Kalifornien will Löschen von persönlichen Daten erleichtern
Ein neues Gesetz in Kalifornien erleichtert es Einwohnern des US-Bundesstaates künftig, die Löschung ihrer persönlichen Daten bei Datenhändlern zu beantragen. Der demokratische Gouverneur Gavin Newsom hat den entsprechenden Gesetzentwurf am Dienstag unterzeichnet; das Gesetz tritt nun Anfang 2024 in Kraft. Mit der vollständigen Umsetzung ist aber erst in einigen Jahren zu rechnen.
Einwohnerinnen und Einwohner von Kalifornien haben bereits das Recht, die Löschung ihrer Daten zu verlangen. Allerdings müssen sie dafür bisher bei jedem fraglichen Unternehmen einzeln einen Antrag stellen.
Der sogenannte “Delete Act” soll nun einen Schritt weiter gehen: Die Datenschutzbehörde “California Privacy Protection Agency” (CPPA) wird darin angewiesen, einen online zugänglichen “Löschmechanismus” einzurichten, mit dem Verbraucher die Löschung ihrer Daten bei allen Datenhändlern im Bundesstaat in einem Schritt beantragen können. Laut Gesetz hat die Behörde bis zum 1. Januar 2026 Zeit, diesen Weg zu schaffen – die genaue Umsetzung ist aber noch unklar.
Wenn Datenhändler in Kalifornien tätig sein wollen, dann müssen sie sich bereits heute registrieren lassen und eine Gebühr zahlen. Nach Angaben der Los Angeles Times sind derzeit etwa 500 Datenhändler angemeldet.
Das Gesetz verpflichtet sie nun zusätzlich, ab August 2026 mindestens einmal alle 45 Tage auf den Mechanismus der CPPA zuzugreifen und die dort hinterlegten Löschanträge zu bearbeiten. Haben Verbraucher die Löschung beantragt, ist der Verkauf oder die Weitergabe ihrer Daten außerdem verboten, erklärt die Datenschutzbehörde.
Strafen bei Zuwiderhandlung
Außerdem müssen die Datenhändler ab dem Jahr 2028 alle drei Jahre von einer unabhängigen Stelle überprüfen lassen, ob sie sich an die neuen Bestimmungen halten. Tun sie das nicht, können Strafen gegen sie verhängt werden: Vorgesehen ist etwa eine Strafzahlung von 200 US-Dollar für jeden Tag, an dem ein Datenmakler einem Löschantrag nicht nachkommt.
Wie das Technikmagazin The Verge erklärt, fallen solche Unternehmen unter die neue Regelung, die nach einem im Jahr 2018 verabschiedeten kalifornischen Verbrauchergesetz als Datenhändler gelten: Sie müssen demnach im Vorjahr mehr als 25 Millionen US-Dollar Umsatz gemacht haben – und mindestens 50 Prozent des Jahresumsatzes mit dem Verkauf personenbezogener Daten erzielen. Außerdem müssen sie jährlich die personenbezogenen Daten von 100.000 oder mehr Verbrauchern oder Haushalten kaufen, verkaufen oder weitergeben.
Bürgerrechtler sehen Datenschutz gestärkt
Erwartungsgemäß hatte es im Vorfeld Kritik aus der Werbebranche gegeben. Verbände hatten etwa beklagt, für kleinere Unternehmen werde es schwieriger, neue Kunden zu erreichen, schreibt der Guardian.
Senator Josh Becker, der den Gesetzentwurf eingebracht hatte, kritisierte hingegen gegenüber der Los Angeles Times: “Datenhändler besitzen Tausende Daten über jeden einzelnen von uns und sie verkaufen Informationen über reproduktive Gesundheitsfürsorge, Standortdaten und Informationen über Einkäufe an den Meistbietenden.” Das neue Gesetz schütze “unsere sensibelsten Informationen”.
Auch die Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) begrüßte das neue Gesetz. Hayley Tsukayama von der Organisation erklärte gegenüber dem Guardian, durch das Gesetz würden die Datenschutzrechte aller Menschen in Kalifornien gestärkt.
Bereits im Vorfeld hatte die EFF das Gesetzesvorhaben unterstützt. Im August hatte die Organisation erklärt, es würde die Kontrolle über persönliche Daten verbessern. Die EFF kritisiert, Datenhändler könnten Informationen über Personen mit nur wenig Aufsicht verkaufen – dazu gehörten sensible Angaben, etwa über Kaufgewohnheiten oder Aufenthaltsorte. Solche Daten ließen sich für Betrug und Identitätsdiebstahl missbrauchen.
In den USA gibt es im Unterschied zur Europäischen Union kein einheitliches und umfassendes Datenschutzgesetz – einige US-Bundesstaaten haben jedoch ihre eigenen Regeln verabschiedet. In Kalifornien wurde im Jahr 2020 der “California Privacy Rights Act” erlassen, mit dem auch die Datenschutzbehörde CPPA eingerichtet wurde. Auch in Virginia gibt es seit Anfang 2023 ein ähnliches Datenschutzgesetz. (js)