CCPA Blog Post Überschrift
CCPA Blog Post Überschrift

Bewältigung des Goldrauschs der Sammelklagen in Kalifornien

Stacey Garrett |

Der California Consumer Privacy Act (CCPA) ist seit dem 1. Januar 2020 in Kraft, und er hat es in sich.

Wie die Goldsucher, die 1948 nach Kalifornien kamen, in der Hoffnung, dort fündig zu werden, haben Anwälte in den ersten fünf Monaten des Jahres 2020 mindestens 19 Sammelklagen wegen angeblicher Verstöße gegen das CCPA.

Die Muttererde

Warum wurden so viele Sammelklagen so schnell eingereicht? Weil der CCPA erheblich dazu beigetragen hat die potenziellen Folgen erhöht eines Datenschutzverstoßes, indem kalifornischen Verbrauchern die Möglichkeit eingeräumt wird, einen gesetzlichen Schadensersatz zwischen $100 und $750 pro Verbraucher und Vorfall oder den tatsächlichen Schaden zu fordern, je nachdem, welcher Betrag höher ist.

Die Verfügbarkeit von gesetzlichem Schadensersatz ist eine starker Anreiz. Obwohl die Verbraucher bereits das Recht hatten, eine Klage nach dem kalifornischen Gesetz über Datenschutzverletzungen einzureichen, war es für sie oft schwierig, den tatsächlichen Schaden nachzuweisen, der durch die Datenschutzverletzung verursacht wurde. Der gesetzliche Schadensersatz beseitigt dieses Hindernis.

TAP Workflow Automation für Ihre Unternehmensbedürfnisse

Die flexible, intuitive, programmierfreie Lösung für Geschäftsanwender.

Holen Sie sich den Leitfaden

Gesetzlicher Schadenersatz kann sich schnell summieren. Würden beispielsweise die gesetzlichen Schadensersatzansprüche des CCPA auf die Datenschutzverletzungen angewandt, die auf der Website des kalifornischen Generalstaatsanwalts für die Jahre 2014 bis 2016 gemeldet wurden, hätten die Beklagten mit folgenden Beträgen rechnen müssen gesetzlicher Schadenersatz in Höhe von insgesamt $37,5 Milliarden (berechnet auf $750 pro Verbraucher und Verstoß).¹ Das ist eine Los des Anreizes.

Der Versuch, reich zu werden

Die Ansprüche, die in den CCPA-Sammelklagen geltend gemacht werden, sind ebenfalls etwas aus dem Wilden Westen. Obwohl das CCPA technisch gesehen Privatklagen auf Ansprüche beschränkt, die sich aus der Verletzung sensibler personenbezogener Daten als Folge des Versäumnisses des Unternehmens ergeben, angemessene Sicherheitspraktiken einzuführen und aufrechtzuerhalten, gehen die ersten bisher eingereichten CCPA-Klagen darüber hinaus und zeigen, dass die Anwälte der Kläger bereit sind, die Grenzen des CCPA auszutesten. Verbraucherklagen, die sich auf den CCPA berufen, lassen sich im Allgemeinen in zwei Kategorien einteilen:

  • Fälle von angeblichen Datenschutzverletzungen (unbefugter Zugriff und Exfiltration, Diebstahl oder Offenlegung sensibler personenbezogener Daten als Folge des Versäumnisses des Unternehmens, angemessene Sicherheitspraktiken einzuführen und aufrechtzuerhalten). Diese Ansprüche werden durch das CCPA ausdrücklich zugelassen.
  • Fälle, in denen Verstöße gegen die Verfahren des CCPA im Bereich des Datenschutzes geltend gemacht werden. IIn diesen Fällen behaupten die Kläger, dass das Unternehmen eine Verfahrensvorschrift des CCPA nicht eingehalten hat (z. B. das Versäumnis, über die gesammelten personenbezogenen Daten und die Dritten, mit denen die Daten ausgetauscht werden, zu informieren, oder das Versäumnis, den Verbrauchern das Recht einzuräumen, dem Verkauf der Daten zu widersprechen), und machen auf dieser Grundlage Ansprüche geltend, die sich auf Verstöße gegen das CCPA und andere Gesetze stützen, z. B. die kalifornischen Gesetze gegen unlauteren Wettbewerb, andere Verbraucherschutzgesetze und Ansprüche nach dem Common Law. Mit diesen Ansprüchen werden in der Regel Schadensersatz und Unterlassungsansprüche geltend gemacht. Es bleibt abzuwarten, ob diese Art von Ansprüchen einem Antrag auf Klageabweisung standhält, da das CCPA ausdrücklich besagt, dass nichts darin so ausgelegt werden darf, dass es als Grundlage für ein privates Klagerecht nach einem anderen Gesetz dient.

Einen Anspruch abstecken

Unternehmen können vier Maßnahmen ergreifen, um das Risiko einer CCPA-Sammelklage und eines gesetzlichen Schadenersatzes zu mindern:

1. Daten minimieren. Wenn Sie die Daten nicht benötigen und nicht verpflichtet sind, sie aufzubewahren, sollten Sie sie loswerden. Wenn sie sich nicht in Ihrem System befinden, kann nicht gegen sie verstoßen werden. (Denken Sie jedoch daran, dass es in Kalifornien und anderen Staaten Gesetze zur Datenentsorgung gibt, die vorschreiben, dass Aufzeichnungen mit personenbezogenen Daten auf sichere Weise entsorgt werden müssen).

2 Verschlüsseln Sie sensible Daten. Das im CCPA vorgesehene private Klagerecht bei Datenschutzverletzungen und der gesetzliche Schadensersatz gelten nur für die Verletzung unverschlüsselter und nicht geschwärzter sensibler personenbezogener Daten.

3. Einführung und Aufrechterhaltung angemessener Sicherheitsverfahren. Der CCPA setzt voraus, dass die Verletzung "infolge der Verletzung der Pflicht des Unternehmens zur Einführung und Aufrechterhaltung angemessener Sicherheitsverfahren und -praktiken" erfolgt ist. Obwohl das CCPA keine Definition von "angemessenen Sicherheitsverfahren" enthält, gibt es viele anerkannte Sicherheitsrahmenwerke.

4. Das Problem beheben. Das CCPA verlangt, dass ein Kläger, der einen gesetzlichen Schadensersatz geltend macht, dem Unternehmen eine schriftliche Mitteilung mit einer Frist von 30 Tagen zukommen lässt, in der die spezifischen Bestimmungen des CCPA genannt werden, gegen die der Verbraucher angeblich verstoßen hat. Wenn das Unternehmen den Verstoß innerhalb von 30 Tagen behebt und dem Verbraucher eine schriftliche Erklärung zukommen lässt, dass die Verstöße behoben wurden und es zu keinen weiteren Verstößen kommen wird, kann der Verbraucher keine Klage auf gesetzlichen Schadensersatz einreichen. Natürlich ist im CCPA nicht definiert, was es bedeutet, einen Verstoß zu "heilen".

Was auch immer "Heilung" bedeutet, die "Heilung" könnte schwieriger werden, wenn ein neues kalifornisches Gesetz zum Schutz der Privatsphäre - das Kalifornisches Gesetz zum Schutz der Privatsphäre- ist von den kalifornischen Wählern angenommen im November 2020. Das CPRA wurde von dem Verfasser des CCPA verfasst und wird oft als "CCPA 2.0" bezeichnet. Aber das CPRA würde es Unternehmen erschweren, eine Datenschutzverletzung zu "heilen", da das CPRA ausdrücklich festlegt, dass die Einführung und Aufrechterhaltung angemessener Sicherheitsverfahren und -praktiken nach eine Verletzung nicht als Heilung in Bezug auf diese Verletzung. Wenn die Wähler dem CPRA zustimmen (und die ersten Umfragen zeigen eine 90%-Zustimmungsrate), wird das CPRA am 1. Januar 2023 in Kraft treten.

Nur der Anfang

Verbrauchersammelklagen sind nur der erste Stein, der fällt im Rahmen der CCPA-Durchsetzung. Darüber hinaus kann der Generalstaatsanwalt von Kalifornien ab dem 1. Juli 2020 Durchsetzungsmaßnahmen einleiten, und das Büro des Generalstaatsanwalts hat deutlich gemacht, dass Durchsetzungsverfahren auch Ereignisse umfassen werden, die bereits im Januar 2020 eingetreten sind.

Das Büro des Generalstaatsanwalts kann zivilrechtliche Strafen von bis zu $2.500 für jeden Verstoß und bis zu $7.500 für jeden vorsätzlichen Verstoß gegen das CCPA fordern. Um ein Gefühl für die Größenordnung dieser Zahlen zu bekommen: Würde die Strafe von $7.500 pro Verbraucher und Vorfall für die in den Jahren 2014 bis 2016 gemeldeten Datenschutzverletzungen angewandt, ergäbe sich ein Gesamtdurchsetzungsrisiko der AG von $375 Milliarden.²

Es wird ein wild reiten.

¹Quelle: Schätzung von Dominique Shelton Leipzig, Partner, Datenschutz & Sicherheit und Co-Vorsitzender, Ad Tech Privacy & Data Management, Perkins Coie, LLP in einem 7-minütigen Video, das auf Data Breach Today (11. März 2020) veröffentlicht wurde.

²Id.

[bctt tweet="Zitat hier einfügen" via="no"]