INFORMATIONEN

Anfragen der betroffenen Personen unter DSGVO vs. CCPA

Aufgrund der Schwierigkeit und der knappen Fristen ist die Beantwortung von Anfragen zum Thema Daten eine ständige Herausforderung für Organisationen weltweit. Kalifornien wird am 1. Juli 2020 als erster US-Bundesstaat ein umfassendes Gesetz zum Schutz der Privatsphäre von Verbrauchern, den California Consumer Privacy Act (CCPA), in Kraft setzen, das neue, weitreichende Datenschutzbestimmungen vorsieht, die auch erhebliche Verpflichtungen mit sich bringen.

Die neue Gesetzgebung, die wir als das kalifornische Äquivalent zur Allgemeinen Datenschutzverordnung (DSGVO) betrachten können, wird erhebliche Auswirkungen auf Unternehmen haben, die personenbezogene Daten sammeln, austauschen und verkaufen. Obwohl sowohl die DSGVO als auch das CCPA dem Einzelnen Rechte im Umgang mit seinen Daten einräumen, gibt es viele Überschneidungen und Diskrepanzen zwischen ihnen.

Nach der DSGVO und dem CCPA sind die Rechte auf Offenlegung/Zugang im Wesentlichen ähnlich, obwohl es einige Unterschiede gibt.

Das in der DSGVO verankerte Auskunftsrecht gewährt den Betroffenen das Recht auf kostenlosen Zugang zu ihren Daten, einschließlich einer Sicherungskopie.

Sie gilt für alle personenbezogenen Daten, die die betroffene Person verarbeitet. Außerdem sieht sie das Recht vor, von dem für die Verarbeitung Verantwortlichen Informationen zu erhalten (z. B. über die Verarbeitung, die Art der personenbezogenen Daten, alle Empfänger, die Erhebungsquellen, die Aufbewahrungsfristen, die Rechte der betroffenen Person und die Übermittlung von Daten außerhalb der EU).

Die Datenschutz-Grundverordnung schränkt nicht ein, wie eine betroffene Person einen solchen Antrag stellen kann. Dennoch verlangt die EU-Verordnung von den für die Verarbeitung Verantwortlichen, dass sie sich weigern, tätig zu werden, wenn der Antrag offensichtlich unbegründet, unnötig oder wiederholend ist.

Es ist das bei weitem bekannteste und am häufigsten ausgeübte Recht im Rahmen der DSGVO in Bezug auf Anfragen zum Thema Daten, und wir können davon ausgehen, dass dies auch im Rahmen des CCPA der Fall sein wird.

Im Gegensatz zur Datenschutz-Grundverordnung erstreckt sich das Recht auf Offenlegung nach dem CCPA nur auf personenbezogene Daten, die 12 Monate vor der Übermittlung erhoben wurden.

Während die Datenschutz-Grundverordnung Einzelpersonen einen umfassenderen Zugang zu ihren Daten gewährt, besteht das Privileg des CCPA, personenbezogene Daten offenzulegen, nur darin, die schriftliche Offenlegung personenbezogener Informationen zu verlangen. Unter dem CCPA umfasst das Recht auf zusätzliche Details ausschließlich:

  • Kategorien von gesammelten/verkauften persönlichen Informationen,
  • Arten von Quellen, aus denen persönliche Informationen gesammelt werden,
  • das Ziel, personenbezogene Daten für geschäftliche oder kommerzielle Zwecke zu sammeln oder zu verkaufen, und
  • Arten von Dritten, für die personenbezogene Daten weitergegeben werden.
  • Außerdem müssen die Kunden laut CCPA zumindest die Möglichkeit haben, ihren Antrag über ein gebührenfreies Telefon oder eine Website zu stellen. Unternehmen dürfen laut CCPA nicht mehr als zweimal alle 12 Monate Zugang haben.

    DSGVO Recht auf Löschung vs. CCPA Recht auf Löschung

    Das Recht auf Löschung nach der Datenschutz-Grundverordnung und das Recht auf Löschung nach dem CCPA scheinen im Großen und Ganzen sehr ähnlich zu sein. Während das Recht nach der Datenschutz-Grundverordnung jedoch nur gilt, wenn der Antrag bestimmte Anforderungen erfüllt, ist das Recht nach dem CCPA weiter gefasst. Die CCPA verlangt auch, dass Organisationen einen Antrag mit mehr Ausnahmen als in der DSGVO ablehnen können.

    Nach der Datenschutz-Grundverordnung haben Personen in einigen wenigen Fällen das Recht, die Löschung personenbezogener Daten zu verlangen, z. B. wenn die Einwilligung widerrufen wurde und keine andere Rechtsgrundlage für die Verarbeitung besteht oder wenn die personenbezogenen Daten für den Zweck, für den sie erhoben wurden, nicht mehr benötigt werden.

    In der Zwischenzeit schränkt das Recht auf Löschung nach dem CCPA den Umfang dieses Rechts nicht ein; ein Kunde hat das Recht, personenbezogene Daten zu löschen, die ein Unternehmen erhalten oder sogar an seine Dienstleister verkauft/geteilt hat.

    Die Datenschutz-Grundverordnung und der CCPA haben die gleichen Ausnahmen vom Recht auf Löschung für die Meinungsfreiheit, für Studienzwecke, für die Bearbeitung von Rechtsansprüchen und für die Erfüllung rechtlicher Verpflichtungen, aber der CCPA fügt eine Reihe von Ausnahmen für interne Zwecke und aus technischen Gründen hinzu. Im Gegensatz dazu sieht die Datenschutz-Grundverordnung nur eine Ausnahme für die öffentliche Gesundheit vor.

    Beide Verordnungen enthalten dieselben Kriterien für die Art und Weise der Antragstellung sowie die Fristen für die Beantwortung der Anträge und für die Reaktion auf die Anträge.

    Spezifische DSGVO-Rechte

    Die Datenschutz-Grundverordnung räumt den betroffenen Personen mehrere Privilegien ein, die das CCPA nicht kennt. Dazu gehören:

  • das Recht auf Berichtigung, das es den betroffenen Personen ermöglicht, unrichtige personenbezogene Daten zu berichtigen und fehlende personenbezogene Daten zu ergänzen.
  • Das Recht auf Einschränkung, wonach der für die Verarbeitung Verantwortliche unter diesen Bedingungen die Verarbeitung personenbezogener Daten der betroffenen Person einschränken und dies jedem Nutzer, dem die personenbezogenen Daten offengelegt wurden, mitteilen muss.
  • Das Recht, keiner automatisierten Entscheidungsfindung unterworfen zu werden, das Verbot der automatisierten Entscheidungsfindung, einschließlich des Profilings, das, sofern es keine Ausnahmen gibt, rechtliche oder andere schwerwiegende Auswirkungen auf die betroffene Person hat.
  • CCPA-spezifische Rechte

    Im Gegensatz dazu räumt der CCPA den Kunden ein Recht ein, das in der Datenschutz-Grundverordnung nicht ausdrücklich enthalten ist: das Recht, bei der Ausübung von Rechten nicht diskriminiert zu werden. Dieses Recht garantiert, dass es Organisationen nicht gestattet ist, einen bestimmten Produkt- oder Dienstleistungsstandard zu verweigern oder anzubieten, (vorzuschlagen) unterschiedliche Preise oder Tarife zu berechnen oder Geldstrafen aufgrund der Ausübung von Rechten zu verhängen. Das nächstliegende europäische Äquivalent könnte sein, dass personenbezogene Daten gemäß der Datenschutz-Grundverordnung „nach Treu und Glauben“ verarbeitet werden müssen.

    DSGVO und Google Analytics

    Google Analytics ist ein kostenloser und kostenpflichtiger Service von 4Google, der den Betrieb einer Website oder einer Android- oder iOS-Software in Echtzeit verfolgt, sowie ein

    mehr »

    Was ist der Zweck einer DSGVO-Software?

    Auch der Datenschutz wird im Laufe der Zeit immer digitaler. DSGVO-Software kann viel mehr als nur verstaubte Excel-Tabellen ersetzen. Alles, was Sie über digitales, vereinfachtes

    mehr »