Startseite ' Ressourcen ' Prüflisten ' 6-stufige OCPA-Konformitätsanforderungen...

6-stufige Checkliste zur Einhaltung der OCPA-Anforderungen

von: Josh Langeland, CIPM Josh Langeland, CIPM | Aktualisiert am: November 14, 2025

Erstellen Sie eine kostenlose OCPA-Datenschutzrichtlinie
6-Schritte-OCPA-Compliance-Anforderungen-Checkliste-01

Muss Ihr Unternehmen das Oregon Consumer Privacy Act (OCPA) befolgen? Das neue Verbraucherschutzgesetz von Oregon tritt am 1. Juli 2024 in Kraft.

Verwenden Sie meine einfache Checkliste mit sechs Schritten, um die Einhaltung des OCPA zu vereinfachen.

Inhaltsübersicht
  1. Checkliste zur OCPA-Einhaltung: Schritt für Schritt
  2. OCPA-Anforderungen FAQ
  3. Zusammenfassung

Checkliste zur OCPA-Einhaltung: Schritt für Schritt

Befolgen Sie die folgenden sechs einfachen Schritte, um die vom OCPA festgelegten Anforderungen zu erfüllen.

  Teil 1: Durchführen eines Datenschutz-Audits

Um die Datenschutzgesetze einzuhalten, müssen Sie wissen, welche persönlichen Daten Ihr Unternehmen von den Nutzern sammelt, warum und wie sie verwendet werden.

Um dies festzustellen, führen Sie ein Datenschutz-Audit, auch Dateninventarisierung genannt, mit Hilfe einer der folgenden Methoden durch:

Teil 2: Anforderungen an die Benachrichtigung zum Datenschutz

Nach dem OCPA müssen Unternehmen den Verbrauchern in Oregon eine Datenschutzerklärung vorlegen, die die folgenden Informationen enthält:

  • Welche Kategorien von personenbezogenen Daten Sie sammeln.
  • Ihr Zweck für die Verarbeitung der Daten.
  • Wie Verbraucher ihre Datenschutzrechte wahrnehmen und gegen Ihre Entscheidung Widerspruch einlegen können.
  • Welche Datenkategorien Sie ggf. an Dritte weitergeben, einschließlich Kategorien sensibler Daten.
  • Mit welchen Kategorien von Dritten Sie gegebenenfalls personenbezogene Daten austauschen und, soweit möglich, wie jeder Dritte personenbezogene Daten verarbeitet.
  • Eine aktive E-Mail-Adresse oder eine andere Online-Methode, über die Verbraucher Sie kontaktieren können.
  • Alle Firmennamen, unter denen Sie beim Secretary of State eingetragen sind, sowie alle angenommenen Firmennamen.
  • Eine Beschreibung jeglicher Verarbeitung von Daten für gezielte Werbung oder die Erstellung von Nutzerprofilen und wie die Nutzer dem widersprechen können.

Teil 3: Zustimmungsmanagement für spezifische Datenverarbeitung

Das OCPA hat Auswirkungen auf das Zustimmungsmanagement der Unternehmen, da es den Verbrauchern das Recht gibt, bestimmte Arten der Datenverarbeitung abzulehnen:

  • Gezielte Werbung
  • Der Verkauf von Daten
  • Profilierung des Verbrauchers

Wenn Sie Daten für einen der oben genannten Zwecke verarbeiten, müssen Sie Ihren Nutzern ein Einwilligungsbanner oder ein anderes System zur Verfügung stellen, mit dem sie diese Rechte problemlos ausüben können.

Teil 4: Vertragliche Verpflichtungen zur Weitergabe oder zum Verkauf von personenbezogenen Daten

Nach dem OCPA müssen die für die Datenverarbeitung Verantwortlichen und die Auftragsverarbeiter vertragliche Vereinbarungen treffen, in denen alle folgenden Leitlinien festgelegt sind:

  • Geben Sie Anweisungen für die Datenverarbeitung, ihre Art und ihren Zweck an.
  • Geben Sie an, welche Art von Daten verarbeitet wird und wie lange.
  • Legen Sie die Rechte und Pflichten der einzelnen Parteien dar.
  • eine Verpflichtung zur Vertraulichkeit der personenbezogenen Daten verlangen.
  • Aufforderung an den Verarbeiter, die Einhaltung des OCPA nachzuweisen.
  • Verpflichten Sie den Auftragsverarbeiter, bei Vertragsende alle Daten zu löschen oder zurückzugeben.
  • den Auftragsverarbeiter auffordern, bei angemessenen Bewertungen durch den für die Verarbeitung Verantwortlichen mitzuwirken.
  • Verlangen Sie von allen Unterauftragnehmern die Unterzeichnung eines Vertrags, der die gleichen Verpflichtungen enthält.
  • Der für die Verarbeitung Verantwortliche oder eine von ihm benannte unabhängige Person muss die Strategien sowie die technischen und organisatorischen Kontrollen des Auftragsverarbeiters zur Einhaltung seiner Pflichten beurteilen können.

Teil 5: Verbraucherrechte und überprüfbare Verbraucheranfragen

Das OCPA verlangt von den Unternehmen, dass sie den Verbrauchern in Oregon zwei oder mehr Möglichkeiten bieten, ihre Rechte wahrzunehmen:

  • Bestätigen Sie, ob Sie ihre Daten verarbeiten.
  • eine Liste der Dritten zu erhalten, an die ihre Daten weitergegeben werden (nach dem Ermessen des für die Verarbeitung Verantwortlichen)
  • Zugang zu ihren Daten beantragen
  • Korrektur von Ungenauigkeiten in ihren Daten.
  • Besorgen Sie sich, wenn möglich, eine tragbare Kopie.
  • Antrag auf Löschung ihrer Daten.
  • dem Verkauf oder der Verarbeitung ihrer Daten für gezielte Werbung widersprechen.
  • Verzichten Sie auf das Profiling.

Ihre Website muss auch universelle Opt-out-Mechanismen (UOOMs) als verifizierte Aufforderung an die Verbraucher anerkennen, ihre Opt-out-Rechte bis zum 1. Januar 2026 wahrzunehmen.

Ziehen Sie eine Kombination der folgenden Methoden in Betracht, um diese gesetzliche Vorschrift zu erfüllen:

  • Verwenden Sie einDSAR-Formular (Data Subject Access Request).
  • Geben Sie eine E-Mail-Adresse an, an die Benutzer Anfragen richten können.
  • Veröffentlichen Sie eine Cookie-Richtlinie, wenn Sie Cookies einsetzen, die sensible Daten, Daten, die Sie verkaufen, oder Daten, die für gezielte Werbung verwendet werden, sammeln.
  • Verwenden Sie ein Zustimmungsbanner, damit die Verbraucher ihr Recht auf Ablehnung wahrnehmen können.

Teil 6: Sicherheitsverfahren und -praktiken

Der OCPA verlangt von den betroffenen Unternehmen die Einführung, Umsetzung und Aufrechterhaltung von Sicherheitspraktiken zum Schutz personenbezogener Daten, wie sie im Folgenden beschrieben werden:

  • Schützt seine Vertraulichkeit
  • Schützt seine Integrität
  • Schützt seine Zugänglichkeit

Zu den Standardtechniken der Datensicherheit gehören:

  • Anonymisierung und De-identifizierung der Daten
  • Verschlüsselung der Informationen
  • Zugangskontrollen
  • Erstellung eines Plans zur Datensicherung oder -wiederherstellung

OCPA-Anforderungen FAQ

Nachstehend finden Sie einige der am häufigsten gestellten Fragen zum OCPA.

Gilt das OCPA für mein Unternehmen?

Das OCPA gilt für Ihr Unternehmen, wenn Sie in Oregon arbeiten oder Waren und Dienstleistungen für Einwohner des Bundesstaates anbieten und einen der folgenden Schwellenwerte erfüllen:

  • die personenbezogenen Daten von 100.000 oder mehr Verbrauchern kontrolliert oder verarbeitet, mit Ausnahme von Daten, die ausschließlich zur Abwicklung eines Zahlungsvorgangs verarbeitet werden.
  • die personenbezogenen Daten von 25.000 oder mehr Verbrauchern kontrolliert oder verarbeitet und einen Bruttojahresumsatz von 25 % oder mehr aus dem Verkauf von personenbezogenen Daten erzielt.

Wann tritt das OCPA in Kraft?

Das OCPA tritt offiziell am 1. Juli 2024 in Kraft, die Bestimmungen für gemeinnützige Organisationen sind jedoch erst ab dem 1. Juli 2025 durchsetzbar.

Wer setzt das OCPA durch?

Das OCPA wird von der Generalstaatsanwaltschaft von Oregon durchgesetzt.

Was sind die Strafen für Verstöße gegen das OCPA?

Geldstrafen für Verstöße gegen das OCPA können bis zu 7.500 Dollar pro Vorfall betragen.

Kann Termly bei der Einhaltung des OCPA helfen?

Termly kann Unternehmen bei der Einhaltung des OCPA helfen, indem wir unser Datenschutzerklärung Generatorzur Verfügung stellen, das alle im OCPA genannten Meldepflichten enthält.

Wir bieten auch eine konfigurierbare Consent Management Platform (CMP) an, mit der Sie Ihren Nutzern die Möglichkeit geben, ihre Opt-out-Rechte wahrzunehmen.

Im Lieferumfang ist ein kostenloses DSAR-Formular enthalten, das Sie auf Ihrer Website veröffentlichen können und das es Ihren Nutzern in Oregon ermöglicht, auf sichere Weise Anträge zur Durchsetzung ihrer neuen Datenschutzrechte zu stellen.

Zusammenfassung

Unternehmen, die das neue Datenschutzgesetz von Oregon, das OCPA, befolgen müssen, können diese einfache Checkliste in sechs Schritten verwenden, um die Einhaltung der Vorschriften zu vereinfachen:

  • Führen Sie eine Dateninventur durch, um festzustellen, welche personenbezogenen Daten Ihr Unternehmen sammelt, warum und wie sie verwendet werden.
  • den Verbrauchern in Oregon eine konforme Datenschutzpolitik zu präsentieren.
  • Verwenden Sie eine consent management platform , um Ihren Nutzern ein Einwilligungsbanner zu präsentieren, damit sie ihre Rechte zur Abmeldung wahrnehmen können.
  • Wenn Sie mit Datenverarbeitern zusammenarbeiten, schließen Sie kompatible Verträge, die alle gesetzlichen Verpflichtungen erfüllen, und unterzeichnen Sie beide.
  • Den Verbrauchern in Oregon müssen zwei oder mehr Möglichkeiten zur Verfügung stehen, um ihre neuen Datenschutzrechte zuverlässig geltend zu machen.
  • Setzen Sie geeignete Sicherheitsprotokolle ein, um die von Ihnen erfassten personenbezogenen Daten vor unbefugtem Zugriff und anderen Schäden zu schützen.

Machen Sie es Ihrem Unternehmen besonders leicht und nutzen Sie Lösungen wie Termly's Datenschutzerklärung Generator und CMP, um die Anforderungen von Gesetzen wie dem OCPA und anderen zu erfüllen.

Josh Langeland, CIPM
Mehr über die Autorin

Geschrieben von Josh Langeland, CIPM

Hallo, ich bin Josh! Ich bin ein Privacy Engineer, der sich leidenschaftlich für den Einsatz von Technologie zur Wahrung der Privatsphäre der Nutzer einsetzt. Ich fühle mich an der Schnittstelle zwischen komplexer Technologie und sich ständig änderndem Datenschutzrecht wohl. Wenn ich nicht gerade eine Entwurfsprüfung durchführe oder ein System neu architektiere, lese ich vielleicht eine Biografie oder gehe im nächstgelegenen Nationalpark wandern. Mehr über die Autorin
termly-dashboard-add-privacy-policy-screenshot-with-green-checkmark

Erstellen einer OCPA-Datenschutzrichtlinie

Beantworten Sie ein paar einfache Fragen, um Ihre OCPA-konforme Police in MINUTEN zu erstellen!
OCPA-Datenschutzrichtlinie generieren

Verwandte Artikel

  1. Datenschutzerklärung für ein SaaS-Unternehmen 01
    Datenschutzerklärung für ein SaaS-Unternehmen: So erstellen Sie eine
    Artikel

    4. Dezember 2025
    Hanna De La Garza
  2. Termly
    Termly vs. PolicyMaker: Funktionen und Vorteile im Vergleich
    Vergleiche

    November 26, 2025
    Ali Talip Pınarbaşı, CIPP/E, & LLM
  3. Termly
    Termly vs. Ketch: Funktionen und Dienstleistungen im Vergleich
    Vergleiche

    14. November 2025
    Ali Talip Pınarbaşı, CIPP/E, & LLM
  4. EU-konforme-Datenschutzpolitik-01
    EU-konforme Datenschutzrichtlinie
    Artikel

    7. November 2025
    Hanna De La Garza
  5. Rechtliche Anforderungen für E-Commerce-Geschäfte-01
    5 Arten von rechtlichen Anforderungen für E-Commerce-Shops
    Artikel

    5. November 2025
    Natasha Piirainen
  6. Wie-man-AI-Tools-verwendet-ohne-die-Privatsphärengesetze-zu-brechen-01
    Wie man KI-Tools verwendet, ohne gegen Datenschutzgesetze und bewährte Praktiken zu verstoßen
    Artikel

    31. Oktober 2025
    Natasha Piirainen
  7. AI-Datenschutz-Statistiken
    54 Aufschlussreiche KI-Datenschutzstatistiken
    Artikel

    15. Oktober 2025
    Hanna De La Garza
  8. 14 Website-Richtlinien, die Sie brauchen und wie Sie sie erstellen können
    14 Website-Richtlinien, die Sie brauchen und wie Sie sie erstellen
    Artikel

    15. Oktober 2025
    Hanna De La Garza
  9. Was ist der Unterschied zwischen einem Datenschutzhinweis und den Allgemeinen Geschäftsbedingungen
    Was ist der Unterschied zwischen einer Datenschutzrichtlinie, einem Haftungsausschluss und den Allgemeinen Geschäftsbedingungen?
    Artikel

    15. Oktober 2025
    Natasha Piirainen

Weitere Artikel ansehen