CCPA, CPRA & US-Datenschutzgesetze: Cookie-Compliance jenseits von Europa
Die Vereinigten Staaten verfolgen beim Thema Cookie-Datenschutz einen grundlegend anderen Ansatz als Europa. Es gibt kein bundesweites Cookie-Gesetz, keine allgemeingültige Einwilligungspflicht und keine einheitliche Datenschutzaufsichtsbehörde. Stattdessen entsteht durch einen wachsenden Flickenteppich einzelstaatlicher Datenschutzgesetze eine zunehmend komplexe Rechtslage für Website-Betreiber. Für jedes Unternehmen mit Besuchern auf beiden Seiten des Atlantiks ist es unerlässlich, den US-amerikanischen Ansatz zu verstehen — und zu wissen, wie er sich von der DSGVO unterscheidet.
Die US-Datenschutzlandschaft: Ein Überblick
Der wichtigste Unterschied zwischen US-amerikanischem und EU-Cookie-Recht liegt im Regulierungsmodell:
- EU-Modell: Opt-in. Sie müssen vor dem Setzen nicht notwendiger Cookies eine Einwilligung einholen. Standardmäßig findet kein Tracking statt.
- US-Modell: Opt-out. Sie dürfen personenbezogene Daten standardmäßig erheben und weitergeben, müssen den Verbrauchern jedoch die Möglichkeit geben, dem zu widersprechen. Standardmäßig findet Tracking statt — mit einer Abschaltmöglichkeit.
Dieser philosophische Unterschied spiegelt sich in jedem Aspekt der Cookie-Regulierung wider. In der EU bittet ein Cookie-Banner um Erlaubnis. In den USA informiert ein Cookie-Banner (sofern überhaupt vorhanden) die Nutzer in der Regel über ihr Recht, dem Tracking zu widersprechen.
Stand Anfang 2026 wurden in mindestens 15 Bundesstaaten umfassende Datenschutzgesetze erlassen, weitere befinden sich in aktiver Prüfung. Allerdings haben nur wenige davon spezifische Auswirkungen auf die Cookie-Compliance.
Kalifornien: CCPA und CPRA
Kalifornien ist der wichtigste US-Bundesstaat in Sachen Datenschutzregulierung. Der California Consumer Privacy Act (CCPA), in Kraft seit dem 1. Januar 2020, war das erste umfassende einzelstaatliche Datenschutzgesetz. Er wurde durch den California Privacy Rights Act (CPRA) grundlegend geändert, der am 1. Januar 2023 vollständig in Kraft trat; die Durchsetzung durch die California Privacy Protection Agency (CPPA) begann am 1. Juli 2023.
Wie Cookies mit dem CCPA/CPRA zusammenhängen
Der CCPA/CPRA reguliert Cookies nicht direkt. Stattdessen regelt er die Erhebung, den Verkauf und die Weitergabe personenbezogener Daten, wozu auch über Cookies erhobene Daten gehören. Die zentralen Begriffe sind:
- „Personenbezogene Daten“ im Sinne des CCPA/CPRA umfassen Online-Kennungen, IP-Adressen, den Browserverlauf und Informationen über die Interaktion eines Verbrauchers mit einer Website — all das wird häufig über Cookies erhoben.
- „Verkauf“ ist weit gefasst als das Zugänglichmachen personenbezogener Daten an einen Dritten gegen monetäre oder sonstige geldwerte Gegenleistung. Wenn Drittanbieter-Werbecookies auf Ihrer Website Besucherdaten an Werbenetzwerke weitergeben, kann dies einen „Verkauf“ im Sinne des CCPA darstellen.
- „Weitergabe“ (durch den CPRA ergänzt) umfasst das Zugänglichmachen personenbezogener Daten an Dritte zum Zweck kontextübergreifender verhaltensbasierter Werbung, unabhängig davon, ob Geld den Besitzer wechselt. Dadurch fallen Werbecookies ausdrücklich in den Anwendungsbereich.
Wesentliche Anforderungen
- Link „Do Not Sell or Share My Personal Information“: Wenn Ihre Website personenbezogene Daten verkauft oder weitergibt (was die meisten Werbecookie-Szenarien einschließt), müssen Sie auf Ihrer Startseite einen deutlich gekennzeichneten Link bereitstellen, über den Verbraucher widersprechen können. Dies ist das US-amerikanische Pendant zu einem Cookie-Einwilligungsmechanismus, funktioniert jedoch nach dem Opt-out- statt dem Opt-in-Prinzip.
- Global Privacy Control (GPC): Nach den von der CPPA finalisierten CPRA-Vorschriften müssen Unternehmen GPC-Signale, die der Browser eines Nutzers sendet, als gültigen Widerspruch behandeln. GPC ist ein Signal auf Browser-Ebene (konzeptionell ähnlich dem alten Do Not Track, aber unter dem CCPA/CPRA rechtsverbindlich). Wenn der Browser eines Nutzers ein GPC-Signal sendet, müssen Sie den Verkauf oder die Weitergabe seiner personenbezogenen Daten einstellen — das heißt, Werbe- und Tracking-Cookies für diesen Nutzer deaktivieren.
- Offenlegung in der Datenschutzerklärung: Ihre Datenschutzerklärung muss die Kategorien der erhobenen personenbezogenen Daten, die Zwecke der Erhebung, die Kategorien der Dritten, an die Daten weitergegeben werden, sowie die Angabe offenlegen, ob Daten verkauft oder weitergegeben werden.
- Sensible personenbezogene Daten: Der CPRA führt ein Recht ein, „die Nutzung meiner sensiblen personenbezogenen Daten einzuschränken“ („Limit the Use of My Sensitive Personal Information“). Wenn Cookies sensible Daten (etwa den genauen Standort) erheben, müssen Verbraucher deren Nutzung einschränken können.
- Minderjährige: Für Verbraucher unter 16 Jahren wechselt der CCPA/CPRA zu einem Opt-in-Modell. Sie dürfen die personenbezogenen Daten eines Verbrauchers, von dem Sie wissen, dass er unter 16 Jahre alt ist, nicht ohne ausdrückliche Einwilligung verkaufen oder weitergeben (durch den Verbraucher selbst bei 13- bis 15-Jährigen, durch einen Erziehungsberechtigten bei unter 13-Jährigen).
Wer muss sich daran halten
Der CCPA/CPRA gilt für gewinnorientierte Unternehmen, die in Kalifornien geschäftlich tätig sind und einen der folgenden Schwellenwerte erfüllen: einen jährlichen Bruttoumsatz von über 25 Millionen US-Dollar; das Kaufen, Verkaufen oder Weitergeben personenbezogener Daten von 100.000 oder mehr Verbrauchern oder Haushalten; oder das Erzielen von 50 % oder mehr des Jahresumsatzes aus dem Verkauf oder der Weitergabe personenbezogener Verbraucherdaten.
Weitere Datenschutzgesetze von US-Bundesstaaten
Mehrere weitere Bundesstaaten haben umfassende Datenschutzgesetze mit Auswirkungen auf die Cookie-Compliance erlassen. Auch wenn keines so detailliert ist wie der CCPA/CPRA, weisen sie durchgängig gemeinsame Themen rund um Widerspruchsrechte und Datentransparenz auf.
Colorado Privacy Act (CPA)
In Kraft seit: 1. Juli 2023. Durchgesetzt durch: Generalstaatsanwalt von Colorado.
Erfordert Widerspruchsrechte für zielgerichtete Werbung und den Verkauf personenbezogener Daten. Unternehmen müssen universelle Opt-out-Mechanismen (wie GPC) berücksichtigen. Die Vorschriften Colorados verlangen ausdrücklich eine „klare und deutlich erkennbare“ Widerspruchsmöglichkeit und erkennen universelle Opt-out-Signale an, wodurch die GPC-Compliance für betroffene Unternehmen faktisch verpflichtend wird.
Connecticut Data Privacy Act (CTDPA)
In Kraft seit: 1. Juli 2023. Durchgesetzt durch: Generalstaatsanwalt von Connecticut.
Ähnlich dem Gesetz Colorados. Erfordert einen Widerspruch für zielgerichtete Werbung, den Verkauf personenbezogener Daten und Profiling. Verlangt seit dem 1. Januar 2025 die Berücksichtigung universeller Opt-out-Mechanismen. Bietet besonderen Schutz für sensible Daten, die einer Opt-in-Einwilligung bedürfen.
Virginia Consumer Data Protection Act (VCDPA)
In Kraft seit: 1. Januar 2023. Durchgesetzt durch: Generalstaatsanwalt von Virginia.
Bietet Widerspruchsrechte für zielgerichtete Werbung und den Verkauf personenbezogener Daten. Verlangt keine Berücksichtigung universeller Opt-out-Signale (anders als Kalifornien, Colorado und Connecticut). Erfordert eine Einwilligung für die Verarbeitung sensibler Daten.
Texas Data Privacy and Security Act (TDPSA)
In Kraft seit: 1. Juli 2024. Durchgesetzt durch: Generalstaatsanwalt von Texas.
Bemerkenswert weit gefasster Anwendungsbereich ohne Umsatzschwelle — das Gesetz gilt für jede in Texas geschäftlich tätige Einheit, die personenbezogene Daten verarbeitet und nicht als Kleinunternehmen im Sinne der SBA gilt. Erfordert einen Widerspruch für zielgerichtete Werbung und Datenverkäufe. Verlangt die Berücksichtigung universeller Opt-out-Mechanismen.
Oregon Consumer Privacy Act (OCPA)
In Kraft seit: 1. Juli 2024. Durchgesetzt durch: Generalstaatsanwalt von Oregon.
Gilt für Unternehmen, die die Daten von 100.000+ Verbrauchern in Oregon kontrollieren oder verarbeiten, oder von 25.000+ Verbrauchern, sofern sie 25 %+ ihres Umsatzes aus Datenverkäufen erzielen. Bietet die üblichen Widerspruchsrechte und sieht eine 30-tägige Frist zur Behebung von Verstößen vor.
Vergleich: US-Bundesstaaten vs. DSGVO
| Anforderung | DSGVO/ePrivacy | CCPA/CPRA | Andere US-Bundesstaaten |
|---|---|---|---|
| Einwilligungsmodell | Opt-in (vorherige Einwilligung) | Opt-out | Opt-out |
| Cookie-Einwilligung vor dem Setzen erforderlich | Ja | Nein | Nein |
| Cookie-Banner erforderlich | Faktisch ja | Nein (Opt-out-Link erforderlich) | Nein |
| Granulare Einwilligung nach Kategorie | Ja | Nein | Nein |
| Recht auf Widerspruch gegen Tracking | Ja (durch Nicht-Einwilligung) | Ja („Do Not Sell/Share“) | Ja (zielgerichtete Werbung/Datenverkauf) |
| GPC/universelles Opt-out erforderlich | Nicht spezifiziert | Ja | Unterschiedlich (CA, CO, CT, TX: ja) |
| Datenschutzerklärung erforderlich | Ja | Ja | Ja |
| Sensible Daten: Opt-in erforderlich | Ja (ausdrückliche Einwilligung) | Recht auf Nutzungseinschränkung | Unterschiedlich (meist: Opt-in) |
| Durchsetzung | Datenschutzbehörden + Privatklage (eingeschränkt) | CPPA + Generalstaatsanwalt + privates Klagerecht (Datenpannen) | Nur Generalstaatsanwalt |
| Höchststrafen | 4 % des weltweiten Umsatzes / 20 Mio. € | 2.500 $/Verstoß; 7.500 $/vorsätzlicher Verstoß | Unterschiedlich; typischerweise 7.500–10.000 $ |
Praktischer Ansatz: DSGVO-Compliance deckt die meisten US-Anforderungen ab
Wenn Ihre Website bereits DSGVO-konform ist, sind Sie für die US-Compliance gut aufgestellt. Das Opt-in-Modell der DSGVO ist strenger als das Opt-out-Modell jedes US-Bundesstaats. Es gibt jedoch bestimmte US-Anforderungen, die die DSGVO nicht behandelt:
- Link „Do Not Sell or Share“: Die DSGVO verlangt ein Einwilligungsmanagement, aber keinen speziellen „Do Not Sell or Share“-Link. Wenn Sie Besucher aus Kalifornien haben und die CCPA-Schwellenwerte erfüllen, benötigen Sie diesen Link.
- Berücksichtigung des GPC-Signals: Die DSGVO verlangt zwar keine Berücksichtigung von Browsersignalen, doch mehrere US-Bundesstaaten schreiben dies vor. Die Umsetzung der GPC-Berücksichtigung ist unkompliziert und zeigt Respekt gegenüber den Präferenzen der Nutzer.
- Spezifische Offenlegungen in der Datenschutzerklärung: Der CCPA/CPRA verlangt Offenlegungen in bestimmten Formaten (Kategorien der in den vorangegangenen 12 Monaten erhobenen Daten, Kategorien der Quellen usw.), die von den Anforderungen an DSGVO-Datenschutzhinweise abweichen.
- „Do Not Track“ vs. GPC: Das alte Browsersignal Do Not Track (DNT) war nie rechtsverbindlich. GPC ist sein Nachfolger und ist unter dem CCPA/CPRA sowie mehreren anderen einzelstaatlichen Gesetzen rechtsverbindlich. Stellen Sie sicher, dass Ihre Consent-Management-Plattform GPC-Signale erkennt und darauf reagiert.
Die Aussicht auf ein bundesweites US-Datenschutzgesetz
Der American Data Privacy and Protection Act (ADPPA) kam einer Verabschiedung näher als jeder frühere Bundesdatenschutzgesetzentwurf, als er im Juli 2022 den House Energy and Commerce Committee passierte, geriet letztlich jedoch ins Stocken. In den nachfolgenden Legislaturperioden des Kongresses gab es erneute Vorstöße, doch Stand Anfang 2026 wurde kein Bundesdatenschutzgesetz erlassen.
Die wesentlichen Hindernisse bleiben:
- Vorrangwirkung (Preemption): Die Frage, ob ein Bundesgesetz einzelstaatliche Gesetze außer Kraft setzen soll (Kalifornien lehnt eine Vorrangwirkung ab, die den CCPA/CPRA schwächen würde).
- Privates Klagerecht: Die Frage, ob Einzelpersonen Unternehmen bei Datenschutzverstößen direkt verklagen dürfen sollen.
- Opt-in vs. Opt-out: Die Frage, ob der Bundesstandard für sensible Daten ein Opt-in-Modell übernehmen oder den Opt-out-Ansatz beibehalten soll.
Bis ein Bundesgesetz erlassen wird, müssen sich Unternehmen durch den Flickenteppich der Einzelstaaten navigieren. Die praktische Empfehlung bleibt: Bauen Sie ein Consent-Management-System auf, das die strengsten Anforderungen erfüllt (DSGVO-Opt-in), und ergänzen Sie bei Bedarf US-spezifische Funktionen (Opt-out-Links, GPC-Unterstützung).
Empfehlungen für globale Compliance
Für Websites, die sowohl EU- als auch US-Besucher bedienen, ist der effizienteste Ansatz:
- Implementieren Sie ein DSGVO-konformes Einwilligungsmanagement als Grundlage. Damit verfügen Sie über das strengste Modell, das weniger strenge Anforderungen von Natur aus erfüllt.
- Fügen Sie einen „Do Not Sell or Share“-Mechanismus hinzu, wenn Sie die CCPA-Schwellenwerte erfüllen oder erheblichen Traffic aus Kalifornien haben.
- Implementieren Sie die Berücksichtigung des GPC-Signals für alle Besucher. Es handelt sich um eine einfache technische Umsetzung mit erheblichem rechtlichem Nutzen.
- Nutzen Sie Geolokalisierung, um passende Einwilligungserlebnisse auszuspielen. EU-Besucher sehen ein Opt-in-Banner; US-Besucher sehen einen weniger aufdringlichen Hinweis mit Opt-out-Optionen. Das schafft ein Gleichgewicht zwischen Compliance und Nutzererlebnis.
- Pflegen Sie umfassende Datenschutzhinweise, die sowohl die Anforderungen der DSGVO als auch des CCPA/CPRA erfüllen.
Der globale Trend geht unmissverständlich in Richtung eines stärkeren Datenschutzes und einer größeren Nutzerkontrolle über Tracking-Technologien. Ein robustes Einwilligungsmanagement jetzt aufzubauen, ist eine Investition, die sich auszahlen wird, während weiterhin neue Vorschriften entstehen.
Erfüllt Ihre Website die Cookie-Vorschriften?
Scannen Sie Ihre Website kostenlos und finden Sie alle Cookies in wenigen Minuten.
Cookies kostenlos scannen