Ein praktischer Leitfaden zu CCPA Compliance und Webanalyse

Dieser Leitfaden erklärt CCPA Compliance und Webanalyse praxisnah und mit Fokus auf datenschutzfreundliche Analytics-Entscheidungen.

CCPA-Compliance und Webanalyse treffen an einem praktischen Punkt zusammen: Die meisten Analysetools sammeln Online-Identifikatoren, Gerätedaten, Browsing-Aktivitäten, Empfehlungsinformationen und Ereignisverläufe. Nach dem Datenschutzgesetz von California können diese Signale als personenbezogene Daten gelten, wenn sie einen Verbraucher oder Haushalt identifizieren, sich auf ihn beziehen, ihn beschreiben oder vernünftigerweise mit ihm in Verbindung gebracht werden können.

Hierbei handelt es sich nicht um eine Rechtsberatung, sondern um eine nützliche Möglichkeit für Websitebesitzer, die Überprüfung zu strukturieren, bevor sie Analysen auswählen oder konfigurieren.

Was der CCPA abdeckt

Das California Consumer Privacy Act, geändert durch das CPRA, gewährt California-Bewohnern Rechte in Bezug auf personenbezogene Daten. Der California Generalstaatsanwalt beschreibt Rechte, zu denen das Wissen, welche personenbezogenen Daten erfasst werden, deren Löschung, die Berichtigung unrichtiger Informationen, die Ablehnung des Verkaufs oder der Weitergabe, die Einschränkung der Verwendung sensibler personenbezogener Daten und die Nichtdiskriminierung bei der Ausübung von Rechten gehören (California OAG).

Die California Privacy Protection Agency erläutert außerdem aktuelle Anwendbarkeitsschwellenwerte und Durchsetzungsressourcen (CPPA-FAQ).

Für Analyseteams ist der wichtigste Punkt, dass „persönliche Informationen“ umfassender sind als Namen und E-Mails. Dazu können Online-Kennungen, IP-Adresse, Browserverlauf, Suchverlauf, Interaktionen mit einer Website, Geolokalisierung und Schlussfolgerungen gehören.

Zählen Webanalysen als personenbezogene Daten?

Oftmals ja. Ein typisches Analyse-Setup kann Folgendes erfassen:

• IP-Adresse oder gekürzter IP-abgeleiteter Standort.
• Cookie-IDs oder Geräte-IDs.
• Browser- und Geräteinformationen.
• Seitenpfade und Verweise.
• UTM Kampagnenparameter.
• Ereignisse wie Formularstarts, Downloads und Käufe.
• Ungefährer Standort.
• Benutzer-IDs, wenn Analysen mit Konten verbunden sind.

Selbst wenn ein Bericht aggregiert wird, kann die zugrunde liegende Sammlung dennoch personenbezogene Daten umfassen. Die Compliance-Frage ist nicht nur das, was im Dashboard angezeigt wird. Dabei handelt es sich um die Daten, die erfasst, gespeichert, verknüpft, weitergegeben und aufbewahrt werden.

Verkauf, Teilen und gezielte Werbung

Das California-Gesetz unterscheidet den „Verkauf“ personenbezogener Daten von deren „Weitergabe“ für kontextübergreifende Verhaltenswerbung. Wenn Analysedaten an eine Werbeplattform weitergegeben oder zur gezielten Werbung in verschiedenen Kontexten verwendet werden, können Opt-out-Verpflichtungen gelten.

Hier müssen Website-Besitzer mit Tag-Managern vorsichtig sein. Eine Website kann mit Analysen beginnen und später Remarketing-Pixel, Conversion-APIs, Zielgruppensynchronisierungen oder Integrationen in Werbeplattformen hinzufügen. Diese Ergänzungen können die rechtliche Analyse verändern.

Fragen:

• Handelt der Analyseanbieter als Dienstleister/Auftragnehmer oder als unabhängiger Dritter?
• Werden die Daten nur verwendet, um Ihnen Analysen bereitzustellen?
• Wird es für Werbeprodukte des Anbieters verwendet?
• Wird es kundenübergreifend kombiniert?
• Wird es an Werbenetzwerke oder Datenbroker weitergegeben?
• Bietet die Website bei Bedarf einen Link „Do Not Sell or Share Meine persönlichen Daten“ an?
• Verarbeitet es bei Bedarf Global Privacy Control-Signale?

Google Analytics Überlegungen

Google Analytics kann auf unterschiedliche Weise konfiguriert werden, es handelt sich jedoch immer noch um einen Analysedienst eines Drittanbieters, der mit dem breiteren Ökosystem von Google verbunden ist. Google gibt an, dass Analytics Cookies wie _ga verwendet, um Besucher zu unterscheiden (Datenschutz und Nutzungsbedingungen von Google). GA4 interagiert auch mit dem Einwilligungsmodus und Modellierungsfunktionen, wenn die Einwilligung verweigert wird (Google Tag Manager-Hilfe).

Die Verwendung von GA4 unter CCPA erfordert möglicherweise Folgendes:

• Offenlegung der Datenschutzrichtlinie.
• Gegebenenfalls eine unterzeichnete Datenverarbeitungs- oder Dienstleistervereinbarung.
• Überprüfung der Google-Einstellungen für die Datenfreigabe.
• Steuerelemente für Werbefunktionen und -signale.
• Opt-out-Behandlung für Verkauf/Teilen, sofern zutreffend.
• Einwilligungs- oder Cookie-Kontrollen in den Gerichtsbarkeiten, die dies erfordern.
• Interne Dokumentation darüber, welche Daten an Google fließen.

Gehen Sie nicht davon aus, dass „IP-Anonymisierung“ oder aggregierte Berichte allein das Problem lösen. Die Überprüfung muss sich auf Identifikatoren, Cookies, Teilen, Werbefunktionen, Aufbewahrung und Benutzerrechte erstrecken.

Privacy-First Analytics-Ansatz

Datenschutzorientierte Analysen können die Gefährdung reduzieren, indem unnötige persönliche Informationen von vornherein vermieden werden. Suchen:

• Keine Analyse-Cookies.
• Keine dauerhaften standortübergreifenden Identifikatoren.
• Kein vollständiger IP-Speicher.
• Kein Verkauf oder Weitergabe zu Werbezwecken.
• Aggregierte Berichterstattung.
• Kurze Aufbewahrung für Rohprotokolle.
• DPA/Dienstanbieterbedingungen.
• Klare Datenexport- und Löschprozesse.

Wenn ein Analysetool wirklich keine personenbezogenen Daten erfasst, werden viele mit diesem Tool verbundene CCPA-Pflichten einfacher. Aber überprüfen Sie die Behauptung. Überprüfen Sie die technische Dokumentation, den Vertrag und die Unterauftragsverarbeiter des Anbieters und prüfen Sie, ob URLs, Abfragezeichenfolgen oder benutzerdefinierte Ereignisse noch personenbezogene Daten enthalten könnten.

Praktische Compliance-Checkliste

1. Stellen Sie fest, ob Ihr Unternehmen unter das CCPA/CPRA fällt.
2. Inventarisieren Sie alle Analyse-, Tag-Manager-, Pixel-, Heatmap-, Wiedergabe-, A/B-Test- und Konvertierungstools.
3. Identifizieren Sie, welche persönlichen Informationen jedes Tool sammelt.
4. Klassifizieren Sie jede Lieferantenbeziehung.
5. Überprüfen Sie, ob Daten für kontextübergreifende Verhaltenswerbung verkauft oder weitergegeben werden.
6. Datenschutzhinweise aktualisieren.
7. Implementieren Sie bei Bedarf Opt-out-Links und Global Privacy Control-Handling.
8. Minimieren Sie Ereigniseigenschaften und entfernen Sie sensible URL-Parameter.
9. Legen Sie Aufbewahrungsgrenzen fest.
10. Überprüfen Sie die Einrichtung erneut, wenn das Marketing ein neues Tag hinzufügt.

Die CCPA-Compliance ist einfacher, wenn das Analysesystem klein, von einem Erstanbieter stammt und auf einen bestimmten Zweck beschränkt ist. Je weniger personenbezogene Daten Sie sammeln und weitergeben, desto weniger Rechteabläufe, Anbieterrisiken und Opt-out-Randfälle müssen Sie verwalten.

CCPA Analytics-Checkliste

Bestätigen Sie, ob das Unternehmen abgedeckt ist, einschließlich der aktualisierten Bruttoumsatzschwelle des CPPA von 26.625.000 US-Dollar, gültig ab 1. Januar 2025. Dann Inventaranalysen, Tag-Manager, Pixel, Replay-Tools, A/B-Tests, Konvertierungs-APIs und Anreicherungsanbieter.

Klassifizieren Sie für jedes Tool die erfassten personenbezogenen Daten, die Rolle des Anbieters, die Aufbewahrung, den Verkauf, die Weitergabe für kontextübergreifende Verhaltenswerbung, das Risiko sensibler Daten, den Opt-out-Pfad und die Global Privacy Control-Handhabung. Wenn aggregierte Analysen die Frage beantworten, vermeiden Sie es, Daten auf Besucherebene an Werbesysteme zu senden.

Was Sie auf der Website testen sollten

Führen Sie die CCPA-Prüfung im Browser durch, nicht nur in Verträgen. Besuchen Sie die Website mit aktivierter Global Privacy Control, lehnen Sie optionale Cookies ab und prüfen Sie, ob Werbepixel, Zielgruppen-Tags, Session-Replay, Anreicherungsskripte oder Conversion-APIs weiterhin Besucherdaten erhalten. Der kalifornische Attorney General behandelt GPC als gültiges Opt-out-Signal; deshalb zählt das technische Verhalten genauso wie der Link im Footer (California OAG GPC guidance).

Prüfen Sie außerdem, ob Analyse-Payloads vollständige URLs, Benutzer-IDs, E-Mail-Hashes, Formularwerte, Gutscheincodes oder genaue Standortdaten enthalten. Solche Felder können aus einem einfachen Seitenaufruf Daten machen, die schwerer zu klassifizieren und schwerer bei Lösch- oder Opt-out-Anfragen zu berücksichtigen sind.