Logo Logo
Cookiebot

Probieren Sie unseren kostenlosen Compliance-Test aus, um zu prüfen, ob die Verwendung von Cookies und Online-Tracking auf Ihrer Website mit der DSGVO/ePR konform ist.

Der Test zeigt auch, welche Daten Ihre Website sammelt und mit welchen Dritten sie diese teilt, eine Anforderung des CCPA.

Der California Privacy Rights Act (CPRA) wird verabschiedet und erweitert den CCPA im Golden State.

Veröffentlicht am 11. Januar 2020.


Der California Privacy Rights Act (CPRA) ist ein landesweites Datenschutzgesetz, das bei den Parlamentswahlen 2020 in Kraft getreten ist – und neue Wellen an der Pazifikküste des US-Datenschutzes schlägt.

Der California Privacy Rights Act (CPRA) tritt am 1. Januar 2023 in Kraft und wird am 1. Juli 2023 voll einklagbar – mit einer Rückwirkungsfrist ab dem 1. Januar 2022.

In diesem Blogpost erläutern wir den California Privacy Rights Act (CPRA) und welche Konsequenzen er für Ihre Website und Ihr Unternehmen haben kann.

Cookiebots Lösung beinhaltet bereits die vollständige Einhaltung des kalifornischen CCPA und wir begrüßen einen stärkeren, der DSGVO ähnlichen Zusatz im Golden State.


Kurze Zusammenfassung


California Privacy Rights Act (CPRA) – das was und wann sowie die Konsequenzen für Ihre Website

Der California Privacy Rights Act (CPRA) ist ein neues landesweites Datenschutzgesetz, das am 3. November 2020 in Kraft getreten ist.

Er unterstreicht die Position Kaliforniens als Vorreiter in der US-Datenschutzgesetzgebung, da er den bestehenden California Consumer Privacy Act (CCPA), der am 1. Januar 2020 in Kraft getreten ist, erheblich erweitert.

Kurz gesagt wirkt der California Privacy Rights Act (CPRA) als Ergänzung zum CCPA – er stärkt die Rechte der Einwohner Kaliforniens, verschärft die Vorschriften für Unternehmen zur Verwendung personenbezogener Daten (PI) und etabliert eine neue Regierungsbehörde für die landesweite Durchsetzung des Datenschutzes, die California Privacy Protection Agency (CPPA), um nur einige der wichtigsten Änderungen an der Datenschutzpolitik des Golden State zu nennen.

Der California Privacy Rights Act (CPRA) wird am 1. Januar 2023 vollständig in Kraft treten. Die Durchsetzung soll am 1. Juli 2023 beginnen - mit einer sogenannten Rückwirkungsfrist bis zum 1. Januar 2022, was bedeutet, dass Daten, die ab diesem Datum gesammelt werden, für die Einhaltung des Gesetzes verantwortlich sind.



Der California Privacy Rights Act (CPRA) ändert den CCPA und tritt im Januar 2023 in Kraft.

Der California Privacy Rights Act (CPRA) läutet eine neue und aktualisierte Datenschutzregelung an der Westküste ein.



California Privacy Rights Act (CPRA) Kurzübersicht

Der California Privacy Rights Act (CPRA) Gesetzestext (PDF in Englisch)


Zeitplan für den California Privacy Rights Act (CPRA) –



Einhaltung des California Privacy Rights Act (CPRA) mit Cookiebot.

Die Lösung von Cookiebot bietet Konformität für Ihre Website mit dem kalifornischen Datenschutzregime.



CCPA vs. CPRA – Warum zwei Datenschutzgesetze?

Sie fragen sich vielleicht, wie der California Privacy Rights Act (CPRA) mit dem bestehenden California Consumer Privacy Act (CCPA) zusammenwirkt?

Eine einfache Antwort ist, dass Kalifornien ein übergreifendes gesetzliches Datenschutzregime hat, das durch den CCPA am 1. Januar 2020 eingeführt wurde, und zu dem der CPRA eher eine Erweiterung darstellt als ein neues Gesetz an sich.

Während der CCPA ein völlig neues Pflaster für die digitalen Infrastrukturen Kaliforniens war, ist der CPRA eine Renovierung dieses Fundaments - er beseitigt Schlaglöcher mit Unklarheiten, fügt zusätzliche Regelungen für den Verkehr hinzu und baut neue Schutzmaßnahmen für die Endnutzer auf.

Auf diese Weise gibt es in Kalifornien nicht wirklich zwei getrennte Datenschutzgesetze, sondern ein Datenschutzregime, das aus dem CCPA/CPRA-Setup besteht.



CPRA ändert CCPA, um Rechte und Anforderungen zu erweitern.

Der California Privacy Rights Act (CPRA) ändert den Gesetzestext des CCPA und ist buchstäblich eine Neufassung.



Das liegt daran, dass der CPRA so geschrieben ist, dass er sich nur auf die bestehende CCPA-Grundlage bezieht – manchmal werden bestehende Bestimmungen erweitert, manchmal werden ganz neue hinzugefügt, aber immer wird auf den ursprünglichen CCPA-Gesetzestext selbst zurückverwiesen.

Als Pionier des US-Datenschutzrechts hat der CCPA einen Weg geebnet, den der CPRA nun weiter ausbaut.

Erfahren Sie mehr über den California Consumer Privacy Act (CCPA)

Erfahren Sie mehr über die Einhaltung des CCPA mit Cookiebot


Konformität mit Cookiebot


Die Plug-and-Play-Lösung von Cookiebot ist die weltweit führende Consent Management-Plattform (CMP), die heute die Einhaltung des California Consumer Privacy Act (CCPA) bietet.

Unsere Lösung wird auch nach dem Inkrafttreten des CPRA im Januar 2023 die volle Konformität mit den neuen und aktualisierten Datenschutzbestimmungen bieten.

Tatsächlich bietet die Cookiebot-Lösung Plug-and-Play-Konformität mit allen wichtigen Datenschutzgesetzen - von der EU-DSGVO/ePR über die kalifornische CCPA/CPRA und die brasilianische LGPD bis hin zu Südafrikas POPIA.

Die Consent Management-Plattform (CMP) von Cookiebot basiert auf einem leistungsstarken Website-Scanner, der alle Cookies, Tracker und Trojaner von Drittanbietern auf Ihrer Domain aufspürt - so erhalten Sie volle Transparenz und Kontrolle über die Sammlung und Weitergabe von persönlichen Daten auf Ihrer Website.

Die Geotargeting-Funktion von Cookiebot ermittelt automatisch den Standort Ihrer Benutzer, so dass Ihre Website jedem Endbenutzer genau die richtige Compliance-Lösung präsentiert, die dem jeweiligen Datenschutzregime entspricht - DSGVO/ePR, wenn die Benutzer aus der EU kommen, CCPA/CPRA, wenn die Benutzer aus Kalifornien kommen.

Testen Sie Cookiebot mit dem Google Consent Mode für volle Compliance, ohne die Analyse Ihrer Website zu beeinträchtigen.

Scannen Sie Ihre Website kostenlos, um zu sehen, ob Sie Nutzer aus Kalifornien haben.

Testen Sie Cookiebot kostenlos für 30 Tage – oder für immer, wenn Sie eine kleine Website haben

Erfahren Sie mehr über CCPA-Konformität mit Cookiebot

Erfahren Sie mehr über die Einhaltung der DSGVO mit Cookiebot

So starten Sie mit Google Consent Mode und Cookiebot


California Privacy Rights Act (CPRA), im Detail


Lassen Sie uns den California Privacy Rights Act (CPRA) in noch kleinere Teile zerlegen, um genau zu verstehen, wie er das landesweit geltende und seit dem 1. Januar 2020 gültige Datenschutzregime des CCPA ändert, erweitert und erneuert.

Wie bereits erwähnt, handelt es sich bei dem California Privacy Rights Act (CPRA) um einen Zusatz zum California Consumer Privacy Act (CCPA) und damit um eine Reihe wesentlicher Änderungen des bestehenden CCPA-Gesetzestexts.

Die wesentlichen Änderungen, die der CPRA am CCPA vornimmt, sind –



Der California Privacy Rights Act (CPRA) wird ab Juli 2023 durchgesetzt.

Der Datenschutz in Kalifornien ist gefestigt und der CPRA widersteht den meisten rechtlichen Versuchen, ihn aufzuweichen.



Darüber hinaus sichert der California Privacy Rights Act (CPRA) das Datenschutzrecht in Kalifornien auf eine andere Art und Weise als der CCPA, da der CPRA Bestimmungen enthält, die vorschreiben, dass alle Änderungen des Gesetzes mit seinem Zweck und seiner Absicht übereinstimmen müssen, was eine Verwässerung rechtlich nahezu unmöglich macht.

Dies ist vielleicht eine der bedeutendsten Änderungen, da sie das Gesetz praktisch wasserdicht gegen alle Versuche macht, den Schutz der Privatsphäre zu schwächen oder die Vorschriften für Unternehmen durch den Druck der Industrie oder spezieller Interessen zu lockern.

Die Verabschiedung eines Bundesdatenschutzgesetzes oder eine zukünftige Wahlinitiative ausgeschlossen, scheint Kaliforniens aktualisiertes Datenschutzregime (CCPA/CPRA) vorerst bestehen zu bleiben.

Sehen wir uns die neuen CPRA-Änderungen genauer an!


CPRA kreiert Kategorie: sensible persönliche Informationen (SPI)

In Kalifornien schafft der CPRA eine neue Kategorie von persönlichen Daten - die sogenannten sensiblen persönlichen Daten (engl. sensitive personal information, SPI).

Zu sensiblen persönlichen Informationen (SPI) gehören –

Sensible persönliche Daten (SPI) werden getrennt von normalen persönlichen Daten reguliert, wobei die Benutzer erweiterte Rechte über die Verwendung ihrer SPI haben, einschließlich des Rechts, gesammelte SPI offenlegen zu lassen, die Verwendung von SPI abzulehnen und eine nachträgliche Zustimmung zur Verwendung von SPI zu erteilen, wenn die Benutzer diese zuvor abgelehnt haben.


CPRA verlangt neue Links auf Ihrer Website

Der California Privacy Rights Act (CPRA) schreibt neu vor, wie Ihre Website es Verbrauchern ermöglicht, dem Verkauf oder der Weitergabe ihrer PI zu widersprechen, und fügt eine Anforderung hinzu, wie Ihre Website es Nutzern ermöglicht, ihr Recht auf Einschränkung der Nutzung ihrer PI auszuüben.

Der CPRA ändert die "Do Not Sell"-Schaltfläche des CCPA, so dass Ihre Website einen Link mit der Überschrift "Do Not Sell Or Share My Personal Information" (dt. Meine persönlichen Daten nicht verkaufen oder weitergeben) enthalten muss.

Der CPRA schafft auch eine neue, ähnliche Anforderung für Ihre Website, einen Link mit dem Titel "Limit The Use Of My Sensitive Personal Information" (dt. Die Verwendung meiner sensiblen persönlichen Daten einschränken) bereitzustellen, der es den Einwohnern Kaliforniens ermöglicht, die Verwendung und Offenlegung ihrer SPI einzuschränken.

Darüber hinaus ermutigt der CPRA Unternehmen dazu, "einen einzigen, deutlich gekennzeichneten Link" (eigene Übersetzung) einzurichten, der es einem Verbraucher leicht ermöglicht, gleichzeitig dem Verkauf oder der Weitergabe von PI zu widersprechen und die Nutzung oder Offenlegung der SPI des Verbrauchers einzuschränken.


CPRA gibt dem CCPA neuen Spielraum

Der California Privacy Rights Act (CPRA) ändert, wer unter dem CCPA haftbar ist.

Der CPRA ändert die CCPA-Definition des Begriffs "Unternehmen" dahingehend, dass es sich um eine Website, ein Unternehmen oder eine Organisation handelt, die (Änderungen in fett) –

Diese Änderungen werden wahrscheinlich dazu führen, dass die Einhaltung der Vorschriften von kleineren Unternehmen auf größere Unternehmen verlagert wird, deren Geschäfte stärker auf die Erfassung und Weitergabe von persönlichen Daten angewiesen sind, und zwar sowohl im Hinblick auf den Umfang (von 50.000 auf 100.00) als auch auf die Methode (von ausschließlicher Erfassung des Verkaufs zur Weitergabe).



Der California Privacy Rights Act (CPRA) schafft die neue CPPA-Durchsetzungsbehörde.

Die Neuregelung des kalifornischen Datenschutzes wird verschiedene Unternehmen in die Pflicht nehmen.



CPRA schafft und erweitert die Rechte des CCPA

Der California Privacy Rights Act (CPRA) schafft vier neue Rechte und modifiziert fünf bestehende Rechte für Einwohner Kaliforniens.

Die vier neuen CPRA-Rechte sind –


Die fünf modifizierten CPRA-Rechte sind –


CPRA reguliert verhaltensbezogene Werbung

Der California Privacy Rights Act (CPRA) ändert den CCPA, um speziell verhaltensbasierte Werbung zu regulieren, die persönliche Daten verwendet, um die Einwohner Kaliforniens mit Marketing auf der Basis von Profiling anzusprechen.

Während der CCPA das Recht auf Opt-out als Einschränkung der Nutzung, des Verkaufs und der Weitergabe von persönlichen Daten für Werbezwecke im Austausch gegen Geld definierte, schafft der CPRA zwei getrennte Arten von Werbung – kontextübergreifende verhaltensbezogene Werbung und nicht-personalisierte Werbung.

Erstere ist durch das Recht auf Opt-out geregelt, letztere nicht.



California Privacy Rights Act (CPRA) stärkt den Datenschutz in Kalifornien.

Verhaltensbasierte Werbung ist eine milliardenschwere Industrie, die in Kalifornien nun strenger reguliert wird.



Das Recht, verhaltensbasierte Werbung abzulehnen, bedeutet, dass Einwohner Kaliforniens Unternehmen auffordern können, ihre persönlichen Daten nicht mehr an Dritte weiterzugeben, um zu verhindern, dass sie mit Werbung angesprochen werden, die auf verhaltensbasierten Daten basiert - von ihrer Such-, Browser- und Kaufhistorie, Online-Präferenzen, Geräteeinstellungen, Geolokalisierung bis hin zu der Art und Weise, wie sie auf einer Website scrollen und klicken.

Nicht-personalisierte Werbung hingegen wird von der CPRA als Geschäftszweck definiert und ist daher von jeglichen Anforderungen für ein Opt-out ausgenommen.

Anstelle des CCPA-Opt-out-Rechts für persönliche Daten im Allgemeinen, das die Einwohner Kaliforniens heute genießen, spezifiziert der CPRA seine Regelungen nun so, dass sie nur PI betreffen, die für verhaltensbezogene Werbung verwendet werden.


CPRA richtet die California Privacy Protection Agency (CPPA) ein

Als erstes Land in den USA wird Kalifornien eine Datenschutzbehörde haben, die mit den von der DSGVO vorgeschriebenen nationalen Datenschutzbehörden vergleichbar ist, die die Datenschutzgesetze der EU überwachen und durchsetzen.

Die California Privacy Protection Agency (CPPA) wird der führende Durchsetzer und Überwacher des CCPA/CPRA mit der Befugnis, Verstöße zu untersuchen und zu ahnden.

Durch die Einrichtung der California Privacy Protection Agency (CPPA) verlagert der CPRA die Durchsetzungsverantwortung, die derzeit bei der Generalstaatsanwaltschaft (engl. Office of the Attorney General) liegt, auf die neue Regierungsbehörde, die ab dem 1. Juli 2023 mit der Durchsetzung beginnen wird.

Die kalifornische Datenschutzbehörde (California Privacy Protection Agency, CPPA) hat die volle Durchsetzungsbefugnis für die CCPA/CPRA-Regelung sowie die Befugnis, mögliche Verstöße zu untersuchen und Durchsetzungsvorschriften zu entwerfen.

Darüber hinaus hebt der CPRA die Frist von 30 Tagen auf, die Unternehmen nach der Benachrichtigung über einen mutmaßlichen Verstoß zur Verfügung steht, und erhöht den Höchstbetrag für Bußgelder bei Verstößen.


CPRA führt DSGVO-ähnliche Anforderungen ein

Als weitere Neuerung für Kalifornien führt der CPRA drei zusätzliche Anforderungen für Unternehmen ein, die sich eng an die DSGVO-Regelung der EU anlehnen:

Nach der durch den CPRA geänderten Datenschutzregelung in Kalifornien darf eine Website oder ein Unternehmen personenbezogene Daten von Kaliforniern nur dann erfassen, verwenden und weitergeben, wenn dies im Einklang mit dem Erhebungszweck steht und angemessen ist (Datenminimierung).

Anders ausgedrückt: Sie dürfen nicht mehr Daten sammeln oder weitergeben, als für den angegebenen Zweck der Sammlung unbedingt notwendig sind.



CCPA vs. CPRA - Konformität mit Cookiebot.

Die Annäherung Kaliforniens an die Datenschutzstandards der DSGVO könnte zu einer zukünftigen Angemessenheitsentscheidung der EU führen.



Ebenso ist es einer Website oder einem Unternehmen nicht erlaubt, die PI von Kaliforniern für einen neuen Zweck zu sammeln, zu verwenden oder weiterzugeben, ohne dies vorher anzugeben, genauso wie es nicht erlaubt ist, Daten ohne jeglichen angegebenen Zweck zu sammeln oder weiterzugeben (Zweckbindung).

Der CPRA ändert den CCPA auch dahingehend, dass eine Website oder ein Unternehmen verpflichtet ist, die Einwohner Kaliforniens (zum Zeitpunkt der Erfassung) über die Speicherdauer jeder erfassten Kategorie personenbezogener Daten zu informieren, was bedeutet, dass die Nutzer ein Recht darauf haben zu erfahren, wie lange ihre Daten nach der Erfassung gespeichert werden (Speicherbegrenzung).

Der California Privacy Rights Act (CPRA) erweitert außerdem die aktuellen Einwilligungsanforderungen des CCPA, die vielleicht das DSGVO-ähnlichste Merkmal des kalifornischen Datenschutzgesetzes sind, um folgende Punkte –


Zusammenfassung: California Privacy Rights Act (CPRA)


Mit der Verabschiedung des California Privacy Rights Act (CPRA) wurde das kalifornische Datenschutzrecht erheblich aktualisiert – nur ein Jahr nach Inkrafttreten des California Consumer Privacy Act (CCPA).

Der California Privacy Rights Act (CPRA) ist ein klares Signal, dass der Golden State auf dem Gebiet des Datenschutzes in den USA mit voller Kraft voranschreitet.

Auch wenn der CPRA erst im Januar 2023 vollständig in Kraft tritt und erst im Juli 2023 durchgesetzt wird, sollten sich Websites, Unternehmen und Organisationen, die Nutzer aus Kalifornien haben, auf die Einhaltung vorbereiten.

Die Plug-and-Play-Lösung von Cookiebot bietet bereits volle CCPA-Konformität für die Cookies und Tracker Ihrer Website – neben der Konformität mit anderen wichtigen Datenschutzgesetzen wie der DSGVO der EU, dem LGPD Brasiliens und POPIA Südafrikas.

Testen Sie Cookiebot kostenlos für 30 Tage – oder für immer, wenn Sie eine kleine Website haben.

Erfahren Sie mehr über CCPA-Konformität mit Cookiebot

Erfahren Sie mehr über die Einhaltung der DSGVO mit Cookiebot

Starten Sie mit Google Consent Mode und Cookiebot


FAQ


Was ist der California Privacy Rights Act (CPRA)?

Der California Privacy Rights Act (CPRA) ist ein landesweites Datenschutzgesetz, das den bestehenden California Consumer Privacy Act (CCPA) abändert und erweitert. Der CPRA wirkt als Ergänzung zum CCPA, stärkt die Datenschutzrechte der Einwohner Kaliforniens, verschärft die Vorschriften für Unternehmen und setzt die California Privacy Protection Agency (CPPA) als federführende Durchsetzungsbehörde und Aufsichtsbehörde ein.

Testen Sie Cookiebot kostenlos für 30 Tage - oder für immer, wenn Sie eine kleine Website haben.


Was ist der Unterschied zwischen CCPA und CPRA?

Der California Consumer Privacy Act (CCPA) legte den Grundstein für das Datenschutzrecht im Bundesstaat Kalifornien, als er am 1. Januar 2020 in Kraft trat. Der California Privacy Rights Act (CPRA) ist an sich kein neues Gesetz, sondern vielmehr eine Neufassung des CCPA. Zusammen bilden CCPA/CPRA eine einheitliche Datenschutzregelung in Kalifornien.

Erfahren Sie mehr über CCPA und Cookies


Wann tritt der California Privacy Rights Act (CPRA) in Kraft?

Der California Privacy Rights Act (CPRA) tritt am 1. Januar 2023 in Kraft mit einer Rückwirkungsfrist bis zum 1. Januar 2022. Die California Privacy Protection Agency (CPPA) wird ab dem 1. Juli 2023 mit der Durchsetzung des CPRA beginnen.

Erfahren Sie mehr über die Einhaltung des CCPA mit Cookiebot


Wie kann ich mit dem California Privacy Rights Act (CPRA) konform werden?

Wenn Sie bereits mit dem CCPA konform sind, müssen Sie bestimmte Praktiken ändern und neue Datenschutzfunktionen auf der Website Ihres Unternehmens hinzufügen. Mit der Lösung von Cookiebot hat Ihre Website bereits die volle Kontrolle über die Datenerfassung und respektiert das Opt-Out der Nutzer für die Einhaltung des CCPA.

Testen Sie Cookiebot kostenlos für 30 Tage – oder für immer, wenn Sie eine kleine Website haben.


Ressourcen


Testen Sie Cookiebot kostenlos für 30 Tage – oder für immer, wenn Sie eine kleine Website haben

Scannen Sie Ihre Website kostenlos, um zu sehen, ob Sie Nutzer aus Kalifornien haben

Gesetzestext zum California Privacy Rights Act (CPRA) (PDF in Englisch)

CCPA-Einhaltung mit Cookiebot

CCPA und Cookies

Manatt: CCPA vs. CPRA-Vergleich (in Englisch)

IAPP über die Verabschiedung des California Privacy Rights Act (CPRA) (in Englisch)

Büro des Generalstaatsanwalts von Kalifornien (in Englisch)

New Google Consent Mode 

Cookiebot integrates perfectly with the new Google Consent Mode.

Machen Sie heute die Verwendung von Cookies und Online-Tracking auf Ihrer Website konform

Jetzt kostenlos testen