Der kali­for­ni­sche Attor­ney Gene­ral (AG) hat im Febru­ar 2020 Anpas­sun­gen des Cali­for­nia Con­su­mer Pro­tec­tion Act (CCPA; vgl. die Über­sichts­sei­te des AG zum CCPA) vor­ge­schla­gen, mit dem Ziel, bestimm­te Punk­te des CCPA zu klä­ren (was aller­dings nur teil­wei­se gelingt).

Die vor­ge­schla­ge­nen Ände­run­gen betref­fen v.a. fol­gen­de Punk­te, die auch des­halb inter­es­sant sind, weil sie prak­ti­schen Schwie­rig­kei­ten betref­fen, die auch unter der DSGVO (und dem E‑DSG) auf­tre­ten:

  • Die Defi­ni­ti­on von “per­so­nal infor­ma­ti­on” (PI): Daten sind nur PI, wenn das betref­fen­de Unter­neh­men die Daten in einer Art und Wei­se bear­bei­tet, die einen bestimm­ten Kon­su­men­ten oder Haus­halt iden­ti­fi­ziert oder iden­ti­fi­zie­ren kann. IP-Adres­sen stel­len daher u.U. kei­ne PI dar (“For examp­le, if a busi­ness collects the IP addres­ses of visi­tors to its web­site but does not link the IP address to any par­ti­cu­lar con­su­mer or house­hold, and could not rea­son­ab­ly link the IP address with a par­ti­cu­lar con­su­mer or house­hold, then the IP address would not be “per­so­nal infor­ma­ti­on”).
  • Daten­schutz­hin­wei­se bei der Erhe­bung müs­sen dort bereit­ge­stellt wer­den, wo PI erho­ben wird, z.B. auf Web­sei­ten, Down­load-Sei­ten für mobi­le Apps (und in der App, z.B. bei den Ein­stel­lun­gen) und gedruck­ten For­mu­la­ren. Bei der off­line-Erhe­bung kann auch auf eine Web­site ver­wie­sen wer­den. Wird PI über ein Mobil­ge­rät zu uner­war­te­ten Zwecken erho­ben, ist eine “just-in-time”-Mitteilung erfor­der­lich mit einer Beschrei­bung der Kate­go­ri­en der erho­be­nen PI und einem Link zu einer voll­stän­di­gen Daten­schutz­er­klä­rung.
  • Eine erneu­te Ein­wil­li­gung für die Bear­bei­tung zu ande­ren Zwecken ist nicht erfor­der­lich, wenn die neu­en Zwecke von den ursprüng­li­chen Zwecken nicht “mate­ri­al­ly dif­fe­rent” sind.
  • Unter­neh­men müs­sen die Bear­bei­tungs­zwecke nicht geson­dert für jede Kate­go­rie von PI ange­ben (das war in der zuerst vor­ge­schla­ge­nen Ver­si­on der Ände­run­gen noch anders).
  • Unter­neh­men müs­sen den Ein­gang von Aus­kunfts- und Löschungs­be­geh­ren inner­halb von 10 Busi­ness Days bestä­ti­gen. Die Ant­wort­frist bleibt aber 45 Calen­dar Days.
  • Es ist nicht mehr not­wen­dig, ein Web­for­mu­lar bereit­zu­stel­len. Bei Unter­neh­men, die aus­schliess­lich über eine Web­site tätig sind, genügt die Anga­be einer E‑Mail-Adres­se für Anfra­gen. Alle ande­ren Unter­neh­men müs­sen min­de­stens zwei Metho­den für die Anfra­gen zur Ver­fü­gung stel­len, dar­un­ter eine gebüh­ren­freie Num­mer. Bei Lösch­be­geh­ren bleibt es dabei, dass alle Unter­neh­men zwei Metho­den bereit­stel­len müs­sen.
  • Bei Aus­kunfts­be­geh­ren müs­sen Unter­neh­men unter fol­gen­den Vor­aus­set­zun­gen nicht nach PI suchen: 1) PI wer­den nicht in einem durch­such­ba­ren oder zugäng­li­chen For­mat auf­be­wahrt; 2) PI wer­den aus­schliess­lich für recht­li­che oder Com­pli­an­ce-Zwecke auf­be­wahrt; 3) das Unter­neh­men ver­kauft kei­ne PI und ver­wen­det sie nicht für kom­mer­zi­el­le Zwecke; und 4) die Kate­go­ri­en von Daten­sät­zen, die PI ent­hal­ten könn­ten, wer­den genannt.
  • Dienst­an­bie­ter dür­fen PI für eige­ne inter­ne Zwecke (z.B. Pro­dukt­ent­wick­lung und ‑pfle­ge, für Sicher­heits­zwecke oder Ver­tei­di­gung oder Durch­set­zung von Rechts­an­sprü­chen) ver­wen­den, vor­aus­ge­setzt PI wird weder für Pro­fi­lie­run­gen noch Berei­ni­gung oder Ergän­zung der PI mit Daten aus ande­ren Quel­len ver­wen­det.

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.