CCPA-Datenschutzerklärung: der Leitfaden

← Blog DSGVO-Grundlagen
9 Min. Lesezeit
Aktualisiert: 30. April 2026
WebLegal Team

Der California Consumer Privacy Act (CCPA), kodifiziert in Cal. Civ. Code Sections 1798.100 bis 1798.199.100, hat die Art und Weise, wie Unternehmen mit den personenbezogenen Daten von Einwohnern Kaliforniens umgehen müssen, grundlegend verändert. In der durch den California Privacy Rights Act (CPRA) 2023 geänderten Fassung stellt das Gesetz spezifische Anforderungen an Datenschutzerklärungen, die weit über das hinausgehen, was viele Unternehmen gewohnt sind. Wenn Ihre Website personenbezogene Daten von kalifornischen Verbrauchern erhebt, muss Ihre Datenschutzerklärung detaillierte gesetzliche Standards erfüllen, andernfalls drohen erhebliche Durchsetzungsmaßnahmen. Dieser Leitfaden erläutert genau, was der CCPA verlangt und wie Sie Ihre Datenschutzerklärung in Einklang bringen.

Wer muss den CCPA einhalten

Der CCPA gilt nicht für jedes Unternehmen. Er richtet sich an gewinnorientierte Unternehmen, die in Kalifornien geschäftlich tätig sind und mindestens einen der drei in Cal. Civ. Code Section 1798.140(d) festgelegten Schwellenwerte erreichen:

1. Jährlicher Bruttoumsatz über 25 Millionen Dollar. Dieser Schwellenwert bezieht sich auf den weltweiten Umsatz des Unternehmens, nicht nur auf die Einnahmen aus kalifornischen Geschäftstätigkeiten. Wenn Ihr Unternehmen jährlich mehr als 25 Millionen Dollar aus beliebiger Quelle erwirtschaftet, gilt der CCPA für Ihren Umgang mit Daten kalifornischer Verbraucher.

2. Kauf, Verkauf oder Weitergabe personenbezogener Daten von 100.000 oder mehr Verbrauchern oder Haushalten. Dieser Schwellenwert wurde durch die CPRA-Änderungen von 50.000 auf 100.000 angehoben. Da „personenbezogene Daten” nach dem CCPA IP-Adressen, Gerätekennungen und den Browserverlauf umfassen, können viele Online-Unternehmen mit mäßigem kalifornischem Traffic diese Zahl erreichen, ohne es zu bemerken.

3. 50 % oder mehr des Jahresumsatzes aus dem Verkauf oder der Weitergabe personenbezogener Verbraucherdaten. Datenhändler und werbeabhängige Unternehmen fallen häufig in diese Kategorie.

Auch wenn Ihr Unternehmen nicht in Kalifornien ansässig ist, müssen Sie die Vorschriften einhalten, wenn Sie einen dieser Schwellenwerte erreichen und personenbezogene Daten von Einwohnern Kaliforniens erheben. Die extraterritoriale Reichweite des CCPA bedeutet, dass ein E-Commerce-Unternehmen in Berlin oder ein SaaS-Unternehmen in München dem kalifornischen Datenschutzrecht unterliegen kann.

Für deutsche Unternehmen, die auch der DSGVO unterliegen, ist es wichtig, die Unterschiede zwischen beiden Rahmenwerken zu verstehen. Der BfDI (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit) und die Landesdatenschutzbehörden setzen die DSGVO in Deutschland durch, mit Anforderungen, die sich in mehreren wesentlichen Punkten vom CCPA unterscheiden.

Was Ihre CCPA-Datenschutzerklärung offenlegen muss

Der CCPA legt in Cal. Civ. Code Sections 1798.100(a) und 1798.130(a) spezifische Offenlegungsanforderungen fest. Ihre Datenschutzerklärung muss folgende Elemente enthalten:

Kategorien erhobener personenbezogener Daten. Sie müssen die Kategorien personenbezogener Daten auflisten, die Sie in den vorangegangenen 12 Monaten erhoben haben. Der CCPA definiert 12 Kategorien in Section 1798.140(v), darunter Identifikatoren (Name, E-Mail, IP-Adresse), kommerzielle Informationen (Kaufhistorie), Internetaktivität (Browserverlauf, Suchverlauf), Geolokalisierungsdaten und berufliche oder beschäftigungsbezogene Informationen.

Zwecke der Erhebung. Legen Sie für jede Kategorie personenbezogener Daten den geschäftlichen Zweck offen, für den sie erhoben wurden. Vage Aussagen wie „um unsere Dienste zu verbessern” sind unzureichend. Sie müssen konkret sein: „um Bestellungen zu bearbeiten und Lieferungen durchzuführen”, „um zielgerichtete Werbung basierend auf dem Surfverhalten zu schalten”, „um Sicherheitsvorfälle zu erkennen”.

Kategorien von Dritten, an die Daten weitergegeben werden. Wenn Sie personenbezogene Daten an Dritte weitergeben, legen Sie die Kategorien der Empfänger offen: Werbenetzwerke, Analyseanbieter, Zahlungsabwickler, Cloud-Hosting-Dienste. Gemäß den CPRA-Änderungen müssen Sie auch die Kategorien von Dritten offenlegen, an die Daten verkauft oder für kontextübergreifende verhaltensbasierte Werbung weitergegeben werden.

Verbraucherrechte und deren Ausübung. Ihre Erklärung muss die Rechte erläutern, die kalifornische Verbraucher nach dem CCPA haben: das Recht auf Auskunft, das Recht auf Löschung, das Recht auf Widerspruch gegen den Verkauf oder die Weitergabe personenbezogener Daten, das Recht auf Berichtigung unrichtiger Daten und das Recht auf Einschränkung der Verwendung sensibler personenbezogener Daten. Sie müssen klare Anweisungen zur Einreichung von Anfragen bereitstellen, einschließlich mindestens zweier Kontaktwege (eine gebührenfreie Telefonnummer und eine Webadresse).

Aufbewahrungsfristen. Der CPRA hat die Pflicht hinzugefügt, die Aufbewahrungsfrist für jede Kategorie personenbezogener Daten oder die Kriterien zur Bestimmung der Aufbewahrungsfristen offenzulegen.

Link „Meine Daten nicht verkaufen oder weitergeben”. Wenn Ihr Unternehmen personenbezogene Daten verkauft oder weitergibt, müssen Sie auf Ihrer Startseite einen klar gekennzeichneten Link mit dem Titel „Meine Daten nicht verkaufen oder weitergeben” bereitstellen. Dieser Opt-out-Mechanismus muss funktionsfähig und einfach zu bedienen sein. Unter dem CPRA erstreckt sich dies auf kontextübergreifende verhaltensbasierte Werbung, nicht nur auf traditionelle Datenverkäufe. Ein kostenloses Cookie-Consent-Banner kann diese Opt-out-Funktionalitat neben der DSGVO-Einwilligungsverwaltung bereitstellen.

Hinweis auf finanzielle Anreize. Wenn Sie finanzielle Anreize (Rabatte, Treueprogramme) im Austausch für die Erhebung, den Verkauf oder die Aufbewahrung personenbezogener Daten anbieten, muss Ihre Datenschutzerklärung die wesentlichen Bedingungen des Anreizprogramms beschreiben und erläutern, wie Verbraucher teilnehmen oder sich abmelden können.

Einhaltung von §7025 (Global Privacy Control). Nach der seit Januar 2026 geltenden CCPA-Durchführungsverordnung muss Ihre Datenschutzerklärung offenlegen, wie Ihre Website das vom Browser übermittelte Global Privacy Control-Signal als gültigen Opt-out-Antrag respektiert. Siehe den dedizierten Abschnitt unten für Mustertexte.

Offenlegung der GPC-Konformität in Ihrer Datenschutzerklärung

Nach Section 7025 der CCPA-Durchführungsverordnung MUSS jedes dem CCPA unterliegende Unternehmen Browser-Signale des Global Privacy Control (GPC) automatisch als Opt-out-Anträge gegen den Verkauf oder das Teilen respektieren. Dies ist ein technisches Compliance-Mandat: Wenn der Browser eines Besuchers ein GPC-Signal sendet, muss Ihre Website dieses Signal als gültigen Antrag des Verbrauchers auf Opt-out vom Verkauf oder Teilen seiner personenbezogenen Daten behandeln, ohne dass eine weitere Nutzeraktion erforderlich ist. Die Datenschutzerklärung selbst muss diese technische Umsetzung offenlegen — Schweigen zu diesem Punkt ist nicht akzeptabel.

Warum die Offenlegung eigenständig wichtig ist. Die CPPA und der kalifornische Generalstaatsanwalt haben klargestellt, dass das Beachten von GPC und das Offenlegen, dass man es beachtet, zwei separate Verpflichtungen sind. Ein Unternehmen, das GPC-Signale technisch korrekt verarbeitet, dies aber in seiner Datenschutzerklärung nicht erwähnt, kann dennoch wegen unzureichender Verbraucherinformation belangt werden. Umgekehrt ist ein Unternehmen, das in seiner Erklärung GPC-Konformität behauptet, das Signal aber technisch nicht beachtet, sowohl nach dem CCPA als auch nach dem kalifornischen Wettbewerbsgesetz Klagen wegen irreführender Praktiken ausgesetzt.

Mustertext. Sie können die folgenden zwei Absätze als Ausgangspunkt anpassen:

Unsere Website respektiert das Global Privacy Control (GPC)-Signal als gültigen Opt-out-Antrag nach dem California Consumer Privacy Act, wie in Section 7025 der CCPA-Durchführungsverordnung gefordert. Wenn Ihr Browser ein GPC-Signal übermittelt, behandeln wir dieses automatisch als Antrag auf Opt-out vom Verkauf und Teilen Ihrer personenbezogenen Daten, einschließlich für Zwecke kontextübergreifender verhaltensbezogener Werbung. Sie müssen keinen zusätzlichen Antrag stellen, keinen Link anklicken und kein Formular ausfüllen — das GPC-Signal allein genügt.

Wenn Sie überprüfen möchten, ob Ihr Browser ein GPC-Signal sendet, können Sie eine datenschutzfokussierte Browser-Erweiterung installieren oder einen Browser verwenden, der GPC nativ unterstützt. Das Beachten von GPC kommt zusätzlich zu — und ersetzt nicht — unseren Link „Meine personenbezogenen Daten nicht verkaufen oder teilen”, der weiterhin für Verbraucher verfügbar bleibt, die einen manuellen Opt-out-Antrag bevorzugen oder deren Browser kein GPC-Signal übermittelt.

Platzieren Sie diese Offenlegung in einem klar identifizierten Unterabschnitt Ihrer Datenschutzerklärung, in der Regel in der Nähe Ihres Abschnitts „Nicht verkaufen oder teilen” oder „Ihre kalifornischen Datenschutzrechte”. Die Offenlegung muss korrekt bleiben: Wenn Sie Ihre GPC-Verarbeitungslogik ändern, aktualisieren Sie die Erklärung.

Offenlegung automatisierter Entscheidungstechnologien (ADMT)

Die seit Januar 2026 geltende CCPA-Durchführungsverordnung hat auch Offenlegungs- und Opt-out-Pflichten rund um Automated Decision-Making Technology (ADMT) eingeführt. Wenn Ihr Unternehmen ADMT für signifikante Entscheidungen über Verbraucher einsetzt — beispielsweise automatisierte Bonitätsbewertung, Bewerbungsfilter, Mitarbeiterüberwachung, Versicherungsrisikobewertung oder substantielle bildungs- oder wohnungsbezogene Entscheidungen — muss Ihre Datenschutzerklärung diese Nutzung offenlegen, die involvierte Logik beschreiben und das Recht des Verbrauchers erläutern, sich gegen ADMT-Entscheidungen zu wehren (mit eng begrenzten Ausnahmen für Betrugserkennung und Sicherheit).

Für die meisten allgemeinen Websites, die keine automatisierte signifikante Entscheidungsfindung durchführen, kann dieser Abschnitt kurz sein: ein kurzer Absatz, der bestätigt, dass das Unternehmen kein ADMT für Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung auf Verbraucher einsetzt. Für Unternehmen, die ADMT einsetzen, ist eine detailliertere Offenlegung erforderlich, einschließlich des Rechts auf Zugriff zu Informationen über die Logik und auf Opt-out. Sehen Sie unsere vollständige Analyse der sieben CCPA-Änderungen 2026 für die vollständigen technischen Anforderungen.

Für Doppeljurisdiktions-Betreiber erläutert unser CCPA vs DSGVO-Vergleich, wie sich die neuen GPC- und ADMT-Pflichten mit den entsprechenden DSGVO-Konzepten (Artikel 22 zur automatisierten Entscheidungsfindung, Artikel 21 zum Widerspruchsrecht) decken — und unterscheiden.

Sensible personenbezogene Daten unter dem CPRA

Der CPRA führte das Konzept „sensibler personenbezogener Daten” ein, das Sozialversicherungsnummern, Zugangsdaten zu Finanzkonten, genaue Geolokalisierung, rassische oder ethnische Herkunft, religiöse Überzeugungen, Inhalt von Post oder Textnachrichten, genetische Daten, biometrische Informationen, Gesundheitsinformationen und sexuelle Orientierung umfasst.

Wenn Ihr Unternehmen sensible personenbezogene Daten erhebt, muss Ihre Datenschutzerklärung dies offenlegen und den Verbrauchern das Recht einräumen, deren Verwendung auf die für die Erbringung der angeforderten Waren oder Dienstleistungen notwendigen Zwecke zu beschränken. Sie müssen auch einen separaten Link auf Ihrer Startseite bereitstellen: „Verwendung meiner sensiblen personenbezogenen Daten einschränken”.

Dieser erhöhte Schutz für sensible Datenkategorien spiegelt ähnliche Bestimmungen der DSGVO wider (Artikel 9), die in Deutschland vom BfDI und den Landesdatenschutzbehörden durchgesetzt werden. Das BDSG enthält zusätzliche nationale Regelungen zum Umgang mit besonderen Kategorien personenbezogener Daten.

Häufige Compliance-Fehler

Viele Unternehmen verfehlen die CCPA-Compliance nicht durch vorsätzliche Nachlässigkeit, sondern durch Missverständnis der gesetzlichen Anforderungen. Hier sind die häufigsten Fehler:

Verwendung einer reinen DSGVO-Datenschutzerklärung. Obwohl sich DSGVO und CCPA in einigen Bereichen überschneiden, wird eine ausschließlich für die DSGVO-Compliance konzipierte Datenschutzerklärung die CCPA-Anforderungen nicht erfüllen. Der CCPA hat eigene spezifische Offenlegungskategorien, ein eigenes Verbraucherrechteframework und eigene Opt-out-Mechanismen, die sich wesentlich vom europäischen Recht unterscheiden. Für deutsche Unternehmen, die mit den Anforderungen des BfDI und der DSGVO vertraut sind, ist es entscheidend, die spezifischen CCPA-Elemente hinzuzufügen.

Fehlende jährliche Aktualisierung. Cal. Civ. Code Section 1798.130(a)(5) verlangt, dass Unternehmen ihre Datenschutzerklärung mindestens einmal alle 12 Monate aktualisieren. Das Datum der letzten Aktualisierung muss deutlich sichtbar angezeigt werden. Viele Unternehmen erstellen eine Erklärung einmalig und überarbeiten sie nie, so dass sie veraltet, während sich ihre Datenpraktiken weiterentwickeln.

Unvollständige Kategorieerklärungen. Die Auflistung von „personenbezogenen Daten” als einzelne Kategorie reicht nicht aus. Der CCPA verlangt eine granulare Offenlegung über seine 12 aufgezählten Kategorien. Überprüfen Sie Ihre tatsächlichen Datenflüsse, einschließlich Analysetools, Werbepixel, CRM-Integrationen und Zahlungsabwickler, um sicherzustellen, dass jede Kategorie erfasst ist.

Kein funktionsfähiger Opt-out-Mechanismus. Einen Link „Nicht verkaufen”, der zu einem defekten Formular, einer unüberwachten E-Mail-Adresse oder einer allgemeinen Kontaktseite führt, ist ein Verstoß. Der Opt-out muss funktionieren, und Sie müssen Anfragen innerhalb von 15 Geschäftstagen bearbeiten.

Vernachlässigung von Dienstleistern und Auftragnehmern. Der CCPA unterscheidet zwischen „Dienstleistern” (die Daten in Ihrem Auftrag verarbeiten) und „Dritten” (die Daten für eigene Zwecke erhalten). Ihre Datenschutzerklärung muss diese Beziehungen korrekt charakterisieren, und Ihre Verträge müssen CCPA-konforme Datenverarbeitungsklauseln enthalten. In Deutschland entspricht diese Unterscheidung der DSGVO-Unterscheidung zwischen Verantwortlichen und Auftragsverarbeitern (Artikel 26 und 28), ergänzt durch das BDSG und das TTDSG.

CCPA-Durchsetzung und Strafen

Das Büro des Generalstaatsanwalts von Kalifornien setzt den CCPA seit Juli 2020 aktiv durch. Nach Cal. Civ. Code Section 1798.155 umfassen die Strafen:

  • Bis zu 2.500 $ pro fahrlässigem Verstoß. Da jeder Verbraucherdatensatz einen separaten Verstoß darstellen kann, summieren sich die Bußgelder schnell. Ein Datenleck, das 10.000 kalifornische Verbraucher betrifft, könnte theoretisch zu 25 Millionen Dollar an Strafen führen.
  • Bis zu 7.500 $ pro vorsätzlichem Verstoß. Wissentliche Verstöße gegen den CCPA oder Verstöße mit personenbezogenen Daten von Minderjährigen unter 16 Jahren ziehen die höhere Strafe nach sich.
  • Privates Klagerecht bei Datenschutzverletzungen. Nach Section 1798.150 können Verbraucher Unternehmen direkt wegen Datenschutzverletzungen verklagen, die auf das Versäumnis angemessener Sicherheitsmaßnahmen zurückzuführen sind. Der gesetzliche Schadensersatz beträgt 100 $ bis 750 $ pro Verbraucher pro Vorfall oder den tatsächlichen Schaden, je nachdem, welcher Betrag höher ist.

Die California Privacy Protection Agency (CPPA), eingerichtet durch den CPRA, teilt sich nun die Durchsetzungsbefugnis mit dem Generalstaatsanwalt und gibt aktiv Vorschriften heraus und führt Untersuchungen durch. Weitere Details zu Durchsetzungsrisiken finden Sie in unserem Artikel uber CCPA-Strafen und unseren Vergleich CCPA vs. DSGVO.

Vier Ansätze zur CCPA-Datenschutzerklärung-Compliance

Einen Datenschutzanwalt beauftragen

Kosten: 3.000 bis 8.000 $ für eine umfassende CCPA-Datenschutzerklärung und Opt-out-Infrastruktur. Zeitrahmen: 2 bis 6 Wochen.

Ein auf kalifornisches Datenschutzrecht spezialisierter Anwalt wird eine detaillierte Datenkartierung durchführen, Ihre Lieferantenvereinbarungen prüfen und eine auf Ihre spezifischen Datenpraktiken zugeschnittene Erklärung entwerfen. Dies wird für Unternehmen mit komplexen Datenflüssen, hohen Datenvolumen oder Geschäftstätigkeit in mehreren US-Bundesstaaten mit eigenen Datenschutzgesetzen empfohlen. Für deutsche Unternehmen ist ein Anwalt ideal, der sowohl DSGVO/BDSG/TTDSG als auch CCPA beherrscht.

Ein generisches KI-Tool verwenden

Scheinbare Kosten: 0 $. Tatsächliche Kosten: potenziell erhebliches Durchsetzungsrisiko.

Allgemeine KI-Chatbots können Text erzeugen, der wie eine Datenschutzerklärung aussieht, aber häufig CCPA-spezifische Anforderungen verfehlen: die 12 gesetzlichen Kategorien, die Opt-out-Link-Anforderung, die Offenlegung sensibler personenbezogener Daten und die erforderliche Aktualisierungshäufigkeit. Eine Erklärung, die konform erscheint, aber verbindliche Elemente vermissen lässt, schafft ein falsches Sicherheitsgefühl.

Eine kostenlose Vorlage kopieren

Kosten: 0 $. Risiko: hoch.

Kostenlose CCPA-Vorlagen aus dem Internet sind in der Regel generisch, veraltet (viele stammen aus der Zeit vor den CPRA-Änderungen) und nicht an Ihr spezifisches Unternehmen angepasst. Sie enthalten selten geeignete Opt-out-Mechanismen oder Dienstleisterangaben. Die Verwendung einer Vorlage ohne wesentliche Anpassung wird die CCPA-Anforderungen wahrscheinlich nicht erfüllen.

Einen spezialisierten Rechtsdokumentengenerator verwenden

Kosten: 19,90 € bis 49,90 € (≈ 16 bis 54 USD). Zeitrahmen: unter 10 Minuten.

Ein spezialisierter Rechtsdokumentengenerator stellt gezielte Fragen zu Ihren Geschäftsaktivitäten, Datenerhebungspraktiken und Drittbeziehungen und erstellt dann eine Datenschutzerklärung, die die CCPA-Anforderungen erfüllt. Dieser Ansatz bietet die beste Balance zwischen Compliance-Strenge und Zugänglichkeit sowie Kosteneffizienz für die Mehrheit der Online-Unternehmen.

Fazit

Der CCPA stellt detaillierte und spezifische Anforderungen an Datenschutzerklärungen, die über allgemeine Best Practices hinausgehen. Wenn Ihr Unternehmen einen der drei Anwendbarkeitsschwellenwerte erfüllt, muss Ihre Datenschutzerklärung die Kategorien der erhobenen personenbezogenen Daten auflisten, Ihre Zwecke erläutern, die Weitergabe an Dritte offenlegen, die Verbraucherrechte und deren Ausübung beschreiben und funktionsfähige Opt-out-Mechanismen bereitstellen.

Beginnen Sie mit einem kostenlosen Compliance-Scan, um Ihre aktuelle Situation zu bewerten. Für deutsche Unternehmen, die der DSGVO über den BfDI und die Landesdatenschutzbehörden unterliegen, fügt der CCPA eine zusätzliche Schicht spezifischer Pflichten hinzu. Da die CPPA das Gesetz aktiv durchsetzt und sich die Strafen pro Verstoß summieren, übersteigen die Kosten der Nichteinhaltung bei Weitem die Kosten der Compliance. Ob Sie einen spezialisierten Anwalt für komplexe Situationen beauftragen oder einen spezialisierten Generator für einfache Compliance-Anforderungen nutzen — der wichtige Schritt ist, jetzt zu handeln. Jeder Tag ohne CCPA-konforme Datenschutzerklärung ist ein Tag unnötiger rechtlicher Risiken.

DSGVO E-Commerce 2026: 7 Audit-Auslöser - DSGVO-Grundlagen

DSGVO E-Commerce 2026: 7 Audit-Auslöser

⏱ 9 Min. Lesezeit
DSGVO-Grundlagen E-Commerce

Die 7 häufigsten DSGVO-Fehler in Online-Shops, die einen Datenschutz-Audit auslösen (Cookies, US-Transfers, Auftragsverarbeiter). Checkliste + Fixes.

Artikel lesen →
Firmenwebsite und DSGVO: Sind Sie konform? - DSGVO-Grundlagen

Firmenwebsite und DSGVO: Sind Sie konform?

⏱ 9 Min. Lesezeit
DSGVO-Grundlagen Multi

83% der Firmenwebsites verstoßen gegen die DSGVO. Prüfen Sie Impressum, Cookies und Kontaktformulare in 10 Minuten und vermeiden Sie hohe Bußgelder.

Artikel lesen →
DSGVO E-Commerce: Aktionsplan 10 Schritte - DSGVO-Grundlagen

DSGVO E-Commerce: Aktionsplan 10 Schritte

⏱ 10 Min. Lesezeit
DSGVO-Grundlagen E-Commerce Multi

DSGVO-Konformität in 10 Schritten für Ihren E-Commerce: vom Audit bis zur vollständigen Compliance. Praktischer Leitfaden für Ihren Online-Shop.

Artikel lesen →