Der California Consumer Privacy Act gehört zu den einflussreichsten Datenschutzgesetzen in den Vereinigten Staaten. Da viele große Technologieunternehmen ihren Hauptsitz in Kalifornien haben, hat der CCPA einen überproportionalen Einfluss auf die digitale Wirtschaft.

Was der CCPA abdeckt

Der CCPA gewährt kalifornischen Einwohnern spezifische Datenschutzrechte und gilt für große Unternehmen oder solche, die erhebliche Mengen personenbezogener Daten kontrollieren, einschließlich Organisationen außerhalb Kaliforniens und sogar außerhalb der USA. Behörden und gemeinnützige Organisationen sind grundsätzlich ausgenommen.

Personenbezogene Daten werden unter dem CCPA weit gefasst: alle Informationen, die vernünftigerweise einem bestimmten Verbraucher oder Haushalt zugeordnet werden können, einschließlich eindeutiger Kennungen in Cookies.

Auswirkungen auf Cookies und Web-Analytics

Obwohl der CCPA keine cookie-spezifischen Regeln enthält, wirken sich seine Bestimmungen zur Datenweitergabe an Dritte direkt auf Web-Analytics aus. Die Weitergabe personenbezogener Daten an Analytics- oder Werbeanbieter kann als "Verkauf" im Sinne des Gesetzes gelten und das Widerspruchsrecht auslösen. Unternehmen müssen Informations-Pop-ups und gut sichtbare Opt-out-Optionen bereitstellen. Vor dem Verkauf personenbezogener Daten von Minderjährigen unter 16 Jahren ist eine Einwilligung erforderlich. Unternehmen müssen außerdem Global Privacy Control (GPC)-Signale von Browsern berücksichtigen.

Der Sephora-Durchsetzungsfall veranschaulicht diese Pflichten. Der Kosmetikhändler einigte sich auf einen Vergleich von 1,2 Millionen Dollar, nachdem er es versäumt hatte, die Datenweitergabe an einen Analytics-Anbieter offenzulegen, Opt-out-Anfragen zu berücksichtigen und Verstöße innerhalb der eingeräumten Frist zu beheben. Bemerkenswert ist, dass das Unternehmen keine Daten an Händler verkaufte -- routinemäßige Webmarketing- und Analytics-Aktivitäten lösten den Verstoß aus.

Auswirkungen auf Direktmarketing

Obwohl der CCPA Direktmarketing nicht spezifisch reguliert, schränken seine Datenweitergaberegeln die Verfügbarkeit von Drittanbieterdaten für Marketingzwecke ein. Zusätzliche Gesetzgebung wie der Delete Act wird die Datenverfügbarkeit für Unternehmen, die auf Datenanreicherung durch Dritte angewiesen sind, weiter einschränken.

Schutz sensibler Daten

Verbraucher können die Nutzung und Offenlegung sensibler Informationen -- einschließlich genauer Standortdaten, genetischer Daten, sexueller Orientierung und finanzieller Kennungen -- auf das für die Erbringung der angeforderten Dienste unbedingt Notwendige beschränken.

Die breitere US-Datenschutzlandschaft

Der CCPA existiert in einem fragmentierten regulatorischen Umfeld. Ohne umfassende bundesweite Datenschutzgesetzgebung haben die Bundesstaaten eigene Gesetze erlassen, was für landesweit tätige Unternehmen Compliance-Komplexität schafft. Ob vorgeschlagene Bundesgesetzgebung wie der ADPPA einzelstaatliche Gesetze ablösen oder ergänzen wird, bleibt eine offene Frage.