Ein praktischer Leitfaden zu CCPA vs. DSGVO

Dieser Leitfaden erklärt CCPA vs. DSGVO praxisnah und mit Fokus auf datenschutzfreundliche Analytics-Entscheidungen.

CCPA vs. GDPR ist kein Wettbewerb darüber, welches Gesetz in jeder Situation „strenger“ ist. Die bessere Frage ist, wie jedes Gesetz die Art und Weise verändert, wie Sie personenbezogene Daten sammeln, verwenden, weitergeben und erklären.

Für Analyseteams ist der Unterschied wichtig. Ein Setup, das unter dem Opt-out-Modell von

Der Kernunterschied

Der GDPR basiert auf rechtmäßiger Verarbeitung. Vor der Verarbeitung personenbezogener Daten benötigt eine Organisation eine Rechtsgrundlage wie Einwilligung, Vertrag, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe oder berechtigte Interessen. Es muss außerdem Grundsätzen wie Zweckbindung, Datenminimierung, Genauigkeit, Speicherbeschränkung, Integrität, Vertraulichkeit und Rechenschaftspflicht folgen (GDPR Artikel 5 und Artikel 6).

Das California Consumer Privacy Act, geändert durch das CPRA, gewährt California-Bürgern Rechte an personenbezogenen Daten, die von betroffenen Unternehmen erfasst werden. Der California Generalstaatsanwalt fasst Rechte zusammen, einschließlich Zugriff, Löschung, Berichtigung, Ablehnung des Verkaufs oder der Weitergabe sowie Einschränkung der Nutzung und Offenlegung sensibler personenbezogener Daten (California AG CCPA Seite).

Kurz gesagt: GDPR fragt: „Was ermöglicht diese Verarbeitung?“ CCPA stellt oft die Frage: „Welche Rechte und Mitteilungen müssen Verbraucher erhalten, und können sie den Verkauf oder die Weitergabe ablehnen?“

Umfang und Anwendbarkeit

Der GDPR kann für Organisationen außerhalb des EU gelten, wenn sie Personen im EU Waren oder Dienstleistungen anbieten oder deren Verhalten im EU überwachen. Es ist nicht auf große Unternehmen beschränkt. Ein kleines SaaS-Unternehmen kann unter GDPR fallen, wenn es absichtlich EU-Benutzer bedient.

Der CCPA gilt für gewinnorientierte Unternehmen, die in California Geschäfte tätigen und die gesetzlichen Schwellenwerte erfüllen. Für 2025 gibt das CPPA einen inflationsbereinigten jährlichen Bruttoumsatzschwellenwert von 26.625.000 US-Dollar an. Weitere Schwellenwerte umfassen den Kauf, Verkauf oder die Weitergabe personenbezogener Daten von 100.000 oder mehr Einwohnern oder Haushalten von California oder die Erzielung von 50 % oder mehr des Jahresumsatzes aus dem Verkauf personenbezogener Daten von Einwohnern von California. Gemeinnützige Organisationen und Regierungsbehörden fallen im Allgemeinen nicht in den Geltungsbereich.

Dieser Unterschied ist für kleine Unternehmen wichtig. Ein Startup mit EU-Kunden benötigt möglicherweise GDPR-Konformität, auch wenn diese weit unter den CCPA-Schwellenwerten liegt.

Persönliche Daten vs. persönliche Informationen

Beide Gesetze definieren erfasste Daten weit gefasst. Unter personenbezogenen Daten versteht man im Sinne der GDPR Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Online-Kennungen können qualifiziert sein, einschließlich Cookie-IDs und Gerätekennungen.

Der CCPA verwendet „personenbezogene Daten“ und umfasst Informationen, die einen Verbraucher oder Haushalt identifizieren, sich auf ihn beziehen, ihn beschreiben oder vernünftigerweise mit ihm in Verbindung gebracht werden könnten. Die California AG listet Beispiele wie Internet-Browserverlauf, Geolokalisierungsdaten, Fingerabdrücke und Schlussfolgerungen auf, die ein Profil erstellen.

Für die Analyse bedeutet dies, dass die Aussage „Wir sammeln keine Namen“ nicht ausreicht. Client-IDs, Cookie-IDs, Werbe-IDs, IP-abgeleitete Standorte, Ereignisverläufe und Schlussfolgerungen auf Haushaltsebene können alle von Bedeutung sein.

Einwilligung, Opt-Out und Cookies

Das GDPR erfordert nicht immer eine Einwilligung für jede Verarbeitungsaktivität, aber die Einwilligung ist für viele Analyse- und Werbepraktiken von zentraler Bedeutung. In Europa stammen die Cookie-Regeln aus dem ePrivacy-Rahmenwerk, wie es von den Mitgliedsstaaten umgesetzt wird. Nicht unbedingt erforderliche Cookies und ähnliche Tracking-Technologien bedürfen grundsätzlich der vorherigen Zustimmung.

Eine gültige GDPR-Einwilligung muss freiwillig, spezifisch, informiert und eindeutig erfolgen und die Menschen müssen die Möglichkeit haben, sie zu widerrufen. Der EDPB erklärt, dass die Einwilligung eine echte freie Wahl, ausreichende Informationen und eine klare positive Handlung ohne vorab angekreuzte Kästchen erfordert (EDPB-Einwilligungsleitfaden).

Der CCPA konzentriert sich stärker auf Opt-out-Rechte für Verkauf und Weitergabe, einschließlich kontextübergreifender Verhaltenswerbung. Unternehmen müssen klare Hinweise geben und gegebenenfalls Opt-out-Signale wie Global Privacy Control berücksichtigen. Die Einwilligung ist besonders wichtig für Minderjährige und einige sensible Zwecke, aber die Standardstruktur ist nicht identisch mit der GDPR-Cookie-Einwilligung.

Sensible Daten

Das GDPR verbietet generell die Verarbeitung besonderer Kategorien personenbezogener Daten, es sei denn, es gilt eine Ausnahme gemäß Artikel 9. Zu den besonderen Kategorien gehören Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, die Gewerkschaftszugehörigkeit hervorgehen, genetische Daten, biometrische Daten zur Identifizierung, Gesundheitsdaten sowie Daten zum Sexualleben oder zur sexuellen Orientierung.

Der CCPA gibt Verbrauchern das Recht, die Nutzung und Offenlegung sensibler persönlicher Daten einzuschränken. Die California AG listet Beispiele auf, darunter staatliche Identifikatoren, Kontoanmeldeinformationen, genaue Geolokalisierung, Kommunikationsinhalte, genetische Daten, biometrische Informationen, Gesundheitsinformationen, Sexualleben oder sexuelle Orientierung sowie bestimmte rassische, religiöse, philosophische oder gewerkschaftliche Informationen.

Analyseteams sollten mit dem Seitenkontext vorsichtig sein. Eine URL, ein Suchbegriff oder ein Ereignisname kann vertrauliche Informationen preisgeben, selbst wenn kein Formular gesendet wird.

Durchsetzung und Strafen

GDPR Strafen können bei schwersten Verstößen bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist. Aufsichtsbehörden können außerdem Änderungen der Verarbeitung anordnen, Übermittlungen aussetzen und Compliance-Maßnahmen verlangen.

Das CCPA wird von California Behörden durchgesetzt, darunter der California Privacy Protection Agency und dem Generalstaatsanwalt. Es beinhaltet auch ein eingeschränktes privates Klagerecht für bestimmte Datenschutzverletzungen. Das Betriebsrisiko besteht nicht nur aus Bußgeldern; Dazu gehören Vollstreckungsanordnungen, Vertragsbruch und Vertrauensverlust.

Internationale Datenübertragungen

Der GDPR unterliegt detaillierten Beschränkungen für die Übertragung personenbezogener Daten außerhalb des EEA. Übertragungen können auf Angemessenheitsbeschlüssen, Standardvertragsklauseln, verbindlichen Unternehmensregeln oder spezifischen Ausnahmeregelungen beruhen. Die Europäische Kommission erklärt, dass eine Angemessenheitsentscheidung den Datenfluss ohne weitere Schutzmaßnahmen ermöglicht, während für andere Übertragungen möglicherweise zusätzliche Mechanismen erforderlich sind (Leitlinien für die Übertragung der Europäischen Kommission).

Für den CCPA gibt es kein gleichwertiges grenzüberschreitendes Transfersystem. Aus diesem Grund können in den USA ansässige Analyseanbieter ein viel größeres Problem für die EU-Konformität darstellen als für die California-Konformität.

Analytics-Checkliste für beide Gesetze

Verwenden Sie den strengeren praktischen Standard, wenn ein Setup beide Regionen bedient: Vermeiden Sie Cookies und dauerhafte Identifikatoren, es sei denn, sie werden wirklich benötigt, senden Sie keine personenbezogenen Daten in URLs oder benutzerdefinierten Eigenschaften, stellen Sie klare Hinweise bereit, respektieren Sie Opt-out- und Einwilligungsoptionen vor dem Laden von Marketing-Tags, trennen Sie aggregierte Analysen von Werbesystemen, überprüfen Sie Anbieterverträge und halten Sie die Aufbewahrungsfristen verhältnismäßig.

Die sicherste Analysearchitektur ist standardmäßig datenminimiert. Wenn Sie Geschäftsfragen mit aggregierten, cookielosen First-Party-Messungen beantworten können, reduzieren Sie die Reibung sowohl GDPR als auch CCPA, anstatt zwei separate Compliance-Maschinen aufzubauen.

Checkliste für Dual-Regime-Analysen

Überprüfen Sie für California, ob CCPA gilt, einschließlich der aktualisierten CPPA-Grenze [26.625.000 US-Dollar Jahresbruttoumsatz, gültig ab 1. Januar 2025] (https://cppa.ca.gov/regulations/cpi_adjustment.html), und überprüfen Sie Verkauf, Weitergabe, vertrauliche Daten, Hinweise, Opt-out-Links und Global Privacy Control-Handhabung.

Für Europa prüfen Sie die Rechtsgrundlage, die ePrivacy-Einwilligung oder -Befreiung, internationale Übermittlungen, Verarbeitungsbedingungen und Aufbewahrung. Ein gemeinsames Analyse-Setup sollte dem strengeren praktischen Standard folgen: Ereignisdaten minimieren, Werbekennungen vermeiden, persönliche Daten aus URLs fernhalten, Entscheidungen berücksichtigen, bevor Tags ausgelöst werden, und nur die Geschäftsergebnisse abgleichen, die Sie tatsächlich benötigen.