Datenschutz ist heutzutage überall. Seit der Einführung der DSGVO und dem weltweiten Hype darum tauchen immer mehr Gesetze weltweit auf. In diesem Leitfaden werden wir über die verschiedenen internationalen Trends bei Datenschutzvorschriften sprechen.
Wir werden Themen wie folgende diskutieren:
GDPR vs. CCPA: Trends in jüngsten Datenschutzgesetzen weltweit
Datenschutz ist heutzutage überall. Seit der Einführung der DSGVO und dem weltweiten Hype darum tauchen immer mehr Gesetze weltweit auf. In diesem Leitfaden werden wir über die verschiedenen internationalen Trends bei Datenschutzvorschriften sprechen.
Wir werden darüber nachdenken, indem wir die DSGVO mit dem CCPA vergleichen.
Wir werden Themen wie folgende diskutieren:
yaml
Aktueller Stand der Datenschutzgesetze
DSGVO vs. CCPA: Verbraucherschutz & Datenschutz
DSGVO vs. CCPA: Anwendbarkeit
DSGVO vs. CCPA: Opt-in vs. Opt-out
DSGVO vs. CCPA: Internationale Datentransfers
DSGVO vs. CCPA: Regeln für Datenpannen
DSGVO vs. CCPA: Durchsetzung
DSGVO vs. CCPA: Rechte der betroffenen Personen
Nationale Gesetze können schnell ein Durcheinander für global tätige Unternehmen im Internet schaffen. Deshalb bevorzugen sie nationale Gesetze, deren Anforderungen untereinander abgestimmt sind.
Unternehmen, die sich fragen, wie sie weltweiten Datenschutzgesetzen genügen können, würden sich eine klare und einfache Antwort erhoffen, wie etwa: „Folgen Sie einfach diesen Schritten, und Sie werden konform sein“.
Was sie stattdessen oft hören, ist die bevorzugte, aber auch meist gefürchtete Antwort in der juristischen Welt: „Es hängt ab“.
Und genau das trifft zu. Verschiedene Staaten haben unterschiedliche Gesetze mit jeweils eigenen Anforderungen erlassen. Dennoch sind diese Gesetze nicht so verschiedenartig, wie man annehmen könnte.
Lasst uns einen Blick auf die aktuellen Datenschutzgesetze werfen und sie miteinander vergleichen.
Im Allgemeinen gibt es zwei vorherrschende Trends bei Datenschutzgesetzen weltweit:
Es gibt Unterschiede zwischen den beiden, und sie sind nicht unbedeutend.
Die meisten Länder, die seit der Einführung der bahnbrechenden europäischen Gesetzgebung neue Datenschutzgesetze verabschiedet haben, versuchen, deren Standards zu erfüllen. Einige von ihnen sind fast identisch, andere sehr ähnlich.
Andererseits hält sich die USA zurück, ein bundesweites Datenschutzgesetz zu verabschieden. Stattdessen liegt es bei den Bundesstaaten, ihre eigenen Gesetze zu erlassen.
Bisher haben nur wenige von ihnen solche Gesetze, und sie sind nicht so umfassend wie die DSGVO.
In den meisten Fällen sind globale Unternehmen in der entwickelten Welt tätig, einschließlich der EU und den USA. Daher erfordert die Einhaltung von Datenschutzgesetzen weltweit die Beachtung der beiden Haupttrends in Bezug auf die Umfassendheit.
Auch Nutzer von beiden Seiten des Teichs müssen diese beiden Trends verstehen, um ihre Rechte besser zu begreifen.
Das bedeutet jedoch nicht, dass es nur für diese beiden Gesetze gilt. Brasilien, Thailand, Kanada, Argentinien, Türkei und viele andere Länder haben Gesetze, die der DSGVO ähnlich sind.
Zum Zeitpunkt des Schreibens dieses Artikels folgen Colorado und Virginia dem Beispiel des CCPA.
Wir werden die DSGVO und das CCPA vergleichen, aber Sie bekommen eine Vorstellung von den Unterschieden zwischen den beiden.
Wir werden sie im Hinblick auf folgende Aspekte vergleichen:
Die DSGVO ist ein Datenschutzgesetz. Es handelt sich um ein eigenständiges Gesetz, das den Schutz personenbezogener Daten behandelt.
Die Gesetze der US-Bundesstaaten zur Regulierung personenbezogener Daten sind hingegen Teil von Verbraucherschutzgesetzen. Das Gesetz von Kalifornien heißt California Consumer Protection Act.
Das Gesetz von Virginia heißt Consumer Data Protection Act. Nur das Colorado Privacy Act ist das Gesetz von Colorado, aber seine Essenz ist den beiden vorherigen Gesetzen sehr ähnlich.
Die DSGVO konzentriert sich auf den Schutz von Daten. Sie regelt, was mit personenbezogenen Daten vom Zeitpunkt der Erhebung über die Verarbeitung, Speicherung und Übertragung bis hin zur Löschung von Daten geschieht, die das Unternehmen nicht mehr benötigt.
Das CCPA konzentriert sich auf den Schutz des Verbrauchers, der unter anderem seine persönlichen Informationen geschützt haben muss.
Die DSGVO konzentriert sich auf den Datenschutz. Das CCPA konzentriert sich auf den Verbraucher.
Die DSGVO gilt für Unternehmen, die:
Daher gilt sie für alle europäischen Unternehmen ohne Ausnahme und für alle Unternehmen weltweit, die mit den personenbezogenen Daten von mindestens einer europäischen Person in Berührung kommen.
Sie diskriminiert nicht aufgrund der Unternehmensgröße. Sie gilt für jedes Unternehmen, das diesem Kriterium entspricht. Sie gilt für große Unternehmen ebenso wie für kleine Online-Shops und Blogs.
Das CCPA hingegen gilt nur für eine begrenzte Anzahl von Unternehmen.
Das gilt nur für gewinnorientierte Unternehmen, die personenbezogene Informationen von Verbrauchern sammeln, verarbeiten und Geschäfte in Kalifornien betreiben, vorausgesetzt, das Unternehmen erfüllt mindestens eine der folgenden Schwellenwerte:
Nur wenige Unternehmen erfüllen diese Schwellenwerte; daher gilt kein US-Bundesstaatliches Datenschutzgesetz für sie. Das bedeutet auch, dass die persönlichen Informationen der Nutzer, also der Verbraucher, in keiner Weise geschützt sind.
Das Paradox ist, dass jeder US-Bürger eine bessere Chance hat, seine Daten durch die DSGVO (bei Geschäften mit einem EU-Unternehmen) oder ein ähnliches Gesetz im Vergleich zu den Gesetzen der US-Bundesstaaten geschützt zu haben.
Wenn beispielsweise ein kalifornischer Bürger mit einem britischen Bekleidungsgeschäft online interagiert, gilt die UK-DSGVO. Die UK-DSGVO schützt diesen Kalifornier, weil sie für das britische Unternehmen gilt, aber gleichzeitig ist er nicht durch das US-Recht geschützt.
Wenn derselbe Nutzer online mit einem kleinen kalifornischen Bekleidungsgeschäft interagiert, gibt es keine Möglichkeit, seine persönlichen Informationen zu schützen. US-Kleinunternehmen schulden US-Bürgern keinen Datenschutz, solange sie keine Schwellenwerte erfüllen.
Die Rechtsgrundlage für die Datenverarbeitung und das Konzept von Opt-in vs. Opt-out geben Ihnen ein besseres Verständnis dafür, warum dies wichtig ist.
Bei Anwendung der DSGVO entscheiden die Nutzer, wie viel von sich selbst sie preisgeben werden. Wenn das CCPA gilt, ist der Nutzer ungeschützt, sobald er die Webseite betritt und eine Datenschutzerklärung angezeigt bekommt.
Die DSGVO verlangt von Unternehmen, einen guten Grund und eine Rechtsgrundlage für die Erhebung und Verarbeitung personenbezogener Daten zu haben. Es legt fest, welche möglichen Rechtsgrundlagen es gibt, und wenn das Unternehmen keine davon nutzen kann, darf es keine personenbezogenen Daten erheben. Punkt.
Das ist das Konzept von Opt-in. Die Daten können vom Nutzer erfasst und verarbeitet werden, wenn der Nutzer der Verarbeitung zustimmt oder wenn es ein öffentliches Interesse gibt.
Am häufigsten verlassen sich Unternehmen auf die Zustimmung der Nutzer. Unternehmen sind auf der sicheren Seite, wenn die Nutzer der Verarbeitung ihrer Daten zustimmen.
Wenn sie freiwillig einen Vertrag abschließen, wie zum Beispiel den Kauf eines Hemdes in einem Online-Bekleidungsgeschäft, dann muss der Nutzer seine Daten angeben, um das Hemd nach Hause geliefert zu bekommen.
Öffentliches Interesse oder berechtigte Interessen des Verantwortlichen können ebenfalls eine Rechtsgrundlage darstellen, aber sie sind eine Ausnahme zur Opt-in-Regel und werden selten verwendet. Im Allgemeinen sollten Unternehmen die Daten der Nutzer ohne eine Form des Opt-in nicht berühren.
Mit dem CCPA ist es jedoch anders. Unternehmen können so viele personenbezogene Daten sammeln und verarbeiten, wie sie möchten, solange sie den Nutzer darüber informieren.
Es besteht also keine Notwendigkeit für eine Zustimmung oder eine andere Form des Opt-ins. Ein Cookie-Banner am unteren Rand mit der Aufschrift: „Wir sammeln Ihre persönlichen Informationen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.“ reicht aus, um den Gesetzen der US-Bundesstaaten zu entsprechen.
Verbraucher haben jedoch das Recht, sich abzumelden (Opt-out). Sie können von Unternehmen verlangen, ihre Daten nicht zu verkaufen oder die Löschung ihrer Daten zu beantragen. Dies würde das Unternehmen daran hindern, die Daten weiter zu verarbeiten oder zu verkaufen, aber das ist auch schon alles.
Das ist das Konzept von Opt-out. Unternehmen dürfen Daten verarbeiten, wenn der Nutzer dem nicht widerspricht.
Es ist jedoch wichtig zu beachten, dass Kalifornien und Nevada die einzigen US-Bundesstaaten sind, die die Möglichkeit zum Opt-out bieten.
Diese Möglichkeit besteht nur, wenn der Nutzer aus einem dieser beiden Bundesstaaten stammt oder wenn das Unternehmen von dort kommt und die anwendbaren Schwellenwerte erfüllt.
Der Nutzer, der in Michigan lebt und mit einem Hotel in Florida interagiert, ist nicht geschützt.
Die Unterschiede zwischen dem europäischen und dem US-amerikanischen Modell im Datenschutz zeigen sich auch in den Regeln zur internationalen Datenübertragung.
Eine internationale Datenübertragung liegt vor, wenn ein Datenelement von einem Land in ein anderes übertragen wird.
Wenn beispielsweise ein US-amerikanischer Onlineshop die E-Mail-Adresse eines deutschen Nutzers erfasst und in den USA speichert, überträgt er die Daten des deutschen Nutzers von Deutschland in die USA.
Wenn das US-Unternehmen die Dienste eines kanadischen E-Mail-Automatisierungsunternehmens in Anspruch nimmt, überträgt es die Daten weiter nach Kanada.
In Bezug auf den Schutz personenbezogener Daten legt die EU Wert auf Menschenrechte und die USA auf innere Sicherheit.
Die DSGVO hindert Unternehmen daran, Daten an Länder oder Organisationen zu übertragen, die keinen gleichwertigen Schutz wie das EU-Recht selbst bieten.
Unternehmen können Daten nur in angemessene Länder übertragen oder müssen sich für Übertragungsinstrumente entscheiden, wie beispielsweise Standardvertragsklauseln oder die Zustimmung des Nutzers.
Die USA hingegen hindern kein Unternehmen daran, Daten weltweit zu übertragen. Tritt ein Vorfall ein, wird das Unternehmen zur Verantwortung gezogen. Passiert jedoch nichts, kümmert es niemanden.
Aber das ist noch nicht alles. Laut dem Foreign Intelligence Surveillance Act (FISA) von 1978 und dem Clarifying Overseas Use of Data Act (CLOUD Act) von 2018 kann die US-Regierung auf die persönlichen Daten jeder Person zugreifen, deren Daten in den USA oder von einem US-Unternehmen irgendwo auf der Welt gespeichert sind.
Das bedeutet sogar, dass die US-Regierung auf die Daten eines deutschen Bürgers zugreifen kann, die von einem deutschen Unternehmen auf AWS-Servern gespeichert werden, da AWS ein US-Unternehmen ist und ihnen Zugang zu den Daten gewähren muss.
Deshalb hat der EuGH den Privacy Shield mit der Schrems-II-Entscheidung für ungültig erklärt und die Datenübertragungen in die USA sehr kompliziert gemacht.
Die EU und die USA suchen noch nach einer Lösung, aber dieser wichtige Unterschied wird kommen.
Auch im Bereich der Regeln für Datenpannen unterscheiden sich DSGVO und CCPA.
Die DSGVO erfordert die Umsetzung technischer und organisatorischer Maßnahmen, um die Datensicherheit von Verantwortlichen und Auftragsverarbeitern zu gewährleisten.
Wenn trotzdem eine Datenpanne auftritt, müssen sie in den meisten Fällen die Datenschutzbehörde und die betroffenen Personen, also die Nutzer, in vielen Fällen informieren.
Die Regeln für Datenpannen sind Teil des Gesetzes, das einen umfassenden Datenschutz sicherstellt.
Das CCPA hingegen enthält keine Bestimmungen zu Datenpannen.
Die meisten US-Bundesstaaten haben noch keine Datenschutzgesetze, aber viele haben Gesetze für Datenpannen. Während persönliche Informationen durch Verbraucherschutzgesetze geschützt werden, werden Datenpannen durch unterschiedliche Gesetze geregelt.
DSGVO und CCPA gehen unterschiedlich an die Durchsetzung der Gesetze heran.
Die DSGVO und ähnliche Gesetze schaffen eine staatliche Behörde, um das jeweilige Gesetz durchzusetzen. Jedes Land hat seine eigene Behörde, die das Gesetz in Bezug auf die Nutzer und Unternehmen aus diesem Land durchsetzt.
Wenn ein Nutzer glaubt, dass seine Datenschutzrechte verletzt wurden, kann er sich bei der zuständigen Behörde beschweren, die den Fall untersuchen wird. Das Unternehmen muss eine DSGVO-Strafe zahlen, wenn es für die Verletzung verantwortlich ist.
Über dem Atlantik sind die Dinge nicht so einfach. In Kalifornien können Nutzer nur im Falle einer Datenpanne oder mangelnder Sicherheitsmaßnahmen eine Klage einleiten.
In allen anderen Fällen sind Verbraucher auf die Initiative des Generalstaatsanwalts angewiesen. Da der Generalstaatsanwalt nicht über alle CCPA-Verstöße informiert sein kann, kann sich jeder Verbraucher an ihn wenden, und er wird ermitteln.
Wenn die Untersuchung eine Verletzung zeigt, wird der Generalstaatsanwalt dem Unternehmen eine 30-tägige Frist zur Behebung der Verletzung geben.
Wenn das Unternehmen sich daran hält, passiert nichts weiter. Wenn nicht, wird es bestraft.
Vergleicht man die beiden Lösungen, wird deutlich, dass das CCPA nicht so viele Möglichkeiten bietet, Gerechtigkeit zu suchen wie die DSGVO.
Außerdem liegen viele Dinge in den Händen des Generalstaatsanwalts, der neben dem Verbraucherschutz noch viele andere Zuständigkeiten hat.
Das wird sich 2023 ändern, wenn das CPRA, auch bekannt als CCPA 2.0, in Kraft tritt. Zum ersten Mal in der Geschichte der US-Gesetzgebung wird eine eigene Durchsetzungsbehörde für den Datenschutz eingerichtet.
Abgesehen von einem nicht umfassenden Datenschutz ist das CCPA bei Verstößen eines Unternehmens nicht so leicht durchzusetzen.
Die DSGVO verpflichtete jedes EU-Land, eine eigene, gut ausgestattete Datenschutzbehörde zur Bekämpfung von Verstößen einzurichten.
Obwohl es immer noch unmöglich erscheint, alle Unternehmen dazu zu bringen, das Gesetz zu respektieren, ist die DSGVO bei der Durchsetzung wesentlich besser.
Letztendlich führen beide Ansätze zu unterschiedlichen Rechten für betroffene Personen.
Kein anderes Datenschutzgesetz auf der Welt gewährt mehr Rechte als die DSGVO. Selbst solche, die die DSGVO nachahmen, garantieren manchmal weniger Rechte.
Das CCPA ist jedoch in diesem Bereich noch eingeschränkter. Es hat sich im Vergleich zur Zeit ohne Datenschutzgesetze in den USA erheblich verbessert, bietet den Verbrauchern jedoch noch nicht so viele Rechte.
Um Ihnen eine Vorstellung davon zu geben, wie CCPA und DSGVO hinsichtlich der Rechte der betroffenen Personen verglichen werden können, bietet die folgende Tabelle einen guten Überblick:
Recht | DSGVO | CCPA |
Wissen | Ja | Ja | Zugang | Ja | Ja | Löschen | Ja | Ja | Widerspruch | Ja | Nein | Einschränkung | Ja | No | Datenübertragbarkeit | Ja | Nein | Berichtigung | Ja | Nein | Nicht Gegenstand automatisierter Entscheidungen | Ja | Nein | Widerspruchsrecht gegen den Verkauf persönlicher Daten | Nein | Ja | Widerspruchsrecht nach Widerspruch | Nein | Ja |
In Europa haben Menschen verschiedene Rechte als Betroffene von Daten. In den USA können sie lediglich Kenntnis von den Daten erlangen und diese dann ablehnen oder löschen lassen. In der Zwischenzeit kann der Verantwortliche die Daten frei verarbeiten, und Verbraucher haben keine Möglichkeit, einzugreifen, außer bei Löschung und Ablehnung.
Abschließend gibt es noch einen weiteren Trend – nämlich das Fehlen eines Datenschutzgesetzes. Indien und Indonesien sind die weltweit größten Volkswirtschaften ohne solche Gesetze.
Sie sind jedoch dabei, ein umfassendes Datenschutzgesetz einzuführen, wie das Beispiel der DSGVO zeigt.
Gleichzeitig ähneln die von den US-Bundesstaaten verabschiedeten neuen Datenschutzgesetze weiterhin der CCPA, was deutlich macht, dass die Welt in eine Richtung geht und die USA in eine andere.