INFORMATIONEN

Anfragen der betroffenen Personen unter DSGVO vs. CCPA

Aufgrund der Schwierigkeit und der knappen Fristen ist die Beantwortung von Anfragen zum Thema Daten eine ständige Herausforderung für Organisationen weltweit. Kalifornien wird am 1. Juli 2020 als erster US-Bundesstaat ein umfassendes Gesetz zum Schutz der Privatsphäre von Verbrauchern, den California Consumer Privacy Act (CCPA), in Kraft setzen, das neue, weitreichende Datenschutzbestimmungen vorsieht, die auch erhebliche Verpflichtungen mit sich bringen.

Die neue Gesetzgebung, die wir als das kalifornische Äquivalent zur Allgemeinen Datenschutzverordnung (DSGVO) betrachten können, wird erhebliche Auswirkungen auf Unternehmen haben, die personenbezogene Daten sammeln, austauschen und verkaufen. Obwohl sowohl die DSGVO als auch das CCPA dem Einzelnen Rechte im Umgang mit seinen Daten einräumen, gibt es viele Überschneidungen und Diskrepanzen zwischen ihnen.

Nach der DSGVO und dem CCPA sind die Rechte auf Offenlegung/Zugang im Wesentlichen ähnlich, obwohl es einige Unterschiede gibt.

Das in der DSGVO verankerte Auskunftsrecht gewährt den Betroffenen das Recht auf kostenlosen Zugang zu ihren Daten, einschließlich einer Sicherungskopie.

Sie gilt für alle personenbezogenen Daten, die die betroffene Person verarbeitet. Außerdem sieht sie das Recht vor, von dem für die Verarbeitung Verantwortlichen Informationen zu erhalten (z. B. über die Verarbeitung, die Art der personenbezogenen Daten, alle Empfänger, die Erhebungsquellen, die Aufbewahrungsfristen, die Rechte der betroffenen Person und die Übermittlung von Daten außerhalb der EU).

Die Datenschutz-Grundverordnung schränkt nicht ein, wie eine betroffene Person einen solchen Antrag stellen kann. Dennoch verlangt die EU-Verordnung von den für die Verarbeitung Verantwortlichen, dass sie sich weigern, tätig zu werden, wenn der Antrag offensichtlich unbegründet, unnötig oder wiederholend ist.

Es ist das bei weitem bekannteste und am häufigsten ausgeübte Recht im Rahmen der DSGVO in Bezug auf Anfragen zum Thema Daten, und wir können davon ausgehen, dass dies auch im Rahmen des CCPA der Fall sein wird.

Im Gegensatz zur Datenschutz-Grundverordnung erstreckt sich das Recht auf Offenlegung nach dem CCPA nur auf personenbezogene Daten, die 12 Monate vor der Übermittlung erhoben wurden.

Während die Datenschutz-Grundverordnung Einzelpersonen einen umfassenderen Zugang zu ihren Daten gewährt, besteht das Privileg des CCPA, personenbezogene Daten offenzulegen, nur darin, die schriftliche Offenlegung personenbezogener Informationen zu verlangen. Unter dem CCPA umfasst das Recht auf zusätzliche Details ausschließlich:

Kategorien von gesammelten/verkauften persönlichen Informationen,

Arten von Quellen, aus denen persönliche Informationen gesammelt werden,

das Ziel, personenbezogene Daten für geschäftliche oder kommerzielle Zwecke zu sammeln oder zu verkaufen, und

Arten von Dritten, für die personenbezogene Daten weitergegeben werden.

Außerdem müssen die Kunden laut CCPA zumindest die Möglichkeit haben, ihren Antrag über ein gebührenfreies Telefon oder eine Website zu stellen. Unternehmen dürfen laut CCPA nicht mehr als zweimal alle 12 Monate Zugang haben.

DSGVO Recht auf Löschung vs. CCPA Recht auf Löschung

Das Recht auf Löschung nach der Datenschutz-Grundverordnung und das Recht auf Löschung nach dem CCPA scheinen im Großen und Ganzen sehr ähnlich zu sein. Während das Recht nach der Datenschutz-Grundverordnung jedoch nur gilt, wenn der Antrag bestimmte Anforderungen erfüllt, ist das Recht nach dem CCPA weiter gefasst. Die CCPA verlangt auch, dass Organisationen einen Antrag mit mehr Ausnahmen als in der DSGVO ablehnen können.

Nach der Datenschutz-Grundverordnung haben Personen in einigen wenigen Fällen das Recht, die Löschung personenbezogener Daten zu verlangen, z. B. wenn die Einwilligung widerrufen wurde und keine andere Rechtsgrundlage für die Verarbeitung besteht oder wenn die personenbezogenen Daten für den Zweck, für den sie erhoben wurden, nicht mehr benötigt werden.

In der Zwischenzeit schränkt das Recht auf Löschung nach dem CCPA den Umfang dieses Rechts nicht ein; ein Kunde hat das Recht, personenbezogene Daten zu löschen, die ein Unternehmen erhalten oder sogar an seine Dienstleister verkauft/geteilt hat.

Die Datenschutz-Grundverordnung und der CCPA haben die gleichen Ausnahmen vom Recht auf Löschung für die Meinungsfreiheit, für Studienzwecke, für die Bearbeitung von Rechtsansprüchen und für die Erfüllung rechtlicher Verpflichtungen, aber der CCPA fügt eine Reihe von Ausnahmen für interne Zwecke und aus technischen Gründen hinzu. Im Gegensatz dazu sieht die Datenschutz-Grundverordnung nur eine Ausnahme für die öffentliche Gesundheit vor.

Beide Verordnungen enthalten dieselben Kriterien für die Art und Weise der Antragstellung sowie die Fristen für die Beantwortung der Anträge und für die Reaktion auf die Anträge.

Spezifische DSGVO-Rechte

Die Datenschutz-Grundverordnung räumt den betroffenen Personen mehrere Privilegien ein, die das CCPA nicht kennt. Dazu gehören:

das Recht auf Berichtigung, das es den betroffenen Personen ermöglicht, unrichtige personenbezogene Daten zu berichtigen und fehlende personenbezogene Daten zu ergänzen.

Das Recht auf Einschränkung, wonach der für die Verarbeitung Verantwortliche unter diesen Bedingungen die Verarbeitung personenbezogener Daten der betroffenen Person einschränken und dies jedem Nutzer, dem die personenbezogenen Daten offengelegt wurden, mitteilen muss.

Das Recht, keiner automatisierten Entscheidungsfindung unterworfen zu werden, das Verbot der automatisierten Entscheidungsfindung, einschließlich des Profilings, das, sofern es keine Ausnahmen gibt, rechtliche oder andere schwerwiegende Auswirkungen auf die betroffene Person hat.

CCPA-spezifische Rechte

Im Gegensatz dazu räumt der CCPA den Kunden ein Recht ein, das in der Datenschutz-Grundverordnung nicht ausdrücklich enthalten ist: das Recht, bei der Ausübung von Rechten nicht diskriminiert zu werden. Dieses Recht garantiert, dass es Organisationen nicht gestattet ist, einen bestimmten Produkt- oder Dienstleistungsstandard zu verweigern oder anzubieten, (vorzuschlagen) unterschiedliche Preise oder Tarife zu berechnen oder Geldstrafen aufgrund der Ausübung von Rechten zu verhängen. Das nächstliegende europäische Äquivalent könnte sein, dass personenbezogene Daten gemäß der Datenschutz-Grundverordnung „nach Treu und Glauben“ verarbeitet werden müssen.

Europäischer Datenschutzbeauftragter – Das neue Abkommen für Verbraucher

07/07/2022 Keine Kommentare

Der Europäische Datenschutzbeauftragte hat in einer am 5. Oktober 2018 veröffentlichten Stellungnahme zu einem der kritischen Punkte der Gesetzesänderungen im aktuellen EU-Verbraucherabkommen Bedenken geäußert und

mehr »

Aus welchen Gründen sollten personenbezogene Daten erhoben werden?

17/05/2021 Keine Kommentare

Der Zweck der Verarbeitung personenbezogener Daten muss klar sein, und die Personen, deren Daten Sie verarbeiten, müssen ihn kennen. Es ist nicht möglich, einfach anzugeben,

mehr »

Datenschutzanforderungen für Vereine

27/08/2022 Keine Kommentare

Verbände und die DSGVO Folglich schließt die EU-Datenschutzgrundverordnung (DSGVO) Sportvereine, Freiwillige Feuerwehren oder Pfadfinder nicht von der Verarbeitung personenbezogener Daten aus. Dies gilt insbesondere, wenn

mehr »

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

INFORMATIONEN

Anfragen der betroffenen Personen unter DSGVO vs. CCPA

DSGVO Recht auf Löschung vs. CCPA Recht auf Löschung

Spezifische DSGVO-Rechte

CCPA-spezifische Rechte

Europäischer Datenschutzbeauftragter – Das neue Abkommen für Verbraucher

Aus welchen Gründen sollten personenbezogene Daten erhoben werden?

Datenschutzanforderungen für Vereine

Cookie and External Connections Consent / Einwilligung in Cookies und externe Verbindungen