7.2 CCPA & CPRA — Kalifornien als Vorreiter
Modul 7: Datenschutzgesetze in Amerika
Erklärt den California Consumer Privacy Act (CCPA) und den California Privacy Rights Act (CPRA), die Verbraucherrechte, die California Privacy Protection Agency und den Global Privacy Control als Browser-Signal.
Learning Material
1 pagesCCPA & CPRA — Kalifornien als Vorreiter
In einem Land ohne Bundesdatenschutzgesetz hat Kalifornien eine Pionierrolle übernommen: Mit dem California Consumer Privacy Act (CCPA, in Kraft seit 2020) und dem California Privacy Rights Act (CPRA, seit 2023) besitzt der bevölkerungsreichste US-Bundesstaat ein Datenschutzregime, das international als das ambitionierteste US-Recht gilt.
Wer ist betroffen?
Nicht jedes Unternehmen unterliegt dem CCPA/CPRA. Es gilt für Unternehmen, die in Kalifornien Geschäfte machen und mindestens eines der folgenden Kriterien erfüllen: Jahresumsatz über 25 Millionen US-Dollar, Verarbeitung von Daten von 100.000 oder mehr Verbraucherinnen oder Haushalten pro Jahr, oder Erzielung von mehr als 50 Prozent des Umsatzes durch den Verkauf von personenbezogenen Daten. Gemeinnützige Organisationen und rein staatliche Stellen sind ausgenommen.
Verbraucherrechte unter CCPA/CPRA
Die Gesetze gewähren Verbrauchern weitreichende Rechte: das Recht auf Auskunft über die gespeicherten Daten, das Recht auf Löschung, das Recht auf Opt-out vom Verkauf oder der Weitergabe der eigenen Daten, das Recht auf Nichtdiskriminierung (kein schlechterer Service bei Ablehnung des Datenverkaufs), das Recht auf Berichtigung unrichtiger Daten sowie das Recht auf Begrenzung der Nutzung sensibler Daten. Das CPRA hat die CCPA-Rechte erheblich erweitert und mit dem Datenkorrektionsrecht sowie strengeren Regeln für sensible Daten (z.B. genaue Standortdaten, Gesundheitsdaten, biometrische Daten) verschärft.
California Privacy Protection Agency (CPPA)
Das CPRA hat die California Privacy Protection Agency gegründet — eine eigenständige Datenschutzbehörde, die erste ihrer Art in den USA. Sie ist für die Durchsetzung des CPRA zuständig und kann Bußgelder von bis zu 7.500 Dollar pro vorsätzlichem Verstoß verhängen. Damit nähert sich Kalifornien strukturell dem europäischen Modell an.
Global Privacy Control (GPC)
Ein wichtiges praktisches Instrument ist der Global Privacy Control: ein Browser-Signal (ähnlich dem Do Not Track-Header), das Nutzern ermöglicht, ihren Opt-out vom Datenverkauf automatisch an alle besuchten Websites zu übermitteln. Unter dem CPRA sind Unternehmen verpflichtet, dieses Signal zu respektieren. Browser wie Firefox und Brave unterstützen GPC bereits nativ.
Der Dominöffekt
Kaliforniens Gesetze haben einen Dominöffekt ausgelöst: Inzwischen haben rund 20 US-Bundesstaaten — darunter Virginia, Colorado, Connecticut und Texas — eigene Verbraucherdatenschutzgesetze erlassen, die sich strukturell am CCPA orientieren, wenn auch mit unterschiedlichen Schwellenwerten und Geltungsbereichen. Dies erhöht den Druck auf den Bundesgesetzgeber.