Der California Consumer Privacy Act (CCPA) ist ein US-amerikanisches Datenschutzgesetz, das kalifornischen Verbrauchern mehr Kontrolle über ihre personenbezogenen Daten gibt und Unternehmen verpflichtet, Transparenz und Datenschutzrichtlinien umzusetzen. Er wird oft als das „kalifornische Pendant zur DSGVO“ bezeichnet, unterscheidet sich jedoch in Struktur, Umfang und Anforderungen.
Der CCPA trat am 1. Januar 2020 in Kraft und stärkt die Datenschutzrechte der Verbraucher in Kalifornien, einem der größten Märkte weltweit. Er gilt für Unternehmen, die personenbezogene Daten von Verbrauchern in Kalifornien sammeln und verarbeiten, und bestimmte Umsatz- oder Datenverarbeitungsgrenzen überschreiten.
Der CCPA soll sicherstellen, dass Verbraucher erfahren:
✅ Welche personenbezogenen Daten gesammelt werden.
✅ Zu welchem Zweck diese Daten verarbeitet werden.
✅ Welche Drittanbieter die Daten erhalten.
✅ Welche Rechte sie im Zusammenhang mit ihren Daten haben.
Der CCPA gilt für Unternehmen weltweit, wenn sie:
✅ Jährlich einen Bruttoumsatz von über 25 Millionen US-Dollar erzielen, oder
✅ Daten von mehr als 100.000 kalifornischen Verbrauchern sammeln oder verarbeiten, oder
✅ 50 % oder mehr ihres Jahresumsatzes durch den Verkauf personenbezogener Daten erzielen.
Damit betrifft der CCPA nicht nur große US-Firmen, sondern auch europäische Unternehmen und deutsche Onlineshops, die kalifornische Kunden bedienen.
Der CCPA definiert personenbezogene Daten sehr weit und schließt Informationen ein, die einen Verbraucher oder ein Gerät direkt oder indirekt identifizieren können, darunter:
Verbraucher in Kalifornien haben unter dem CCPA folgende Rechte:
1️⃣ Recht auf Auskunft:
Welche Daten werden gesammelt, warum, wie und an wen werden sie weitergegeben?
2️⃣ Recht auf Löschung:
Verbraucher können die Löschung ihrer personenbezogenen Daten verlangen.
3️⃣ Recht auf Opt-out:
Verbraucher können dem Verkauf ihrer personenbezogenen Daten widersprechen.
4️⃣ Recht auf Gleichbehandlung:
Keine Benachteiligung, wenn Verbraucher ihre Rechte wahrnehmen.
5️⃣ Recht auf Datenübertragbarkeit:
Bereitstellung der Daten in einem portablen Format auf Anfrage.
✅ Informationspflicht: Transparente Datenschutzerklärung mit Details zu den Kategorien von Daten, Zwecken und Drittanbietern.
✅ Opt-out-Möglichkeit: Ein „Do Not Sell My Personal Information“-Link auf der Website.
✅ Erfüllung von Verbraucheranfragen: Einrichtung eines Prozesses zur Bearbeitung von Auskunfts- und Löschanfragen innerhalb von 45 Tagen.
✅ Schutz von Minderjährigen: Spezielle Regeln für den Verkauf von Daten von Personen unter 16 Jahren.
| Aspekt | CCPA | DSGVO |
| Geografischer Geltungsbereich | Kalifornien | EU |
| Rechtsgrundlage | Opt-out | Opt-in |
| Recht auf Löschung | Ja | Ja |
| Recht auf Auskunft | Ja | Ja |
| Bußgelder | Bis zu 7.500 USD pro Verstoß | Bis zu 20 Mio. EUR oder 4 % des Jahresumsatzes |
| Datenportabilität | Ja | Ja |
| Datenschutzbeauftragter | Nicht verpflichtend | In vielen Fällen verpflichtend |
Der CCPA hat erhebliche Auswirkungen auf Online-Marketing und Tracking, insbesondere:
✅ Transparenzpflichten beim Einsatz von Tools wie Google Analytics, Facebook Pixel oder anderen Trackern.
✅ Opt-out-Möglichkeiten bei der Weitergabe oder dem Verkauf von Daten an Drittanbieter.
✅ Anpassung der Datenschutzerklärung für kalifornische Nutzer.
✅ Consent Management Lösungen mit „Do Not Sell“-Opt-out Funktionen für kalifornische Besucher.
Tools wie Iubenda, TermsFeed oder PrivacyPolicies.com unterstützen bei der Erstellung CCPA-konformer Texte.
Auch wenn der CCPA nicht wie die DSGVO ein explizites Opt-in fordert, können Consent Management Plattformen genutzt werden, um:
✅ das Opt-out im Tracking zu berücksichtigen,
✅ Consent- und Opt-out-Anfragen zu dokumentieren,
✅ Transparenz für Nutzer zu schaffen und Vertrauen aufzubauen.
CMPs wie Usercentrics, Cookiebot oder Complianz können so konfiguriert werden, dass sie auch CCPA-Anforderungen umsetzen.
✅ Prüfen, ob der CCPA auf das eigene Unternehmen zutrifft.
✅ Datenschutzerklärung anpassen, um CCPA-Anforderungen zu erfüllen.
✅ Opt-out-Funktionen („Do Not Sell“-Links) bereitstellen.
✅ Prozesse zur Bearbeitung von Anfragen einrichten.
✅ Interne Prozesse zur Dateninventarisierung aufsetzen.
✅ Mitarbeiterschulungen zu CCPA-Pflichten durchführen.
✅ Consent Management für kalifornische Besucher implementieren.
✅ Regelmäßig rechtliche Entwicklungen in Kalifornien und den USA beobachten.
Der CCPA ist ein wichtiges Datenschutzgesetz für alle Unternehmen, die kalifornische Kunden bedienen, unabhängig davon, ob sie in den USA oder international tätig sind. Er stärkt die Verbraucherrechte, erfordert Transparenz und gibt Nutzern die Kontrolle über ihre Daten zurück. Unternehmen, die Online-Marketing betreiben oder digitale Dienstleistungen anbieten, sollten ihre Datenschutzerklärung prüfen, Prozesse zur Datenlöschung und Auskunft bereitstellen und gegebenenfalls Opt-out-Möglichkeiten integrieren, um CCPA-konform zu agieren.
