CalOPPA (California Online Privacy Protection Act) ist ein US-amerikanisches Datenschutzgesetz des Bundesstaates Kalifornien, das Betreiber von Websites und Online-Diensten verpflichtet, eine Datenschutzerklärung bereitzustellen und darin klar offenzulegen, welche personenbezogenen Daten sie sammeln und wie diese verwendet werden. Es war das erste Datenschutzgesetz dieser Art in den USA und bildet eine wichtige Grundlage für die Transparenz im Online-Datenschutz.
CalOPPA trat bereits 2004 in Kraft und gilt für alle Websites und Online-Dienste, die personenbezogene Daten von Verbrauchern in Kalifornien sammeln, unabhängig davon, wo das Unternehmen seinen Sitz hat. Das bedeutet, dass auch europäische Websites und Online-Shops CalOPPA beachten müssen, wenn sie Nutzer in Kalifornien bedienen.
Der Hauptzweck des Gesetzes ist es, Verbrauchern Transparenz über den Umgang mit ihren Daten zu geben, indem Unternehmen zur Bereitstellung einer klaren, gut sichtbaren Datenschutzerklärung verpflichtet werden.
CalOPPA gilt für:
✅ Alle Unternehmen, die Websites oder Online-Dienste betreiben.
✅ Unternehmen weltweit, wenn sie personenbezogene Daten von kalifornischen Nutzern sammeln.
✅ Websites, Apps, SaaS-Dienste und Onlineshops, die Nutzer in Kalifornien bedienen, unabhängig von Umsatz oder Unternehmensgröße.
Im Gegensatz zum CCPA gibt es keine Umsatz- oder Nutzerzahlgrenze – CalOPPA betrifft also auch kleine Websites, Blogs und Start-ups.
CalOPPA definiert personenbezogene Daten als Informationen, die eine Person identifizieren können, darunter:
Betreiber von Websites und Online-Diensten müssen:
✅ Eine Datenschutzerklärung veröffentlichen, die leicht zugänglich und gut sichtbar verlinkt ist.
✅ Offenlegen, welche Daten gesammelt werden, wie diese verwendet und mit wem sie geteilt werden.
✅ Erläutern, wie Nutzer Änderungen an ihren personenbezogenen Daten vornehmen können.
✅ Das Datum des Inkrafttretens der Datenschutzerklärung angeben.
✅ Angeben, wie Änderungen an der Datenschutzerklärung bekannt gegeben werden.
✅ Offenlegen, wie die Website auf „Do Not Track“-Signale (DNT) des Browsers reagiert.
✅ Angeben, ob Dritte, wie Werbepartner, Tracking durchführen und welche Möglichkeiten Nutzer haben, dieses Tracking zu blockieren.
CalOPPA war eines der ersten Gesetze, das Websites dazu verpflichtet hat, in der Datenschutzerklärung offenzulegen, wie sie auf Do Not Track-Signale reagieren. Es besteht jedoch keine Verpflichtung, DNT zu respektieren, sondern nur die Pflicht, transparent zu informieren, wie damit umgegangen wird.
| Aspekt | CalOPPA | CCPA |
| Geltungsbereich | Alle Websites/Dienste mit Nutzern in Kalifornien | Unternehmen mit bestimmten Umsatz-/Daten-Grenzen |
| Schwerpunkt | Veröffentlichung einer Datenschutzerklärung | Rechte der Verbraucher auf Auskunft, Löschung, Opt-out |
| Opt-in/Opt-out | Keine Opt-out-Anforderung | Opt-out für Verkauf von Daten erforderlich |
| DNT | Offenlegungspflicht | Keine spezielle Regelung |
| Strafen | Zivilrechtliche Durchsetzung | Bußgelder und Klagen |
Für Online-Marketing-Teams und Website-Betreiber bedeutet CalOPPA:
✅ Pflicht zur klaren Datenschutzerklärung, wenn kalifornische Nutzer bedient werden.
✅ Transparente Offenlegung von Tracking-Tools wie Google Analytics, Facebook Pixel oder TikTok Pixel.
✅ Offenlegung von Affiliate- und Werbepartnern, die Tracking betreiben.
✅ Vertrauensaufbau bei Nutzern durch transparente Kommunikation.
✅ Anpassung bestehender Datenschutzerklärungen an die Anforderungen von CalOPPA.
CalOPPA ist oft Teil einer internationalen Datenschutzstrategie, die zusammen mit:
✅ DSGVO (EU)
✅ CCPA (Kalifornien)
✅ PIPEDA (Kanada)
✅ LGPD (Brasilien)
umgesetzt wird, um Compliance in allen relevanten Märkten sicherzustellen.
✅ Sichtbarkeit sicherstellen: Datenschutzerklärung gut sichtbar im Footer oder der Navigation verlinken.
✅ Vollständigkeit der Datenschutzerklärung: Offenlegung aller erhobenen Daten, Verarbeitungszwecke und Weitergaben an Dritte.
✅ DNT-Offenlegung: Informationen bereitstellen, wie auf Do Not Track-Signale reagiert wird.
✅ Updates dokumentieren: Datum des Inkrafttretens angeben und Änderungen transparent machen.
✅ Kombination mit CMP: Einbindung von Consent Management Plattformen wie Usercentrics, Cookiebot oder Complianz.
✅ Regelmäßige Überprüfung: Datenschutzerklärung mindestens einmal jährlich prüfen und bei Änderungen im Tracking oder Tools aktualisieren.
Um eine CalOPPA-konforme Datenschutzerklärung zu erstellen, können genutzt werden:
✅ Iubenda
✅ TermsFeed
✅ PrivacyPolicies.com
✅ eRecht24 Datenschutz-Generator
Diese Generatoren erleichtern es, CalOPPA, DSGVO und CCPA gleichzeitig abzudecken.
CalOPPA ist ein wichtiges Datenschutzgesetz für alle, die Websites, Apps oder Online-Dienste betreiben und Nutzer in Kalifornien bedienen. Es verpflichtet zur transparenten Offenlegung der Datenverarbeitung, der Nutzung von Tracking-Tools und zur Bereitstellung einer sichtbaren Datenschutzerklärung. Unternehmen, die global tätig sind, sollten CalOPPA in ihre Datenschutzstrategie integrieren, um rechtliche Risiken zu minimieren und Vertrauen bei ihren Nutzern aufzubauen. CalOPPA lässt sich effizient umsetzen und ergänzt bestehende Datenschutz-Compliance-Maßnahmen wie DSGVO und CCPA sinnvoll.
