Ein praktischer Leitfaden zu CCPA vs. CPRA

Dieser Leitfaden erklärt CCPA vs. CPRA praxisnah und mit Fokus auf datenschutzfreundliche Analytics-Entscheidungen.

„CCPA vs. Es hat es geändert und erweitert. California-Regulierungsbehörden bezeichnen das Gesetz mittlerweile allgemein als CCPA „in der durch CPRA geänderten Fassung“, wie der California Generalstaatsanwalt erklärt.

Für Unternehmen ist die praktische Frage nicht, welches Akronym sie verwenden sollen. Es geht darum, ob Ihre Mitteilungen, Opt-out-Abläufe, Analysetools, Werbepixel, Datenaufbewahrungsregeln und Lieferantenverträge die strengeren Post-CPRA-Anforderungen widerspiegeln, die ab 2023 gelten.

Was der ursprüngliche CCPA geschaffen hat

Der CCPA gewährt California Verbrauchern Rechte an personenbezogenen Daten, die von den erfassten Unternehmen erfasst werden. Zu den Kernrechten gehören:

• Wissen, welche persönlichen Daten ein Unternehmen sammelt, verwendet, weitergibt oder verkauft.
• Löschung personenbezogener Daten, vorbehaltlich Ausnahmen.
• Den Verkauf personenbezogener Daten ablehnen.
• Nichtdiskriminierung bei der Ausübung von Datenschutzrechten.

Das ursprüngliche Gesetz war bereits weit gefasst, da „personenbezogene Daten“ Identifikatoren, Internetaktivitäten, Geolokalisierung, Schlussfolgerungen und Informationen umfassen, die mit einem Haushalt oder Verbraucher verknüpft oder vernünftigerweise damit verknüpft werden können.

Für Analyse- und Werbeteams war das wichtigste CCPA-Problem das Konzept des „Verkaufs“. Viele Unternehmen gingen davon aus, dass der Verkauf den Austausch von Daten gegen Geld bedeutete. Die Definition von California war umfassender und erfasste einige wertvolle Berücksichtigungsmöglichkeiten.

Was sich durch CPRA geändert hat

Der CPRA hat das Gesetz in mehrfacher Hinsicht erweitert, die für Webanalyse und Marketing von Bedeutung ist.

Die Weitergabe wurde zu einer eigenen regulierten Aktivität. Der CPRA fügte das Recht hinzu, die „Weitergabe“ personenbezogener Daten für kontextübergreifende Verhaltenswerbung abzulehnen. Dies ist auch dann wichtig, wenn kein Geld den Besitzer wechselt. Wenn eine Website Identifikatoren oder Ereignisdaten an ein Werbenetzwerk sendet, damit Anzeigen auf verschiedenen Websites gezielt geschaltet werden können, kann dies zu Opt-out-Pflichten führen.

Sensible personenbezogene Daten wurden zu einer Sonderkategorie. Verbraucher erhielten das Recht, die Nutzung und Offenlegung sensibler personenbezogener Daten einzuschränken. Zu den sensiblen Informationen gehören Kategorien wie genaue Geolokalisierung, Rasse oder ethnische Herkunft, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Informationen, Gesundheitsinformationen, Sexualleben oder sexuelle Orientierung sowie bestimmte Kontodaten.

Korrekturrechte wurden hinzugefügt. Verbraucher können Unternehmen auffordern, unrichtige personenbezogene Daten zu korrigieren.

Datenminimierung wurde expliziter. Die California Privacy Protection Agency hat betont, dass die Datenminimierung ein grundlegendes CCPA-Prinzip ist, auch in ihrer 2024-Durchsetzungsempfehlung. Unternehmen sollten personenbezogene Daten nur dann erfassen, verwenden, speichern und weitergeben, wenn dies für die offengelegten Zwecke angemessen und verhältnismäßig ist.

Eine eigene Behörde wurde gegründet. Der CPRA richtete die California Privacy Protection Agency (CPPA) mit der Befugnis zur Regelsetzung und Durchsetzung ein (Seite mit den CPPA-Vorschriften).

Warum sich Analyseteams darum kümmern sollten

Ein Standard-Analyse-Setup kann personenbezogene Daten gemäß California-Gesetz umfassen. IP-Adresse, Gerätekennungen, Cookie-IDs, mobile Werbe-IDs, Surfverhalten, Seiten-URLs, Verweisdaten und abgeleitete Interessen können alle relevant sein.

Das größte Risiko besteht nicht in der einfachen Messung durch Erstanbieter. Es sendet Analyseereignisse an Dritte, die die Daten für ihre eigene Werbung, Profilerstellung, Produktverbesserung oder Datenanreicherung verwenden. Unter CPRA kann dies „Teilen“ sein, selbst wenn der Anbieter die Integrationsanalyse aufruft.

Sehen Sie sich diese Tools sorgfältig an:

• Google Analytics mit Werbefunktionen.
• Meta Pixel und Konvertierungen API.
• TikTok, LinkedIn, Pinterest und X Pixel.
• Heatmap- und Session-Replay-Tools.
• Datenreinräume und Kundendatenplattformen.
• SDKs für die mobile Attribution.
• Anbieter für Anreicherung und Identitätsauflösung.

Auswirkungen auf Hinweise und Opt-out

Eine konforme Datenschutzerklärung sollte Kategorien personenbezogener Daten, Zwecke, Aufbewahrungsfristen oder -kriterien, Kategorien Dritter und Rechte beschreiben. Wenn Sie persönliche Daten verkaufen oder weitergeben, benötigen Sie einen „Do Not Sell or Share Meine persönlichen Daten“-Mechanismus. Unternehmen müssen bei Bedarf auch mit Opt-out-Präferenzsignalen umgehen, in vielen Zusammenhängen auch mit Global Privacy Control.

Begraben Sie dies nicht in einem Cookie-Banner. Cookie-Einwilligung, CCPA-Opt-outs und GDPR-Einwilligung sind verwandt, aber nicht identisch. Durch die Ablehnung der Weitergabe durch einen California-Verbraucher sollte die Offenlegung kontextübergreifender Verhaltenswerbung verhindert und nicht nur das Ausblenden eines Banners erfolgen.

CCPA vs. CPRA für datenschutzorientierte Analysen

Datenschutzorientierte Analysen reduzieren die CPRA-Gefährdung, indem sie kontextübergreifende Identifikatoren und die gemeinsame Nutzung von Werbetechnologien vermeiden. Ein sichererer Aufbau sieht so aus:

• Keine Werbe-Cookies von Drittanbietern.
• Keine Weitergabe von Ereignisdaten an Werbenetzwerke.
• Keine dauerhaften Besucherprofile für Cross-Site-Targeting.
• Aggregierte Berichte für Seitenaufrufe, Referrer, Kampagnen und Conversions.
• Ereigniseigenschaften, die E-Mails, Namen, Konto-IDs und den genauen Standort vermeiden.
• Ein klarer Aufbewahrungsplan.
• Anbieterverträge, die die Zweitnutzung einschränken.

Dies bedeutet nicht, dass datenschutzorientierte Analysen vom CCPA ausgenommen sind. Dies bedeutet, dass die Compliance-Oberfläche kleiner und einfacher zu erklären ist.

Praktische Checkliste für die Überprüfung

Stellen Sie diese Fragen während einer CPRA-Überprüfung:

1. Erhalten Analyse- oder Marketinganbieter personenbezogene Daten?
2. Darf ein Anbieter diese Daten für seine eigenen Zwecke nutzen?
3. Teilen Sie Daten für kontextübergreifende Verhaltenswerbung?
4. Werden in den Hinweisen Analysen und Werbung getrennt beschrieben?
5. Unterdrücken Opt-out-Optionen tatsächlich Pixel, SDK-Aufrufe und serverseitige Ereignisse?
6. Sind sensible Datenfelder von Analyseereignissen ausgeschlossen?
7. Werden Aufbewahrungsfristen dokumentiert und durchgesetzt?
8. Können Sie Lösch- und Korrekturanfragen anbieterübergreifend berücksichtigen?

Die Lektion des CPRA ist einfach: Die Einhaltung der Datenschutzbestimmungen reicht jetzt bis in den Messstapel hinein. Wenn Analysedaten Menschen kontextübergreifend verfolgen können, handelt es sich nicht mehr nur um Berichte. Es handelt sich um eine regulierte Werbeinfrastruktur.

CPRA Überprüfungscheckliste

Überprüfen Sie Analysen und Marketing als separate Datenflüsse. Verkauf und Teilen sind nicht dasselbe: Verkauf kann einen Wertaustausch beinhalten, während Teilen speziell Offenlegungen für kontextübergreifende Verhaltenswerbung umfasst. In beiden Fällen kann eine Opt-out-Behandlung erforderlich sein, und gültige Opt-out-Präferenzsignale wie Global Privacy Control müssen bei Bedarf respektiert werden.

Dokumentieren Sie für jeden Anbieter, ob Daten nur zur Bereitstellung Ihres Dienstes verwendet werden, ob sie Werbung oder kundenübergreifende Datensätze speisen, ob vertrauliche Daten in URLs oder Ereignissen erscheinen können und ob Opt-outs sowohl Browserpixel als auch serverseitige Ereignisse unterdrücken.