Ein praktischer Leitfaden zu Wann gilt CCPA

Dieser Leitfaden erklärt Wann gilt CCPA praxisnah und mit Fokus auf datenschutzfreundliche Analytics-Entscheidungen. Wann gilt CCPA? Die kurze Antwort lautet: Wenn ein erfasstes gewinnorientiertes Unternehmen in Kalifornien Geschäfte tätigt, personenbezogene Daten von Einwohnern Kaliforniens sammelt und mindestens einen gesetzlichen Schwellenwert erfüllt.

Die längere Antwort ist wichtig, da routinemäßige Analysen und Werbepraktiken zur Analyse beitragen können. Ein Unternehmen muss seinen Hauptsitz nicht in Kalifornien haben, um den kalifornischen Datenschutzverpflichtungen zu unterliegen.

Der zentrale Anwendbarkeitstest

In den FAQ der California Privacy Protection Agency sind die wichtigsten Schwellenwerte für ein abgedecktes Unternehmen aufgeführt. Laut den aktuellen öffentlichen FAQ des CPPA gilt das Gesetz für gewinnorientierte Unternehmen, die in Kalifornien Geschäfte tätigen, personenbezogene Daten von Einwohnern Kaliforniens sammeln und mindestens eine dieser Bedingungen erfüllen:

• Bruttojahresumsatz von 26,625 Millionen US-Dollar oder mehr für das vorangegangene Kalenderjahr, gültig ab 1. Januar 2025.
• Kaufen, verkaufen oder teilen Sie die persönlichen Daten von 100.000 oder mehr Einwohnern oder Haushalten Kaliforniens.
• Erzielen Sie 50 % oder mehr des Jahresumsatzes durch den Verkauf oder die Weitergabe persönlicher Daten von Einwohnern Kaliforniens.

Da die Umsatzzahl inflationsbereinigt ist, überprüfen Sie die aktuelle Zahl mit dem CPPA, anstatt die alte Formulierung „25 Millionen US-Dollar“ zu kopieren. Die Agentur veröffentlicht aktualisierte Geldschwellenwerte und FAQs (CPPA-Schwellenwertaktualisierung, CPPA-FAQ).

„Geschäfte in Kalifornien machen“ ist umfassender als ein Büro zu haben

Ein Unternehmen außerhalb Kaliforniens kann dennoch in den Geltungsbereich fallen, wenn es im Bundesstaat geschäftlich tätig ist, personenbezogene Daten von Einwohnern Kaliforniens erfasst und einen Schwellenwert erreicht. Bei Online-Unternehmen können kalifornische Benutzer über die Suche, bezahlte Anzeigen, soziale Medien, SaaS-Anmeldungen, E-Commerce-Bestellungen, Newsletter oder App-Konten anreisen.

Zu den praktischen Indikatoren gehören:

• Verkauf von Produkten oder Abonnements an Einwohner Kaliforniens.
• Ausrichtung der Anzeigen auf Kalifornien.
• Kunden oder Benutzer in Kalifornien haben.
• Warenversand nach Kalifornien.
• Bereitstellung von Dienstleistungen für Einwohner Kaliforniens.
• Umfangreiches Sammeln von Analysedaten von kalifornischen Besuchern.

Wenn Sie sich einer Schwelle nähern, holen Sie sich rechtlichen Rat. Umfangsentscheidungen können sich auf Datenschutzhinweise, Opt-out-Links, Verträge und Datenrechte-Workflows auswirken.

Was zählt als personenbezogene Daten?

Die CCPA-Definition ist weit gefasst. Zu den personenbezogenen Daten können Kennungen, Online-Kennungen, IP-Adressen, Browserverlauf, Suchverlauf, Geolokalisierungsdaten, kommerzielle Informationen und Schlussfolgerungen gehören. Die Seite CCPA des kalifornischen Generalstaatsanwalts fasst Verbraucherrechte und Links zum rechtlichen Rahmen zusammen (California OAG).

Für Analyseteams bedeutet dies, dass zu den personenbezogenen Daten Folgendes gehören kann:

• Cookie-Identifikatoren.
• Gerätekennungen.
• Von IP abgeleiteter Standort.
• Seitenaufrufverläufe.
• Kampagnenparameter.
• Mit dem Konto verknüpfte Produktereignisse.
• Kontextübergreifende Werbedaten.

Selbst wenn das Dashboard aggregiert ist, kann die zugrunde liegende Datenpipeline personenbezogene Daten verarbeiten.

Wie sich Analysen auf Schwellenwerte auswirken können

Viele digitale Teams übersehen die Schwelle von 100.000 Verbrauchern oder Haushalten. Stark frequentierte Websites können diese Zahl durch normale Besuche erreichen. Wenn Analysen, Pixel oder Tag-Manager personenbezogene Daten von Einwohnern Kaliforniens sammeln, können diese Besucher bei der Datenvolumenanalyse berücksichtigt werden.

Auch die Verkaufs-/Aktienschwelle ist wichtig. „Teilen“ gemäß CPRA ist mit kontextübergreifender Verhaltenswerbung verbunden. Wenn Sie personenbezogene Daten für Retargeting oder Zielgruppenaufbau an Werbeplattformen weitergeben, unterliegen Sie möglicherweise Opt-out-Verpflichtungen, auch wenn kein Geld den Besitzer wechselt.

Allgemeine Ausnahmen und Beschränkungen

Der CCPA gilt nicht für jede Organisation oder jeden Datentyp. Regierungsbehörden und viele gemeinnützige Organisationen liegen im Allgemeinen außerhalb der Kerngeschäftsdefinition. Einige durch branchenspezifische Gesetze geregelte Informationen können ausgenommen sein oder anders behandelt werden. Beschäftigungs- und Geschäftskontaktkontexte haben sich unter CPRA geändert und sollten sorgfältig geprüft werden, anstatt davon auszugehen, dass sie ausgenommen sind.

Verlassen Sie sich nicht auf eine generische Ausnahmeliste, ohne das geltende Recht und den spezifischen Datenfluss zu prüfen.

Checkliste für den Umfang einer Website

Nutzen Sie diese Einschätzung:1. Sind wir ein gewinnorientiertes Unternehmen? 2. Machen wir Geschäfte in Kalifornien? 3. Erfassen wir personenbezogene Daten von Einwohnern Kaliforniens? 4. Liegen wir über der aktuellen Umsatzschwelle? 5. Kaufen, verkaufen oder teilen wir personenbezogene Daten von 100.000 oder mehr Einwohnern oder Haushalten Kaliforniens? 6. Erzielen wir 50 % oder mehr Umsatz durch den Verkauf oder die Weitergabe personenbezogener Daten? 7. Geben unsere Analyse- oder Werbetools Daten an Dritte weiter? 8. Nutzen wir kontextübergreifende Verhaltenswerbung? 9. Berücksichtigen wir bei Bedarf Opt-out-Präferenzsignale? 10. Sind unsere Datenschutzbestimmungen und Verträge aktuell?

Warum Privacy-First Analytics hilft

Wenn Ihr Analyse-Setup Cookies, dauerhafte Identifikatoren, vollständigen IP-Speicher, standortübergreifendes Profiling und die gemeinsame Nutzung von Werbedaten vermeidet, wird die CCPA-Analyse einfacher. Möglicherweise sind Sie aufgrund anderer Vorgänge immer noch ein geschütztes Unternehmen, aber das Analysesystem selbst führt zu weniger Verpflichtungen und weniger Randfällen im Zusammenhang mit Benutzerrechten.

Für wachsende Unternehmen ist das der strategische Punkt. Gestalten Sie Analysen so, dass sie geschäftliche Fragen beantworten, ohne Sie an vermeidbare Datenschutzschwellen oder die Komplexität von „Verkauf/Teilen“ zu drängen.

So schätzen Sie Besucherschwellen ein

Warten Sie nicht bis zum Jahresende, um abzuschätzen, ob die 100.000-Verbraucher- oder Haushaltsschwelle von Bedeutung sein könnte. Verwenden Sie eine konservative monatliche Überprüfung des Verkehrs in Kalifornien. Kombinieren Sie Webanalysen, Serverprotokolle, Kontoanmeldungen, Newsletter-Datensätze und Zielgruppen auf Werbeplattformen, sofern relevant. Deduplizieren Sie nur, wenn Sie über eine vertretbare Methode verfügen. Übermäßige Deduplizierung kann Risiken verbergen.

Auch getrennte Sammlung und gemeinsame Nutzung. Eine Website mit hohem Datenverkehr, die aggregierte Erstanbieteranalysen verwendet, kann ein anderes Verpflichtungsprofil haben als eine Website mit weniger Datenverkehr, die Kennungen an Werbenetzwerke für kontextübergreifende Verhaltenswerbung sendet. Bewahren Sie neben jedem wichtigen Tracker eine einfache Notiz auf: Erfasst personenbezogene Daten, gibt sie für Werbezwecke weiter, berücksichtigt die Abmeldung und unterstützt das Löschen. Dies erleichtert die Umfangsanalyse erheblich, wenn das Unternehmen wächst.

CCPA Checkliste für die Überprüfung des Umfangs

Überprüfen Sie die Umfangsfrage vierteljährlich, wenn der Verkehr, die Werbeausgaben, der Umsatz oder die Zielgruppengröße in Kalifornien zunehmen. Sehen Sie sich die Seite mit den aktuellen CPPA-Grenzwerten an, schätzen Sie die Zahl der kalifornischen Verbraucher oder Haushalte konservativ ein und trennen Sie bei kontextübergreifender Verhaltenswerbung die gewöhnliche Sammlung vom Verkauf oder der Weitergabe.

Überprüfen Sie für Analysen Werbepixel, Tag-Manager-Ziele, serverseitige Conversions-APIs, Anreicherungsanbieter, Ereigniseigenschaften, Opt-out-Links, Global Privacy Control-Behandlung, Grenzwerte für vertrauliche Daten, Anbieterverträge und Aufbewahrung. Wenn aggregierte Analysen die Geschäftsfrage beantworten, verwenden Sie diese anstelle der Freigabe auf Besucherebene.