Der California Consumer Privacy Act 2018 (CCPA) hat Auswirkungen weit über die Grenzen Kaliforniens hinaus. Der US-Bundesstaat hat eine Wirtschaft von 4 Billionen US-Dollar; Wenn Kalifornien ein Land wäre, wäre es die viertgrößte Volkswirtschaft der Welt.
All dieser Handel verschafft Kalifornien eine sehr große Reichweite in anderen Volkswirtschaften auf der ganzen Welt, was bedeutet, dass Unternehmen weltweit verstehen müssen, wie der CCPA auf ihre Aktivitäten angewendet wird.
Der CCPA gilt für alle Unternehmen, die Transaktionen mit Kaliforniern zum Zwecke des finanziellen Gewinns tätigen – zum Beispiel zur Bereitstellung von Waren und Dienstleistungen. Eine physische Anwesenheit im Bundesstaat ist nicht erforderlich.
Wenn Sie als gewinnorientiertes Unternehmen tätig sind und Daten von Einwohnern Kaliforniens sammeln, müssen Sie wahrscheinlich wissen , wie Sie den CCPA einhalten können. Das Gesetz ist seit dem 1. Januar 2020 in Kraft und weist viele Ähnlichkeiten mit der DSGVO auf, obwohl es auch wichtige Unterschiede gibt.
Der CCPA gibt den Einwohnern Kaliforniens die Kontrolle darüber, wie ihre personenbezogenen Daten online behandelt werden. Es basiert auf fünf Schlüsselrechten:
Der CCPA wird vom kalifornischen Generalstaatsanwalt durchgesetzt. Unternehmen erhalten ein Schreiben, in dem sie über einen möglichen Verstoß informiert werden, und haben danach 30 Tage Zeit, um das Problem zu beheben und die Vorschriften einzuhalten. Danach können Strafen in Höhe von 2.500 US-Dollar pro Verstoß (7.500 US-Dollar für vorsätzliche Verstöße) verhängt werden.
Privatpersonen können ein Unternehmen nicht wegen CCPA-Verstößen verklagen, obwohl sie im Falle einer Datenschutzverletzung andere Klagerechte haben und für jede Datenschutzverletzung im Rahmen des CCPA zivilrechtliche Schadensersatzansprüche in Höhe von 750 US-Dollar erhalten könnten. Umfangreiche Datenschutzverletzungen können zu Sammelklagen führen.
In den USA gibt es kein Bundesdatenschutzgesetz, das für alle Bundesstaaten gilt. Als kalifornisches Gesetz gilt der CCPA nur für Einwohner Kaliforniens, obwohl er weiterhin gilt, wenn sie außerhalb des Bundesstaates reisen.
Die Grundregel ist, dass der CCPA nur für gewinnorientierte Unternehmen gilt. Dabei handelt es sich um juristische Personen (z. B. Einzelunternehmen, LLC oder Kapitalgesellschaft), die zum Gewinn und finanziellen Nutzen von Aktionären und Eigentümern betrieben werden.
In einigen Situationen sind gemeinnützige Organisationen jedoch möglicherweise nicht vom CCPA ausgenommen. Dies gilt auch, wenn eine gemeinnützige Organisation von einer gewinnorientierten Einrichtung kontrolliert wird und ein gemeinsames Branding mit dem Mutterunternehmen teilt. Eine gemeinnützige Organisation kann auch unter das Gesetz fallen, wenn sie personenbezogene Daten durch einen „Verkauf“ im Sinne des CCPA erhält.
Die Regeln gelten für Unternehmen außerhalb Kaliforniens, die eines oder mehrere der folgenden Kriterien erfüllen:
Jährlicher Bruttoumsatz von über 25 Millionen US-Dollar
Verarbeitet (kauft, verkauft, erhält oder teilt) personenbezogene Daten von 50.000 oder mehr Einwohnern Kaliforniens zu kommerziellen Zwecken
Mehr als 50 % des Jahresumsatzes stammen aus dem Verkauf personenbezogener Daten
CCPA-Definition von personenbezogenen Daten
Die Gesetzgebung definiert personenbezogene Daten als "Informationen, die einen bestimmten Verbraucher oder Haushalt identifizieren, sich auf ihn beziehen, ihn beschreiben, vernünftigerweise mit ihm in Verbindung gebracht werden können oder vernünftigerweise direkt oder indirekt mit ihm in Verbindung gebracht werden könnten".
Personenbezogene Daten können auf unterschiedliche Weise kategorisiert werden:
Direkte Identifikatoren - Name, Postanschrift, Sozialversicherungsnummer
Eindeutige Identifikatoren - Cookies, IP-Adressen, Benutzernamen
Biometrische Daten - Fingerabdrücke, Gesichts- und Videoaufzeichnungen
Geolokalisierungsdaten - Standortinformationen und Historie
Internetaktivität - Browser- und Suchverlauf
Sensible Informationen - Gesundheitsdaten, persönliche Merkmale, sexuelle Vorlieben, religiöser Glaube, Beschäftigungsdaten.
Daten, die verwendet werden können, um auf eine Identität zu schließen - Informationen, die verwendet werden könnten, um eine Person oder einen Haushalt zu lokalisieren
Sie müssen die Nutzer vor dem Zeitpunkt der Datenerhebung darüber informieren, was und zu welchen Zwecken Sie erheben
Sie müssen über einen Link "Meine personenbezogenen Daten nicht verkaufen" verfügen, der es Benutzern ermöglicht, den Verkauf von Daten an Dritte abzulehnen
Opt-ins sind für Website-Benutzer unter 16 Jahren erforderlich (und die Zustimmung der Eltern für Benutzer unter 13 Jahren)
Die Verbraucherrechte müssen in der Datenschutzerklärung Ihrer Website dargelegt werden
Die Datenschutzrichtlinie muss jährlich aktualisiert werden, um sicherzustellen, dass die Kategorien der erfassten personenbezogenen Daten auf dem neuesten Stand bleiben
Sie sollten darauf vorbereitet sein, Aufforderungen von Verbrauchern zur Offenlegung personenbezogener Daten, die Sie in den letzten 12 Monaten über sie gesammelt haben, kostenlos nachzukommen.
Sie sollten sicherstellen, dass Sie einen Verbraucher nicht diskriminieren, weil er das Recht ausübt, Offenlegung zu verlangen, sich für den Verkauf zu entscheiden, Informationen zu korrigieren oder zu löschen.
Cookies sammeln Informationen über Website-Benutzer, einschließlich Informationen, die der CCPA-Definition von personenbezogenen Daten entsprechen könnten. Auch wenn Informationen an sich nicht identifizierend sind, können sie in Kombination mit anderen Daten persönlich werden.
Cookie-Banner werden häufig verwendet, um den Nutzern die erforderlichen Informationen zu geben und die Zustimmung zur Datenerhebung zu bestätigen. Wenn Sie sich einige Beispiele für CCPA-Cookie-Banner ansehen, können Sie sich ein Bild davon machen, wie ein Banner auf Ihrer Website funktionieren könnte.
Denken Sie daran, dass der CCPA nicht die einzige Gesetzgebung ist, die für den Datenschutz für in Kalifornien ansässige Personen gilt, der California Privacy Rights Act (CPRA) ist ebenfalls relevant. Erfahren Sie mehr über die Unterschiede zwischen dem CCPA und dem CPRA.
Die Erarbeitung der gesetzlichen Anforderungen verschiedener Vorschriften kann Kopfschmerzen bereiten. Lassen Sie sich von CookieHub entlasten – wir können Ihnen dabei helfen, sicherzustellen, dass Ihre Cookies dem CCPA und anderen Datenschutzbestimmungen entsprechen, damit Sie sich keine Sorgen machen müssen.
CookieHub scannen automatisch Ihre Website nach Cookies, um sicherzustellen, dass alle Cookies einfach verwaltet werden
©2025 CookieHub ehf.
