Skip to main content

US-Opt-out — CCPA/CPRA, richtig umgesetzt

So handhabt Passiro US-Datenschutzgesetze auf Bundesstaatenebene — automatisch und kostenlos in jedem Tarif

Mehr als 19 US-Bundesstaaten haben inzwischen umfassende Datenschutzgesetze — Kalifornien (CCPA/CPRA), Virginia, Colorado, Connecticut, Texas, Oregon, Montana und weitere. Anders als in der EU verlangt keiner von ihnen eine Opt-in-Cookie-Wall. Sie folgen einem Opt-out-Modell: Sie dürfen Daten verarbeiten, aber Besucher müssen die Möglichkeit haben zu sagen "Meine personenbezogenen Daten nicht verkaufen oder weitergeben" — und automatisierte Signale wie Global Privacy Control müssen berücksichtigt werden.

Das Gesetz richtet sich nach Ihrem Besucher – nicht nach Ihrem Standort

Ein weit verbreiteter Irrtum ist, dass ein Geschäft in Kalifornien nur das kalifornische Recht befolgen muss und ein Geschäft in Texas nur das texanische. Die Datenschutzgesetze der US-Bundesstaaten funktionieren genau umgekehrt: Sie schützen die Einwohner des jeweiligen Bundesstaates, unabhängig davon, wo das Unternehmen ansässig ist. Ein Geschäft in Texas mit ausreichend vielen kalifornischen Kunden schuldet diesen Besuchern die Rechte nach dem CCPA. Die Besucher eines kalifornischen Geschäfts aus Florida fallen unter das Recht von Florida — nicht unter das von Kalifornien.

Deshalb entscheidet Passiro pro Besucher: Die Region des Besuchers wird am Netzwerkrand erkannt, und der korrekte Hinweis wird automatisch angezeigt. Ob ein Gesetz überhaupt auf Ihr Unternehmen zutrifft, hängt von Schwellenwerten ab (Umsatz, Anzahl der Einwohner des Bundesstaates, Anteil des Umsatzes aus dem Datenverkauf) — dieser Teil ist eine Frage für Ihren Rechtsberater. Der sichere, branchenübliche Standard ist einfacher: Bieten Sie jedem US-Besucher die Opt-out-Möglichkeit.

So funktioniert es

  1. Ein Tag. Sie fügen dasselbe einzelne Passiro-Skript-Tag ein, das Sie für Ihr EU-Banner verwenden – nichts US-Spezifisches zu installieren.
  2. Geo-Erkennung am Edge. Das Land des Besuchers (und der US-Bundesstaat) wird im Edge-Netzwerk von Cloudflare erkannt — keine IP-Abfragen auf Ihren Servern, keine zusätzliche Latenz.
  3. Das richtige Banner. Besucher aus den USA sehen einen Hinweis mit der Auswahlmöglichkeit „Meine personenbezogenen Daten nicht verkaufen oder weitergeben“. Keine Zustimmungsbarriere, und vor der Auswahl werden keine Skripte blockiert – genau das Modell, das die US-Gesetze vorsehen. Besucher aus der EU erhalten weiterhin Ihr GDPR-Opt-in-Banner.
  4. Signale und Aufzeichnungen. Jede Entscheidung wird in den Formaten, die Anbieter lesen, an das Werbe-Ökosystem übermittelt und in Ihren Einwilligungsnachweisen mit dem jeweils geltenden Banner, Regime und den zugehörigen Signalen gespeichert.

Die Signale, die Passiro sendet

Global Privacy Control (GPC)

Wenn der Browser eines Besuchers das GPC-Signal sendet, behandelt Passiro dies als automatischen Opt-out — ohne Banner-Interaktion — und protokolliert es. Die Beachtung von GPC ist in Kalifornien, Colorado, Connecticut, Texas und einer wachsenden Zahl von Bundesstaaten gesetzlich vorgeschrieben; Passiro beachtet es für alle US-Besucher.

IAB GPP — US National v2

Passiro gibt IAB Global Privacy Platform-Strings (Abschnitt US National v2) über die standardmäßige __gpp JavaScript-API und den __gppLocator-Frame aus — das Format, das Google und moderne Werbeplattformen lesen, Byte für Byte gegen die Referenzimplementierung von IAB verifiziert.

Ältere US-Privacy-Signale

Für Anbieter, die noch das ältere IAB US Privacy Framework nutzen, stellt Passiro außerdem die __uspapi-API und den usprivacy-Cookie bereit – so erhält jede Generation von Ad-Tech ein Signal, das sie versteht.

Was sich zwischen den Bundesstaaten unterscheidet – und was Passiro abdeckt

Die Gesetze der Bundesstaaten teilen denselben Opt-out-Kern. Die praktischen Unterschiede und wie sie gehandhabt werden:

Unterschied Bundesländer Verwaltet von Passiro
GPC muss berücksichtigt werden CA, CO, CT, TX, MT, OR, DE, NJ + weitere Ja — für alle US-Besucher berücksichtigt
Formulierung „Nicht verkaufen oder weitergeben“ Kalifornien (CPRA); andere erfordern einen Opt-out-Mechanismus Ja – der Hinweis erfüllt beide
Signalformat, das Werbeplattformen akzeptieren GPP US National + Abschnitte CA/CO/CT/FL/VA (Google) Ja — US National v2, der von Google empfohlene Weg
Einwilligung für sensible Daten erforderlich VA, CO, CT und weitere Hinweis abgedeckt; was Sie erfassen, ist eine Entscheidung in Ihrer Data-Layer-Ebene
Anwendungsbereich auf sehr große Unternehmen beschränkt Florida (Umsatz über 1 Mrd. USD) Konservativ durch den US-weiten Hinweis abgedeckt

Ein US-Banner – oder eines pro Bundesstaat

Der empfohlene Standard ist ein einziges US-weites Opt-out-Banner: Sie können durch das Gewähren von Rechten nicht gegen die Compliance verstoßen, und die IAB hat den Abschnitt GPP US National genau dafür entwickelt. Wählen Sie im Banner-Designer die Region "United States" (oder das US-Compliance-Profil) aus, und schon sind Sie fertig.

Sie bevorzugen eine feinere Steuerung? Sprechen Sie einzelne Bundesstaaten (z. B. US-CA, US-CO) mit eigenen Bannern an — die Ausrichtung auf Bundesstaaten hat automatisch Vorrang vor der Länderausrichtung. Geo-Targeting, mehrere Banner und das US-Opt-out-System sind in jedem Tarif kostenlos, auch im kostenlosen.

Funktioniert zusammen mit Ihrem EU-Banner

US-Opt-out und die EU-DSGVO sind unterschiedliche Regime, und Passiro hält sie strikt getrennt: EU-Besucher erhalten das Opt-in-Banner (optional mit IAB TCF v2.3 und Google Consent Mode v2), US-Besucher erhalten den Opt-out-Hinweis — über denselben Tag, mit den passenden Texten in 25 Sprachen.

Richten Sie Ihr US-Banner ein — kostenlos

Diese Seite erläutert die Funktionsweise von Passiro und stellt keine Rechtsberatung dar. Ob bestimmte einzelstaatliche Gesetze für Ihr Unternehmen gelten, hängt von den gesetzlichen Schwellenwerten ab — konsultieren Sie Ihren Rechtsbeistand.