zustimmung, also einen Opt-in.

Da die CCPA offenbar mit heißer Nadel gestrickt wurde, was dem Cambridge Analytica Skandal auf Facebook geschuldet sein könnte, steht die amerikanische Werbebranche derzeit etwas ratlos vor dem neuen Gesetz. Völlig unklar scheint derzeit, wie ein Opt-out des einzelnen Nutzers noch möglich sein soll, wenn die Daten einem größeren Nutzersegment zugeordnet wurden und dieses nun in einer DSP für den programmatischen Mediaeinkauf zur Verfügung steht. Gary Kibel, von Davis & Gilbert fragt in einem aktuellen Adexchanger-Beitrag beispielsweise: „If a company is going to sell a consumer’s personal information, the company is required to give the consumer an opt-out. But what constitutes a sale that triggers this obligation? Will buying a consumer segment in a demand-side platform require an opt-out notice?“

Während die technischen Voraussetzungen für die Umsetzung noch Fragen aufwirft und das Gesetz in den nächsten zwei Jahren viele Konkretisierungen erfahren wird, hat der Strafkatalog im CCPA bereits klare Formen. Bei Zuwiderhandlungen des Gesetzes werden pro Verletzung 7.500 US Dollar an den Bundesstaat Kalifornien fällig, sofern das Unternehmen nicht innerhalb von 30 Tagen auf die Forderungen des Verbrauchers eingegangen ist. Die Verbraucher selbst können gegenüber das Unternehmen, das ihre Datenschutzrechte verletzt hat, ebenfalls Ansprüche geltend machen.