Was der Delete Act tatsächlich bewirkt

Der Delete Act ist eine strukturelle Ergänzung des bestehenden kalifornischen Registrierungsregimes für Datenmakler, das seit 2020 in Kraft ist. Während der ursprüngliche Rahmen lediglich verlangte, dass Makler sich jährlich beim Staat registrieren und ihre Kategorien personenbezogener Daten offenlegen, fügt der Delete Act einen zentralisierten Löschmechanismus mit festen Fristen, Prüfpflichten und Sanktionen bei Nichteinhaltung hinzu.

Das Zentralisierte Löschregister

Das Register ist eine von der CPPA betriebene Plattform, auf der kalifornische Verbraucher einen einzelnen Löschantrag stellen, der sich automatisch auf jeden registrierten Datenmakler ausbreitet. Makler müssen das Register mindestens alle fünfundvierzig Tage prüfen, neue Anträge identifizieren, die mit Personen in ihren Datensätzen übereinstimmen, und die übereinstimmenden Datensätze innerhalb der in den Vorschriften festgelegten Frist löschen. Verbraucher müssen nicht wissen, welche Makler ihre Daten halten — das Register verwaltet die Ausbreitung.

Wer als Datenmakler gilt

Das Gesetz definiert einen Datenmakler als ein Unternehmen, das wissentlich personenbezogene Daten über einen Verbraucher erfasst und verkauft, zu dem das Unternehmen keine direkte Beziehung hat. Die Definition ist enger als sie klingt — First-Party-Publisher, die ihr eigenes Publikum verkaufen, sind keine Makler, Verarbeiter, die Daten im Auftrag eines Verantwortlichen verarbeiten, sind keine Makler — aber sie erfasst Identity-Graph-Anbieter, kontextübergreifende Werbeplattformen, Personensuchdienste und einen großen Teil der Audience-Extension-Schicht, durch die Publisher programmatische Daten leiten.

Registrierung und die öffentliche Liste

Jeder betroffene Makler muss sich jährlich registrieren, eine Gebühr zahlen und auf einer öffentlichen Liste erscheinen, die die CPPA pflegt. Bis 2026 ist die Liste der praktische Referenzpunkt für Publisher, die ihre nachgelagerten Datenflüsse auditieren: Jeder Anbieter auf der Liste ist für Delete-Act-Zwecke ein Datenmakler, und die vertraglichen Verpflichtungen des Publishers gegenüber diesem Anbieter müssen die Lösch-Ausbreitungsrealität widerspiegeln.

Der Fünfundvierzig-Tage-Zyklus und seine betrieblichen Folgen

Die entscheidende Betriebsregel ist die Kadenz des Löschzyklus. Alle fünfundvierzig Tage muss jeder registrierte Makler das Register prüfen und jeden übereinstimmenden Datensatz löschen. Die Kadenz erzeugt eine neue Art von Identitätsabbau, für den Publisher technische Vorkehrungen treffen müssen.

Wie Audiences im Löschzyklus schrumpfen

Eine Audience, die auf Datenanreicherung durch Datenmakler aufgebaut ist, wird in einem Rhythmus von etwa sechs Wochen schrumpfen, da Verbraucher in Kalifornien, die Löschanträge gestellt haben, durch das Maklernetzwerk weitergegeben werden. Publisher, die US-Messungen betreiben, die auf Identity Resolution angewiesen sind — programmatisches Audience-Targeting, Attributionsfenster, die von websiteübergreifenden Kennungen abhängen, Lookalike-Modellierung mit maklergelieferten Seeds — werden sehen, dass die Audience-Größen in Kalifornien in einem Sägezahnmuster nach unten driften: Jeder Zyklus entfernt eine Tranche, dann füllen steigende Besucherzahlen bis zum nächsten Zyklus wieder auf.

Re-Identifizierung ist verboten

Das Gesetz verbietet Maklern ausdrücklich, einen gelöschten Verbraucher erneut zu identifizieren, auch wenn der Makler nachträglich dieselben Daten aus einer anderen Quelle erhält. Das Verbot schließt die offensichtliche Lücke und bedeutet, dass Publisher nicht auf ihre eigenen First-Party-Daten zurückgreifen können, um gelöschte Verbraucher wieder in maklergeleitete Audiences einzufügen. Die Löschung soll dauerhaft sein, und das Prüfprogramm der Regulierungsbehörde ist darauf ausgelegt, Re-Identifizierungsmuster zu erkennen.

Die First-Party-Daten des Publishers sind außerhalb des Zyklus

Die eigenen First-Party-Daten des Publishers — registrierte Nutzer, Newsletter-Abonnenten, Treueprogramm-Mitglieder — unterliegen nicht dem Delete-Act-Zyklus, da der Publisher für diese Datensätze kein Datenmakler ist. Der Publisher bleibt weiterhin den CCPA- und CPRA-Löschrechten unterworfen, die separat sind. Die beiden Regime können interagieren: Eine Delete-Act-Löschung auf Maklerebene kann den First-Party-Datensatz des Publishers intakt lassen, und der Publisher muss den separaten CCPA-Löschantrag des Verbrauchers über den eigenen Eingang des Publishers weiterhin berücksichtigen.

Das Global Privacy Control-Signal in der neuen Welt

Der Delete Act überschneidet sich mit dem Global Privacy Control (GPC)-Header, den Browser und Datenschutzerweiterungen senden, um anzuzeigen, dass der Nutzer eine universelle Opt-out-Präferenz gesetzt hat. Die Vorschriften der CPPA bestätigen, dass Publisher und Makler das GPC als gültiges CCPA-Opt-out anerkennen müssen, und das zentralisierte Register des Delete Act fügt einen parallelen Weg zum gleichen Ergebnis hinzu.

Zwei Signale, ein Ergebnis

Ein kalifornischer Verbraucher hat zwei Möglichkeiten, das kommerzielle Datenökosystem zu verlassen: den GPC-Header von jedem Browser zu senden, den er nutzt, oder einen einzelnen Antrag beim Delete-Act-Register zu stellen. Beide Wege führen bei den meisten Anwendungsfällen zu gleichwertigen Ergebnissen, unterscheiden sich jedoch im Umfang. Das GPC regelt den laufenden Verkauf und die Weitergabe auf jeder Website, die der Verbraucher besucht. Das Register löscht vorhandene Datensätze bei Maklern. Publisher sollten beide als maßgebliche Signale behandeln, und das CMP sollte so konfiguriert werden, dass es beide erkennt.

Die Rolle des CMP bei der Sichtbarmachung beider Wege

Das konforme CMP für kalifornische Audiences im Jahr 2026 zeigt den GPC-Einhaltungsstatus (der Besucher hat GPC gesetzt, Opt-out ist aktiv), den eigenen Opt-out-Link des Publishers (der Verbraucher kann Verkauf und Weitergabe speziell auf dieser Website ablehnen) und einen klaren Hinweis auf das CPPA-Register für Verbraucher, die das Ergebnis der Löschung bei Maklern wünschen. Die Architektur ist technisch nicht anspruchsvoll — drei Steuerelemente in der Einwilligungs-UI statt eines — aber die Formulierung ist wichtig, und die Durchsetzung durch die CPPA war bei irreführenden oder versteckten Opt-out-Pfaden aktiv.

Was Publisher tun müssen

Der Delete Act ist eine Regulierung, die auf Makler und nicht auf Publisher abzielt, aber die betrieblichen Konsequenzen für Publisher sind real und erfordern spezifische Änderungen der Einwilligungs- und Datenarchitektur.

Den Anbieter-Stack gegen das Maklerregister auditieren

Jeder Anbieter im Anzeigen- und Analyse-Stack des Publishers sollte mit der öffentlichen Maklerliste der CPPA abgeglichen werden. Anbieter auf der Liste unterliegen dem Delete-Act-Regime, und die Verträge des Publishers mit diesen Anbietern müssen die Löschausbreitung, die Aufbewahrung von Audit-Protokollen und die Kadenz des Fünfundvierzig-Tage-Zyklus widerspiegeln. Die meisten großen Identity-Resolution-Anbieter und mehrere große SSPs stehen inzwischen auf der Liste; das Audit ist nicht schmerzhaft, muss aber mindestens jährlich durchgeführt werden.

Datenschutzhinweis und Einwilligungs-UI aktualisieren

Der Datenschutzhinweis des Publishers sollte den Delete-Act-Registerpfad neben dem bestehenden CCPA-Löschrecht erläutern, mit einem direkten Link zum CPPA-Register. Die Einwilligungs-UI sollte den GPC-Einhaltungsstatus anzeigen, wenn der Besucher den Header gesetzt hat, und die Opt-out-Steuerelemente sollten mit der gleichen Prominenz wie die Zustimmungs-Steuerelemente gestaltet werden — die Durchsetzungsentscheidungen des Staatsanwalts in den Jahren 2024 und 2025 haben den Dark-Pattern-Test explizit gemacht.

Für den Sägezahn der Audience planen

Mess- und Audience-Targeting-Teams müssen wissen, dass die Audience-Metriken in Kalifornien einem sechswöchigen Sägezahnmuster folgen werden, das durch die Zyklusfrequenz bedingt ist. Dashboards und Gebotsfrequenz-Modelle sollten auf das Muster abgestimmt werden, anstatt jeden Rückgang als Fehler zu behandeln. Publisher mit strengem Attribution sollten auch den Makler-Löschpfad als separate Abwanderungsquelle modellieren, damit die Zahlen nach dem Zyklus sauber abgestimmt werden können.

Häufige Delete-Act-Fehler, die Beanstandungen auslösen

Die erste Welle der CPPA-Durchsetzung unter dem Delete Act bis 2025 hat ein klares Muster von publisherseitigen Beanstandungen hervorgebracht. Der Datenschutzhinweis des Publishers beschreibt den CCPA-Opt-out-Pfad, erwähnt das Delete-Act-Register aber nie. Das Einwilligungsbanner respektiert das GPC für Verkauf und Weitergabe, leitet das Signal aber nicht an den First-Party-Löscheingang des Publishers weiter. Der Publisher schließt einen Vertrag mit einem registrierten Makler und aktualisiert den Vertrag nie, um die Delete-Act-Löschausbreitungspflichten widerzuspiegeln. Das CMP zeigt ein Präferenzverwaltungs-Panel, das das Opt-out drei Klicks hinter einer dunkleren Schaltfläche als dem Alle-akzeptieren versteckt. Jedes dieser Punkte ist eine Dokumentations- oder UX-Korrektur, keine tiefgreifende Architekturänderung — aber jedes ist auch genau das, womit die CPPA eine Untersuchung eröffnet.

Fazit

Der Delete Act gibt kalifornischen Verbrauchern eine einzige Schaltfläche, die sie aus dem kommerziellen Datenökosystem herausführt, und bis 2026 ist das Register in Betrieb, die Maklerliste ist öffentlich, und das Durchsetzungsprogramm ist aktiv. Für Publisher sind die Implikationen real, aber begrenzt: Der Delete Act verlangt nicht, dass der Publisher etwas Dramatisches unternimmt, fordert aber, dass der Publisher weiß, welche nachgelagerten Anbieter Makler sind, den Datenschutzhinweis und die Einwilligungs-UI aktualisiert, um den neuen Pfad anzuzeigen, das GPC konsequent respektiert und für den Sägezahn der Audience plant, den der Fünfundvierzig-Tage-Zyklus erzeugt. Nichts davon ist technisch schwierig. Alles davon ist betrieblich spezifisch. Publisher, die 2024 und 2025 ein sauberes Audit durchgeführt haben, arbeiten nun auf einer gefestigten Architektur; Publisher, die den Delete Act als Datenmakler-Problem behandelten, das sie nichts angeht, verbringen das Jahr 2026 mit Antwortschreiben und überarbeiten Datenschutzhinweise unter Regulierungsfristen.