CaCPA

Wen schützt die CaCPA? Wer muss sich daran halten?

Jeder Verbraucher, definiert als „natürliche Person mit Wohnsitz in Kalifornien“. Dies wird weiter definiert als:

  • Jede Person befindet sich zu irgendeinem Zweck im Staat, der nicht vorübergehend oder vorübergehend ist
  • Jede Person, die im Staat lebt, sich aber derzeit oder gelegentlich für einen vorübergehenden oder vorübergehenden Zweck außerhalb des Staates aufhält

Dies bedeutet, dass Verbraucher, die in andere Bundesstaaten reisen oder teilweise dort wohnen, geschützt wären, solange ihr Wohnsitz Kalifornien ist. Dies bedeutet auch, dass das Gesetz sowohl für „Business-to-Consumer“ (B2C)-Unternehmen als auch für „Business-to-Business“ (B2B) gilt.

Ein abgedecktes „Unternehmen“ ist als gewinnorientiertes Unternehmen definiert, das eine der drei folgenden Bedingungen erfüllt.

  1. Verdient einen Jahresumsatz von $25 Millionen oder mehr.
  2. Enthält die personenbezogenen Daten von mindestens 50.000 Personen, Haushalten oder Geräten.
  3. Erzielt mindestens die Hälfte seines Umsatzes durch den Verkauf personenbezogener Daten. Verkaufen ist nicht nur der Handel mit Daten gegen Bargeld. Die bloße Weitergabe von Daten an Dritte, wenn dadurch ein finanzieller Gewinn erzielt wird, unterliegt dem Gesetz.

CaCPA besagt, dass sie auch die folgenden 4 Bedingungen erfüllen müssen.

  1. Eine juristische Geschäftseinheit sein, die gewinnorientiert organisiert und betrieben wird.
  2. Sammelt persönliche Daten von Verbrauchern oder lässt sie von jemandem in seinem Namen sammeln.
  3. Legt die Zwecke und Mittel der Verarbeitung personenbezogener Daten von Verbrauchern fest.
  4. Tätigt Geschäfte in Kalifornien

Jedes „gewinnorientierte Unternehmen“, das diesen Test besteht, unterliegt dem Gesetz, unabhängig von seinem geografischen Standort. Laut iapp wird das Gesetz schätzungsweise für mehr als 500.000 US-Unternehmen gelten, von denen die meisten kleine bis mittlere Unternehmen sind. Es wird sich auch auf Unternehmen außerhalb der USA auswirken, sofern diese ihre Geschäfte in Kalifornien tätigen.

Was ist die Strafe für die Nichteinhaltung?

Bei vorsätzlichen Verstößen, die nicht innerhalb von 30 Tagen behoben werden, beträgt das Bußgeld 1 TP3T2.500 bis $7.500 pro Verstoß (z. B. pro Datensatz in der Datenbank). Bei unbeabsichtigten Verstößen, die nicht innerhalb von 30 Tagen behoben werden, können Verbraucher Schadensersatz in Höhe von mindestens einhundert Dollar ($100) und nicht mehr als siebenhundertfünfzig ($750) pro Verbraucher und Vorfall oder tatsächlichen Schäden verlangen, je nachdem, welcher Betrag höher ist.

Zwanzig Prozent der vom Staat erhobenen Strafen werden einem neuen „Consumer Privacy Fund“ zugewiesen. Alle Gelder, die die Gerichts- und Inkassokosten übersteigen, können dem CA State General Fund zugeführt werden.

Woher kommt dieses Gesetz?

Das CaCPA wurde in nur 7 Tagen durch die Gesetzgebung gedrängt und nur wenige Stunden vor dem Ende der kalifornischen Legislaturperiode 2017-18 unterzeichnet. Schnell für ein Gesetz mit solch weitreichenden Auswirkungen.

Dieser Ansturm war eine Reaktion auf eine viel strengere Wahlinitiative, die der Immobilienentwickler Alistair Mactaggart aus San Francisco vorgeschlagen hatte. Mactaggart gab $3,5 Millionen seines eigenen Geldes aus, um die Initiativmaßnahme Nr. 17-0039 zu finanzieren, die mehr als 629.000 Unterschriften erhielt, mehr als genug, um das Thema auf den Stimmzettel im November 2018 zu bringen.

Wie definiert das CaCPA „personenbezogene Daten“?

Die CaCPA-Definition von personenbezogenen Daten ist viel umfassender als die Definition von PII, sie stimmt eher mit der breiteren Liste in der DSGVO überein. Es ist definiert als „Informationen, die einen bestimmten Verbraucher oder Haushalt identifizieren, sich darauf beziehen, ihn beschreiben, mit ihm in Verbindung gebracht werden können oder vernünftigerweise direkt oder indirekt mit ihm verknüpft werden könnten.“ Zusätzlich zu den normalerweise unter PII enthaltenen Informationen umfasst es auch:

  • Geolokalisierungsdaten
  • Ausbildungsinformationen
  • Audio-, elektronische, visuelle, thermische oder ähnliche Informationen
  • Berufs- und Beschäftigungsinformationen
  • IP-Adressen
  • Internetaktivität (d. h. Browsing- und Suchverlauf, Webtracking-Daten)
  • Aliase
  • Merkmale geschützter Klassifikationen nach kalifornischem oder Bundesrecht
  • Kommerzielle Informationen (z. B. persönliche Eigentumsunterlagen, Kaufhistorie)
  • Schlussfolgerungen aus den in der Definition enthaltenen Informationen

Warum CaCPA

Nur wenige Tage bevor Mactaggart die Unterschriften beglaubigen konnte, einigten sich die kalifornischen Demokraten darauf, im Austausch für die Einstellung der Initiative ein Kompromissgesetz durchzusetzen. Die Lobbyisten der Technologieindustrie glauben, dass sie eine viel bessere Chance haben werden, die Erzählung und die endgültige Wirkung des CaCPA zu kontrollieren. Die Lobbyisten der Industrie erklärten sich bereit, den Gesetzentwurf nicht abzulehnen, da die viel ungünstigere Abstimmungsinitiative später im Jahr gute Aussichten auf eine Verabschiedung hatte.

Was haben sie für ihre Einhaltung bekommen?

  • 18 Monate Zeit, sich dafür einzusetzen, wie die Details der Rechnung umgeschrieben werden können.
  • Der Gesetzgeber von CA kann das CaCPA mit einer einfachen Mehrheit anstelle einer 70%-Supermehrheit ändern, die vom CA Consumer Privacy Act von 2018 vorgeschrieben ist.
  • CaCPA erschwert es Verbrauchern, nicht konforme Unternehmen zu verklagen, indem der Generalstaatsanwalt von CA den größten Teil der Durchsetzungskontrolle übernimmt.
  • CaCPA betrifft mehr Unternehmen, da es die Schwelle auf Unternehmen mit nur $25 Millionen Jahresumsatz um die Hälfte gesenkt hat.

„Die Datenregulierungspolitik ist komplex und wirkt sich auf jeden Wirtschaftssektor aus, einschließlich der Internetindustrie“, sagte die Lobbygruppe der Internet Association. „Das macht den Mangel an öffentlicher Diskussion und Prozess rund um dieses weitreichende Gesetz noch besorgniserregender. Für die Zukunft ist es von entscheidender Bedeutung, dass die politischen Entscheidungsträger daran arbeiten, die unvermeidlichen negativen Auswirkungen auf Richtlinien und Compliance zu korrigieren, die diese Einigung in letzter Minute für die kalifornischen Verbraucher und Unternehmen gleichermaßen nach sich ziehen wird.“

Die Gewinner und Verlierer dieses Teils der Gesetzgebung (10.660 Wörter) müssen noch ermittelt werden, da die Details derzeit massiv umgeschrieben werden. Es ist sehr wahrscheinlich, dass das neue und verbesserte CaCPA hauptsächlich für kleine und mittlere Unternehmen gelten wird, die sich die hochpreisigen Lobbyisten und ihre massiven Ausgaben nicht leisten können. Dieser Gesetzentwurf, der hastig geschrieben und kaum von jemand anderem als seinen Verfassern überprüft wurde, mit seinen vielen Tippfehlern und dem schlecht geschriebenen Text, wurde am 28. Juni von Gouverneur Brown genehmigtth 2018. Am 24. Augustth nur 57 Tage später kamen die ersten 45 Änderungen. Diese Änderungen dienten in erster Linie dazu, technische Fehler auszugleichen. Bereite dich vor.

Quellen: Assembly Bill No. 375, iapp Der Datenschutzberater, New York Times, FairWarning

 

Bill Vann verfügt über mehr als 25 Jahre Erfahrung in IT- und Geschäftstechnologien. Er erhielt seinen Bachelor-Abschluss in Business und einen Master-Abschluss in Entrepreneurial Management von der National University in San Diego, Kalifornien. Bill war ein aktives Mitglied und Mitwirkender lokaler Vereinigungen wie AGC, NECA und CFMA.