25 Millionen USD Umsatz
Unternehmen mit einem jährlichen Bruttoumsatz von über 25 Millionen USD fallen in den Geltungsbereich. Bereits diese Schwelle allein genügt.
CCPA/CPRA • US-BUNDESSTAATSGESETZE
Der komplette Leitfaden zu CCPA/CPRA und Datenschutzgesetzen
Für Unternehmen, die in den US-Markt eintreten: Kaliforniens CCPA/CPRA sowie die Verbraucherdatenschutzgesetze von mehr als 20 Bundesstaaten, mit Anwendungsschwellen, Verbraucherrechten, der Pflicht Do Not Sell or Share und universellem Opt-out (GPC). Dieser Inhalt stellt keine Rechtsberatung dar; die Zusammenarbeit mit einer qualifizierten Rechtsberatung wird empfohlen.
Was sind CCPA und CPRA?
Der California Consumer Privacy Act (CCPA) ist die umfassendste Datenschutzregelung auf Bundesstaatsebene in den USA und trat am 1. Januar 2020 in Kraft. Er gewährt Einwohnerinnen und Einwohnern Kaliforniens Rechte an ihren personenbezogenen Daten und legt Unternehmen Transparenzpflichten auf.
Der CCPA wurde durch den California Privacy Rights Act (CPRA), der 2020 per Volksabstimmung angenommen wurde, erheblich erweitert. Die CPRA-Bestimmungen traten am 1. Januar 2023 in Kraft, die Durchsetzung begann am 1. Juli 2023. Mit dem CPRA wurde außerdem eine unabhängige Aufsichtsbehörde geschaffen, die California Privacy Protection Agency (CPPA). Wenn heute von CCPA die Rede ist, ist in der Regel die durch den CPRA geänderte Fassung gemeint.
Was das für Unternehmen bedeutet, die in die USA eintreten: Kalifornien ist der größte Verbrauchermarkt der USA, und die meisten Bundesstaatsgesetze folgen dem kalifornischen Modell. Eine Ausrichtung an CCPA/CPRA bildet eine solide Grundlage für die Einhaltung weiterer Bundesstaatsgesetze. Diese Seite ergänzt unseren GDPR-Leitfaden: Für die EU gilt die DSGVO, für die USA der Rahmen aus CCPA/CPRA.
Geltungsbereich
Wer fällt unter CCPA/CPRA?
CCPA/CPRA gilt für gewinnorientierte Unternehmen, die in Kalifornien geschäftlich tätig sind und mindestens eine der folgenden drei Schwellen erfüllen.
100.000+ Verbraucher
Unternehmen, die jährlich die personenbezogenen Daten von 100.000 oder mehr kalifornischen Verbrauchern oder Haushalten kaufen, verkaufen oder weitergeben, fallen in den Geltungsbereich.
50 % des Umsatzes
Unternehmen, die 50 % oder mehr ihres Jahresumsatzes aus dem Verkauf oder der Weitergabe personenbezogener Daten erzielen, fallen in den Geltungsbereich.
Wichtig: Diese drei Schwellen sind mit oder verknüpft; das Erfüllen einer einzigen genügt. Schwellenwerte und ihre Auslegung können sich ändern; für den aktuellen Stand sind CPPA (cppa.ca.gov) und der kalifornische Attorney General (oag.ca.gov) maßgeblich.
CCPA/CPRA-Rechte
Verbraucherrechte
CCPA/CPRA gewährt kalifornischen Verbrauchern sechs grundlegende Rechte an ihren personenbezogenen Daten.
Recht auf Auskunft
Verbraucher können erfahren, welche personenbezogenen Daten erhoben werden, zu welchen Zwecken sie verwendet und mit wem sie geteilt werden.
Recht auf Löschung
Verbraucher können die Löschung der von einem Unternehmen erhobenen personenbezogenen Daten verlangen (bestimmte Ausnahmen gelten).
Recht auf Berichtigung
Verbraucher können die Korrektur unrichtiger personenbezogener Daten über sich verlangen (ein durch den CPRA eingeführtes Recht).
Recht auf Widerspruch gegen Verkauf oder Weitergabe
Verbraucher können dem Verkauf oder der Weitergabe ihrer personenbezogenen Daten widersprechen.
Recht auf Beschränkung der Nutzung sensibler Daten
Verbraucher können verlangen, dass die Nutzung und Offenlegung ihrer sensiblen personenbezogenen Daten beschränkt wird (ein durch den CPRA eingeführtes Recht).
Recht auf Nichtdiskriminierung
Ein Unternehmen darf Verbraucher, die ihre Rechte ausüben, nicht durch unterschiedliche Preise oder Leistungen benachteiligen.
Do Not Sell or Share und Beschränkung sensibler Daten
Die sichtbarste Pflicht unter CCPA/CPRA besteht darin, Verbrauchern einen Weg zu bieten, dem Verkauf oder der Weitergabe ihrer personenbezogenen Daten zu widersprechen. Unternehmen, die personenbezogene Daten verkaufen oder weitergeben, müssen auf ihrer Startseite einen deutlich sichtbaren Link bereitstellen.
Do Not Sell or Share My Personal Information
Über diesen Link kann ein Verbraucher den Verkauf seiner personenbezogenen Daten oder deren Weitergabe an Dritte zu Zwecken zielgerichteter Werbung stoppen. Er muss an sichtbarer Stelle auf der Startseite erscheinen und den Verbraucher zum Opt-out-Mechanismus führen.
- Rechtsgrundlage: CCPA/CPRA
- Platzierung: Sichtbar auf der Startseite
- Funktion: Opt-out von Verkauf/Weitergabe
Limit the Use of My Sensitive Personal Information
Unternehmen, die sensible personenbezogene Daten erheben (zum Beispiel genaue Geolokalisierung, rassische oder ethnische Herkunft, Gesundheit, sexuelle Orientierung, exakte Finanzdaten), müssen einen zweiten Link bereitstellen, der die Nutzung dieser Daten beschränkt.
- Rechtsgrundlage: CPRA
- Platzierung: Sichtbar auf der Startseite
- Funktion: Beschränkung der Nutzung sensibler Daten
Die beiden Links können zu einem einzigen Link Your Privacy Choices zusammengefasst werden. Entscheidend ist, dass der Opt-out-Weg leicht zugänglich und verständlich ist.
Universelles Opt-out und Global Privacy Control (GPC)
Kalifornien verlangt von Unternehmen nicht nur einen Link auf der Website, sondern auch die Berücksichtigung browserbasierter Opt-out-Präferenzsignale. Die häufigste Umsetzung davon ist das Signal Global Privacy Control (GPC).
GPC ist ein automatisches Signal, das über den Browser oder eine Erweiterung des Verbrauchers gesendet wird und bedeutet: Verkaufe oder teile meine personenbezogenen Daten nicht. Nach den kalifornischen Vorschriften müssen Unternehmen dieses Signal als gültige Opt-out-Anfrage behandeln. Der Verbraucher muss nicht auf jeder Website einen eigenen Link anklicken; das Signal wird einmal auf Browserebene eingestellt und gilt für alle Websites.
GPC funktioniert in cerez.io bereits: Die Plattform erkennt automatisch, wenn der Browser das GPC-Signal sendet. Ist GPC in Ihren Domain-Einstellungen aktiviert und liegt noch keine Entscheidung vor, werden nicht notwendige Cookies ohne Anzeige des Banners abgelehnt und die Google-Consent-Mode-Signale auf denied aktualisiert. Dieses Verhalten hilft, die Erwartung an ein universelles Opt-out technisch zu erfüllen.
20+ Bundesstaaten
Die Landschaft der US-Datenschutzgesetze
Stand 2025-2026 haben mehr als 20 US-Bundesstaaten umfassende Verbraucherdatenschutzgesetze verabschiedet. Die meisten umfassen ein Opt-out von Verkauf/zielgerichteter Werbung und die Anerkennung eines universellen Opt-outs (GPC). Die folgende Tabelle fasst die wichtigsten Bundesstaaten zusammen; für die vollständige Liste sind offizielle Quellen maßgeblich.
| Bundesstaat | Gesetz | Status | Besondere Regel |
|---|---|---|---|
| California | CCPA/CPRA | In Kraft | Am umfassendsten; durch die CPPA durchgesetzt, GPC verpflichtend |
| Virginia | VCDPA | In Kraft | Erstes Modellgesetz nach Kalifornien |
| Colorado | CPA | In Kraft | Universeller Opt-out-Mechanismus verpflichtend |
| Connecticut | CTDPA | In Kraft | Erkennt Opt-out-Präferenzsignale an |
| Utah | UCPA | In Kraft | Unternehmensfreundliches, flexibleres Modell |
| Texas | TDPSA | In Kraft | Breiter Geltungsbereich, keine Umsatzschwelle |
| Oregon | OCPA | In Kraft | Liste der Dritten auf Anfrage |
| Montana | MCDPA | In Kraft | Niedrige Bevölkerungsschwelle |
| Iowa | ICDPA | In Kraft | Eingeschränkterer Satz an Verbraucherrechten |
| Delaware | DPDPA | In Kraft | Erfasst auch gemeinnützige Organisationen |
| New Jersey | NJDPA | In Kraft | Erkennt universelles Opt-out an |
| Nebraska | NDPA | In Kraft | Erfasst auch kleinere Unternehmen |
| New Hampshire | NHDPA | In Kraft | Opt-out-Präferenzsignale |
| Minnesota | MCDPA | In Kraft | Erweitertes Widerspruchsrecht gegen Profiling |
| Tennessee | TIPA | In Kraft | Programmverteidigung auf NIST-Basis |
| Florida | FDBR | In Kraft | Nur sehr große Unternehmen im Geltungsbereich |
| Maryland | MODPA | Demnächst | Strenger bei der Datenminimierung |
| Indiana | INCDPA | Demnächst | Nahe am Virginia-Modell |
| Kentucky | KCDPA | Demnächst | Nahe am Virginia-Modell |
| Rhode Island | RIDTPPA | Demnächst | Transparenzorientiert |
Die Liste wächst stetig; weitere Bundesstaaten haben Gesetze verabschiedet oder Gesetzentwürfe in Bearbeitung. Maßgebliche Quellen: für Kalifornien cppa.ca.gov und oag.ca.gov; für die allgemeine Verfolgung die offiziellen Websites der Attorney General.
cerez.io
US-Bundesstaats-Compliance mit cerez.io
Welche Schritte automatisiert unsere Plattform heute, und welche stehen auf der Roadmap oder liegen in Ihrer Verantwortung? cerez.io garantiert keine US-Bundesstaats-Compliance; es misst, verwaltet und hilft, Ihren Compliance-Prozess zu dokumentieren.
Berücksichtigung des GPC-Signals
Wenn der Browser das GPC-Opt-out-Signal sendet, erkennt die Plattform dies automatisch und lehnt nicht notwendige Cookies ohne Anzeige des Banners ab. Das hilft, die Erwartung Kaliforniens an ein universelles Opt-out technisch zu erfüllen.
VerfügbarConsent-Log mit Zeitstempel
Jede Consent-Entscheidung wird mit Zeitstempel und Besucherkennung erfasst. Das unterstützt den von den Bundesstaatsgesetzen erwarteten Bedarf an Rechenschaft und Dokumentation.
VerfügbarMehrsprachiges Banner und automatisches Scannen
Mit automatischem Cookie-Scan, Kategorisierung und einem mehrsprachigen Banner (TR/EN/DE) wird die Datenverarbeitung auf Ihrer Website transparent dargestellt. Das unterstützt die technische Grundlage des Auskunftsrechts.
VerfügbarEin CCPA-spezifischer Do Not Sell-Modus
Ein kalifornienspezifischer Do Not Sell or Share-Link und -Modus stehen derzeit auf der Roadmap. Heute wird die Compliance über mehrere Rechtsordnungen durch die Berücksichtigung des GPC-Signals und eine allgemeine Opt-out-Grundlage unterstützt.
Auf der RoadmapUS-Bundesstaats-Geotargeting
Geotargeting, das das Banner-Verhalten je nach Bundesstaat anpasst, steht derzeit auf der Roadmap. Heute funktionieren Banner- und GPC-Verhalten für alle Besucher einheitlich.
Auf der RoadmapRechtstexte und Datenschutzerklärung
Die rechtliche Freigabe einer an CCPA/CPRA ausgerichteten Datenschutzerklärung und der Your Privacy Choices-Texte liegt in Ihrer Verantwortung und der Ihrer Rechtsberatung. cerez.io stellt Vorlagen und technische Infrastruktur bereit, garantiert jedoch keine rechtliche Hinlänglichkeit.
Teilweise unterstütztcerez.io bietet eine Compliance-Grundlage über mehrere Rechtsordnungen (DSGVO, KVKK und US-Bundesstaatsgesetze) und berücksichtigt das GPC-Signal bereits heute. Dennoch kann keine Software allein die rechtliche Compliance garantieren. Vollständige Compliance mit CCPA/CPRA und anderen Bundesstaatsgesetzen wird gemeinsam mit Rechtsberatung und Prozessgestaltung erreicht.
Häufig gestellte Fragen
Kurze Antwort: Nicht aufgrund Ihres Standorts, sondern danach, ob Sie Daten von Einwohnern Kaliforniens verarbeiten. CCPA/CPRA gilt für gewinnorientierte Unternehmen, die in Kalifornien geschäftlich tätig sind und mindestens eine von drei Schwellen erfüllen (25 Mio. USD Umsatz, 100.000+ Verbraucher oder 50 % des Umsatzes aus Datenverkauf). Ein Unternehmen mit Sitz in der Türkei, das in den US-Markt verkauft, fällt in den Geltungsbereich, wenn es diese Schwellen erfüllt.
Kurze Antwort: Der CCPA ist das Grundgesetz (in Kraft seit 1. Januar 2020). Der CPRA erweitert und ändert ihn (in Kraft seit 1. Januar 2023, Durchsetzung ab 1. Juli 2023). Der CPRA fügte die Rechte auf Berichtigung und Beschränkung sensibler Daten hinzu und schuf die unabhängige Aufsichtsbehörde CPPA. Heute ist mit CCPA in der Regel die durch den CPRA geänderte Fassung gemeint.
Kurze Antwort: Ja für Unternehmen, die personenbezogene Daten verkaufen oder weitergeben. Der Link muss an sichtbarer Stelle auf der Startseite erscheinen. Unternehmen, die sensible Daten nutzen, müssen zusätzlich einen Link Limit the Use of My Sensitive Personal Information bereitstellen. Die beiden Links können unter einer Überschrift Your Privacy Choices zusammengefasst werden.
Kurze Antwort: GPC ist ein automatisches Opt-out-Signal, das über den Browser gesendet wird und bedeutet, meine Daten nicht zu verkaufen oder weiterzugeben. Nach den kalifornischen Vorschriften müssen Unternehmen dieses Signal als gültige Opt-out-Anfrage behandeln. cerez.io berücksichtigt dieses Signal heute automatisch.
Kurze Antwort: Bis zu 2.500 USD pro Verstoß und bis zu 7.500 USD bei vorsätzlichen Verstößen oder solchen, die Daten Minderjähriger betreffen. Die Durchsetzung erfolgt durch die CPPA und den kalifornischen Attorney General. Für Beträge und Details sind die offiziellen Quellen maßgeblich.
Kurze Antwort: cerez.io garantiert keine CCPA-Konformität; es misst, verwaltet und hilft, Ihren Compliance-Prozess zu dokumentieren. Heute verfügbar: Berücksichtigung des GPC-Signals, ein Consent-Log mit Zeitstempel, ein mehrsprachiges Banner und automatisches Scannen. Ein CCPA-spezifischer Do Not Sell-Modus und US-Bundesstaats-Geotargeting stehen auf der Roadmap. Die Hinlänglichkeit der Rechtstexte wird mit Ihrer Rechtsberatung sichergestellt.
USA + EU + Türkei =
GPC-Berücksichtigung, eine Consent-Grundlage über mehrere Rechtsordnungen, Google Consent Mode v2 und automatisches Cookie-Scannen. Einrichtung in 5 Minuten.