Loading…
Der California Consumer Privacy Act (CCPA) trat im Januar 2020 in Kraft und wurde 2023 durch den California Privacy Rights Act (CPRA) verschärft, der zudem die eigens dafür geschaffene California Privacy Protection Agency (CPPA) ins Leben rief.
Seitdem haben mehr als 18 US-Bundesstaaten umfassende Datenschutzgesetze erlassen — jedes mit eigenen Schwellenwerten, Definitionen und Durchsetzungsfristen. Wir bilden ein einheitliches Kontroll-Rahmenwerk über alle hinweg ab, damit Sie nicht 18 separate Programme betreiben müssen.
Gewinnorientierte Unternehmen, die in Kalifornien geschäftlich tätig sind und eine beliebige dieser Schwellen erfüllen, fallen in den Geltungsbereich:
Jährlicher Bruttoumsatz im vorangegangenen Kalenderjahr
Verarbeitete personenbezogene Daten von kalifornischen Verbrauchern, Haushalten oder Geräten
Jährlicher Umsatz aus dem Verkauf oder der Weitergabe personenbezogener Daten
Informieren Sie Verbraucher über die erhobenen Kategorien und Nutzungszwecke zum oder vor dem Zeitpunkt der Erhebung.
Nutzen Sie personenbezogene Daten ausschließlich für die offengelegten Zwecke — keine sekundäre Nutzung ohne weiteren Hinweis.
Veröffentlichen Sie eine Datenschutzerklärung mit jährlichen Offenlegungen der verkauften, weitergegebenen und offengelegten Kategorien.
Setzen Sie angemessene Sicherheitsmaßnahmen zum Schutz personenbezogener Daten um und erhalten Sie diese aufrecht — bei Verstößen besteht ein privates Klagerecht.
Bearbeiten Sie das Opt-out vom Verkauf oder der Weitergabe innerhalb von 15 Geschäftstagen; berücksichtigen Sie Global-Privacy-Control-Signale.
Beschränken Sie Nutzung und Offenlegung sensibler personenbezogener Daten (Sozialversicherungsnummer, Standortdaten, Biometrie, Gesundheit, Aufenthaltsstatus…).
| Bundesstaat | Gesetz | In Kraft | Aufsichtsbehörde |
|---|---|---|---|
| Kalifornien | CCPA / CPRA | Jan. 2020 / Jan. 2023 | CPPA + Generalstaatsanwalt |
| Virginia | VCDPA | Jan. 2023 | Generalstaatsanwalt |
| Colorado | CPA | Juli 2023 | Generalstaatsanwalt |
| Connecticut | CTDPA | Juli 2023 | Generalstaatsanwalt |
| Utah | UCPA | Dez. 2023 | Generalstaatsanwalt |
| Texas | TDPSA | Juli 2024 | Generalstaatsanwalt |
| Oregon | OCPA | Juli 2024 | Generalstaatsanwalt |
| Montana | MTCDPA | Okt. 2024 | Generalstaatsanwalt |
| Delaware | DPDPA | Jan. 2025 | Justizministerium |
| Iowa | ICDPA | Jan. 2025 | Generalstaatsanwalt |
| New Hampshire | NHPA | Jan. 2025 | Generalstaatsanwalt |
| New Jersey | NJDPA | Jan. 2025 | Attorney General |
Hinweise bei der Erhebung, zum Opt-out, zu finanziellen Anreizen sowie an die jeweilige Kontaktmethode angepasste Hinweise in verstaendlicher Sprache.
Identitaetspruefung, Anfragenannahme, Bearbeitung innerhalb der gesetzlichen Frist von 45 Tagen sowie CPRA-Aufzeichnungen.
Serverseitige und clientseitige Beachtung des GPC-Signals ueber Web- und Mobile-Anwendungen hinweg.
CPRA-konforme Vereinbarungen mit Dienstleistern, Auftragnehmern und Dritten mit den erforderlichen Beschraenkungen.
Pruefung, Klassifizierung und Bereitstellung von Opt-out-Steuerungen fuer Cookies, SDKs, Pixel und Server-zu-Server-Tracking.
Ein einziges Kontrollframework, das CCPA, VCDPA, CPA, CTDPA, UCPA, TDPSA, OCPA, MCDPA und mehr als 10 weitere bundesstaatliche Gesetze abdeckt.
Ein einziges abgebildetes Kontrollframework mit einer DSAR-Pipeline, einer Cookie-Einwilligungsplattform und einem Satz von Vertraegen statt 18 unzusammenhaengender Programme.