In den USA gibt es kein einheitliches, alle Bundesstaaten übergreifendes Datenschutzgesetz. Kalifornien hat nun durch den neuen California Privacy Rights Act (CPRA) die ohnehin für Amerika strengsten Datenschutzgesetze des "California Consumer Privacy Acts (CCPA)" erneut verschärft. Man kann sagen, der CPRA hat Datenschutzrechte den GDPR/DSGVO-Standards der EU angepasst (Less than 90 days to go – are you GDPR compliant? | Magotsch/Weiss – JDSupra). Also „Im Westen nichts Neues”?
Weit gefehlt. Auch deutsche Unternehmen können unter den Anwendungsbereich von CCPA und CPRA fallen, wenn sie gewisse Voraussetzungen erfüllen. Dazu ist es auch nicht erforderlich, dass das Unternehmen seinen Sitz in Kalifornien hat – der CCPA kann extraterritoriale Geltung entfalten für Unternehmen, die sich an Verbraucher mit Wohnsitz in Kalifornien wenden. Mit der "California Privacy Protection Agency (CPPA)" hat Kalifornien nun die erste Datenschutzbehörde in den USA auf Bundesstaaten Ebene.
“Do Not Sell or Share my Personal Information”
Mit dem CPRA erhalten GDPR/DSGVO-ähnliche Betroffenenrechte, wie die Erhebung, Verarbeitung und die Weitergabe personenbezogener Daten, Einzug in den USA. Verbraucher können sich danach in Zukunft in Kalifornien gegen jede Datenweitergabe für Zwecke kontextübergreifender, verhaltensbezogener Werbung entscheiden. Jegliche Benachteiligung z.B. durch Preisnachteile dürfen nicht zu diskriminierenden Folgen der Wahrnehmung der neuen Verbraucherschutzrechte sein.
Der CPRA sieht ebenso zusätzliche Schutzrechte in Bezug auf sensible personenbezogene Daten vor. Links wie Limit the Use of my Sensitive Personal Information werden wir in Zukunft häufiger auf Webseiten sehen. Auch wenn insoweit Ähnlichkeiten zu uns bekannten GDPR/DSGVO-Vorgaben bestehen, gibt es doch Unterschiede und Besonderheiten.
Vorsicht im Life Science and Health Sector
Vorsicht ist insbesondere im Bereich "Life Sciences and Healthcare" angebracht. Hier bestehen strenge Compliance-Anforderungen unter weiteren US-Gesetzen, wie bzw. dem US Health Insurance Portability Act (HIPAA) im Hinblick auf Netzwerk- und Prozesssicherungsmaßnahmen und der "HIPAA Privacy Rule", Regelungen, die den Schutz der Privatsphäre von Patienten gewährleistet und gleichzeitig den „Fluss“ von Gesundheitsinformationen ermöglicht. Auch außerhalb des HIPAA-Anwendungsbereiches bestehen datenschutzrechtliche Besonderheiten, wenn Gesundheitsdaten gespeichert werden, auch und gerade im Bereich der Produktion medizinischer Geräte und damit möglicher Speicherung sensibler Daten.
Sieben wichtige Fragen an Mandanten
1. Bieten Sie Produkte/Dienstleistungen für Verbraucher an?
Wenn ja, unterliegen Sie wahrscheinlich den Datenschutzbestimmungen zum Schutz der Verbraucher, die in den USA fünf Bundesstaaten (California, Colorado, Utah, Virginia und Connecticut) und die FTC sowie in der EU und in Japan, China, Korea, Kanada, Indien gelten. Selbst wenn Sie ein Business-to-Business-Modell haben, Ihr Produkt aber letztendlich von Verbrauchern genutzt wird, werden Sie dennoch einigen Anforderungen unterliegen, die Sie nicht an ihre Geschäftskunden weitergeben können.
2. Verkaufen Sie Lösungen an große Unternehmen?
Wenn verkaufte Lösungen personenbezogene Daten erfassen, unterliegen vor allem Großkunden bereits allen Datenschutzbestimmungen und werden diese Anforderungen an Sie weitergeben. Oft ist der Großkunde weltweit tätig. Selbst wenn Sie also nur in den USA tätig sind, müssen Sie möglicherweise die Anforderungen eines oder mehrerer Länder erfüllen, in denen Ihr Großkunde tätig ist.
3. Sind Sie in einer stark regulierten Branche tätig, z. B. im Finanz-, Bildungs- oder Gesundheitswesen?
Wenn ja, müssen Sie sowohl branchenspezifische Vorschriften als auch die allgemeinen Datenschutzvorschriften berücksichtigen. Sie überschneiden sich oft und wirken auf interessante Weise zusammen. Darüber hinaus haben viele Produkte Komponenten, die noch stärker reguliert sind. Ein Unternehmen, das zum Beispiel Geld mit Kreditkarten einzieht, wird zumindest einen Teil seines Geschäfts dem "Payment Card Industry Data Security Standard" unterwerfen.
4. Verkaufen Sie personenbezogene Daten oder geben Sie sie im Rahmen Ihrer Geschäftstätigkeit an andere Unternehmen weiter (es muss nicht entgeltlich sein)?
In den verschiedenen Bundesstaaten und unter der FTC gibt es zahlreiche Datenschutzanforderungen. Diese Anforderungen betreffen Ihre Websites auch dann, wenn Sie keine anderen Online-Produkte anbieten.
5. Erheben Sie sensible persönliche Daten? Dazu gehören Geschlecht, Alter, sexuelle Orientierung, Gesundheit und biometrische Daten.
Dann müssen Sie sich darauf konzentrieren, wie sie die Zustimmung einholen und wie sie diese Daten speichern und verarbeiten. Und ab 2023 wird dies auch Informationen umfassen, die Arbeitgeber von ihren Mitarbeitern sammeln. Nahezu jeder Mandant wird in diese Kategorie fallen. Sie sollten also überprüfen, wie sie die Zustimmung der Mitarbeiter einholen, um sicherzustellen, dass Sie die neuen Anforderungen erfüllen, die 2023 durch die Datenschutzgesetze von Kalifornien auferlegt werden.
6. Richten Sie sich an Kinder unter 18 Jahren?
Die Datenschutzbestimmungen für Kinder sind viel strenger, und das Alter variiert je nach Bundesstaat und ausländischer Gerichtsbarkeit. (Parental Access To Data Of Children? The Answer Is Not That Clear)
7. Verkaufen Sie weltweit?
Die Datenschutzbestimmungen variieren je nach Land, und in fast allen wichtigen Ländern gibt es Datenschutzvorschriften. Das Verschieben von Daten über Ländergrenzen hinweg ist ein wichtiges Thema, das Unternehmen nicht ignorieren können. Darüber hinaus erfordert die Expansion von einem Markt in einen anderen in der Regel eine Überprüfung und Änderung der Art und Weise, wie Sie den Datenschutz handhaben.
Handlungsempfehlungen
Die Liste möglicherweise zu überarbeitender Policies und Prozesse ist lang: Privacy Policies, Websites, Consents und Notifications, Data Storage und Retention Prozesse, aber auch sog. Data Breach Pläne fallen einem hier spontan ein. Der Zeitaufwand und die damit verbundenen Kosten sollten von den Unternehmen nicht unterschätzt werden. Die Maßnahmen beginnen mit der Überarbeitung ihrer Policies und Handbücher und in vielen Fällen mit einer vollständigen Überarbeitung ihrer Musterformulare.