Der California Consumer Privacy Act (CCPA), kodifiziert in Cal. Civ. Code Sections 1798.100 bis 1798.199.100, hat die Art und Weise, wie Unternehmen mit den personenbezogenen Daten von Einwohnern Kaliforniens umgehen müssen, grundlegend verändert. In der durch den California Privacy Rights Act (CPRA) 2023 geänderten Fassung stellt das Gesetz spezifische Anforderungen an Datenschutzerklärungen, die weit über das hinausgehen, was viele Unternehmen gewohnt sind. Wenn Ihre Website personenbezogene Daten von kalifornischen Verbrauchern erhebt, muss Ihre Datenschutzerklärung detaillierte gesetzliche Standards erfüllen, andernfalls drohen erhebliche Durchsetzungsmaßnahmen. Dieser Leitfaden erläutert genau, was der CCPA verlangt und wie Sie Ihre Datenschutzerklärung in Einklang bringen.
Wer muss den CCPA einhalten
Der CCPA gilt nicht für jedes Unternehmen. Er richtet sich an gewinnorientierte Unternehmen, die in Kalifornien geschäftlich tätig sind und mindestens einen der drei in Cal. Civ. Code Section 1798.140(d) festgelegten Schwellenwerte erreichen:
1. Jährlicher Bruttoumsatz über 25 Millionen Dollar. Dieser Schwellenwert bezieht sich auf den weltweiten Umsatz des Unternehmens, nicht nur auf die Einnahmen aus kalifornischen Geschäftstätigkeiten. Wenn Ihr Unternehmen jährlich mehr als 25 Millionen Dollar aus beliebiger Quelle erwirtschaftet, gilt der CCPA für Ihren Umgang mit Daten kalifornischer Verbraucher.
2. Kauf, Verkauf oder Weitergabe personenbezogener Daten von 100.000 oder mehr Verbrauchern oder Haushalten. Dieser Schwellenwert wurde durch die CPRA-Änderungen von 50.000 auf 100.000 angehoben. Da „personenbezogene Daten” nach dem CCPA IP-Adressen, Gerätekennungen und den Browserverlauf umfassen, können viele Online-Unternehmen mit mäßigem kalifornischem Traffic diese Zahl erreichen, ohne es zu bemerken.
3. 50 % oder mehr des Jahresumsatzes aus dem Verkauf oder der Weitergabe personenbezogener Verbraucherdaten. Datenhändler und werbeabhängige Unternehmen fallen häufig in diese Kategorie.
Auch wenn Ihr Unternehmen nicht in Kalifornien ansässig ist, müssen Sie die Vorschriften einhalten, wenn Sie einen dieser Schwellenwerte erreichen und personenbezogene Daten von Einwohnern Kaliforniens erheben. Die extraterritoriale Reichweite des CCPA bedeutet, dass ein E-Commerce-Unternehmen in Berlin oder ein SaaS-Unternehmen in München dem kalifornischen Datenschutzrecht unterliegen kann.
Für deutsche Unternehmen, die auch der DSGVO unterliegen, ist es wichtig, die Unterschiede zwischen beiden Rahmenwerken zu verstehen. Der BfDI (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit) und die Landesdatenschutzbehörden setzen die DSGVO in Deutschland durch, mit Anforderungen, die sich in mehreren wesentlichen Punkten vom CCPA unterscheiden.
Was Ihre CCPA-Datenschutzerklärung offenlegen muss
Der CCPA legt in Cal. Civ. Code Sections 1798.100(a) und 1798.130(a) spezifische Offenlegungsanforderungen fest. Ihre Datenschutzerklärung muss folgende Elemente enthalten:
Kategorien erhobener personenbezogener Daten. Sie müssen die Kategorien personenbezogener Daten auflisten, die Sie in den vorangegangenen 12 Monaten erhoben haben. Der CCPA definiert 12 Kategorien in Section 1798.140(v), darunter Identifikatoren (Name, E-Mail, IP-Adresse), kommerzielle Informationen (Kaufhistorie), Internetaktivität (Browserverlauf, Suchverlauf), Geolokalisierungsdaten und berufliche oder beschäftigungsbezogene Informationen.
Zwecke der Erhebung. Legen Sie für jede Kategorie personenbezogener Daten den geschäftlichen Zweck offen, für den sie erhoben wurden. Vage Aussagen wie „um unsere Dienste zu verbessern” sind unzureichend. Sie müssen konkret sein: „um Bestellungen zu bearbeiten und Lieferungen durchzuführen”, „um zielgerichtete Werbung basierend auf dem Surfverhalten zu schalten”, „um Sicherheitsvorfälle zu erkennen”.
Kategorien von Dritten, an die Daten weitergegeben werden. Wenn Sie personenbezogene Daten an Dritte weitergeben, legen Sie die Kategorien der Empfänger offen: Werbenetzwerke, Analyseanbieter, Zahlungsabwickler, Cloud-Hosting-Dienste. Gemäß den CPRA-Änderungen müssen Sie auch die Kategorien von Dritten offenlegen, an die Daten verkauft oder für kontextübergreifende verhaltensbasierte Werbung weitergegeben werden.
Verbraucherrechte und deren Ausübung. Ihre Erklärung muss die Rechte erläutern, die kalifornische Verbraucher nach dem CCPA haben: das Recht auf Auskunft, das Recht auf Löschung, das Recht auf Widerspruch gegen den Verkauf oder die Weitergabe personenbezogener Daten, das Recht auf Berichtigung unrichtiger Daten und das Recht auf Einschränkung der Verwendung sensibler personenbezogener Daten. Sie müssen klare Anweisungen zur Einreichung von Anfragen bereitstellen, einschließlich mindestens zweier Kontaktwege (eine gebührenfreie Telefonnummer und eine Webadresse).
Aufbewahrungsfristen. Der CPRA hat die Pflicht hinzugefügt, die Aufbewahrungsfrist für jede Kategorie personenbezogener Daten oder die Kriterien zur Bestimmung der Aufbewahrungsfristen offenzulegen.
Link „Meine Daten nicht verkaufen oder weitergeben”. Wenn Ihr Unternehmen personenbezogene Daten verkauft oder weitergibt, müssen Sie auf Ihrer Startseite einen klar gekennzeichneten Link mit dem Titel „Meine Daten nicht verkaufen oder weitergeben” bereitstellen. Dieser Opt-out-Mechanismus muss funktionsfähig und einfach zu bedienen sein. Unter dem CPRA erstreckt sich dies auf kontextübergreifende verhaltensbasierte Werbung, nicht nur auf traditionelle Datenverkäufe. Ein kostenloses Cookie-Consent-Banner kann diese Opt-out-Funktionalitat neben der DSGVO-Einwilligungsverwaltung bereitstellen.
Hinweis auf finanzielle Anreize. Wenn Sie finanzielle Anreize (Rabatte, Treueprogramme) im Austausch für die Erhebung, den Verkauf oder die Aufbewahrung personenbezogener Daten anbieten, muss Ihre Datenschutzerklärung die wesentlichen Bedingungen des Anreizprogramms beschreiben und erläutern, wie Verbraucher teilnehmen oder sich abmelden können.
Sensible personenbezogene Daten unter dem CPRA
Der CPRA führte das Konzept „sensibler personenbezogener Daten” ein, das Sozialversicherungsnummern, Zugangsdaten zu Finanzkonten, genaue Geolokalisierung, rassische oder ethnische Herkunft, religiöse Überzeugungen, Inhalt von Post oder Textnachrichten, genetische Daten, biometrische Informationen, Gesundheitsinformationen und sexuelle Orientierung umfasst.
Wenn Ihr Unternehmen sensible personenbezogene Daten erhebt, muss Ihre Datenschutzerklärung dies offenlegen und den Verbrauchern das Recht einräumen, deren Verwendung auf die für die Erbringung der angeforderten Waren oder Dienstleistungen notwendigen Zwecke zu beschränken. Sie müssen auch einen separaten Link auf Ihrer Startseite bereitstellen: „Verwendung meiner sensiblen personenbezogenen Daten einschränken”.
Dieser erhöhte Schutz für sensible Datenkategorien spiegelt ähnliche Bestimmungen der DSGVO wider (Artikel 9), die in Deutschland vom BfDI und den Landesdatenschutzbehörden durchgesetzt werden. Das BDSG enthält zusätzliche nationale Regelungen zum Umgang mit besonderen Kategorien personenbezogener Daten.
Häufige Compliance-Fehler
Viele Unternehmen verfehlen die CCPA-Compliance nicht durch vorsätzliche Nachlässigkeit, sondern durch Missverständnis der gesetzlichen Anforderungen. Hier sind die häufigsten Fehler:
Verwendung einer reinen DSGVO-Datenschutzerklärung. Obwohl sich DSGVO und CCPA in einigen Bereichen überschneiden, wird eine ausschließlich für die DSGVO-Compliance konzipierte Datenschutzerklärung die CCPA-Anforderungen nicht erfüllen. Der CCPA hat eigene spezifische Offenlegungskategorien, ein eigenes Verbraucherrechteframework und eigene Opt-out-Mechanismen, die sich wesentlich vom europäischen Recht unterscheiden. Für deutsche Unternehmen, die mit den Anforderungen des BfDI und der DSGVO vertraut sind, ist es entscheidend, die spezifischen CCPA-Elemente hinzuzufügen.
Fehlende jährliche Aktualisierung. Cal. Civ. Code Section 1798.130(a)(5) verlangt, dass Unternehmen ihre Datenschutzerklärung mindestens einmal alle 12 Monate aktualisieren. Das Datum der letzten Aktualisierung muss deutlich sichtbar angezeigt werden. Viele Unternehmen erstellen eine Erklärung einmalig und überarbeiten sie nie, so dass sie veraltet, während sich ihre Datenpraktiken weiterentwickeln.
Unvollständige Kategorieerklärungen. Die Auflistung von „personenbezogenen Daten” als einzelne Kategorie reicht nicht aus. Der CCPA verlangt eine granulare Offenlegung über seine 12 aufgezählten Kategorien. Überprüfen Sie Ihre tatsächlichen Datenflüsse, einschließlich Analysetools, Werbepixel, CRM-Integrationen und Zahlungsabwickler, um sicherzustellen, dass jede Kategorie erfasst ist.
Kein funktionsfähiger Opt-out-Mechanismus. Einen Link „Nicht verkaufen”, der zu einem defekten Formular, einer unüberwachten E-Mail-Adresse oder einer allgemeinen Kontaktseite führt, ist ein Verstoß. Der Opt-out muss funktionieren, und Sie müssen Anfragen innerhalb von 15 Geschäftstagen bearbeiten.
Vernachlässigung von Dienstleistern und Auftragnehmern. Der CCPA unterscheidet zwischen „Dienstleistern” (die Daten in Ihrem Auftrag verarbeiten) und „Dritten” (die Daten für eigene Zwecke erhalten). Ihre Datenschutzerklärung muss diese Beziehungen korrekt charakterisieren, und Ihre Verträge müssen CCPA-konforme Datenverarbeitungsklauseln enthalten. In Deutschland entspricht diese Unterscheidung der DSGVO-Unterscheidung zwischen Verantwortlichen und Auftragsverarbeitern (Artikel 26 und 28), ergänzt durch das BDSG und das TTDSG.
CCPA-Durchsetzung und Strafen
Das Büro des Generalstaatsanwalts von Kalifornien setzt den CCPA seit Juli 2020 aktiv durch. Nach Cal. Civ. Code Section 1798.155 umfassen die Strafen:
- Bis zu 2.500 $ pro fahrlässigem Verstoß. Da jeder Verbraucherdatensatz einen separaten Verstoß darstellen kann, summieren sich die Bußgelder schnell. Ein Datenleck, das 10.000 kalifornische Verbraucher betrifft, könnte theoretisch zu 25 Millionen Dollar an Strafen führen.
- Bis zu 7.500 $ pro vorsätzlichem Verstoß. Wissentliche Verstöße gegen den CCPA oder Verstöße mit personenbezogenen Daten von Minderjährigen unter 16 Jahren ziehen die höhere Strafe nach sich.
- Privates Klagerecht bei Datenschutzverletzungen. Nach Section 1798.150 können Verbraucher Unternehmen direkt wegen Datenschutzverletzungen verklagen, die auf das Versäumnis angemessener Sicherheitsmaßnahmen zurückzuführen sind. Der gesetzliche Schadensersatz beträgt 100 $ bis 750 $ pro Verbraucher pro Vorfall oder den tatsächlichen Schaden, je nachdem, welcher Betrag höher ist.
Die California Privacy Protection Agency (CPPA), eingerichtet durch den CPRA, teilt sich nun die Durchsetzungsbefugnis mit dem Generalstaatsanwalt und gibt aktiv Vorschriften heraus und führt Untersuchungen durch. Weitere Details zu Durchsetzungsrisiken finden Sie in unserem Artikel uber CCPA-Strafen und unseren Vergleich CCPA vs. DSGVO.
Vier Ansätze zur CCPA-Datenschutzerklärung-Compliance
Einen Datenschutzanwalt beauftragen
Kosten: 3.000 bis 8.000 $ für eine umfassende CCPA-Datenschutzerklärung und Opt-out-Infrastruktur. Zeitrahmen: 2 bis 6 Wochen.
Ein auf kalifornisches Datenschutzrecht spezialisierter Anwalt wird eine detaillierte Datenkartierung durchführen, Ihre Lieferantenvereinbarungen prüfen und eine auf Ihre spezifischen Datenpraktiken zugeschnittene Erklärung entwerfen. Dies wird für Unternehmen mit komplexen Datenflüssen, hohen Datenvolumen oder Geschäftstätigkeit in mehreren US-Bundesstaaten mit eigenen Datenschutzgesetzen empfohlen. Für deutsche Unternehmen ist ein Anwalt ideal, der sowohl DSGVO/BDSG/TTDSG als auch CCPA beherrscht.
Ein generisches KI-Tool verwenden
Scheinbare Kosten: 0 $. Tatsächliche Kosten: potenziell erhebliches Durchsetzungsrisiko.
Allgemeine KI-Chatbots können Text erzeugen, der wie eine Datenschutzerklärung aussieht, aber häufig CCPA-spezifische Anforderungen verfehlen: die 12 gesetzlichen Kategorien, die Opt-out-Link-Anforderung, die Offenlegung sensibler personenbezogener Daten und die erforderliche Aktualisierungshäufigkeit. Eine Erklärung, die konform erscheint, aber verbindliche Elemente vermissen lässt, schafft ein falsches Sicherheitsgefühl.
Eine kostenlose Vorlage kopieren
Kosten: 0 $. Risiko: hoch.
Kostenlose CCPA-Vorlagen aus dem Internet sind in der Regel generisch, veraltet (viele stammen aus der Zeit vor den CPRA-Änderungen) und nicht an Ihr spezifisches Unternehmen angepasst. Sie enthalten selten geeignete Opt-out-Mechanismen oder Dienstleisterangaben. Die Verwendung einer Vorlage ohne wesentliche Anpassung wird die CCPA-Anforderungen wahrscheinlich nicht erfüllen.
Einen spezialisierten Rechtsdokumentengenerator verwenden
Kosten: 14,90 € bis 49,90 €. Zeitrahmen: unter 10 Minuten.
Ein spezialisierter Rechtsdokumentengenerator stellt gezielte Fragen zu Ihren Geschäftsaktivitäten, Datenerhebungspraktiken und Drittbeziehungen und erstellt dann eine Datenschutzerklärung, die die CCPA-Anforderungen erfüllt. Dieser Ansatz bietet die beste Balance zwischen Compliance-Strenge und Zugänglichkeit sowie Kosteneffizienz für die Mehrheit der Online-Unternehmen.
Fazit
Der CCPA stellt detaillierte und spezifische Anforderungen an Datenschutzerklärungen, die über allgemeine Best Practices hinausgehen. Wenn Ihr Unternehmen einen der drei Anwendbarkeitsschwellenwerte erfüllt, muss Ihre Datenschutzerklärung die Kategorien der erhobenen personenbezogenen Daten auflisten, Ihre Zwecke erläutern, die Weitergabe an Dritte offenlegen, die Verbraucherrechte und deren Ausübung beschreiben und funktionsfähige Opt-out-Mechanismen bereitstellen.
Beginnen Sie mit einem kostenlosen Compliance-Scan, um Ihre aktuelle Situation zu bewerten. Für deutsche Unternehmen, die der DSGVO über den BfDI und die Landesdatenschutzbehörden unterliegen, fügt der CCPA eine zusätzliche Schicht spezifischer Pflichten hinzu. Da die CPPA das Gesetz aktiv durchsetzt und sich die Strafen pro Verstoß summieren, übersteigen die Kosten der Nichteinhaltung bei Weitem die Kosten der Compliance. Ob Sie einen spezialisierten Anwalt für komplexe Situationen beauftragen oder einen spezialisierten Generator für einfache Compliance-Anforderungen nutzen — der wichtige Schritt ist, jetzt zu handeln. Jeder Tag ohne CCPA-konforme Datenschutzerklärung ist ein Tag unnötiger rechtlicher Risiken.