Wenn Ihre Website Nutzer sowohl in der Europäischen Union als auch in Kalifornien bedient, unterliegen Sie wahrscheinlich zwei der einflussreichsten Datenschutzvorschriften der Welt: der Datenschutz-Grundverordnung (DSGVO) und dem California Consumer Privacy Act (CCPA), geändert durch den California Privacy Rights Act (CPRA). Obwohl beide Gesetze den Schutz personenbezogener Daten bezwecken, unterscheiden sie sich grundlegend in ihrem Ansatz, Geltungsbereich und ihrer Durchsetzung. Diese Unterschiede zu verstehen ist keine Option — es ist wesentlich für den Aufbau einer Compliance-Strategie, die beide Rahmenwerke ohne unnötige Doppelarbeit oder Lücken erfüllt. Dieser Artikel bietet eine besondere Perspektive für deutsche Unternehmen, wo der BfDI und die Landesdatenschutzbehörden die DSGVO durchsetzen.
Philosophische Grundlagen: Opt-in vs Opt-out
Der grundlegendste Unterschied zwischen DSGVO und CCPA liegt in ihrem Standard-Einwilligungsmodell.
Die DSGVO basiert auf dem Opt-in-Prinzip. Nach Artikel 6 der DSGVO erfordert die Verarbeitung personenbezogener Daten eine Rechtsgrundlage vor jeder Erhebung. Für viele Verarbeitungsarten — insbesondere Marketing, Profiling und Analysen — muss die ausdrückliche Einwilligung der betroffenen Person vor der Datenerhebung eingeholt werden. Das bedeutet: Wenn ein europäischer Nutzer Ihre Website erstmals besucht, dürfen Sie keine nicht-essentiellen Cookies setzen, keine Tracking-Pixel auslösen und keine Verhaltensdaten erheben, bis der Nutzer ausdrücklich zugestimmt hat. In Deutschland hat die Datenschutzkonferenz (DSK) besonders strenge Leitlinien zum Cookie-Consent herausgegeben, und das TTDSG regelt den Datenschutz bei Telemedien zusätzlich.
Der CCPA basiert auf dem Opt-out-Prinzip. Unternehmen dürfen personenbezogene Daten ohne vorherige Einwilligung erheben und verwenden (mit bestimmten Ausnahmen für Minderjährige unter 16). Stattdessen gibt der CCPA den Verbrauchern das Recht, dem Verkauf oder der Weitergabe ihrer personenbezogenen Daten nachträglich zu widersprechen. Das Unternehmen muss einen Link „Meine Daten nicht verkaufen oder weitergeben” bereitstellen, kann aber standardmäßig Daten verarbeiten, bis der Verbraucher dieses Recht ausübt.
Diese Unterscheidung hat tiefgreifende praktische Auswirkungen. Eine DSGVO-konforme Website, die jegliches Tracking bis zur Einwilligung blockiert, erfüllt auch die weniger restriktiven CCPA-Anforderungen. Aber eine CCPA-konforme Website, die Nutzer standardmäßig trackt und auf Opt-out setzt, verstößt gegen die DSGVO, wenn sie europäische Nutzer ohne vorherige Einwilligung bedient.
Geltungsbereich und Anwendbarkeit
Wer ist geschützt
DSGVO: Jede „betroffene Person”, die sich in der Europäischen Union befindet, unabhängig von Nationalität oder Wohnsitz. Ein amerikanischer Tourist, der während eines Paris-Besuchs eine Website aufruft, ist während dieses Besuchs durch die DSGVO geschützt. Die Verordnung schützt Einzelpersonen (natürliche Personen), nicht Unternehmen.
CCPA: Kalifornische „Verbraucher”, definiert als natürliche Personen mit Wohnsitz in Kalifornien. Der Schutz folgt dem Wohnsitz der Person, nicht ihrem physischen Aufenthaltsort. Ein Einwohner Kaliforniens, der während eines Urlaubs in Tokio eine Website aufruft, ist weiterhin durch den CCPA geschützt.
Welche Unternehmen müssen sich daran halten
DSGVO: Jede Organisation weltweit, die personenbezogene Daten von Personen in der EU verarbeitet, sofern sie Waren oder Dienstleistungen für EU-Bewohner anbietet oder deren Verhalten überwacht (Artikel 3). Es gibt keinen Umsatzschwellenwert, kein Minimum an Datenvolumen. Ein Ein-Personen-Blog, der E-Mail-Adressen von EU-Besuchern sammelt, muss sich daran halten.
CCPA: Gewinnorientierte Unternehmen, die in Kalifornien tätig sind und mindestens einen von drei Schwellenwerten erfüllen: Jahresbruttoumsatz über 25 Millionen Dollar; Kauf, Verkauf oder Weitergabe personenbezogener Daten von 100.000 oder mehr Verbrauchern oder Haushalten; oder Ableitung von 50 % oder mehr des Jahresumsatzes aus dem Verkauf oder der Weitergabe personenbezogener Daten. Gemeinnützige Organisationen und staatliche Einrichtungen sind ausgenommen.
Dieser Unterschied bedeutet, dass die DSGVO eine viel größere Reichweite hat. Ein kleiner Online-Shop mit einigen EU-Kunden unterliegt der DSGVO, während dasselbe Unternehmen möglicherweise unter allen CCPA-Schwellenwerten liegt und vom kalifornischen Recht befreit ist.
Definition personenbezogener Daten
DSGVO: „Personenbezogene Daten” sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Artikel 4 Absatz 1). Dies umfasst Namen, E-Mail-Adressen, IP-Adressen, Cookie-Kennungen, Standortdaten, Online-Kennungen und sogar pseudonymisierte Daten, wenn eine Re-Identifizierung möglich ist.
CCPA: „Persönliche Informationen” werden in mancher Hinsicht breiter definiert und umfassen Informationen, die „eine bestimmte Person oder einen Haushalt identifizieren, sich darauf beziehen, beschreiben, vernünftigerweise mit ihr/ihm in Verbindung gebracht werden können oder vernünftigerweise direkt oder indirekt mit ihr/ihm verknüpft werden könnten.” Die Ergänzung von „Haushalt” erweitert den Schutz über das Individuum hinaus. Allerdings sind öffentlich zugängliche Informationen ausdrücklich von der CCPA-Definition ausgenommen, während die DSGVO keine solche Ausnahme macht.
Rechte der Verbraucher/Betroffenen
Beide Gesetze gewähren Einzelpersonen Rechte in Bezug auf ihre personenbezogenen Daten, unterscheiden sich aber in den Details:
| Recht | DSGVO | CCPA/CPRA |
|---|---|---|
| Recht auf Auskunft | Artikel 15: Recht auf Bestätigung und Kopie aller personenbezogenen Daten | Section 1798.100: Recht auf Kenntnis der Kategorien und spezifischen erhobenen Daten der letzten 12 Monate |
| Recht auf Löschung | Artikel 17: Recht auf Vergessenwerden mit breiten Ausnahmen | Section 1798.105: Recht auf Löschung mit bestimmten Ausnahmen |
| Recht auf Datenübertragbarkeit | Artikel 20: Recht auf Erhalt der Daten in maschinenlesbarem Format | Kein Äquivalent im CCPA |
| Recht auf Berichtigung | Artikel 16: Recht auf Berichtigung | Section 1798.106 (durch CPRA hinzugefügt): Recht auf Korrektur unrichtiger Informationen |
| Recht auf Widerspruch gegen Verkauf | Nicht direkt anwendbar (einwilligungsbasiertes Modell) | Section 1798.120: Recht auf Widerspruch gegen Verkauf und Weitergabe |
| Recht auf Einschränkung sensibler Daten | Artikel 9: Besondere Kategorien erfordern ausdrückliche Einwilligung | Section 1798.121 (CPRA): Recht auf Einschränkung der Nutzung sensibler persönlicher Informationen |
| Recht auf Nichtdiskriminierung | Implizit in allgemeinen Grundsätzen | Section 1798.125: Ausdrückliches Diskriminierungsverbot gegenüber Verbrauchern, die ihre Rechte ausüben |
| Antwortfrist | 1 Monat (verlängerbar auf 3) | 45 Tage (verlängerbar auf 90) |
Sie wissen nicht, welche Vorschriften fur Ihre Website gelten? Der kostenlose Compliance-Scanner von WebLegal analysiert Ihre Website und identifiziert die erforderlichen Rechtsdokumente und Datenschutzanforderungen.
Rechtsgrundlagen der Verarbeitung
Hier divergieren die beiden Rahmenwerke am deutlichsten.
DSGVO: Artikel 6 verlangt eine von sechs Rechtsgrundlagen für jede Verarbeitungstätigkeit: Einwilligung, Vertragserfüllung, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliches Interesse oder berechtigte Interessen. Die Wahl der Rechtsgrundlage muss dokumentiert und den betroffenen Personen mitgeteilt werden. Für besondere Datenkategorien (Artikel 9) muss eine zusätzliche Bedingung erfüllt sein, in der Regel die ausdrückliche Einwilligung. Der BfDI und die Landesdatenschutzbehörden haben umfangreiche Orientierungshilfen zur Wahl der richtigen Rechtsgrundlage veröffentlicht.
CCPA: Im CCPA gibt es kein Konzept einer „Rechtsgrundlage”. Unternehmen dürfen personenbezogene Daten für jeden offengelegten Geschäftszweck erheben und verarbeiten. Das Gesetz reguliert Offenlegung und Opt-out-Rechte, anstatt eine bejahende Rechtfertigung für jede Verarbeitungstätigkeit zu verlangen. Dies ist eine grundlegend andere Regulierungsarchitektur.
Für Unternehmen, die beiden Gesetzen unterliegen, werden die Rechtsgrundlagenanforderungen der DSGVO de facto zum maßgeblichen Standard, da Sie für EU-Betroffene eine Rechtsgrundlage nachweisen müssen, unabhängig davon, was der CCPA erlaubt.
Durchsetzung und Strafen
DSGVO-Durchsetzung
Die Durchsetzung erfolgt durch die Datenschutzbehörden in jedem EU-Mitgliedstaat. In Deutschland sind der BfDI und die 16 Landesdatenschutzbehörden zuständig. Maximale Strafen nach Artikel 83 sind:
- Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes für geringere Verstöße
- Bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes für schwere Verstöße
Deutsche Datenschutzbehörden haben in den letzten Jahren zunehmend bedeutende Bußgelder verhängt. Die Behörden können auch Verarbeitungsverbote, Datenübertragungsverbote und spezifische Abhilfemaßnahmen anordnen.
CCPA-Durchsetzung
Die Durchsetzung wird zwischen dem Generalstaatsanwalt von Kalifornien und der CPPA geteilt:
- Bis zu 2.500 $ pro fahrlässigem Verstoß
- Bis zu 7.500 $ pro vorsätzlichem Verstoß oder Verstoß mit Minderjährigen
- Privates Klagerecht bei Datenschutzverletzungen: 100 $ bis 750 $ pro Verbraucher pro Vorfall
Obwohl die Beträge pro Verstoß niedriger sind als die DSGVO-Höchstbeträge, kann die Pro-Datensatz-Berechnung des CCPA enorme Gesamtstrafen ergeben. Eine Verletzung, die 500.000 kalifornische Verbraucher betrifft, könnte allein durch das private Klagerecht 50 Millionen $ bis 375 Millionen $ an gesetzlichem Schadensersatz ergeben.
Datentransfers
DSGVO: Transfers personenbezogener Daten außerhalb des EU/EWR sind nach Kapitel V der DSGVO eingeschränkt. Transfers erfordern einen Angemessenheitsbeschluss, Standardvertragsklauseln (SVK), verbindliche Unternehmensregeln oder einen anderen genehmigten Transfermechanismus. Das Schrems-II-Urteil hat das EU-US Privacy Shield für ungültig erklärt, und der EU-US Datenschutzrahmen (Data Privacy Framework), der es ersetzte, bleibt unter ständiger rechtlicher Prüfung.
CCPA: Es gibt keine Einschränkungen für internationale Datentransfers unter dem CCPA. Das Gesetz reguliert, wie Daten erhoben, verwendet, verkauft und geteilt werden, beschränkt aber nicht, wo sie geografisch gespeichert oder verarbeitet werden.
Praktische Compliance-Strategie für Unternehmen in beiden Rechtsräumen
Wenn Ihre Website sowohl EU- als auch Kalifornien-Nutzer bedient, hier ein praktischer Ansatz für deutsche Unternehmen:
1. Beginnen Sie mit der DSGVO-Compliance. Die DSGVO-Anforderungen sind generell strenger. Eine DSGVO-konforme Datenschutzerklärung, ein Einwilligungsmechanismus und Datenverarbeitungspraktiken werden die meisten CCPA-Anforderungen erfüllen. Befolgen Sie die Orientierungshilfen der DSK und des BfDI sowie die Anforderungen des TTDSG.
2. Ergänzen Sie CCPA-spezifische Elemente. Fügen Sie die Offenlegungen und Mechanismen hinzu, die der CCPA verlangt und die DSGVO nicht: den Link „Meine Daten nicht verkaufen oder weitergeben”, das 12-Kategorien-Offenlegungsrahmenwerk, den Opt-out für sensible personenbezogene Daten und die jährliche Aktualisierung mit Zeitstempel.
3. Implementieren Sie geolokalisierungsbasierten Consent. Verwenden Sie eine Consent-Management-Plattform, die den Standort des Nutzers erkennt und das entsprechende Einwilligungsmodell anwendet: Opt-in fur EU-Besucher, Opt-out-Rechte fur Kalifornien-Besucher. Das kostenlose Cookie-Banner von WebLegal verwaltet die DSGVO-Einwilligung und kann als Grundlage fur Ihren Multi-Jurisdiktions-Ansatz dienen.
4. Führen Sie separate Aufzeichnungen. Die DSGVO verlangt Verzeichnisse von Verarbeitungstätigkeiten (Artikel 30). Der CCPA verlangt Dokumentation von Verbraucheranfragen und Antworten. Führen Sie beides. In Deutschland prüfen die Landesdatenschutzbehörden regelmäßig die Führung des Verarbeitungsverzeichnisses.
5. Überprüfen Sie Lieferantenverträge. Stellen Sie sicher, dass Ihre Verträge mit Auftragsverarbeitern (DSGVO) und Dienstleistern (CCPA) die Anforderungen beider Rahmenwerke erfüllen. Die Terminologie unterscheidet sich, aber die zugrundeliegende Pflicht — zu kontrollieren, wie Dritte die Daten Ihrer Nutzer verarbeiten — ist dieselbe.
Fazit
DSGVO und CCPA stehen für zwei unterschiedliche Ansätze der Datenschutzregulierung: europäische umfassende Einwilligung versus kalifornische gezielte Transparenz. Keines subsumiert das andere. Ein Unternehmen, das Nutzer in beiden Rechtsräumen bedient, braucht eine Compliance-Strategie, die sowohl die Einwilligungsanforderungen der DSGVO, das Rechtsgrundlagenframework und die Datentransferbeschränkungen als auch die spezifischen Offenlegungskategorien des CCPA, Opt-out-Mechanismen und die Pro-Verstoß-Strafstruktur berücksichtigt.
Die Kosten doppelter Nicht-Compliance sind erheblich. Die Kosten für den Aufbau einer einheitlichen Datenschutzstrategie, die beide Rahmenwerke erfüllt, sind überschaubar — und weit geringer als das Durchsetzungsrisiko, wenn man es falsch macht. Für deutsche Unternehmen, die vom BfDI und den Landesdatenschutzbehörden überwacht werden und dem CCPA ausgesetzt sind, hat die Adressierung beider Rahmenwerke jetzt Vorrang vor einer reaktiven Behandlung nach einer Durchsetzungsmaßnahme.