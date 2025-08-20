Der California Consumer Privacy Act (CCPA) ist ein kalifornisches Gesetz aus dem Jahr 2020, das die Rechte der Bürger Kaliforniens im Zusammenhang mit den personenbezogenen Daten schützt und durchsetzt.
In der digitalen Welt gelten Verbraucherdaten als das neue Gold, eine Substanz von immensem potenziellen Wert für Marketingexperten. Trotz des Wunsches der Unternehmen, diese Daten zu nutzen, gibt es eine immer größer werdende Bewegung, die sich dafür einsetzt, dass die Verbraucher, die mithilfe dieser Daten ausgewertet werden, ein Mitspracherecht haben sollten, wenn es um die Verwendung der von ihnen generierten Informationen geht oder nicht.
In Kalifornien wurden die Ziele dieser Bewegung mit der Verabschiedung des CCPA in ein Gesetz umgesetzt. Es ist ein entscheidender Fortschritt für die Rechte der Verbraucher und die Cybersicherheit, da es dem US-Bundesstaat Kalifornien ein leistungsfähiges Framework für die Durchsetzung von Datenschutzgesetzen und -vorschriften an die Hand gibt und den Bürgern Kaliforniens einen Weg zu privaten Klagerechten eröffnet, um bei Datenschutzverletzungen Rechtsmittel einzulegen.
Die CCPA-Richtlinien wurden entwickelt, um den kalifornischen Verbrauchern eine Reihe von Rechten einzuräumen, die sich ausdrücklich mit dem Schutz personenbezogener Daten befassen und ihnen angemessene Sicherheitsvorkehrungen bieten. Zu diesen Rechten gehört, dass die Kalifornier die Möglichkeit haben, Forderungen bezüglich ihrer Kundendaten zu stellen. Diese Forderungen können beispielsweise Folgendes beinhalten:
Verhinderung des Verkaufs ihrer personenbezogenen Daten an Drittunternehmen (d. h. das Recht, den Weiterverkauf zu verhindern), indem sie die so genannte „Do not sell my personal data“-Anweisung erlassen
Das Recht auf Auskunft über gesammelte personenbezogene Daten (Recht auf Zugang)
Aufforderung zur Löschung aller erfassten Daten über diesen Verbraucher (Recht auf Vergessenwerden)
Dank der kalifornischen Datenschutzbehörde (California Privacy Protection Agency) verfügen die Einwohner Kaliforniens auch über Schutzmaßnahmen, die sicherstellen sollen, dass die Einwohner in angemessener Weise über sie betreffende Datenänderungen informiert werden, sowie über Antidiskriminierungsvorschriften, die vorschreiben, dass Personen nicht benachteiligt oder anderweitig bestraft werden dürfen, weil sie von diesen Rechten Gebrauch machen wollen.
Obwohl die meisten Verbraucher eine allgemeine Vorstellung davon haben, was mit „personenbezogenen Daten“ gemeint ist, kann der Begriff für verschiedene Personen unterschiedliche Dinge bedeuten, und zwar wesentlich mehr, als man sich zunächst vorstellt.
Im Rahmen des CCPA werden personenbezogene Daten wie folgt definiert: „Informationen, die einen bestimmten Verbraucher oder Haushalt identifizieren, sich auf ihn beziehen, ihn beschreiben oder vernünftigerweise direkt oder indirekt mit ihm in Verbindung gebracht werden könnten.“1
Die CCPA-Richtlinien decken die folgenden spezifischen Beispiele für personenbezogene Daten ab:
Name
Adresse
Telefonnummer
E-Mail-Adresse
IP-Adresse
Geburtsdatum
Sozialversicherungsnummer
Führerscheinnummer
Passnummer
Informationen zum Bankkonto
Kreditkarten-/Debitkartennummern
Bildungsdaten und Zeugnisse
Personenbezogene Daten werden für Marketingexperten sogar noch wertvoller, wenn jede Art von Information durch Datenanalyse kombiniert und für die Erstellung zusammengesetzter Ansichten über bestimmte Verbraucher oder Verbrauchergruppen verwendet werden kann, um z. B. breitere Rückschlüsse auf Verbrauchertrends im Marketing zu ziehen. Einige der anderen Formen von personenbezogenen Daten, die routinemäßig erfasst werden, können ebenso aufschlussreich sein, darunter:
Einkaufspräferenzen der Verbraucher
Persönliche Browserverläufe
Artikulierte persönliche Haltungen
Angegebenes persönliches Verhalten
Ein weiterer Problembereich betrifft Cookies und wie sie von Websites als eindeutige Identifikatoren verwendet werden. Dazu gehören sowohl Erstanbieter-Cookies (die so konzipiert sind, dass sie sich selbst löschen, sobald ihr Geschäftszweck erfüllt ist) als auch Drittanbieter-Cookies (die sich nicht automatisch selbst löschen und die die Funktion haben, verschiedene Arten von personenbezogenen Daten, einschließlich sensibler personenbezogener Daten, zu erfassen).
Da Drittanbieter-Cookies von Websites missbraucht werden können, betrachtet der CCPA Daten, die über eine Website durch die Verwendung von Cookies gesammelt werden, als personenbezogene Daten und daher als schützenswert.
Die meisten betroffenen Unternehmen betrachten die Einhaltung des CCPA nicht als einen einzelnen Schritt, sondern als einen Prozess. Der erste Teil dieses Prozesses erfordert häufig ein Umdenken gegenüber den Verbrauchern und die Einsicht, dass deren Datenschutzbedürfnisse wichtig sind und durchsetzbare Rechte beinhalten.
Zur Einhaltung des CCPA gehört es, die verschiedenen kalifornischen Verbraucher zu schützen, indem man ihnen die Möglichkeit gibt, zu entscheiden, wie ihre personenbezogenen Daten verwaltet werden sollen (einschließlich Opt-in-Möglichkeiten). Es bedeutet auch, dass Sie mit allen im Zuge der Weiterentwicklung des CCPA vorgenommenen Änderungen Schritt halten müssen, um neue Technologien (wie z. B. Biometrie) und Änderungen der CCPA-Richtlinien zu berücksichtigen.
Damit ein Unternehmen CCPA-konform wird, sind eine Reihe von Schritten erforderlich, die sechs Monate oder sogar ein Jahr in Anspruch nehmen können, bis sie vollständig umgesetzt sind. Nichtsdestotrotz spielt jeder einzelne Schritt eine wichtige Rolle bei der Einhaltung des CCPA. (Da bestimmte Compliance-Anforderungen gleichzeitig erfüllt werden können, sind die Schritte mit Aufzählungspunkten und nicht mit Nummern gekennzeichnet).
Der erste Schritt besteht darin, sich ein genaues Bild davon zu machen, welche Verbraucherdaten gesammelt wurden, sowie die verschiedenen Speicherorte zu katalogisieren. Dies gilt sowohl für die „externen“ Verbraucherdaten, die von Verbrauchern außerhalb des Unternehmens erhoben werden, als auch für die „internen“ Verbraucherdaten, die von Mitarbeitern und Bewerbern des Unternehmens erhoben werden.
Es ist wichtig, alle erfassten persönlichen Daten sicher aufzubewahren, egal ob sie von Verbrauchern oder Bewerbern stammen. Es gibt auch zusätzliche Bestimmungen zum Schutz von Informationen, die von Minderjährigen erfasst wurden.
Alle Verbraucher (oder auch Mitarbeiter des Unternehmens und Arbeitssuchende) sollten einen „Hinweis bei der Datenerhebung“ erhalten. Wichtig ist, dass dieser Datenschutzhinweis vor oder zum Zeitpunkt des Beginns der Datenerfassung übermittelt wird – und nicht erst, nachdem diese bereits begonnen hat.
Die meisten Unternehmen verfügen heute über eine detaillierte Datenschutzerklärung und veröffentlichen diese auf ihrer Website.
Es ist auch wichtig, ein effektives und zeitnahes Verfahren für die Bearbeitung von Anfragen im Zusammenhang mit Verbraucherinformationen einzurichten.
Es sollten Regeln zur Datenminimierung entwickelt und umgesetzt werden, um sicherzustellen, dass das Unternehmen nur das Minimum an personenbezogenen Daten erfasst, das zum Erreichen eines bestimmten Zwecks erforderlich ist. Unternehmen sollten auch mögliche Gefahren für Verbraucher in Betracht ziehen, wenn die erfassten Daten verletzt werden, und geeignete Präventivmaßnahmen ergreifen (z. B. automatische Löschung der erfassten Daten nach ihrer Verwendung).
Ein wichtiger Aspekt bei der Einhaltung der Vorschriften ist die Sicherstellung, dass die Unternehmensleiter und alle Mitarbeiter die CCPA-Anforderungen kennen, insbesondere die Anforderungen, die sich direkt auf ihren Arbeitsbereich auswirken. Durch Schulungen und Webinare können alle auf den neuesten Stand gebracht werden.
Gesetze und Verordnungen werden häufig geändert und ergänzt. (Der CCPA selbst wurde vor seiner Neueinführung im Jahr 2023 solchen Überarbeitungen unterzogen.) Daher ist es empfehlenswert, über CCPA-Entwicklungen auf dem Laufenden zu bleiben.
Datenbrokerage – der Kauf und Verkauf von personenbezogenen Daten – ist ein boomendes Geschäft, das von Experten im Jahr 2021 weltweit auf 240 Milliarden US-Dollar geschätzt wurde. Es wird erwartet, dass sich dieser Wert bis zum Ende des Jahrzehnts fast verdoppeln und auf mehr als 450 Milliarden USD jährlich ansteigen wird.2
Alles, was so wertvoll ist wie Daten, muss streng geschützt werden. Dementsprechend ist die kalifornische Datenschutzbehörde (California Privacy Protection Agency, CPPA) befugt, Unternehmen, die gegen die Bestimmungen des CCPA verstoßen, zu bestrafen. Und obwohl die CCPA-Strafen auf einen relativ niedrigen Satz begrenzt sind (entweder 2.500 US-Dollar für einen nachweislich unbeabsichtigten Kontakt oder 7.500 US-Dollar für einen vorsätzlichen Verstoß), ist es erwähnenswert, dass diese CCPA-Strafen nur für ein einziges Vergehen gelten, z. B. für eine Datenverletzung, an der eine Person beteiligt ist.
In der Praxis ist es jedoch so, dass Datenschutzverletzungen selten eine einzelne geschädigte Person betreffen. Stattdessen handelt es sich in der Regel um Massenvorfälle, von denen Tausende oder sogar Hunderttausende von Verbrauchern betroffen sind. Wenn Sie also mögliche CCPA-Bußgelder mit einer großen Anzahl von Einwohnern Kaliforniens multiplizieren, könnten Sie bald mit gigantischen Strafen rechnen.
Der CCPA bietet zuwiderhandelnden Unternehmen einen Ausweg aus der Zahlung dieser hohen Bußgelder, indem er ihnen eine 30-tägige Frist zur Behebung des Fehlers einräumt, den sie begangen haben. Wenn ein zuwiderhandelndes Unternehmen seine Sicherheitsmaßnahmen verbessern und das Problem innerhalb eines Monats „beheben“ kann, besteht die Möglichkeit, die Strafgebühr zu erlassen. Natürlich sind Unternehmen verpflichtet, solche Verstöße finanziell zu kompensieren, aber das kann sich in manchen Situationen als schwierig oder sogar unmöglich erweisen, wenn man bedenkt, dass Verstöße wie Datenschutzverletzungen oft mit Datenoffenlegungen einhergehen, die nicht mehr rückgängig gemacht werden können.
Der Geltungsbereich des CCPA wird ständig erweitert und weiterentwickelt, um mit dem explosionsartigen Wachstum der Technologie, wie dem Internet der Dinge (IoT), Schritt zu halten.
So hat der CPPA vor Kurzem einen neuen Schwerpunkt angekündigt – „vernetzte“ Fahrzeuge (Connected Vehicles, CVs), die mit Datenerfassungsmechanismen ausgestattet sind. Moderne Fahrzeuge sind in der Lage, eine Vielzahl von Informationen über den Fahrer sowie Geolokalisierungsdaten zu sammeln und diese Daten zu übermitteln. Wenn man bedenkt, dass es in Kalifornien mehr als 35 Millionen zugelassene Fahrzeuge gibt, ist dies ein gewaltiges Unterfangen. Aber nach Ansicht des Executive Director vom CPPA muss dieses Problem angegangen werden.
„Moderne Fahrzeuge sind praktisch vernetzte Computer auf Rädern“, erklärte Ashkan Soltani im Juli 2023. „Sie können über integrierte Apps, Sensoren und Kameras, die Personen im und in der Nähe des Fahrzeugs überwachen können, eine Fülle von Informationen erfassen.“3
Die Formulierung „in der Nähe des Fahrzeugs“ ist bemerkenswert, weil sie impliziert, dass nicht nur die Daten des Fahrers geschützt werden müssen, sondern auch die Daten aller Personen, die in dem Fahrzeug mitfahren, und sogar von Personen, die nur in der Nähe des Fahrzeugs spazieren gehen und deren Momentaufnahmen von den Bordkameras aufgezeichnet werden.
Diese Ankündigung scheint auch deshalb von Bedeutung zu sein, weil der CCPA zum Schutz personenbezogener Daten eingesetzt wird, die über das Internet der Dinge (IoT) generiert werden, in diesem Fall von vernetzten Fahrzeugen. Die Ankündigung könnte sich als noch bedeutsamer erweisen, wenn sie die Absicht der Behörde signalisiert, in den kommenden Jahren über eine zunehmende Anzahl von Fällen zu entscheiden, die mit dem IoT zusammenhängen.
Als die Europäische Union (EU) im Mai 2018 die Datenschutz-Grundverordnung (DSGVO) in Kraft setzte, schuf sie das proaktivste Framework für den Schutz von personenbezogenen und/oder Verbraucherdaten. Der CCPA gilt als die strengste in den USA geltende Datenschutzrichtlinie. Daher möchten einige Beobachter wissen, wie die beiden Vorschriften im Vergleich zueinander abschneiden.
In vielerlei Hinsicht haben die beiden Vorschriften den gleichen Inhalt. Sowohl die DSGVO als auch der CCPA umfassen die folgenden Aspekte:
Sie werden von dem Bestreben geleitet, den einzelnen Bürger zu schützen und zu stärken
Sie geben dem Verbraucher das Recht, gegen die erhobenen Daten Einspruch zu erheben und sie korrigieren zu lassen, wenn die erhobenen Daten fehlerhaft sind
Sie geben dem Verbraucher das Recht, auf seine personenbezogenen Daten zuzugreifen, sie zu übertragen oder (falls er dies wünscht) unwiderruflich zu löschen.
Sie fordern, dass die Verbraucher persönlich benachrichtigt werden, wenn die Sicherheit der von ihnen erfassten Daten verletzt wird
Es gibt allerdings auch Unterschiede. Die DSGVO enthält Anforderungen für die grenzüberschreitende Übermittlung, die im US-Bundesstaat Kalifornien nicht erforderlich sind. Ebenso gelten nach dem CCPA Beschränkungen für den Verkauf von personenbezogenen Daten, was die DSGVO nicht vorsieht.
Dennoch gibt es mehr Ähnlichkeiten als Unterschiede zwischen der DSGVO und dem CCPA. Beide Vorschriften müssen sich mit dem heiklen Thema der Risiken durch Dritte auseinandersetzen, bei denen ein Unternehmen seine Verwaltung personenbezogener Daten im Wesentlichen an eine externe Firma auslagert. In diesem Fall muss dieses Drittunternehmen bereit und rechtlich in der Lage sein, die gleiche Verantwortung für personenbezogene Daten zu übernehmen, die das ursprüngliche Unternehmen nach der Erhebung oder dem Erwerb der fraglichen Daten übernommen hat, wie der CCPA. Sowohl der CCPA als auch die DSGVO verlangen von den Unternehmen, dass sie die Kategorien von Dritten, mit denen sie Daten austauschen, mitteilen und Auskunft darüber geben, welche Daten sie mit jedem von ihnen austauschen und warum.
Die DSGVO und der CCPA haben noch eine weitere wichtige Eigenschaft gemeinsam: die Möglichkeit, Service-Anbieter und andere Unternehmen, die gegen die Vorschriften verstoßen, finanziell zu bestrafen. Dies hat sich vor Kurzem in dramatischer Weise mit der höchsten bisher verhängten Geldstrafe für Datenschutzverstöße gezeigt.
Im Mai 2023 verhängte die irische Datenschutzkommission (DPC) eine Rekordstrafe in Höhe von 1,2 Mrd. Euro (ca. 1,3 Mrd. USD) gegen Meta (das Unternehmen, das früher unter dem Namen Facebook bekannt war), weil es unrechtmäßig europäische Daten in seinen amerikanischen Unternehmen, zu denen auch Instagram gehört, verwendet hat.
1 „4 Types of Personal Data Under the California Consumer Privacy Act (CCPA)“, Eric Andrews, Website von securiti (Link befindet sich außerhalb von ibm.com)
2 „Data Brokers Market Outlook 2031“, Data Brokers Market, Website von Transparency Market Research (Link befindet sich außerhalb von ibm.com)
3 „CPPA to Review Privacy Practices of Connected Vehicles and Related Technologies“, Bericht vom 23. Juli 2023 auf der Website der California Privacy Protection Agency (Link befindet sich außerhalb von ibm.com)