CCPA und Datenschutz: alles, was man wissen muss

Image of Iron Brands

Veröffentlicht am 9. Nov. 2023 und bearbeitet am 23. Nov. 2023 von Iron Brands

Das CCPA ist ein bekanntes und einflussreiches Gesetz im Bereich des Datenschutzes. Es ist leicht zu erkennen, warum: Viele datengesteuerte Technologieunternehmen haben ihren Sitz im Silicon Valley, darunter Giganten wie Apple, Google und Meta. Das CCPA ist also das bei weitem einflussreichste staatliche Gesetz für die digitale Wirtschaft. Erfahren Sie mehr über das CCPA und wie es den Datenschutz innerhalb und außerhalb Kaliforniens beeinflusst!

  1. Was ist der CCPA?
  2. Was sind personenbezogene Daten im Sinne des CCPA?
  3. Wie wird der CCPA auf Cookies angewendet?
  4. Wie wirkt sich der CCPA auf das Direktmarketing aus?
  5. Wie wirkt sich der CCPA auf die Verwendung sensibler Daten aus?
  6. Der CCPA in Aktion: der Fall Sephora
  7. Jenseits des CCPA: Das kalifornische Datenschutzrecht
  8. Die Zukunft des Datenschutzes unter dem CCPA
Logo of the Government of the United KingdomThe UK Government chose Simple AnalyticsJoin them

Was ist der CCPA?

Der CCPA ist der California Consumer Privacy Act von 2018. Das Gesetz räumt den Einwohnern Kaliforniens bestimmte Rechte ein, wie z. B. die Löschung ihrer personenbezogenen Daten und die Möglichkeit, dem Verkauf ihrer Daten zu widersprechen.

Der CCPA wurde mehrfach geändert und erfuhr 2020 mit dem CPRA (California Privacy Rights Act) umfangreiche Änderungen. Der CCPA wird vom Generalstaatsanwalt von Kalifornien und der California Privacy Protection Agency (CPPA) durchgesetzt.

Der CCPA gewährt nur den Einwohnern Kaliforniens Rechte, gilt aber auch für Organisationen außerhalb Kaliforniens und sogar außerhalb der USA. Das Gesetz gilt nur für große Unternehmen und Unternehmen, die über große Mengen personenbezogener Daten von Einwohnern Kaliforniens verfügen. Es gilt nicht für Regierungsbehörden und gemeinnützige Organisationen, mit engen Ausnahmen für gemeinnützige Organisationen, die mit Unternehmen verbunden sind.

Was sind personenbezogene Daten im Sinne des CCPA?

Der CCPA definiert personenbezogene Daten als "Informationen, die einen bestimmten Verbraucher oder Haushalt identifizieren, sich auf ihn beziehen, ihn beschreiben, mit ihm in Verbindung gebracht werden können oder vernünftigerweise direkt oder indirekt mit ihm in Verbindung gebracht werden könnten".

Diese Definition ist weit gefasst und umfasst mehr als direkte Identifikatoren wie Namen, Adressen und Sozialversicherungscodes. So sind beispielsweise **eindeutige Identifikatoren**, wie sie in Cookies vorkommen, nach dem CCPA personenbezogene Daten, da sie vernünftigerweise mit einem Gerät - und damit mit dessen Nutzer - in Verbindung gebracht werden können.

Fazit: Gehen Sie nicht zu voreilig davon aus, dass Ihr Unternehmen keine personenbezogenen Daten kontrolliert!

Wie wird der CCPA auf Cookies angewendet?

Der CCPA enthält keine Vorschriften für Cookies, aber seine Vorschriften über die Weitergabe von Daten an Dritte haben Auswirkungen auf die Webanalyse.

Nach dem Gesetz haben die Einwohner Kaliforniens das Recht, dem Verkauf ihrer personenbezogenen Daten zu widersprechen. Die Definition des Begriffs "Verkauf" im CCPA war schon immer weit gefasst und wurde mit dem CPRA noch weiter gefasst. Folglich kann die Weitergabe personenbezogener Daten an Google Analytics oder andere Webanalyseanbieter einen Verkauf im Sinne des Gesetzes darstellen. In der Praxis bedeutet dies, dass die Einwohner Kaliforniens ein Recht darauf haben, informiert zu werden, und dass sie die Möglichkeit haben müssen, sich dagegen zu entscheiden.

Unternehmen, die unter das CCPA fallen, müssen daher auf ihren Websites Informations-Pop-ups zu Analyse- und Marketing-Cookies bereitstellen und eine auffällige Opt-out-Option in Form einer Schaltfläche oder eines Links anbieten.

Darüber hinaus verlangt der CCPA für den Verkauf personenbezogener Daten von Minderjährigen die Zustimmung der Betroffenen. Unternehmen müssen die Zustimmung von Minderjährigen ab 16 Jahren einholen, bevor sie wissentlich deren personenbezogene Daten verkaufen.

Der CCPA verpflichtet die Unternehmen auch zur Einhaltung der Global Privacy Control (GPC). GPC ist ein technischer Standard, durch den Browser Websites dazu verpflichten, ihre Daten nicht zu verkaufen oder weiterzugeben. Mit anderen Worten: GPC ist die Art und Weise, wie Browser automatische Opt-out-Anfragen senden, damit die Nutzer nicht für jede einzelne Website, die sie besuchen, dem Datenverkauf manuell widersprechen müssen.

Wie wirkt sich der CCPA auf das Direktmarketing aus?

Der CCPA befasst sich nicht speziell mit dem Direktmarketing, aber einige seiner Bestimmungen sind für das Direktmarketing von Bedeutung.

Die Vorschriften über den Verkauf und die Weitergabe personenbezogener Daten gelten nicht für das Direktmarketing an sich, aber sie können die Verfügbarkeit von Daten Dritter für das Direktmarketing einschränken. Das Gesetz zur Löschung von Daten wird die Datenverfügbarkeit wahrscheinlich weiter einschränken, was eine schlechte Nachricht für viele Marketingunternehmen ist, die auf Daten Dritter angewiesen sind, und für jedes Unternehmen, das seine Datenbanken mit Daten Dritter anreichert.

Darüber hinaus haben Verbraucher, die Direktmarketing erhalten, ein Recht darauf zu erfahren, welche personenbezogenen Daten verarbeitet werden. Unternehmen, die Direktmarketing betreiben, sollten effiziente Verfahren für die Bearbeitung dieser Anfragen einrichten. Idealerweise würden sie Aufzeichnungen über ihre Tätigkeiten führen, um den Verbrauchern mitteilen zu können, welche Daten sie haben, woher sie stammen und ob sie von Dritten erhalten oder mit ihnen geteilt wurden.

Es ist unklar, ob das Recht auf Löschung nach dem CCPA auch für Daten Dritter gilt. Die künftige Durchsetzung wird diesen Punkt wahrscheinlich klären. In der Zwischenzeit sollten Marketingunternehmen Vorsicht walten lassen und Aufforderungen zur Löschung von Daten Dritter nachkommen.

Wie wirkt sich der CCPA auf die Verwendung sensibler Daten aus?

Sensible Informationen sind personenbezogene Daten wie z. B. Angaben zum Sexualleben und zur sexuellen Orientierung, genetische Daten, Angaben zur ethnischen Zugehörigkeit und so weiter. Auch Sozialversicherungsnummern, Kredit-/Debitkartendaten, E-Mails und genaue Geolokalisierungsdaten gelten nach dem CCPA als sensible Daten (eine genauere und umfassendere Liste finden Sie auf der Website des Office of the Attorney General of California).

Nach dem CCPA haben die Verbraucher das Recht, die Verwendung und Weitergabe ihrer sensiblen Daten auf das unbedingt Notwendige zu beschränken (z. B. zur Erbringung einer Dienstleistung).

In gewisser Weise überschneidet sich dieses Recht mit dem Recht, dem Verkauf personenbezogener Daten zu widersprechen. Es ist jedoch breiter angelegt, da es auch die Nutzung von Daten durch Dritte und die gemeinsame Nutzung von Daten abdeckt, die nicht unter die Definition von Verkauf oder gemeinsame Nutzung fallen.

Der CCPA in Aktion: der Fall Sephora

Die Durchsetzung des CCPA holt die Unternehmen ein, und der Fall Sephora ist ein sehr gutes Beispiel dafür, was man nicht tun sollte.

Das französische Unternehmen Sephora ist ein multinationaler Einzelhändler für Schönheitsprodukte. Es bekam Ärger mit dem Generalstaatsanwalt wegen einer langen Liste von CCPA-Verstößen im Zusammenhang mit seiner Webanalyse. Das Unternehmen hatte es versäumt, den Verkauf personenbezogener Daten offenzulegen, Nutzeranfragen zum Ausstieg aus dem Verkauf nicht zu berücksichtigen und seine Verstöße nicht innerhalb der gesetzlich vorgeschriebenen 30-Tage-Frist zu beheben.

Der Fall endete mit einem Vergleich in ** Höhe von 1,2 Millionen Dollar** zwischen dem Unternehmen und dem Generalstaatsanwalt. In der Praxis ist es üblich, dass CCPA-Verstöße mit einem Vergleich enden. Eine tatsächliche Geldstrafe wäre wahrscheinlich viel kostspieliger gewesen.

Interessanterweise verkaufte Sephora keine persönlichen Informationen an Datenmakler und dergleichen. Wie zahllose andere Unternehmen betrieb Sephora Webmarketing und -analyse über einen bekannten Webanalyseanbieter (der Name des Anbieters wurde nicht bekannt gegeben).

Selbst Webmarketing und Re-Targeting können also einen Verkauf im Sinne des CCPA darstellen. Dies ist ein wirklich wichtiger Punkt, der hervorgehoben werden muss: Viele Unternehmen glauben, dass sie keine Verbraucherdaten verkaufen, aber sie tun es doch, und sie können zur Rechenschaft gezogen werden, wenn sie den Verpflichtungen, die sich aus dem Verkauf ergeben, nicht nachkommen.

Es ist auch erwähnenswert, dass der Generalanwalt die Vorschrift zur globalen Datenschutzkontrolle gegen Sephora durchgesetzt hat. Es bleibt abzuwarten, wie groß die Rolle der GPC in der Praxis sein wird, aber die Durchsetzung der GPC-Vorschriften in diesem Fall ist ein vielversprechender Präzedenzfall.

Jenseits des CCPA: Das kalifornische Datenschutzrecht

Neben dem CCPA gibt es weitere vielversprechende Entwicklungen im kalifornischen Recht.

Wir haben bereits den Delete Act erwähnt. Dieses Gesetz ermöglicht es den Einwohnern, von allen Datenvermittlern die Löschung ihrer personenbezogenen Daten zu verlangen, indem sie einen einzigen Antrag stellen. Mit anderen Worten, es handelt sich um eine Art "One-Stop-Shop"-System.

Bei strikter Durchsetzung könnte das Löschgesetz die Datenschutzrechte gegenüber Datenmaklern wirksam durchsetzen und die Menge an personenbezogenen Daten, die für überwachungsgestützte Werbung und die Datenanreicherung durch Dritte zur Verfügung stehen, begrenzen. Es ist auch erwähnenswert, dass die **Registrierung von Datenmaklern nach kalifornischem Recht obligatorisch **ist, was die Durchsetzung des Delete Act erleichtern könnte.

Es ist auch erwähnenswert, dass das kalifornische Datenschutzgesetz die Suche nach umgekehrten Schlüsselwörtern und Geofencing einschränkt.

Geofencing ist die Verwendung von Standortdaten, um eine virtuelle Grenze um einen Ort zu ziehen und alle Personen innerhalb dieser Grenze zu erfassen. Die Suche nach umgekehrten Schlüsselwörtern ist eine Art gerichtliche Anordnung, die häufig von Strafverfolgungsbehörden verwendet wird.

Sowohl Geofencing als auch Reverse-Keyword-Durchsuchungen werden häufig eingesetzt, um Frauen zu überwachen und zu verfolgen, die nach dem Urteil des Obersten Gerichtshofs der USA in der Rechtssache Dobbs gegen Jackson reproduktive Gesundheitsfürsorge in Anspruch nehmen (eine lange Geschichte, über die wir hier geschrieben haben).

Washington war der erste Staat, der mit dem suggestiv benannten My Health My Data Act das Geofencing und die Rückwärtssuche nach Schlüsselwörtern einschränkte. Kalifornien ist seit langem ein Schutzstaat für die reproduktive Gesundheitsfürsorge und folgte diesem Beispiel bald.

Die Zukunft des Datenschutzes unter dem CCPA

Der CCPA hatte bereits spürbare Auswirkungen auf den digitalen Datenschutz innerhalb und außerhalb Kaliforniens. Seine künftigen Auswirkungen werden von der Durchsetzung und den anstehenden Verordnungen des CPPA abhängen. Aber die wichtigste Variable für die Zukunft des kalifornischen Datenschutzrechts ist natürlich die Zukunft des US-Datenschutzrechts insgesamt.

In den USA gibt es kein Bundesgesetz zum Datenschutz. Das erste Bundesdatenschutzgesetz (ADPPA) ist derzeit in Arbeit, aber die Verhandlungen sind im Kongress ins Stocken geraten. Spezifische Sektoren wie das Gesundheitswesen und das Finanzwesen haben ihre eigenen Datenschutzvorschriften, aber es gibt kein umfassendes und allgemeines Bundesgesetz für den Online-Datenschutz.

Staatliche Gesetze wie das CCPA sind ein Versuch, diese Lücke zu schließen. Die Gesetze der Bundesstaaten bieten den Einwohnern einiger Staaten zwar einen wichtigen Schutz, schaffen aber auch eine fragmentierte Rechtslandschaft in den USA. Gegenwärtig müssen die Unternehmen die Rechtsvorschriften der einzelnen Bundesstaaten kennen und einhalten, um landesweit tätig zu werden.

Diese Rechtszersplitterung ist auch ein Hindernis für den Gesetzgebungsprozess zum ADPPA. Staaten mit Datenschutzgesetzen wollen nicht, dass das ADPPA die Datenschutzrechte ihrer Bürger untergräbt, und einige von ihnen haben sich gegen ADPPA-Entwürfe gewehrt, die ihren eigenen Gesetzen vorgreifen würden.

Langer Rede kurzer Sinn: Es ist schwer zu sagen, ob der ADPPA-Entwurf jemals Gesetz werden wird und welche Rolle staatliche Gesetze wie das CCPA in diesem Szenario spielen würden.

Uns liegt der Datenschutz am Herzen. Deshalb tun wir unser Bestes, um unser Publikum mit qualitativ hochwertigen, jargonfreien Informationen über Neuigkeiten zum Datenschutz zu versorgen.

Unsere Leidenschaft für den Datenschutz ist das Herzstück von Simple Analytics. Unser Produkt verschafft Unternehmen alle nötigen Einblicke, ohne ein einziges Bit an persönlichen Daten zu sammeln. Wenn Sie auf der Suche nach einem beschwerdefreien, ethischen und leistungsstarken Webanalysetool sind, sollten Sie Simple Analytics unbedingt ausprobieren! _

GA4 ist komplex. Versuchen Sie Simple Analytics

GA4 ist wie im Cockpit eines Flugzeugs zu sitzen, ohne einen Pilotenschein zu haben

14-Tage-Testversion starten