Datenschutz

Ein praktischer Leitfaden zu CCPA und Datenschutz

Flowsery Team
Flowsery Team
4 Min. Lesezeit

TL;DR — Kurzantwort

4 Min. Lesezeit

Die umfassenden Datenfreigaberegeln des CCPA wirken sich direkt auf Webanalysen und Marketing aus. Der Sephora-Fall hat gezeigt, dass routinemäßige Analyseaktivitäten Verstöße und Vergleiche in Millionenhöhe auslösen können.

Dieser Leitfaden erklärt CCPA und Datenschutz praxisnah und mit Fokus auf datenschutzfreundliche Analytics-Entscheidungen.

Das California Consumer Privacy Act ist kein „Cookie-Gesetz“ im europäischen Sinne. Es heißt nicht, dass für jedes Analyse-Cookie eine Opt-in-Zustimmung erforderlich ist. Aber es wirkt sich absolut auf Cookies, Pixel, Werbe-Tags und Analyseanbieter aus, da es den Kaliforniern Rechte über den Verkauf und die Weitergabe personenbezogener Daten einräumt.

Für Marketingteams lautet die praktische Frage nicht: „Verwenden wir Cookies?“ Es lautet: „Offenlegen, verkaufen, teilen oder ermöglichen wir kontextübergreifende Verhaltenswerbung mit personenbezogenen Daten?“

Warum Analysedaten personenbezogene Daten sein können

California definiert personenbezogene Daten im weitesten Sinne. Das Gesetz deckt Informationen ab, die einen Verbraucher oder Haushalt identifizieren, sich auf ihn beziehen, ihn beschreiben, mit ihm in Verbindung gebracht werden können oder mit ihm in Verbindung gebracht werden könnten. Die CCPA-Materialien des Generalstaatsanwalts California umfassen Online-Identifikatoren und IP-Adressen innerhalb dieses breiten Rahmens.

Dies ist wichtig, da viele routinemäßige Web-Tools Identifikatoren sammeln, selbst wenn der Websitebesitzer nie einen Namen sieht. Eine Analyse- oder Werbeplattform eines Drittanbieters kann Folgendes erhalten:

  • Cookie-IDs
  • IP-abgeleiteter Standort
  • Geräte- und Browserinformationen
  • Seiten-URLs
  • Referrer-Daten
  • Anzeigenklick-IDs
  • Konvertierungsereignisse
  • in manchen Fällen auch gehashte E-Mails oder Kunden-IDs

Wenn diese Daten für kontextübergreifende Verhaltenswerbung, kundenübergreifende Messungen, Zielgruppenaufbau oder Plattformanreicherung verwendet werden, können CCPA-Verpflichtungen gelten.

Verkauf, Teilen und die Sephora-Lektion

Die Durchsetzungsmaßnahme gegen Sephora ist der Fall, den jedes Marketingteam kennen sollte. Im Jahr 2022 kündigte der Generalstaatsanwalt von California einen Vergleich über 1,2 Millionen USD mit Sephora an. Darin wurde behauptet, Sephora habe nicht offengelegt, dass es personenbezogene Daten verkaufe, habe Opt-out-Anfragen über Global Privacy Control nicht verarbeitet und habe die behaupteten Verstöße nicht behoben.

Das wichtige Detail ist, dass es sich bei dem Fall um gängige Online-Tracking-Praktiken handelte. Die California AG beschrieb Drittunternehmen, die Informationen über Verbraucher erhalten, unter anderem durch Analyse- und Werbetechnologien. Das bedeutet, dass ein Unternehmen keine Tabellenkalkulation an einen Datenbroker verkaufen muss, um ein CCPA-Risiko zu erzeugen. Es kann ausreichen, Drittanbieter-Trackern zu erlauben, persönliche Daten auf Ihrer Website zu sammeln.

Seit den CPRA-Änderungen ist das „Teilen“ besonders wichtig. Es umfasst Offenlegungen für kontextübergreifende Verhaltenswerbung, auch wenn das Geld nicht den Besitzer wechselt.

Global Privacy Control ist nicht optional

Der Generalstaatsanwalt von California erklärt, dass Unternehmen, die unter den CCPA fallen, eine vom Nutzer aktivierte Global Privacy Control respektieren müssen, wenn sie als gültige Anfrage zum Opt-out aus Verkauf oder Weitergabe gesendet wird. Die California Privacy Protection Agency beschreibt außerdem Opt-out-Präferenzsignale als Browser- oder Erweiterungseinstellungen, die automatisch die Opt-out-Entscheidung eines Nutzers senden.

In der Praxis bedeutet dies, dass Ihre Website gegebenenfalls GPC erkennen und darauf reagieren muss. Ein Datenschutzbanner, der das Browsersignal ignoriert, reicht nicht aus. Wenn ein Besucher GPC aktiviert hat, laden Sie keine Verkaufs-/Teile-bezogenen Werbepixel und senden Sie keine Daten an Anbieter für kontextübergreifende Verhaltenswerbung, es sei denn, Sie haben einen rechtsgültigen Grund dafür.

Was das für Cookies bedeutet

Unter CCPA fallen Cookies in mehrere Kategorien:

Cookie- oder Tag-TypTypisches CCPA-Problem
Unbedingt notwendige Cookiesnormalerweise niedrig, aber in der Datenschutzerklärung offengelegt
Aggregierte Analyse durch Erstanbietergeringeres Risiko, wenn sie nicht geteilt oder für Werbung verwendet werden
Analysen von DrittanbieternÜberprüfen Sie die Nutzung, Verträge und Offenlegungen der Anbieter
Retargeting-Pixelhohes Risiko für Verkauf/Teilen und Opt-out
Anzeigen-Conversion-Tagshängt von den gesendeten Daten und der Nutzung durch den Anbieter ab
Datenreinraum oder erweiterte Conversion-Tagshohes Risiko, wenn Kundendaten hochgeladen werden

Die sicherste Analysearchitektur ist eine First-Party-Architektur, minimal und zweckbegrenzt. Wenn Ihr Analyseanbieter keine kundenübergreifenden Besucherdaten verwendet, keine Anzeigenprofile erstellt, keine Tracking-Cookies setzt und keine personenbezogenen Daten verkauft oder weitergibt, wird die Einhaltung der Vorschriften einfacher.

Eine CCPA-Checkliste für Marketinganalysen

  1. Ordnen Sie alle Tags von Drittanbietern zu. Einschließlich Google Analytics, Google Tag Manager, Meta Pixel,

  2. Lesen Sie die Bedingungen des Anbieters. Bestimmen Sie, ob jeder Anbieter als Dienstleister/Auftragnehmer fungiert oder Daten für seine eigenen Zwecke verwendet. Vertragskennzeichnungen sind weniger wichtig als die tatsächliche Datennutzung.

Flowsery
Flowsery

Kostenlos testen

Echtzeit-Dashboard

Zielverfolgung

Cookie-freies Tracking

  • Datenflüsse klassifizieren. Beachten Sie, ob das Tag Identifikatoren, Seiten-URLs, Ereignisnamen, E-Mail-Hashes, IP-Adressen oder Transaktionsdetails empfängt.

  • Aktualisierungshinweise. In Ihrer Datenschutzrichtlinie sollten die Kategorien der erfassten personenbezogenen Daten, Zwecke, Kategorien von Empfängern, Aufbewahrung und Opt-out-Rechte erläutert werden.

  • Implementieren Sie Opt-out-Kontrollen. Stellen Sie bei Bedarf einen „Do Not Sell or Share Meine persönlichen Daten“-Mechanismus bereit und respektieren Sie GPC.

  • Gate-Tags mit hohem Risiko. Retargeting- und kontextübergreifende Werbe-Tags sollten für Benutzer, die sich abmelden, nicht ausgelöst werden.

  • Ereignisnutzlasten minimieren. Senden Sie keine Namen, E-Mails, Konto-IDs, Gesundheitsdaten, Finanzdetails oder Freiformfelder an Analytics.

  • Beweise aufbewahren. Dokumentkonfiguration, Anbieterentscheidungen, Einwilligungs-/Opt-out-Verhalten und Testergebnisse.

    • CCPA vs. GDPR: Regeln nicht verwechseln

    GDPR und die ePrivacy-Richtlinie erfordern in Europa häufig eine vorherige Zustimmung für nicht unbedingt erforderliche Cookies und ähnliche Technologien. CCPA konzentriert sich im Allgemeinen auf Benachrichtigungs-, Zugriffs-, Löschungs-, Berichtigungs- und Opt-out-Rechte, insbesondere im Zusammenhang mit Verkauf/Teilen. Ein Setup kann unter einem Regime akzeptabel sein und unter dem anderen nicht.

    Für eine auf die USA ausgerichtete Website besteht das größte CCPA-Risiko häufig in unkontrollierten Marketing-Tags Dritter. Bei einer EU-orientierten Website erfordern dieselben Tags möglicherweise auch eine Opt-in-Zustimmung, bevor sie geladen werden.

    Der Privacy-First-Pfad

    Ein praktischer, datenschutzorientierter Analyse-Stack für die CCPA-Compliance sollte:

    • Vermeiden Sie standardmäßig Werbekennungen von Drittanbietern
    • Vermeiden Sie die Verwendung von Analysedaten für kontextübergreifende Verhaltenswerbung
    • Sammeln Sie nur aggregierte Kennzahlen, die für die Website-Verbesserung erforderlich sind
    • Beachten Sie GPC, wo erforderlich
    • Behalten Sie die Kampagnenzuordnung in UTM-Parametern bei, nicht in Benutzerprofilen
    • Trennen Sie Analysen von der Anreicherung der Anzeigenplattform

    Die Compliance ist einfacher, wenn die Analyse nicht Teil einer Werbeüberwachungspipeline ist. Messen Sie, was Ihnen hilft, die Website zu verbessern. Sammeln Sie keine Daten, nur weil ein Tag-Manager es einfach macht.

    Marketing-Tag-Kontrollen

    Getrennte Sammlung, Verkauf und Weitergabe. Ein Cookie-Banner kann einige Sammlungsoptionen verwalten, aber ein CCPA-Opt-out muss auch berücksichtigen, ob personenbezogene Daten für kontextübergreifende Verhaltenswerbung verkauft oder weitergegeben werden. Lassen Sie nicht zu, dass Retargeting-Tags, serverseitige Konvertierungs-APIs oder Zielgruppensynchronisierungen nach einem anwendbaren Opt-out oder einem gültigen GPC-Signal ausgelöst werden.

    Führen Sie ein Tag-Register mit Eigentümer, Zweck, Datenfeldern, Anbieterrolle, Einwilligungskategorie, GPC-Verhalten, Auslöseregel und Löschpfad. Überprüfen Sie es, wenn das Marketing eine Plattform hinzufügt oder die Kampagnenmessung ändert.

    #ccpa#web-analytics#cookies#data-protection#marketing-compliance#sephora-case

    War dieser Artikel hilfreich?

    Teilen Sie uns Ihre Meinung mit!

    Bevor Sie gehen...

    Flowsery

    Flowsery

    Umsatzorientierte Analysen für Ihre Website

    Verfolgen Sie jeden Besucher, jede Quelle und jede Conversion in Echtzeit. Einfach, leistungsstark und vollständig DSGVO-konform.

    Kostenlos testen

    Echtzeit-Dashboard

    Zielverfolgung

    Cookie-freies Tracking

    Verwandte Artikel

    Datenschutz

    Ein praktischer Leitfaden zu CCPA Compliance und Webanalyse

    Erfahren Sie, wie CCPA Compliance und Webanalyse datenschutzfreundliche Analytics, Messqualität und praktische Website-Entscheidungen beeinflusst.

    4 Min. Lesezeit
    Datenschutz

    Ein praktischer Leitfaden zu CCPA vs. DSGVO

    Erfahren Sie, wie CCPA vs. DSGVO datenschutzfreundliche Analytics, Messqualität und praktische Website-Entscheidungen beeinflusst.

    5 Min. Lesezeit
    Datenschutz

    Ein praktischer Leitfaden zu Wie GDPR-Einwilligungsanforderungen für Web

    Erfahren Sie, wie Wie GDPR-Einwilligungsanforderungen für Web datenschutzfreundliche Analytics, Messqualität und praktische Website-Entscheidungen beeinflusst.

    5 Min. Lesezeit