CalOPPA: Der California Online Privacy Protection Act erklärt

Kalifornien war der erste US-Bundesstaat, der im Jahr 2004 mit dem California Online Privacy Protection Act(CalOPPA) ein eigenes Datenschutzgesetz verabschiedete.

In diesem Leitfaden vereinfache ich die Einhaltung des CalOPPA für Ihr Online-Unternehmen, indem ich die wichtigsten rechtlichen Anforderungen zusammenfasse und eine Checkliste vorstelle, die Ihrer Plattform hilft, dieses kalifornische Datenschutzgesetz einzuhalten.

Was ist der California Online Privacy Protection Act (CalOPPA)?

CalOPPA ist ein Gesetz des Bundesstaates Kalifornien und war eine der ersten Datenschutzbestimmungen in den Vereinigten Staaten, die am 1. Juli 2004 in Kraft getreten ist.

Es verlangt von allen Online-Unternehmen, die Nutzer in Kalifornien bedienen, eine Datenschutzerklärung auf ihrer Website zu haben, und setzt rechtliche Standards für die Darstellung, den Wortlaut und die Umsetzung der Richtlinie.

Es gibt zwar kein US-Bundesdatenschutzgesetz, aber es gibt mehrere einzelstaatliche Gesetze, über die Sie mehr erfahren können, wenn Sie sich unsere interaktive Karte mit den US-Datenschutzgesetzen ansehen.

CalOPPA Schlüsselbegriffe und Definitionen

Um zu verstehen, wie Sie das CalOPPA einhalten können, müssen Sie sich mit den folgenden Schlüsselbegriffen vertraut machen - ich habe die Definitionen so angegeben, wie sie im Gesetzestext stehen:

Was deckt das kalifornische Gesetz zum Schutz der Privatsphäre im Internet ab?

CalOPPA schützt die Datenschutzrechte der Einwohner Kaliforniens, indem es wesentliche Bestandteile festlegt, die in einer Datenschutzrichtlinie enthalten sein müssen.

Jede Website, App oder Online-Dienstleistung, die für in Kalifornien ansässige Personen bestimmt oder verfügbar ist, muss dem Gesetz entsprechen.

Sie hat daher einen breiten Anwendungsbereich und ermöglicht es allen Online-Verbrauchern, sich auf eine online veröffentlichte Datenschutzerklärung zu verlassen und die Anbieter von Online-Diensten für die von ihnen verwendete Sprache verantwortlich zu machen.

Anforderungen des California Online Privacy Protection Act

CalOPPA enthält spezifische Anforderungen in Bezug auf zwei Schlüsselkonzepte:

1. Persönlich identifizierbare Informationen (PII)
2. Anfragen zur Nichtverfolgung (DNT)

Persönlich identifizierbare Informationen (PII)

Qualifizierte Online-Plattformen, die personenbezogene Daten oder PII sammeln, müssen eine CalOPPA-konforme Datenschutzerklärung veröffentlichen.

Zu den PII gehören alle Benutzerdaten, mit denen eine Person oder ein Haushalt identifiziert werden kann, und im Text des CalOPPA sind die folgenden spezifischen Punkte aufgeführt:

• Vor- und Nachname
• Straße und Hausnummer
• E-Mail-Adresse
• Rufnummer
• Sozialversicherungsnummer
• IP-Adressen
• Körperliche Angaben wie Größe, Gewicht und Haarfarbe

Alle anderen Daten oder persönlichen Informationen, die in Verbindung mit den oben genannten Elementen zur Identifizierung von Personen verwendet werden könnten (z. B. das Geburtsdatum), fallen ebenfalls unter die Definition.

Der Begriff "PII" gilt inzwischen als veraltet und wurde durch " personenbezogene Daten" ersetzt, um zusätzlichen Datenschutzgesetzen wie dem California Consumer Privacy Act(CCPA) und der General Data Protection Regulation (DSGVO).

Do Not Track (DNT)-Anfragen

CalOPPA verlangt von Websites und Apps, dass sie in ihren Datenschutzrichtlinien klar erklären, ob sie Do-Not-Track (DNT)-Anfragen akzeptieren. Es wird nicht verlangt, dass eine Website oder App DNT-Anfragen beachtet oder nicht, sondern lediglich, dass sie offenlegt, ob sie sie beachtet oder nicht.

Wie der Name schon sagt, ist eine "Do-not-track"-Anfrage ein Mechanismus, mit dem die Nutzer einer Website ihre Präferenz bezüglich der Verfolgung ihrer Online-Browsing-Aktivitäten durch die Website mitteilen.

Internetnutzer können in ihren Webbrowsern eine Einstellung vornehmen, um ihre DNT-Präferenz anzugeben.

Kalifornische Datenschutzgesetze im Vergleich zu anderen Staaten: Gemeinsamkeiten und Unterschiede

CalOPPA unterscheidet sich stark von den unten aufgeführten Datenschutzgesetzen der US-Bundesstaaten, von denen sich die meisten auf den Schutz der Verbraucher konzentrieren:

• California Consumer Protection Act (CCPA), geändert durch den California Privacy Rights Act (CPRA ) - derzeit in Kraft
• Colorado Privacy Act (CPA) - derzeit in Kraft
• Connecticut Data Privacy Act (CTDPA) - derzeit in Kraft
• Delaware Personal Data Privacy Act (DPDPA) - gültig ab 1. Januar 2025
• Florida Digital Bill of Rights (FDBR ) - derzeit in Kraft
• Indiana Consumer Data Protection Act (Indiana CDPA) - gültig ab 1. Januar 2026
• Iowa Consumer Data Protection Act (Iowa CDPA) - gültig ab 1. Januar 2025
• Montana Consumer Data Privacy Act (MCDPA) - derzeit in Kraft
• Oregon Consumer Privacy Act (OCPA) - derzeit in Kraft
• Texas Data Privacy and Security Act (TDPSA) - derzeit in Kraft
• Utah Consumer Privacy Act (UCPA) - derzeit in Kraft
• Virginia Consumer Data Protection Act (VCDPA) - derzeit in Kraft

In der nachstehenden Tabelle können Sie diese Gesetze mit dem CalOPPA vergleichen.

Welche Auswirkungen hat das CalOPPA auf die Verbraucher?

CalOPPA bietet den kalifornischen Verbrauchern transparente Datenschutzrichtlinien, damit sie wissen, welche Daten eine Website oder ein Online-Dienst von ihnen sammelt und ob die Website DNT-Anfragen beachtet oder nicht.

Außerdem wird es für diese Personen einfacher, die Berichtigung oder Löschung von Informationen zu verlangen.

Aber auch Internetnutzer außerhalb Kaliforniens profitieren von CalOPPA - das Gesetz sorgt dafür, dass fast jede Website eine Datenschutzrichtlinie hat, die viel leichter zu lesen und zu finden ist.

Für wen gilt das CalOPPA?

CalOPPA ist ein Gesetz des Bundesstaates Kalifornien, das die Datenschutzrechte der Einwohner Kaliforniens schützt.

Unternehmen, die in Kalifornien ansässig sind oder deren Dienste kalifornischen Nutzern zur Verfügung stehen, müssen die Anforderungen des CalOPPA erfüllen.

Welche Auswirkungen hat das CalOPPA auf Unternehmen?

CalOPPA wirkt sich auf Unternehmen aus, indem es Richtlinien für die Erstellung einer kalifornienkonformen Datenschutzpolitik beschreibt.

Wie wirkt sich das CalOPPA auf meine Datenschutzrichtlinie aus?

Websites und Apps, die unter CalOPPA fallen, müssen die folgenden Informationen in ihren Datenschutzrichtlinien enthalten:

• Das Datum des Inkrafttretens,
• Eine Liste der Arten von PII, die gesammelt werden, und wie die Nutzer der Datenerfassung widersprechen können,
• Eine Erklärung, wie Nutzer die Überprüfung und Löschung ihrer personenbezogenen Daten beantragen können,
• Eine Erläuterung der Aktualisierungen und Änderungen der Datenschutzbestimmungen, die den Nutzern mitgeteilt werden,
• Eine Erklärung darüber, ob personenbezogene Daten an Dritte weitergegeben werden (einschließlich Google Analytics, AdSense, Live-Chat-Tools, Social-Login-Integrationen usw.),
• Eine Erklärung, ob DNT-Anfragen beachtet werden oder nicht.

Die Klausel, die eine Erklärung darüber vorschreibt, wie Unternehmen mit "Do-not-Track"-Anfragen umgehen, wurde durch eine Änderung im Januar 2014 in das CalOPPA aufgenommen.

Beachten Sie, dass CalOPPA Sie nicht verpflichtet, DNT-Anfragen von Nutzern zu befolgen - stattdessen müssen Sie angeben, wie Ihre Website oder Ihr Online-Dienst mit solchen Anfragen umgeht.

Darüber hinaus muss Ihre Datenschutzrichtlinie mehrere Anforderungen an die Zugänglichkeit erfüllen, darunter die folgenden:

Wenn Ihr Unternehmen den Schwellenwert des kalifornischen Verbraucherschutzgesetzes (CCPA) erreicht, müssen Sie zusätzliche Anforderungen an die Datenschutzpolitik erfüllen.

Wer muss sich an das CalOPPA halten?

Jedes Unternehmen, das in Kalifornien ansässig ist oder Einwohner Kaliforniens bedient, muss das CalOPPA einhalten.

Online-Dienste sind von Natur aus länderübergreifend, so dass CalOPPA auch dann gilt, wenn sich Ihr Unternehmen oder Ihre Server nicht in Kalifornien oder sogar in den USA befinden.

Im Gegensatz zum CCPA gibt es keine Mindestumsatz- oder Kundenzahlschwellen - das einzige Kriterium ist, ob Ihre Dienste für Nutzer in Kalifornien zugänglich sind.

Das Gesetz ist sehr weit gefasst, so dass auch Blogger mit potenziellen Besuchern aus Kalifornien eine Datenschutzrichtlinie für ihren Blog benötigen.

CalOPPA gilt nicht nur für Websites, sondern auch für Apps auf Smartphones und Tablets.

Im Jahr 2012 schickte die kalifornische Generalstaatsanwaltschaft Mitteilungen an fast 100 App-Besitzer, die damals die CalOPPA-Bestimmungen nicht einhielten.

"Wir haben hart daran gearbeitet, sicherzustellen, dass App-Entwickler sich ihrer gesetzlichen Verpflichtungen zur Wahrung der Privatsphäre der Kalifornier bewusst sind", sagte die damalige Generalstaatsanwältin Kamala D. Harris, die später als Vizepräsidentin der Vereinigten Staaten fungierte.

Sie fügte hinzu: "Es ist wichtig, dass wir alle notwendigen Schritte unternehmen, um die kalifornischen Datenschutzgesetze durchzusetzen."

Wer ist vom CalOPPA ausgenommen?

Nicht-kommerzielle Websites, die keine personenbezogenen Daten erheben, sowie Websites oder andere Online-Dienste, die in Kalifornien nicht verfügbar sind, sind vom CalOPPA ausgenommen.

Wie können Unternehmen das CalOPPA einhalten?

Um das CalOPPA einzuhalten, müssen Unternehmen auf allen Websites, Apps und Online-Diensten einen gut sichtbaren Link zu einer Datenschutzrichtlinie angeben.

Die Datenschutzrichtlinie muss den besonderen Anforderungen des Gesetzes an Formatierung und Information entsprechen.

Wie wird das CalOPPA durchgesetzt?

Die kalifornische Generalstaatsanwaltschaft kann die im CalOPPA enthaltenen Bestimmungen durchsetzen.

Darüber hinaus kann die Federal Trade Commission (FTC) im Zusammenhang mit dem CalOPPA Klage gegen Sie erheben, wenn Sie die Anforderungen an die Datenschutzrichtlinien auf Ihrer Website oder App nicht erfüllen.

Wenn die Nichteinhaltung zum ersten Mal festgestellt wird, haben Sie 30 Tage Zeit, die Situation zu bereinigen.

Denken Sie daran, die durch Marketing-E-Mails gesammelten Daten in Ihre Datenschutzrichtlinie aufzunehmen.

Bußgelder und Strafen nach dem California Online Privacy Protection Act

Verstöße gegen das CalOPPA werden durch die Bestimmungen des kalifornischen Gesetzes gegen unlauteren Wettbewerb geahndet.

Wenn Sie die 30-tägige Nachfrist nicht einhalten, droht Ihnen eine Höchststrafe von 2.500 Dollar pro Verstoß.

Man könnte meinen, dass diese Bußgelder im Vergleich zu Datenschutzgesetzen wie den folgenden geringfügig erscheinen:

• Allgemeine Datenschutzverordnung (DSGVO Geldbußen): 20 Mio. € (22 Mio. $) oder 4 % Ihres Bruttojahresumsatzes, je nachdem, welcher Betrag höher ist
• Gesetz zum Schutz der Privatsphäre von Kindern im Internet (COPPA-Bußgelder): Bis zu 40.000 $

Beachten Sie jedoch die "pro Verstoß"-Einstufung in CalOPPA - jeder Besuch Ihrer Website, der nicht den Vorschriften entspricht, kann als Verstoß gewertet werden, was bedeutet, dass sich die Geldbußen schnell vervielfachen.

CalOPPA und Delta

Die aufsehenerregendste CalOPPA-Klage richtete sich 2012 gegen Delta Airlines, deren mobile App die Anforderungen an die Sichtbarkeit der Datenschutzrichtlinien nicht erfüllte.

Delta Airlines hatte eine CalOPPA-konforme Datenschutzrichtlinie auf ihrer Hauptwebsite, aber ihre App nicht.

Der Fall macht deutlich, wie wichtig es ist, umfassende Datenschutzrichtlinien für alle Plattformen, einschließlich mobiler Anwendungen, zu gewährleisten.

Schließlich wurde die Klage aufgrund des Airline Deregulation Act abgewiesen, der die Luftfahrtindustrie von bestimmten staatlichen Eingriffen ausnimmt.

Wäre dies jedoch bei einem Unternehmen aus einem anderen Bereich der Fall, hätte die Strafe bei nur 1000 App-Downloads bis zu 2,5 Millionen Dollar betragen können.

CalOPPA und Google

Ein weiterer Indikator für den starken Einfluss von CalOPPA ist, dass Google einen Link zu seinen Datenschutzbestimmungen auf der Startseite der Google-Suche einfügen musste, was erstmals 2007 geschah.

Um möglichen rechtlichen Schritten zuvorzukommen, reagierte Google auf mehrere Online-Diskussionen über die Nichteinhaltung des CalOPPA mit einem Link zu seinen Datenschutzbestimmungen auf der Google-Homepage.

Wie Termly bei der Einhaltung des CalOPPA hilft

Termly's Datenschutzerklärung Generator kann Ihr Unternehmen bei der Einhaltung des CalOPPA und verschiedener anderer Datenschutzgesetze unterstützen.

Es ist intuitiv und mühelos zu bedienen, so dass Sie sich nicht mehr mit der Einhaltung von Datenschutzbestimmungen herumschlagen müssen.

Alles, was Sie tun müssen, ist, einfache Fragen über Ihr Unternehmen und seine Datenverarbeitungstätigkeiten zu beantworten.

Der Generator erstellt auf der Grundlage Ihrer Antworten eine eindeutige Datenschutzrichtlinie, die Sie auf Ihrer Website oder in Ihrer mobilen App einbetten können - so einfach ist das!

Gibt es in Kalifornien noch andere Gesetze, die die Privatsphäre betreffen?

In Kalifornien gibt es mehrere andere Gesetze zum Schutz der Privatsphäre, darunter die folgenden:

• Kalifornisches Verbraucherschutzgesetz(CCPA): Das erste umfassende Gesetz zum Schutz der Privatsphäre der Verbraucher in den Vereinigten Staaten.
• Kalifornisches Gesetz über die Rechte der Privatsphäre(CPRA): Ändert Teile des CCPA.
• Shine the Light Gesetz(Shine the Light): Umreißt die Anforderungen für die Weitergabe personenbezogener Daten für Direktmarketing.
• Kalifornisches Gesetz über das Eindringen in die Privatsphäre(CIPA): Schützt Personen, die Festnetz- oder Mobiltelefone benutzen.
• Gesetz über die Vertraulichkeit von medizinischen Informationen(CMIA): Umreißt die Anforderungen an die Vertraulichkeit medizinischer Aufzeichnungen und Informationen.
• Gesetz über den Zugang von Patienten zu Gesundheitsakten(PAHRA): Beschreibt die Rechte der Verbraucher in Bezug auf den Zugang zu ihren Gesundheits- und Krankenakten.
• Kalifornisches Gesetz zum Schutz der Privatsphäre bei Finanzinformationen(CALFIPA): Schränkt den Verkauf oder die Weitergabe von Finanzdaten von Verbrauchern ohne deren Zustimmung ein und verbietet sie.
• Gesetz über die Datenschutzrechte von Minderjährigen in der digitalen Welt in Kalifornien(Eraser Law): Schützt die Daten bekannter Minderjähriger in Kalifornien und gewährt ihnen das Recht, vergessen zu werden.

CalOPPA-Checkliste

Hier finden Sie eine einfache, übersichtliche Checkliste, die Ihnen hilft, Ihre Websites und Anwendungen CalOPPA-konform zu gestalten.

Anhand dieser Checkliste können Sie eine umfassende Datenschutzrichtlinie erstellen, die den Benutzern Ihrer Website genau erklärt, wie Sie mit ihren persönlichen Daten umgehen.

Zusammenfassung

Wenn Sie eine für Kalifornier zugängliche Website oder App besitzen, sind Sie dafür verantwortlich, eine Datenschutzrichtlinie zu erstellen, die mit dem CalOPPA übereinstimmt.

Angesichts des relativ engen Geltungsbereichs des CalOPPA ist die Einhaltung aller Richtlinien ziemlich einfach.

Die Einhaltung des CalOPPA ist auch ein Sprungbrett zur Erfüllung weitaus umfassenderer Anforderungen, die in Gesetzen wie dem CCPA, dem strengen kalifornischen Gesetz mit weltweiten Auswirkungen, festgelegt sind.

Bewahren Sie sich jetzt und in Zukunft vor rechtlichen Strafen und beginnen Sie noch heute mit der Einhaltung des CalOPPA, indem Sie Termlynutzen. Datenschutzerklärung Generator.

Mehr über die Autorin

Geschrieben von Josh Langeland, CIPM

Hallo, ich bin Josh! Ich bin ein Privacy Engineer, der sich leidenschaftlich für den Einsatz von Technologie zur Wahrung der Privatsphäre der Nutzer einsetzt. Ich fühle mich an der Schnittstelle zwischen komplexer Technologie und sich ständig änderndem Datenschutzrecht wohl. Wenn ich nicht gerade eine Entwurfsprüfung durchführe oder ein System neu architektiere, lese ich vielleicht eine Biografie oder gehe im nächstgelegenen Nationalpark wandern. Mehr über die Autorin

Rezensiert von Masha Komnenic CIPP/E, CIPM, CIPT, FIP Direktorin für globalen Datenschutz