Das Datenschutzrahmenwerk Kaliforniens verstehen

Kalifornien hat die Vereinigten Staaten bei der Verbraucherdatenschutzgesetzgebung angeführt, und seine Gesetze betreffen Websites weltweit. Der California Consumer Privacy Act (CCPA), der durch den California Privacy Rights Act (CPRA) mit Wirkung ab Januar 2023 erheblich geändert wurde, schafft Pflichten für jedes Unternehmen, das personenbezogene Daten von Einwohnern Kaliforniens erhebt – unabhängig davon, wo dieses Unternehmen physisch ansässig ist.

Für Website-Betreiber konzentrieren sich die praktischen Auswirkungen auf Cookies, Tracking-Technologien und darauf, wie Nutzerdaten mit Dritten geteilt werden. Obwohl sich das kalifornische Modell grundlegend von der europäischen GDPR unterscheidet, erfordert es dennoch sorgfältige Aufmerksamkeit für Einwilligungsmechanismen und Betroffenenrechte.

CCPA/CPRA: Wer ist erfasst?

Das Gesetz gilt für gewinnorientierte Unternehmen, die mindestens eine der folgenden Schwellen überschreiten:

• Jährlicher Bruttoumsatz von mehr als 25 Millionen US-Dollar.
• Kauf, Verkauf oder Teilen der personenbezogenen Daten von jährlich 100.000 oder mehr Einwohnern Kaliforniens, Haushalten oder Geräten.
• Erzielung von 50 Prozent oder mehr des Jahresumsatzes aus dem Verkauf oder Teilen personenbezogener Daten von Einwohnern Kaliforniens.

Die zweite Schwelle ist besonders wichtig für werbefinanzierte Websites. Wenn Ihre Seite Drittanbieter-Cookies für zielgerichtete Werbung nutzt und erhebliche Zugriffe aus Kalifornien erhält, verarbeiten Sie möglicherweise allein über diese Cookies die Daten von deutlich mehr als 100.000 Nutzern aus Kalifornien pro Jahr.

Opt-out vs. Opt-in: Der grundlegende Unterschied zur GDPR

Dies ist der wichtigste Unterschied, den Website-Betreiber verstehen müssen. Unter der GDPR gilt standardmäßig Opt-in: Sie dürfen nicht unbedingt erforderliche Cookies erst setzen, wenn der Nutzer aktiv eingewilligt hat. Unter CCPA/CPRA gilt standardmäßig Opt-out: Sie dürfen personenbezogene Daten (einschließlich über Cookies) verarbeiten, bis der Nutzer Ihnen mitteilt, dass Sie damit aufhören sollen.

Das bedeutet, dass das Einwilligungserlebnis für Besucher aus Kalifornien grundlegend anders aussieht:

• GDPR-Ansatz: Alle nicht unbedingt erforderlichen Cookies blockieren. Ein Banner anzeigen. Auf eine ausdrückliche Einwilligung warten. Erst dann Cookies setzen.
• CCPA/CPRA-Ansatz: Cookies dürfen standardmäßig gesetzt werden. Einen klaren und auffälligen Link "Do Not Sell or Share My Personal Information" bereitstellen. Wenn ein Nutzer dieses Recht ausübt, müssen Sie das Teilen seiner Daten mit Dritten einstellen.

Es gibt jedoch wichtige Ausnahmen. Für Minderjährige unter 16 Jahren wechselt CCPA/CPRA zu einem Opt-in-Modell – Sie müssen eine ausdrückliche Einwilligung einholen, bevor Sie deren personenbezogene Daten verkaufen oder teilen. Für Kinder unter 13 Jahren muss ein Elternteil oder Erziehungsberechtigter diese Einwilligung erteilen.

Die Anforderung „Do Not Sell or Share“

CPRA hat das ursprüngliche CCPA-Recht „Do Not Sell“ auf „Sharing“ ausgeweitet – und zielt damit speziell auf die Art des Datenaustauschs ab, die über Werbe-Cookies von Drittanbietern stattfindet. Wenn ein Nutzer Ihre Seite besucht und Ihre Cookies seine Browsing-Daten an Werbenetzwerke senden, stellt dies nach CPRA ein Sharing dar, selbst wenn kein Geld direkt den Besitzer wechselt.

Ihre Pflichten umfassen:

• Einen klaren Link mit dem Titel "Do Not Sell or Share My Personal Information" auf Ihrer Startseite und in Ihrer Datenschutzerklärung.
• Ein Verfahren, mit dem Nutzer dieses Recht einfach ausüben können, ohne ein Konto anlegen zu müssen.
• Die Bearbeitung der Anfrage innerhalb von 15 Werktagen.
• Keine Diskriminierung von Nutzern, die dieses Recht ausüben (z. B. durch Verschlechterung ihres Nutzungserlebnisses).

Global Privacy Control (GPC)

Global Privacy Control ist ein browserseitiges Signal, das Nutzer aktivieren können, um ihre Opt-out-Präferenz automatisch an jede besuchte Website zu übermitteln. Große Browser wie Firefox und Brave unterstützen GPC nativ, und Browser-Erweiterungen fügen Unterstützung für Chrome und andere hinzu.

Nach den CPRA-Vorschriften müssen Unternehmen GPC-Signale beachten und sie als gültige Opt-out-Anfrage behandeln. Das hat erhebliche praktische Auswirkungen:

• Ihre Website muss in der Lage sein, den HTTP-Header Sec-GPC: 1 oder die JavaScript-Eigenschaft navigator.globalPrivacyControl zu erkennen.
• Wird ein solches Signal erkannt, müssen Sie es so behandeln, als hätte der Nutzer auf „Do Not Sell or Share“ geklickt.
• Drittanbieter-Cookies, die für Werbung verwendet werden, müssen für diese Nutzer unterdrückt werden.

Die Verbreitung von GPC nimmt stetig zu. Schätzungen zufolge tragen inzwischen 5 bis 10 Prozent des Web-Traffics ein GPC-Signal, und dieser Anteil ist unter datenschutzbewussten Nutzern in Kalifornien noch höher.

Wann benötigen Sie tatsächlich ein Cookie-Banner für Kalifornien?

Hier herrscht bei vielen Unternehmen Verwirrung. Streng genommen verlangt CCPA/CPRA aufgrund des Opt-out-Modells kein Cookie-Einwilligungsbanner nach europäischem Vorbild. Sie benötigen jedoch:

• Einen leicht zugänglichen "Do Not Sell or Share"-Link.
• Ein Verfahren, um das Teilen von Daten mit Dritten zu unterdrücken, wenn ein Nutzer widerspricht oder ein GPC-Signal sendet.
• Eine Datenschutzerklärung, die die Kategorien der erhobenen personenbezogenen Daten, die Zwecke und die Dritten, mit denen Daten geteilt werden, offenlegt.
• Für Websites, die auch europäische Besucher bedienen, ein GDPR-konformes Einwilligungsbanner, das mit dem CCPA-Opt-out-Mechanismus koexistieren kann.

In der Praxis implementieren die meisten Websites, die sowohl europäische als auch kalifornische Zielgruppen bedienen, eine einheitliche Einwilligungsoberfläche, die ihr Verhalten an den Standort des Besuchers anpasst. So vermeiden sie es, zwei völlig getrennte Einwilligungssysteme zu betreiben.

Praktische Überlegungen zur Implementierung

Die Umsetzung der CCPA/CPRA-Compliance neben der GDPR-Compliance schafft eine Dual-Mode-Herausforderung. Ihre Consent-Management-Plattform muss:

1. Den Standort des Besuchers zuverlässig mithilfe von IP-basiertem Geolocation erkennen.
2. Den richtigen Rechtsrahmen anwenden – Opt-in für Besucher aus dem EWR/Vereinigten Königreich, Opt-out für Besucher aus Kalifornien und möglicherweise keine Anforderungen für Besucher aus anderen Regionen.
3. Den „Do Not Sell or Share“-Link für Besucher aus Kalifornien verwalten, entweder innerhalb des Banners oder als eigenständiges Seitenelement.
4. GPC-Signale erkennen und beachten, bevor irgendwelche Drittanbieter-Cookies gesetzt werden.
5. Das Cookie-Verhalten entsprechend steuern – Werbe-Cookies von Drittanbietern für Nutzer blockieren, die widersprochen haben, während First-Party-Analytics weiterhin erlaubt bleiben.

Die technische Implementierung muss außerdem den Unterschied zwischen First-Party-Analytics-Cookies (im Allgemeinen unter CCPA/CPRA als „Business Purpose“ zulässig) und Werbe-Cookies von Drittanbietern (die ein Sharing darstellen und dem Opt-out unterliegen) berücksichtigen.

FlexyConsent Geo-Targeting für Besucher aus Kalifornien

FlexyConsent bewältigt die Dual-Mode-Herausforderung durch automatisches Geo-Targeting. Wenn ein Besucher aus Kalifornien auf Ihrer Website landet, passt FlexyConsent sein Verhalten an die Anforderungen von CCPA/CPRA an:

• Aktivierung des Opt-out-Modus: Anstatt alle Cookies von vornherein zu blockieren, zeigt FlexyConsent die erforderliche Option "Do Not Sell or Share My Personal Information" gut sichtbar an.
• Erkennung von GPC-Signalen: FlexyConsent prüft automatisch auf das Global-Privacy-Control-Signal und unterdrückt bei Vorliegen das Teilen von Daten mit Dritten, ohne dass eine Nutzerinteraktion erforderlich ist.
• Kategorie-bewusste Blockierung: Wenn ein Nutzer aus Kalifornien widerspricht, blockiert FlexyConsent selektiv Werbe- und Cross-Site-Tracking-Cookies, während First-Party-Analytics-Funktionen erhalten bleiben, die unter die Ausnahme für „Business Purposes“ fallen.
• Nahtlose Koexistenz mit der GDPR: Dieselbe FlexyConsent-Installation bedient beide Rahmenwerke. Europäische Besucher sehen ein GDPR-konformes Opt-in-Banner mit granularen Kategorien. Besucher aus Kalifornien sehen den passenden Opt-out-Mechanismus. Besucher aus nicht regulierten Regionen erhalten je nach Konfiguration einen minimalen Hinweis oder gar kein Banner.

Als Google-zertifizierte CMP mit Unterstützung für IAB TCF 2.3 und Consent Mode V2 stellt FlexyConsent sicher, dass Einwilligungssignale korrekt an Google-Dienste übermittelt werden – unabhängig davon, welcher Rechtsrahmen gilt. Das bedeutet, dass Ihre Google Analytics- und Google Ads-Konfigurationen sowohl für eingeloggte europäische Nutzer mit Opt-in als auch für kalifornische Nutzer ohne Opt-out korrekt funktionieren.

Wichtigste Erkenntnis: Das Opt-out-Modell Kaliforniens mag weniger restriktiv erscheinen als der Opt-in-Ansatz der GDPR, doch die praktischen Anforderungen – insbesondere im Hinblick auf GPC-Signale und die weite Definition von „Sharing“ – bedeuten, dass die meisten werbefinanzierten Websites eine ausgereifte Consent-Management-Lösung benötigen. Die Implementierung geo-targeteter Einwilligung, die sich an beide Rahmenwerke anpasst, ist weitaus zuverlässiger, als zu versuchen, einen einzigen Ansatz weltweit anzuwenden.