Seit dem 1. Januar 2020 ist im US-Gliedstaat Kalifornien der California Consumer Privacy Act (CCPA) in Kraft. Neben Nevada sowie Maine verfügt Kalifornien damit als dritter US-Gliedstaat über ein umfassendes Datenschutzgesetz. Der CCPA wird als Meilenstein für den Datenschutz in den USA bezeichnet; Kalifornien ist ein wichtiger Standort zahlreicher US-Techunternehmen, welche die Vorgaben des CCPA berücksichtigen müssen.
Gemäss CCPA können kalifornische Konsumenten u.a. neu folgende Rechtsansprüche geltend machen:
(i) Auskunft: The right to know what personal information is collected, used, shared or sold, both as to the categories and specific pieces of personal information.
(ii) Löschung: The right to delete personal information held by businesses and by extension, a business’s service provider.
(iii) Widerspruch („Verkaufsstop“): The right to opt-out of sale of personal information. Consumers are able to direct a business that sells personal information to stop selling that information.
(iv) Diskriminierungsverbot: The right to non-discrimination in terms of price or service when a consumer exercises a privacy right under CCPA.
Schliesslich ist bemerkenswert, dass kalifornische Konsumenten ihre Rechtsansprüche auch an ausländische Unternehmen (z.B. mit Sitz in der Schweiz) richten können. Unternehmen fallen bereits dann in den Anwendungsbereich des CCPA, wenn sie im US-Gliedstaat Kalifornien tätig sind („doing business“), dabei „personal information“ von kalifornischen Konsumenten bearbeiten und zusätzlich eines der nachfolgenden Kriterien erfüllen:
(i) Has gross annual revenues in excess of $25 million.
(ii) Buys, receives, or sells the personal information of 50,000 or more consumers, households, or devices.
(iii) Derives 50 percent or more of annual revenues from selling consumers’ personal information.
Michal Cichocki
Gemäss CCPA können kalifornische Konsumenten u.a. neu folgende Rechtsansprüche geltend machen:
(i) Auskunft: The right to know what personal information is collected, used, shared or sold, both as to the categories and specific pieces of personal information.
(ii) Löschung: The right to delete personal information held by businesses and by extension, a business’s service provider.
(iii) Widerspruch („Verkaufsstop“): The right to opt-out of sale of personal information. Consumers are able to direct a business that sells personal information to stop selling that information.
(iv) Diskriminierungsverbot: The right to non-discrimination in terms of price or service when a consumer exercises a privacy right under CCPA.
Schliesslich ist bemerkenswert, dass kalifornische Konsumenten ihre Rechtsansprüche auch an ausländische Unternehmen (z.B. mit Sitz in der Schweiz) richten können. Unternehmen fallen bereits dann in den Anwendungsbereich des CCPA, wenn sie im US-Gliedstaat Kalifornien tätig sind („doing business“), dabei „personal information“ von kalifornischen Konsumenten bearbeiten und zusätzlich eines der nachfolgenden Kriterien erfüllen:
(i) Has gross annual revenues in excess of $25 million.
(ii) Buys, receives, or sells the personal information of 50,000 or more consumers, households, or devices.
(iii) Derives 50 percent or more of annual revenues from selling consumers’ personal information.
Michal Cichocki