Der kalifornische Attorney General (AG) hat im Februar 2020 Anpassungen des California Consumer Protection Act (CCPA; vgl. die Übersichtsseite des AG zum CCPA) vorgeschlagen, mit dem Ziel, bestimmte Punkte des CCPA zu klären (was allerdings nur teilweise gelingt).
Die vorgeschlagenen Änderungen betreffen v.a. folgende Punkte, die auch deshalb interessant sind, weil sie praktischen Schwierigkeiten betreffen, die auch unter der DSGVO (und dem E‑DSG) auftreten:
- Die Definition von “personal information” (PI): Daten sind nur PI, wenn das betreffende Unternehmen die Daten in einer Art und Weise bearbeitet, die einen bestimmten Konsumenten oder Haushalt identifiziert oder identifizieren kann. IP-Adressen stellen daher u.U. keine PI dar (“For example, if a business collects the IP addresses of visitors to its website but does not link the IP address to any particular consumer or household, and could not reasonably link the IP address with a particular consumer or household, then the IP address would not be “personal information”).
- Datenschutzhinweise bei der Erhebung müssen dort bereitgestellt werden, wo PI erhoben wird, z.B. auf Webseiten, Download-Seiten für mobile Apps (und in der App, z.B. bei den Einstellungen) und gedruckten Formularen. Bei der offline-Erhebung kann auch auf eine Website verwiesen werden. Wird PI über ein Mobilgerät zu unerwarteten Zwecken erhoben, ist eine “just-in-time”-Mitteilung erforderlich mit einer Beschreibung der Kategorien der erhobenen PI und einem Link zu einer vollständigen Datenschutzerklärung.
- Eine erneute Einwilligung für die Bearbeitung zu anderen Zwecken ist nicht erforderlich, wenn die neuen Zwecke von den ursprünglichen Zwecken nicht “materially different” sind.
- Unternehmen müssen die Bearbeitungszwecke nicht gesondert für jede Kategorie von PI angeben (das war in der zuerst vorgeschlagenen Version der Änderungen noch anders).
- Unternehmen müssen den Eingang von Auskunfts- und Löschungsbegehren innerhalb von 10 Business Days bestätigen. Die Antwortfrist bleibt aber 45 Calendar Days.
- Es ist nicht mehr notwendig, ein Webformular bereitzustellen. Bei Unternehmen, die ausschliesslich über eine Website tätig sind, genügt die Angabe einer E‑Mail-Adresse für Anfragen. Alle anderen Unternehmen müssen mindestens zwei Methoden für die Anfragen zur Verfügung stellen, darunter eine gebührenfreie Nummer. Bei Löschbegehren bleibt es dabei, dass alle Unternehmen zwei Methoden bereitstellen müssen.
- Bei Auskunftsbegehren müssen Unternehmen unter folgenden Voraussetzungen nicht nach PI suchen: 1) PI werden nicht in einem durchsuchbaren oder zugänglichen Format aufbewahrt; 2) PI werden ausschliesslich für rechtliche oder Compliance-Zwecke aufbewahrt; 3) das Unternehmen verkauft keine PI und verwendet sie nicht für kommerzielle Zwecke; und 4) die Kategorien von Datensätzen, die PI enthalten könnten, werden genannt.
- Dienstanbieter dürfen PI für eigene interne Zwecke (z.B. Produktentwicklung und ‑pflege, für Sicherheitszwecke oder Verteidigung oder Durchsetzung von Rechtsansprüchen) verwenden, vorausgesetzt PI wird weder für Profilierungen noch Bereinigung oder Ergänzung der PI mit Daten aus anderen Quellen verwendet.