Der California Consumer Privacy Act (CCPA) soll die Privatsphäre der Einwohner Kaliforniens schützen und hat Auswirkungen auf Unternehmen, die mit deren personenbezogenen Daten umgehen. In vielerlei Hinsicht wird der CCPA als das Äquivalent der GDPR in Europa angesehen.
In diesem Artikel erläutern wir, wofür der CCPA steht und wie er angewendet wird. Außerdem stellen wir Schritte für Unternehmen vor, die Google Analytics verwenden, um die Einhaltung der Vorschriften sicherzustellen.
Tauchen wir ein!
- Was ist der CCPA?
- Wer hat Pflichten nach dem CCPA?
- Was bedeutet der CCPA für die Webanalyse?
- Ist Google Analytics CCPA-konform?
- Wie kann ich Google Analytics datenschutzkonform machen?
- Abschließende Überlegungen
Was ist der CCPA?
Der California Consumer Privacy Act ist ein Gesetz, das die Datenschutzrechte der Einwohner Kaliforniens schützt. Der CCPA wurde 2018 verabschiedet und 2020 durch den California Privacy Rights Act geändert. Er ist Teil des kalifornischen Zivilgesetzbuchs.
Ausführliche Informationen über den CCPA finden Sie auf der Website der kalifornischen Regierung.
Wer hat Pflichten nach dem CCPA?
Nicht alle Organisationen fallen unter den CCPA.
Das Gesetz gilt nur für Unternehmen, wenn sie bestimmte Kriterien erfüllen:
- sie haben einen Bruttojahresumsatz von über 25 Millionen Dollar
- sie kaufen, verkaufen oder teilen die persönlichen Daten von 100.000 oder mehr kalifornischen Einwohnern, Haushalten oder Geräten
- mindestens 50 % ihrer Einnahmen stammen aus dem Verkauf personenbezogener Daten von Einwohnern Kaliforniens.
Diese Kriterien sind alternativ: Solange eines davon erfüllt ist, gilt der CCPA. Der CCPA hat auch eine extraterritoriale Wirkung, da er auf Unternehmen mit Sitz außerhalb Kaliforniens und der USA Anwendung finden kann.
Das CCPA konzentriert sich auf Unternehmen und gilt größtenteils nicht für Regierungsbehörden und gemeinnützige Organisationen. Er gilt auch nicht für Einrichtungen, die unter bestimmte andere Datenschutzgesetze wie den HIPAA fallen.
Was bedeutet der CCPA für die Webanalyse?
Ursprünglich verlangte der CCPA ein Opt-in-System für den Verkauf von personenbezogenen Daten.
Der CCPA definierte den Verkauf personenbezogener Daten sehr weit gefasst. Dennoch argumentierten einige Unternehmen, dass die Weitergabe personenbezogener Daten für kontextübergreifende verhaltensbezogene Werbung keinen Verkauf darstelle.
Die kalifornische Legislative beschloss, diesen Punkt mit dem CPRA zu klären. Das neue Gesetz dehnte das Opt-in-System des CCPA auf die Weitergabe personenbezogener Daten aus und stellte klar, dass die Weitergabe von Informationen auch kontextübergreifende verhaltensbezogene Werbung umfasst.
Unterm Strich erfordert kontextübergreifende verhaltensbezogene Werbung eine Opt-out-Zustimmung. Dies war bereits vor dem CPRA ziemlich klar und ist nun zweifelsfrei richtig.
Wenn Sie hingegen das Besucherverhalten ausschließlich zum Zweck der Webanalyse analysieren, gilt die Opt-out-Anforderung nicht.
Ist Google Analytics CCPA-konform?
Der CCPA verlangt keine Zustimmung für das Setzen von Cookies. Die Verbraucher haben jedoch das Recht, dem Verkauf und der Weitergabe ihrer personenbezogenen Daten zu widersprechen.
Der Begriff der gemeinsamen Nutzung von Daten bezieht sich auf kontextübergreifende verhaltensbezogene Werbung, d. h. die Erstellung von Profilen und die Werbung, die von einem Unternehmen auf der Grundlage von Informationen durchgeführt wird, die von anderen Websites und Anwendungen gesammelt wurden.
Google Analytics tut dies standardmäßig. Eine gesetzeskonforme Nutzung von Google Analytics ist möglich, aber es liegt in der Verantwortung des Kunden, das Tool rechtmäßig zu nutzen.
Wenn Sie Google Analytics verwenden, haben Sie zwei Alternativen, um das CCPA einzuhalten:
- Sie bieten Ihren Besuchern die Möglichkeit, sich über eine Seite "Meine Daten nicht verkaufen oder weitergeben" abzumelden.
- Aktivieren Sie die Einstellung zur eingeschränkten Datenverarbeitung für Google Analytics.
Wenn Sie sich dafür entscheiden, die Datenverarbeitung einzuschränken, müssen Sie die Einstellung möglicherweise auch für andere Google-Dienste aktivieren. So muss diese Einstellung beispielsweise manuell für Google Ads aktiviert werden (wodurch die Werbung auf Ihrer Website auf nicht zielgerichtete Anzeigen beschränkt wird). Diese Liste von Google gibt Aufschluss darüber, welche Google-Dienste diese Option unterstützen und ob sie standardmäßig aktiviert ist.
Unabhängig davon, ob Sie sich für die Weitergabe personenbezogener Daten entscheiden oder nicht, müssen Sie auch einen Hinweis auf die Erfassung personenbezogener Daten bereitstellen und Anfragen zum Zugriff auf die Daten Ihrer Besucher und deren Löschung nachkommen.
Wie kann ich Google Analytics datenschutzkonform machen?
Stellen Sie eine Seite "Nicht verkaufen oder weitergeben" bereit
Das CCPA verlangt von Unternehmen, die Daten verkaufen oder weitergeben, dass sie auf ihren Websites eine Seite "Meine Daten nicht verkaufen oder weitergeben" zur Verfügung stellen.
Der Link zu dieser Seite muss klar und deutlich sichtbar sein: Wenn er schwer zu finden ist, verstößt die Website gegen das Gesetz. Die Option zum Ausstieg muss ebenfalls leicht zugänglich sein: Unternehmen dürfen für den Ausstieg keine Registrierung oder Identitätsüberprüfung verlangen.
Außerdem dürfen Sie Nutzern, die dem Verkauf und der Weitergabe personenbezogener Daten widersprechen, keine Funktionen Ihrer Website oder Ihres Dienstes vorenthalten: Sie müssen Nutzer, die dem widersprechen, genauso behandeln wie alle anderen.
Natürlich ist diese Seite nicht nur zur Schau gedacht: Sie müssen sicherstellen, dass Sie über technische Verfahren verfügen, um Anfragen zum Verzicht auf den Verkauf oder die Weitergabe von Daten nachzukommen.
Globale Datenschutzkontrolle
Global Privacy Control ist ein technischer Standard für den Verzicht auf Tracking. Ein GPC-Signal wird vom Browser des Besuchers gesendet und fordert Websites auf, die Daten des Besuchers nicht zu verkaufen oder weiterzugeben. Einige Browser unterstützen GPC von Haus aus, während andere eine Erweiterung benötigen.
Nach kalifornischem Recht müssen GPC-Signale beachtet werden, als wären sie eine Aufforderung zum Ausstieg. Wenn Sie also personenbezogene Daten weitergeben, müssen Sie die Weitergabe beenden. Diese Regel wurde in der Vergangenheit bereits gegen den Kosmetikhändler Sephora durchgesetzt.
Bitte beachten Sie, dass die GPC keine Abmeldung von der Datenerfassung an sich ist, sondern nur von der Datenweitergabe. Sie können weiterhin personenbezogene Daten von Besuchern erfassen, die ein GPC-Signal senden, wenn Sie diese nicht verkaufen oder weitergeben.
Bereitstellung eines Hinweises
Websites, die dem CCPA unterliegen, müssen ihre Besucher darüber informieren, dass ihre Daten gesammelt werden. Die Information muss bei oder vor der Erhebung der Daten erfolgen.
Der Hinweis muss die Besucher über die erhobenen Daten und den Zweck der Erhebung informieren. Sie muss auch einen Link zu den Datenschutzrichtlinien der Website enthalten (die nicht mit dem Hinweis selbst identisch sind). Wenn die Website Informationen über Besucher weitergibt, muss sie diese darüber informieren und auf die Seite Meine Daten nicht verkaufen oder weitergeben verweisen.
Diese Anforderung hängt nicht vom Verkauf oder der Weitergabe der Daten ab: Auch wenn Sie die von Ihnen gesammelten Daten nicht weitergeben, müssen Sie Ihren Besuchern einen Hinweis geben.
Beantwortung von Verbraucheranfragen
Die Verbraucher können von den Unternehmen Informationen über die Daten verlangen, einschließlich der Arten und Quellen der personenbezogenen Daten, der Verwendungszwecke und der Informationen über die Offenlegung der Daten. Sie können auch verlangen, dass die Unternehmen ihre Daten löschen.
Wenn Sie eine solche Aufforderung erhalten, müssen Sie ihr innerhalb von 45 Tagen nachkommen (die Frist kann um weitere 45 Tage verlängert werden, so dass sie insgesamt 90 Tage beträgt). Um Anfragen ordnungsgemäß zu bearbeiten, sollten Sie im Vorfeld Standardverfahren festlegen und Ihre Mitarbeiter entsprechend schulen.
Die Unternehmen müssen sich vergewissern, dass die Anfrage von dem Verbraucher stammt, auf den sich die personenbezogenen Daten beziehen. Zu diesem Zweck dürfen sie weitere personenbezogene Daten anfordern. Diese Informationen dürfen nur zur Überprüfung verwendet werden und dürfen vom Unternehmen nicht anderweitig genutzt werden.
Wie bei der Bereitstellung von Informationen gilt die Pflicht zur Beantwortung von Anfragen auch für Unternehmen, die keine Daten weitergeben: Wenn Sie personenbezogene Daten von in Kalifornien ansässigen Personen sammeln, sind Sie verpflichtet, auf solche Anfragen zu antworten, unabhängig davon, was Sie mit den Informationen tun.
Abschließende Überlegungen
Wir haben die notwendigen Schritte aufgezeigt, die Unternehmen unternehmen müssen, um die Einhaltung der Vorschriften in Bezug auf Website-Analysen sicherzustellen. Die Einhaltung der Datenschutzbestimmungen ist wichtig, kann aber manchmal sehr mühsam sein. Glücklicherweise gibt es Website-Analyseprodukte, die von Haus aus datenschutzkonform sind.
Wir haben Simple Analytics mit Blick auf den Datenschutz entwickelt. Wir haben einen "Privacy-by-Design"-Ansatz gewählt und bieten die Einblicke, die jedes Unternehmen braucht, ohne Cookies zu verwenden oder persönliche Daten zu sammeln. Wir sind 100% CCPA-konform. Wir glauben, dass das Internet unabhängig und freundlich zu den Website-Besuchern sein sollte. Wenn Sie sich davon angesprochen fühlen, können Sie uns gerne ausprobieren!