CCPA/CPRA-Konformität: Kalifornien-Datenschutzleitfaden für Unternehmen

Die kalifornischen Datenschutzgesetze sind die umfassendsten in den Vereinigten Staaten – und sie gelten für Unternehmen weltweit, die bestimmte Schwellenwerte erfüllen. Der California Consumer Privacy Act (CCPA, gültig ab 1. Januar 2020) wurde durch den California Privacy Rights Act (CPRA, gültig ab 1. Januar 2023) erheblich erweitert, der eine eigene Durchsetzungsbehörde schuf, neue Verbraucherrechte einführte und die Compliance-Verpflichtungen für Unternehmen, die „sensible personenbezogene Daten“ verarbeiten, verschärfte. Da die California Privacy Protection Agency (CPPA) nun ihre Arbeit aufgenommen hat und Verstöße aktiv untersucht, ist das Durchsetzungsrisiko real und wächst.

Dieser Leitfaden deckt alles ab, was Unternehmen wissen müssen, um die CCPA/CPRA-Konformität zu erreichen und aufrechtzuerhalten: Geltungsbereichsschwellen, Verbraucherrechte, erforderliche Offenlegungen, Opt-out-Mechanismen, Datenminimierungspflichten und der Durchsetzungsansatz des CPPA.

Wichtige Erkenntnisse

• CCPA/CPRA gilt für gewinnorientierte Unternehmen, die EINEN von drei Schwellenwerten erfüllen – Umsatz, Datenvolumen oder Umsatz aus der Datenfreigabe
• Verbraucher haben gemäß CPRA 11 verschiedene Rechte, darunter das Recht auf Berichtigung und das Recht auf Einschränkung der Nutzung sensibler personenbezogener Daten
• Die Abmeldung „Nicht verkaufen oder teilen“ muss ein einzelner, deutlich sichtbarer Link auf Ihrer Homepage sein
• Sensible personenbezogene Daten (SPI) führen zu zusätzlichen Verpflichtungen, einschließlich des Rechts auf Einschränkung der Verarbeitung
• Die Durchsetzung des CPPA wurde im Jahr 2023 mit Geldstrafen von bis zu 7.500 US-Dollar pro vorsätzlichem Verstoß eingeführt
• Unternehmen müssen jährliche Datenschutzbewertungen für Verarbeitungsaktivitäten mit hohem Risiko durchführen
• Dienstanbieterverträge müssen die nachgelagerte Nutzung personenbezogener Daten einschränken
• Aufbewahrungsfristen müssen offengelegt werden und Daten müssen gelöscht werden, wenn sie für die angegebenen Zwecke nicht mehr benötigt werden

---

CCPA/CPRA-Anwendbarkeitsschwellenwerte

CCPA/CPRA gilt für gewinnorientierte Unternehmen, die personenbezogene Daten kalifornischer Verbraucher sammeln und JEDEN der folgenden Schwellenwerte erfüllen:

1. Jährlicher Bruttoumsatz über 25 Millionen US-Dollar (im vorangegangenen Kalenderjahr)
2. Kauft, verkauft, empfängt oder teilt personenbezogene Daten von mehr als 100.000 Verbrauchern oder Haushalten jährlich (CPRA senkte den ursprünglichen CCPA-Schwellenwert von 50.000)
3. Erzielt 50 % oder mehr des Jahresumsatzes aus dem Verkauf oder der Weitergabe persönlicher Daten von Verbrauchern

Geografischer Geltungsbereich: Das Gesetz gilt abhängig vom Wohnort des Verbrauchers, nicht vom Sitz Ihres Unternehmens. Ein pakistanisches Softwareunternehmen, das mit kalifornischen Kunden einen Jahresumsatz von 30 Millionen US-Dollar erwirtschaftet, muss sich daran halten.

Ausnahmen: Für Beschäftigungsdaten (B2B-Mitarbeiterdaten) galten gemäß CPRA vorübergehende CCPA-Ausnahmen, die am 1. Januar 2023 abliefen. Auch die Ausnahmeregelungen für B2B-Kontaktinformationen sind abgelaufen. Viele Finanzinstitute sind nach dem Gramm-Leach-Bliley Act teilweise von der Steuer befreit; HIPAA-abgedeckte Gesundheitsdaten unterliegen einer gesonderten Behandlung.

Hinweis zu anderen Gesetzen der US-Bundesstaaten: Während sich dieser Leitfaden auf CCPA/CPRA konzentriert, haben ab 2025 neunzehn US-Bundesstaaten umfassende Datenschutzgesetze mit unterschiedlichen Schwellenwerten und Anforderungen erlassen. Unternehmen, die Multi-State-Compliance durchführen, sollten Virginia (VCDPA), Colorado (CPA), Connecticut (CTDPA), Texas (TDPSA) und andere neben Kalifornien bewerten.

---

Persönliche Informationen und sensible persönliche Informationen

Personenbezogene Daten (PI) gemäß CCPA/CPRA bedeuten Informationen, die einen bestimmten Verbraucher oder Haushalt identifizieren, sich auf ihn beziehen, ihn beschreiben, mit ihm in Verbindung gebracht werden können oder mit ihm in Verbindung gebracht werden könnten. Dies ist deutlich umfassender als „persönlich identifizierbare Informationen“ (PII) nach älteren US-Gesetzen.

Zu den explizit abgedeckten Kategorien gehören:

• Identifikatoren (Namen, E-Mail, Telefon, IP-Adresse, Kontonamen, SSN, Führerscheinnummer)
• Kommerzielle Informationen (Aufzeichnungen über gekaufte Produkte/Dienstleistungen, Browser-/Kaufhistorie)
• Biometrische Informationen
• Internet- oder andere elektronische Netzwerkaktivitäten (Browserverlauf, Suchverlauf, Interaktion mit Websites)
• Geolocation-Daten
• Berufs- oder beschäftigungsbezogene Informationen
• Bildungsinformationen
• Schlussfolgerungen aus den oben genannten Punkten zur Erstellung von Verbraucherprofilen

Sensible persönliche Informationen (SPI) – eine CPRA-Ergänzung – umfasst eine Teilmenge von PI, die einen erhöhten Schutz erfordert:

• Sozialversicherungs-, Führerschein-, Personalausweis- oder Reisepassnummern
• Anmeldedaten für das Konto (Benutzername/E-Mail-Adresse + Passwort oder Sicherheitsfrage)
• Finanzkontoinformationen + Zugangscodes
• Präzise Geolokalisierung (innerhalb einer Achtelmeile)
• Rasse oder ethnische Herkunft
• Religiöse oder philosophische Überzeugungen
• Gewerkschaftsmitgliedschaft
• Inhalte von Post, E-Mails oder Textnachrichten (es sei denn, das Unternehmen ist der vorgesehene Empfänger)
• Genetische Daten
• Gesundheits- oder Gesundheitsdaten
• Sexuelle Orientierung oder Sexualleben
• Biometrische Informationen zur eindeutigen Identifizierung

Für SPI haben Verbraucher das zusätzliche Recht, die Nutzung einzuschränken – Unternehmen können SPI nicht über das hinaus nutzen, was für die Bereitstellung des angeforderten Produkts oder der angeforderten Dienstleistung (plus begrenzter zusätzlicher Zwecke) erforderlich ist, es sei denn, der Verbraucher hat sich für eine umfassendere Nutzung entschieden.

---

Verbraucherrechte gemäß CPRA

CPRA erweiterte die fünf Verbraucherrechte der CCPA auf elf. Unternehmen müssen über dokumentierte Prozesse verfügen, um Folgendes zu erfüllen:

Verifizierungsanforderungen: Bevor Sie auf Verbraucheranfragen antworten, müssen Sie die Identität des Antragstellers mithilfe einer „hinreichend sicheren“ Methode überprüfen. Bei Online-Anfragen reicht in der Regel eine übereinstimmende E-Mail-Adresse + eine weitere Kennung aus. Sie können von Verbrauchern nicht verlangen, dass sie Konten nur zum Einreichen von Anfragen erstellen. Nicht überprüfbare Anfragen nach bestimmten PI-Teilen sollten nur als Anfragen nach Kategorien behandelt werden.

Autorisierte Vertreter: Verbraucher können autorisierte Vertreter benennen, die in ihrem Namen Anfragen einreichen. Sie können vom Vertreter verlangen, dass er einen Nachweis über die unterzeichnete Vollmacht des Verbrauchers vorlegt.

---

Anforderungen an Datenschutzhinweise

Bei oder vor der Erhebung: Unternehmen müssen Verbraucher vor oder zum Zeitpunkt der Erhebung darüber informieren, welche personenbezogenen Daten zu welchen Zwecken erhoben werden. Dies gilt für alle Sammelstellen: Website-Formulare, mobile Apps, Verkaufsstellen, Chatbots und Datenbrokerkäufe.

Anforderungen an die Datenschutzrichtlinie (mindestens alle 12 Monate aktualisieren):

• Kategorien von PI, die in den letzten 12 Monaten gesammelt wurden
• Zwecke, für die PI verwendet wird
• Kategorien von PI, die in den letzten 12 Monaten verkauft oder geteilt wurden
• Kategorien von Dritten, denen PI offengelegt wird
• Kategorien von Quellen, aus denen PI gesammelt werden
• Verbraucherrechte und deren Ausübung
• Kontaktinformationen zum Einreichen von Anfragen
• Ob PI verkauft oder weitergegeben wird und wie man sich abmeldet
• Ob SPI für andere Zwecke als die Bereitstellung des Produkts/der Dienstleistung verarbeitet wird
• Aufbewahrungsfristen für jede PI-Kategorie (oder Kriterien zur Bestimmung der Aufbewahrung)

Link „Meine persönlichen Daten nicht verkaufen oder weitergeben“: Muss ein klarer und auffälliger Link auf Ihrer Homepage und in Ihrer Datenschutzrichtlinie sein. Wenn sich der Link in einer Fußzeile oder einem Navigationsbereich befindet, der auf Ihrer Website geteilt wird, ist er qualifiziert. Der Link muss zu einer Seite führen, auf der sich Verbraucher in einem einzigen Schritt abmelden können (nicht in mehrstufigen Formularen vergraben).

Link „Nutzung meiner sensiblen persönlichen Daten einschränken“: Erforderlich, wenn Sie SPI über das hinaus verarbeiten, was für die Bereitstellung des angeforderten Produkts oder der angeforderten Dienstleistung erforderlich ist. Kann ein separater Link sein oder mit dem Link „Nicht verkaufen/teilen“ kombiniert werden.

Opt-out-Präferenzsignale (GPC): Unternehmen müssen das Global Privacy Control (GPC)-Signal respektieren – eine Einstellung auf Browserebene, die Verbraucher aktivieren können, um zu signalisieren, dass sie sich vom Verkauf und der Weitergabe abmelden. Viele datenschutzorientierte Browser unterstützen GPC nativ. Ihre Website muss GPC-Signale erkennen und berücksichtigen. Die CPPA hat Unternehmen ausdrücklich dafür angeführt, dass sie die GPC nicht einhalten.

---

Verkauf und Weitergabe persönlicher Daten

„Verkauf“ im Sinne von CCPA/CPRA bedeutet die Offenlegung oder Bereitstellung personenbezogener Daten an ein anderes Unternehmen oder einen Dritten gegen eine finanzielle oder andere wertvolle Gegenleistung. Dies ist umfassender als das übliche Verständnis von „Daten verkaufen“.

„Sharing“ unter CPRA fügt kontextübergreifende Verhaltenswerbung auch ohne finanzielle Gegenleistung hinzu – gezielte Werbung basierend auf dem Surfen eines Verbrauchers auf verschiedenen Websites oder Diensten.

In der Praxis stellen die folgenden gängigen Praktiken wahrscheinlich einen Verkauf oder eine gemeinsame Nutzung dar:

• Teilen von PI mit Datenbrokern
• Verwendung von Werbepixeln Dritter (Meta Pixel, Google Analytics 4 im Werbemodus), die Nutzerdaten zum Targeting an Plattformen senden
• Weitergabe von Kundenlisten an Werbenetzwerke für ähnliche Zielgruppen
• Teilnahme an Echtzeit-Gebotsökosystemen

Einwilligungsvoraussetzungen für Minderjährige:

• Alter 13–15: Vor dem Verkauf/Teilen ihrer PI ist eine Einwilligung erforderlich
• Unter 13: Zustimmung der Eltern/Erziehungsberechtigten erforderlich (COPPA gilt auch)

Dienstanbieter vs. Dritte: PI, die einem Dienstanbieter im Rahmen eines konformen Dienstanbietervertrags offengelegt werden (der ihre Verwendung auf die Bereitstellung von Diensten für Sie beschränkt), sind kein „Verkauf“. Die Weitergabe von PI an einen Dritten, der sie für eigene Zwecke nutzen kann (Werbeplattformen, Datenbroker), stellt einen „Verkauf“ oder eine „Weitergabe“ dar. Diese Unterscheidung ist für Ihre Datenaustauscharchitektur von entscheidender Bedeutung.

Anforderungen an den Dienstanbietervertrag: Der Dienstanbieter muss Folgendes verlangen:

• Erhaltene PI nicht verkaufen oder teilen
• PI nicht außerhalb des Servicekontexts aufbewahren, verwenden oder offenlegen
• Erfüllen Sie die geltenden CPRA-Anforderungen
• Gewähren Sie dem Unternehmen das Recht zur Prüfung

---

Datenminimierung und Zweckbindung (CPRA)

CPRA führte explizite Anforderungen zur Datenminimierung ein – Unternehmen dürfen personenbezogene Daten nur erfassen, verwenden, speichern und weitergeben, soweit dies zur Erreichung der angegebenen Zwecke vernünftigerweise notwendig und verhältnismäßig ist. Dies stellt eine bedeutende Abkehr vom offenlegungsorientierten Ansatz der CCPA dar.

Auswirkungen auf die Implementierung:

• Überprüfen Sie jeden Datenerfassungspunkt und verhindern Sie die Erfassung personenbezogener Daten, die nicht für offengelegte Zwecke verwendet werden
• Dokumentieren Sie den Geschäftszweck für jede erfasste PI-Kategorie
• Konfigurieren Sie Aufbewahrungspläne: PI müssen gelöscht oder anonymisiert werden, wenn sie für die angegebenen Zwecke nicht mehr erforderlich sind
• Vermeiden Sie die sekundäre Nutzung von PI für Zwecke, die mit dem ursprünglichen Erhebungszweck nicht vereinbar sind, ohne Zustimmung des Verbrauchers

Offenlegung der Aufbewahrung: Datenschutzrichtlinien müssen Aufbewahrungsfristen oder Kriterien zur Bestimmung der Aufbewahrung für jede Kategorie von personenbezogenen Daten offenlegen. Es wird erwartet, dass CPPA Vorschriften mit spezifischeren Leitlinien erlässt. Dokumentieren Sie vorerst für jede PI-Kategorie einen angemessenen, geschäftsgerechten Aufbewahrungszeitraum.

---

Datenschutzbewertungen und Risikomanagement

CPRA verlangt von Unternehmen, dass sie Risikobewertungen (sogenannte Datenschutzbewertungen) durchführen, bevor sie Verarbeitungsaktivitäten durchführen, die ein erhebliches Risiko für Verbraucher darstellen. Das CPPA entwickelt Vorschriften, die spezifizieren, welche Aktivitäten Bewertungsanforderungen auslösen, aber das Gesetz identifiziert bereits Kategorien, darunter:

• PI verkaufen oder teilen
• Verarbeitung von SPI
• Profiling, das ein erhebliches Risiko darstellt
• Verarbeitung von PI von Minderjährigen
• Verwendung von PI auf eine Weise, die ein erhebliches Schadensrisiko birgt

Dokumentieren Sie Ihre Beurteilungen und führen Sie Aufzeichnungen. Bei den Bewertungen sollten Folgendes ermittelt werden: der Zweck der Verarbeitung, der betroffene PI, die potenziellen Risiken für Verbraucher und die zur Minderung dieser Risiken implementierten Schutzmaßnahmen.

---

CPPA-Durchsetzung und Strafen

Die California Privacy Protection Agency (CPPA) nahm 2023 als erste dedizierte Datenschutzbehörde in den Vereinigten Staaten ihre volle Arbeit auf. Das CPPA ist befugt, Untersuchungen durchzuführen, Verwaltungsanhörungen abzuhalten und zivilrechtliche Sanktionen zu verhängen:

Das CPPA verhängt Strafen pro Verstoß – das bedeutet, dass jeder Verbraucher, dessen Rechte verletzt wurden, einen separaten Verstoß darstellt. Ein Datenschutzverstoß, der 100.000 Verbraucher betrifft, könnte theoretisch zu Strafen in Höhe von 750 Millionen US-Dollar führen (100.000 × 7.500 US-Dollar). Die frühe CPPA-Durchsetzung konzentrierte sich auf große Unternehmen mit systematischer Nichteinhaltung.

Privates Klagerecht: Gemäß CCPA Abschnitt 1798.150 haben Verbraucher ein begrenztes privates Klagerecht bei Datenschutzverstößen im Zusammenhang mit nicht verschlüsselten oder nicht redigierten personenbezogenen Daten, die darauf zurückzuführen sind, dass das Unternehmen keine angemessenen Sicherheitsmaßnahmen umgesetzt hat. Gesetzlicher Schadensersatz: 100–750 US-Dollar pro Verbraucher und Vorfall oder tatsächlicher Schaden, falls höher.

---

CCPA/CPRA-Compliance-Checkliste

• Analyse der Anwendbarkeitsschwelle abgeschlossen
• PI- und SPI-Inventur über alle Systeme und Sammelpunkte hinweg abgeschlossen
• Datenschutzrichtlinie mit allen erforderlichen Offenlegungen aktualisiert (12-monatige Überprüfung)
• Link „Meine persönlichen Daten nicht verkaufen oder weitergeben“ auf der Startseite
• Link „Nutzung meiner sensiblen persönlichen Daten einschränken“, falls zutreffend
• Global Privacy Control (GPC)-Erkennung und -Berücksichtigung implementiert
• Prozess zur Aufnahme von Verbraucheranfragen eingerichtet (Webformular + gebührenfreie Nummer)
• Verfahren zur Identitätsprüfung dokumentiert
• Reaktionsabläufe für alle 11 Verbraucherrechte dokumentiert und getestet
• 45-tägige Reaktionszeit für alle Anfragen verfolgt und dokumentiert
• Dienstleisterverträge überprüft und mit CPRA-erforderlichen Bestimmungen aktualisiert
• Datenweitergabe an Dritte geprüft (Bestimmung des Verkaufs/der Weitergabe für jeden Empfänger)
• Datenminimierungsaudit abgeschlossen – unnötige PI-Erfassung eliminiert
• Aufbewahrungsfristen dokumentiert und automatisierte Löschung konfiguriert
• Mitarbeiterschulung zu Verfahren zur Reaktion auf Verbraucherrechte abgeschlossen
• Datenschutzbewertungen für Verarbeitungstätigkeiten mit hohem Risiko
• Einverständnismechanismen für Minderjährige implementiert, wenn personenbezogene Daten von Minderjährigen erfasst werden

---

Häufig gestellte Fragen

Gilt CCPA/CPRA für Mitarbeiterdaten?

Ja, ab dem 1. Januar 2023, als das CPRA in Kraft trat. Die vorübergehenden CCPA-Ausnahmen für B2B- und Mitarbeiterdaten sind abgelaufen. Mitarbeiter in Kalifornien (und Bewerber, Auftragnehmer und Direktoren) haben nun gemäß CCPA/CPRA die gleichen Rechte wie Verbraucher in Bezug auf ihre personenbezogenen Daten. Dies bedeutet, dass Arbeitgeber in Kalifornien die Datenschutzhinweise für Mitarbeiter aktualisieren, Prozesse zur Rechteerfüllung für Arbeits-PI einrichten und die Datenpraktiken des HR-Systems überprüfen müssen.

Was ist der Unterschied zwischen „Verkauf“ und „Teilen“ gemäß CPRA?

Beim „Verkauf“ handelt es sich um die Offenlegung personenbezogener Daten gegen eine finanzielle oder andere wertvolle Gegenleistung – die Zahlung kann alles von Wert sein, einschließlich Vereinbarungen zum Datenaustausch. „Sharing“ wurde von CPRA hinzugefügt und umfasst insbesondere kontextübergreifende Verhaltenswerbung, bei der PI zu Werbezwecken an Dritte weitergegeben wird, auch ohne finanzielle Gegenleistung. Die praktische Auswirkung: Die Weitergabe von Benutzerdaten an Werbeplattformen zum Zwecke der Zielgruppenausrichtung (auch wenn Sie dafür bezahlen, nicht umgekehrt) ist gemäß CPRA eine „Weitergabe“ und löst Opt-out-Rechte aus.

Unterliegen Cookies und Tracking-Technologien dem CCPA/CPRA?

Ja, wo sie personenbezogene Daten sammeln (einschließlich Online-Kennungen wie IP-Adressen) und wo die daraus resultierenden Daten zu Werbezwecken an Dritte weitergegeben werden. Viele gängige Praktiken – Google Analytics mit Werbefunktionen, Meta Pixel, programmatische Werbe-Tags – stellen eine „Weitergabe“ von PI an Werbeplattformen dar und lösen Opt-out-Anforderungen aus. Implementieren Sie eine Cookie-Einwilligungsverwaltungsplattform (OneTrust, Osano, Cookiebot), um die Einwilligung zu verwalten und Opt-out-Signale zu berücksichtigen.

Wie unterscheiden sich die „sensiblen personenbezogenen Daten“ der CPRA von den „Sonderkategorien“ der DSGVO?

Beide identifizieren Kategorien von Informationen, die einen erhöhten Schutz erfordern, unterscheiden sich jedoch in Inhalt und Behandlung. Die besonderen Kategorien der DSGVO (Artikel 9) verbieten die Verarbeitung ohne ausdrückliche Einwilligung oder eine bestimmte Ausnahme gemäß Artikel 9 – es handelt sich nahezu um ein Verbot. Der SPI der CPRA schafft ein Recht auf Einschränkung – Verbraucher können die Nutzung auf die Bereitstellung des angeforderten Produkts/der angeforderten Dienstleistung beschränken, Unternehmen können SPI jedoch weiterhin mit Zustimmung des Verbrauchers für umfassendere Zwecke verarbeiten. Die SPI-Liste der CPRA umfasst insbesondere Anmeldeinformationen und genaue Geolokalisierung, die nicht zu den speziellen Kategorien der DSGVO gehören.

Was sind „Dienstleister“ vs. „Auftragnehmer“ vs. „Dritte“ gemäß CPRA?

CPRA hat „Auftragnehmer“ als Kategorie hinzugefügt. Dienstleister erhalten PI, um in Ihrem Namen eine Dienstleistung zu erbringen, und zwar im Rahmen eines Vertrags, der es ihnen verbietet, PI für ihre eigenen Zwecke zu verwenden. Auftragnehmer sind Unternehmen, die im Rahmen eines Vertrags PI für geschäftliche Zwecke erhalten – ähnlich wie Dienstleister, die Vertragsanforderungen unterscheiden sich jedoch geringfügig. Dritte erhalten PI und können diese für ihre eigenen Zwecke nutzen – jede Weitergabe an Dritte stellt möglicherweise einen „Verkauf“ oder eine „Weitergabe“ dar, die Opt-out-Verpflichtungen auslöst. Durch die Strukturierung Ihrer Datenaustauschbeziehungen als Dienstanbieter- oder Auftragnehmerbeziehungen (mit entsprechenden Verträgen) vermeiden Sie die Einstufung als „Verkauf“.

---

Nächste Schritte

Die Einhaltung von CCPA/CPRA ist ein fortlaufendes Programm und kein einmaliges Projekt. Da das CPPA neue Vorschriften erlässt (automatisierte Entscheidungsregeln werden für 2025–2026 erwartet), werden sich die Compliance-Anforderungen weiterentwickeln. Der Aufbau eines skalierbaren Datenschutzprogramms – mit automatisierter Erfüllung von Verbraucherrechten, Datenzuordnung und Einwilligungsverwaltung – ist der nachhaltige Weg.

ECOSIRE unterstützt Unternehmen bei der Bewertung ihrer CCPA/CPRA-Verpflichtungen, der Implementierung technischer Compliance-Maßnahmen auf ihren digitalen Plattformen und der Einrichtung von Arbeitsabläufen für den Datenschutz.

Erste Schritte: ECOSIRE Services

Haftungsausschluss: Dieser Leitfaden dient nur zu Informationszwecken und stellt keine Rechtsberatung dar. Die CCPA/CPRA-Anforderungen sind komplex und werden häufig durch Vorschriften und Durchsetzungsrichtlinien aktualisiert. Wenden Sie sich an einen qualifizierten Rechtsberater, um spezifische Ratschläge für Ihre Organisation zu erhalten.