Ein praktischer Leitfaden zu Ihre Datenschutzrechte gemäß CCPA

Dieser Leitfaden erklärt Ihre Datenschutzrechte gemäß CCPA praxisnah und mit Fokus auf datenschutzfreundliche Analytics-Entscheidungen.

Der California Consumer Privacy Act, erweitert durch den California Privacy Rights Act, gewährt California-Bewohnern praktische Rechte an personenbezogenen Daten, die von abgedeckten Unternehmen gespeichert werden. Es ist nicht identisch mit dem GDPR, hat sich jedoch zu einem der wichtigsten Datenschutzgesetze für US-amerikanische Websites, Apps und Marketingteams entwickelt.

Dieser Leitfaden richtet sich an Verbraucher und Teams, die verstehen müssen, welche Anforderungen Benutzer haben dürfen.

Wen der CCPA schützt

Der CCPA schützt die Bewohner von California. Ein Unternehmen kann auch dann versichert sein, wenn es seinen physischen Sitz nicht in California hat, solange es Geschäfte in California tätigt und die gesetzlichen Schwellenwerte erfüllt.

Die California Privacy Protection Agency erklärt in ihren FAQ, dass personenbezogene Daten umfassend sind. Dazu können Identifikatoren, Browsing-Aktivitäten, kommerzielle Informationen, genaue Geolokalisierung, biometrische Daten, Schlussfolgerungen und sensible persönliche Informationen wie staatliche Identifikatoren, Gesundheitsinformationen, Rasse oder ethnische Herkunft, religiöse Überzeugungen, Gewerkschaftsmitgliedschaft und der Inhalt bestimmter Mitteilungen gehören.

Ihre wichtigsten CCPA-Rechte

Recht zu wissen

Sie können ein betroffenes Unternehmen fragen, welche Kategorien personenbezogener Daten es erfasst hat, woher diese stammen, warum sie erfasst wurden, welche Kategorien von Dritten sie erhalten haben und ob sie verkauft oder weitergegeben wurden.

Sie können auch bestimmte persönliche Informationen anfordern, obwohl Unternehmen aus Sicherheitsgründen bestimmte sensible Werte zurückhalten können.

Recht auf Löschung

Sie können ein Unternehmen bitten, die von Ihnen erfassten personenbezogenen Daten zu löschen. Von diesem Recht gibt es Ausnahmen. Ein Unternehmen kann Informationen aufbewahren, die zum Abschluss einer Transaktion, zur Erkennung von Sicherheitsvorfällen, zur Einhaltung gesetzlicher Verpflichtungen, zur Ausübung der freien Meinungsäußerung erforderlich sind oder die Informationen intern auf eine Weise verwenden, die mit dem ursprünglichen Kontext vereinbar ist.

Recht auf Berichtigung

Sie können ein Unternehmen bitten, unrichtige personenbezogene Daten zu korrigieren. Dies ist besonders wichtig für Profildaten, Kontodaten, Abrechnungsunterlagen und Berechtigungsentscheidungen.

Recht, den Verkauf oder die Weitergabe abzulehnen

Der CCPA deckt mehr ab als buchstäbliche Geld-für-Daten-Verkäufe. Die Weitergabe personenbezogener Daten für kontextübergreifende Verhaltenswerbung kann zu Opt-out-Rechten führen. Websites, die personenbezogene Daten verkaufen oder weitergeben, benötigen im Allgemeinen einen klaren „Do Not Sell or Share Meine persönlichen Daten“-Mechanismus.

California verlangt von Unternehmen außerdem, in vielen Zusammenhängen gültige Opt-out-Präferenzsignale zu berücksichtigen. Das Global Privacy Control ist das bekannteste Browsersignal. Die CPPA hat Materialien zu kommenden CCPA-Regulierungsaktualisierungen veröffentlicht, die weiterhin den Schwerpunkt auf Opt-out-Präferenzsignale und die Wahlmöglichkeiten der Verbraucher legen.

Recht auf Einschränkung sensibler personenbezogener Daten

Sie können bestimmte Verwendungen und Offenlegungen sensibler persönlicher Daten einschränken. Beispielsweise sollten präzise Geolokalisierung, Gesundheitsinformationen und staatliche Identifikatoren nicht für unabhängiges Profiling verwendet werden, wenn der Verbraucher diese Verwendung eingeschränkt hat.

Recht auf Nichtdiskriminierung

Ein Unternehmen kann keine Vergeltungsmaßnahmen gegen Sie wegen der Ausübung von CCPA-Rechten ergreifen. Es ist nicht möglich, Waren oder Dienstleistungen abzulehnen, einen anderen Preis zu verlangen oder ein anderes Serviceniveau anzubieten, weil Sie eine Datenschutzanfrage gestellt haben, es sei denn, es gilt ein zulässiges finanzielles Anreizprogramm, das ordnungsgemäß offengelegt wird.

So üben Sie Ihre Rechte aus

Suchen Sie in der Fußzeile der Website nach einem Link zur Datenschutzerklärung. Ein abgedecktes Unternehmen sollte Antragsmethoden, Überprüfungsschritte, Opt-out-Methoden und Kategorien der erfassten Daten erläutern.

Für Zugriffs-, Lösch- oder Korrekturanfragen müssen Sie möglicherweise Ihre Identität überprüfen. Unternehmen sollten nicht mehr Informationen verlangen, als für die Überprüfung erforderlich sind. Bei Abmeldeanfragen sollten Sie im Allgemeinen nicht dazu gezwungen werden, ein Konto zu erstellen.

Eine praktische Anfrage kann kurz sein:

Ich bin ein Einwohner von California und übe meine CCPA-Rechte aus. Bitte geben Sie die Kategorien und spezifischen personenbezogenen Daten an, die Sie über mich gesammelt haben, die Kategorien der Quellen, Zwecke, Kategorien Dritter und ob meine personenbezogenen Daten verkauft oder weitergegeben wurden. Bitte löschen Sie auch personenbezogene Daten, die keiner Ausnahme unterliegen.

Bewahren Sie eine Kopie der Anfrage und des Datums auf. Wenn Sie einen Browser verwenden, der Global Privacy Control unterstützt, aktivieren Sie ihn als zusätzliches Signal.

Was Unternehmen aus dem CCPA lernen sollten

Für Analyse- und Marketingteams schafft der CCPA echte operative Arbeit:

• Erfahren Sie, ob Ihr Analyseanbieter personenbezogene Daten erhält.
• Entscheiden Sie, ob Werbeintegrationen als Verkauf oder Teilen gelten.
• Beachten Sie Opt-out-Präferenzsignale.
• Senden Sie keine sensiblen persönlichen Informationen an Analyseereignisse.
• Führen Sie eine Datenkarte, die Cookies, Pixel, Formulare, CRM-Datensätze und Werbeplattformen verbindet.
• Machen Sie das Löschen und Korrigieren anbieterübergreifend möglich, nicht nur in Ihrer Hauptdatenbank.

Datenschutzorientierte Analysen reduzieren den Aufwand, da durch aggregierte, cookielose Messungen viele risikoreiche Datenströme vermieden werden. Wenn Ihr Analysetool keine Besucher identifiziert, keine Tracking-Cookies setzt und keine Daten für Werbung weitergibt, werden die Vorgänge einfacher.

CCPA vs. GDPR

Der GDPR geht von einem Rechtsgrundlagenmodell aus: Organisationen benötigen eine gültige Rechtsgrundlage, bevor sie personenbezogene Daten verarbeiten. Der CCPA ist stärker auf die Verbraucherkontrolle ausgerichtet: Unternehmen können viele Kategorien von Informationen verarbeiten, müssen jedoch Hinweise, Zugriffsrechte, Löschrechte und Opt-outs für den Verkauf, die Weitergabe und die Verwendung sensibler Daten bereitstellen.

Der praktische Unterschied ist die Belastung. GDPR schiebt den Organisationen mehr Verantwortung auf, bevor mit der Verarbeitung begonnen wird. CCPA gibt den Verbrauchern starke Werkzeuge an die Hand, aber oft müssen Verbraucher das Problem bemerken, die Kontrolle finden und handeln. Deshalb ist „Privacy by Design“ wichtig. Ein Unternehmen, das weniger Daten sammelt, verursacht weniger Probleme in Bezug auf Verbraucherrechte und weniger Vertrauensprobleme.

Wenn ein Unternehmen nicht reagiert

Wenn ein Unternehmen eine Anfrage ignoriert, eine unvollständige Antwort gibt oder die Abmeldung unnötig erschwert, bewahren Sie Screenshots und Kopien der Anfrage auf. Einwohner von California können Beschwerden bei der Datenschutzbehörde California oder dem Generalstaatsanwalt von California einreichen. Für alltägliche Benutzer ist der effektivste erste Schritt in der Regel eine klare schriftliche Anfrage, gefolgt von einer Erinnerung, in der das ausgeübte Recht benannt wird.

Für Unternehmen besteht die Lektion darin, Datenschutzanfragen umzusetzen, bevor sie zu Beschwerden werden. Ein Footer-Link reicht nicht aus, wenn das Backend die relevanten Daten nicht finden, löschen, korrigieren oder unterdrücken kann.

CCPA Aktionscheckliste

Verbraucher sollten wissen, welches Recht sie ausüben: Zugang, Löschung, Berichtigung, Ablehnung des Verkaufs, Ablehnung der Weitergabe für kontextübergreifende verhaltensbezogene Werbung, Einschränkung sensibler personenbezogener Daten oder Nichtdiskriminierung. Halten Sie die Anfrage kurz, notieren Sie sich das Datum und bewahren Sie Screenshots auf, wenn das Unternehmen den Prozess erschwert.

Unternehmen sollten diese Rechte in betriebliche Kontrollen umsetzen. Kartencookies, Pixel, Formulare, CRM-Datensätze, Anreicherungsanbieter und Werbeplattformen; zwischen Verkauf und Teilen unterscheiden; gültige Global Privacy Control-Signale berücksichtigen, wo erforderlich; und vermeiden Sie es, Analysedaten an Werbeanbieter zu senden, wenn eine aggregierte Messung ausreicht.