Bewältigung des Goldrauschs der Sammelklagen in Kalifornien

Die Hauptader

Warum wurden so schnell so viele Sammelklagen eingereicht? Weil der CCPA die potenziellen Folgen einer Datenverletzung erheblich verschärft hat, indem er kalifornischen Verbrauchern erlaubt, einen gesetzlichen Schadenersatz zwischen 100 und 750 US-Dollar pro Verbraucher und Vorfall oder den tatsächlichen Schadenersatz zu verlangen, je nachdem, welcher Betrag höher ist.

Die Möglichkeit, gesetzlichen Schadenersatz zu erhalten, ist ein starker Anreiz. Obwohl Verbraucher bereits nach dem kalifornischen Gesetz zu Datenschutzverletzungen das Recht hatten, Klage zu erheben, war es für sie oft schwierig, den tatsächlichen Schaden durch die Datenschutzverletzung nachzuweisen. Der gesetzliche Schadenersatz beseitigt dieses Hindernis.

Gesetzliche Schadenersatzzahlungen können sich schnell summieren. Würden beispielsweise die gesetzlichen Schadenersatzzahlungen gemäß CCPA auf die Datenverstöße angewendet, die zwischen 2014 und 2016 auf der Website des kalifornischen Generalstaatsanwalts gemeldet wurden, hätten die Beklagten mit gesetzlichen Schadenersatzzahlungen in Höhe von insgesamt 37,5 Milliarden US-Dollar rechnen müssen (berechnet auf der Grundlage von 750 US-Dollar pro Verbraucher und Verstoß).¹ Das ist ein großer Anreiz.

Der Versuch, reich zu werden

Die in den CCPA-Sammelklagen geltend gemachten Ansprüche sind ebenfalls etwas aus dem Wilden Westen. Obwohl der CCPA private Klagen technisch auf Ansprüche beschränkt, die sich aus der Verletzung sensibler personenbezogener Daten aufgrund der Nichtumsetzung und Nichtbeibehaltung angemessener Sicherheitsmaßnahmen durch das Unternehmen ergeben, gehen die bisher eingereichten frühen CCPA-Klagen darüber hinaus, was zeigt, dass die Anwälte der Kläger bereit sind, die Grenzen des CCPA auszutesten. Verbraucherklagen, die sich auf den CCPA berufen, lassen sich im Allgemeinen in zwei Kategorien einteilen:

• Fälle, in denen Datenverstöße geltend gemacht werden (unbefugter Zugriff und Exfiltration, Diebstahl oder Offenlegung sensibler personenbezogener Daten aufgrund des Versäumnisses des Unternehmens, angemessene Sicherheitsmaßnahmen zu implementieren und aufrechtzuerhalten). Diese Ansprüche sind durch den CCPA ausdrücklich zugelassen.
• Fälle, in denen Verstöße gegen die Verfahren des CCPA in Bezug auf den Datenschutz geltend gemacht werden. Indiesen Fällen behaupten die Kläger, dass das Unternehmen eine Verfahrensvorschrift des CCPA nicht eingehalten hat (z. B. die Unterlassung der Benachrichtigung über die Erhebung personenbezogener Daten und die Weitergabe dieser Daten an Dritte oder die Unterlassung, den Verbrauchern das Recht einzuräumen, der Weitergabe der Daten zu widersprechen), und stützen sich darauf, um Ansprüche wegen Verstößen gegen den CCPA und andere Gesetze geltend zu machen, wie z. B. die kalifornischen Gesetze gegen unlauteren Wettbewerb, andere Verbraucherschutzgesetze und Ansprüche nach dem Gewohnheitsrecht. Diese Art von Ansprüchen zielen in der Regel auf den Ersatz des tatsächlichen Schadens und auf Unterlassungsansprüche ab. Es bleibt abzuwarten, ob diese Art von Ansprüchen einer Klageabweisung standhalten werden, da der CCPA ausdrücklich festlegt, dass keine seiner Bestimmungen als Grundlage für ein privates Klagerecht nach anderen Gesetzen ausgelegt werden darf.

Anspruch geltend machen

Unternehmen können vier Maßnahmen ergreifen, um das Risiko zu mindern, Ziel einer CCPA-Sammelklage und gesetzlicher Schadenersatzforderungen zu werden:

1. Minimieren Sie Daten. Wenn Sie die Daten nicht benötigen und nicht aufbewahren müssen, löschen Sie sie. Sie können nicht kompromittiert werden, wenn sie sich nicht auf Ihrem System befinden. (Beachten Sie jedoch, dass in Kalifornien und anderen Bundesstaaten Gesetze zur Datenentsorgung gelten, die vorschreiben, dass Aufzeichnungen mit personenbezogenen Daten auf sichere Weise entsorgt werden müssen).

2 Verschlüsseln Sie sensible Daten. Das private Klagerecht des CCPA bei Datenschutzverletzungen und der gesetzliche Schadenersatzanspruch gelten nur für die Verletzung von unverschlüsselten und unredigierten sensiblen personenbezogenen Daten.

3. Implementieren und pflegen Sie angemessene Sicherheitsverfahren. Der CCPA verlangt, dass die Verletzung „aufgrund der Verletzung der Pflicht des Unternehmens zur Implementierung und Pflege angemessener Sicherheitsverfahren und -praktiken“ erfolgt ist. Obwohl der CCPA „angemessene Sicherheitsverfahren“ nicht definiert, gibt es viele anerkannte Sicherheitsrahmenwerke.

4. Beheben Sie das Problem. Der CCPA verlangt, dass ein Kläger, der gesetzlichen Schadensersatz fordert, dem Unternehmen eine schriftliche Mitteilung mit einer Frist von 30 Tagen zukommen lässt, in der die spezifischen Bestimmungen des CCPA aufgeführt sind, gegen die der Verbraucher seiner Meinung nach verstoßen hat. Wenn das Unternehmen den Verstoß innerhalb von 30 Tagen behebt und dem Verbraucher eine schriftliche Erklärung vorlegt, dass die Verstöße behoben wurden und keine weiteren Verstöße mehr auftreten werden, kann der Verbraucher keine Klage auf gesetzlichen Schadensersatz einreichen. Natürlich definiert der CCPA nicht, was es bedeutet, einen Verstoß zu „beheben”.

Was auch immer „Heilung“ bedeutet, „Heilen“ könnte schwieriger werden, wenn ein neues kalifornisches Datenschutzgesetz – der California Privacy Rights Act– im November 2020 von den kalifornischen Wählern verabschiedet wird. Der CPRA wurde vom Verfasser des CCPA verfasst und wird oft als „CCPA 2.0“ bezeichnet. Der CPRA würde es Unternehmen jedoch erschweren, eine Datenverletzung zu „beheben“, da der CPRA ausdrücklich festlegt, dass die Implementierung und Aufrechterhaltung angemessener Sicherheitsverfahren und -praktiken nach einer Verletzung keine Behebung dieser Verletzung darstellt. Wenn die Wähler den CPRA verabschieden (und erste Umfragen zeigen eine Zustimmungsrate von 90 %), tritt der CPRA am 1. Januar 2023 in Kraft.

Nur der Anfang

Verbrauchersammelklagen sind nur der erste Schritt im Rahmen der Durchsetzung des CCPA. Darüber hinaus kann der Generalstaatsanwalt von Kalifornien ab dem 1. Juli 2020 Durchsetzungsmaßnahmen einleiten, und die Generalstaatsanwaltschaft hat deutlich gemacht, dass die Durchsetzungsverfahren auch Ereignisse umfassen werden, die bereits im Januar 2020 stattgefunden haben.

Die Generalstaatsanwaltschaft kann für jeden Verstoß zivilrechtliche Strafen von bis zu 2.500 US-Dollar und für jeden vorsätzlichen Verstoß gegen den CCPA von bis zu 7.500 US-Dollar verhängen. Um eine Vorstellung von der Größenordnung dieser Zahlen zu bekommen: Würde die Strafe von 7.500 US-Dollar pro Verbraucher und Vorfall für die in den Daten der Generalstaatsanwaltschaft gemeldeten Datenschutzverletzungen für den Zeitraum 2014–2016 verhängt, würde sich das Risiko für die Generalstaatsanwaltschaft auf insgesamt 375 Milliarden US-Dollar belaufen.²

Das wird eine wilde Fahrt.

¹Quelle: Schätzung von Dominique Shelton Leipzig, Partnerin, Datenschutz und Sicherheit, und Co-Vorsitzende, Ad Tech Datenschutz und Datenmanagement, Perkins Coie, LLP, in einem 7-minütigen Video, das auf Data Breach Today (11. März 2020) veröffentlicht wurde.

²Id.