US-Opt-out — CCPA/CPRA, richtig umgesetzt
So handhabt Passiro US-Datenschutzgesetze auf Bundesstaatenebene — automatisch und kostenlos in jedem Tarif
Mehr als 19 US-Bundesstaaten haben inzwischen umfassende Datenschutzgesetze — Kalifornien (CCPA/CPRA), Virginia, Colorado, Connecticut, Texas, Oregon, Montana und weitere. Anders als in der EU verlangt keiner von ihnen eine Opt-in-Cookie-Wall. Sie folgen einem Opt-out-Modell: Sie dürfen Daten verarbeiten, aber Besucher müssen die Möglichkeit haben zu sagen "Meine personenbezogenen Daten nicht verkaufen oder weitergeben" — und automatisierte Signale wie Global Privacy Control müssen berücksichtigt werden.
Das Gesetz richtet sich nach Ihrem Besucher – nicht nach Ihrem Standort
Ein weit verbreiteter Irrtum ist, dass ein Geschäft in Kalifornien nur das kalifornische Recht befolgen muss und ein Geschäft in Texas nur das texanische. Die Datenschutzgesetze der US-Bundesstaaten funktionieren genau umgekehrt: Sie schützen die Einwohner des jeweiligen Bundesstaates, unabhängig davon, wo das Unternehmen ansässig ist. Ein Geschäft in Texas mit ausreichend vielen kalifornischen Kunden schuldet diesen Besuchern die Rechte nach dem CCPA. Die Besucher eines kalifornischen Geschäfts aus Florida fallen unter das Recht von Florida — nicht unter das von Kalifornien.
Deshalb entscheidet Passiro pro Besucher: Die Region des Besuchers wird am Netzwerkrand erkannt, und der korrekte Hinweis wird automatisch angezeigt. Ob ein Gesetz überhaupt auf Ihr Unternehmen zutrifft, hängt von Schwellenwerten ab (Umsatz, Anzahl der Einwohner des Bundesstaates, Anteil des Umsatzes aus dem Datenverkauf) — dieser Teil ist eine Frage für Ihren Rechtsberater. Der sichere, branchenübliche Standard ist einfacher: Bieten Sie jedem US-Besucher die Opt-out-Möglichkeit.
So funktioniert es
- Ein Tag. Sie fügen dasselbe einzelne Passiro-Skript-Tag ein, das Sie für Ihr EU-Banner verwenden – nichts US-Spezifisches zu installieren.
- Geo-Erkennung am Edge. Das Land des Besuchers (und der US-Bundesstaat) wird im Edge-Netzwerk von Cloudflare erkannt — keine IP-Abfragen auf Ihren Servern, keine zusätzliche Latenz.
- Das richtige Banner. Besucher aus den USA sehen einen Hinweis mit der Auswahlmöglichkeit „Meine personenbezogenen Daten nicht verkaufen oder weitergeben“. Keine Zustimmungsbarriere, und vor der Auswahl werden keine Skripte blockiert – genau das Modell, das die US-Gesetze vorsehen. Besucher aus der EU erhalten weiterhin Ihr GDPR-Opt-in-Banner.
- Signale und Aufzeichnungen. Jede Entscheidung wird in den Formaten, die Anbieter lesen, an das Werbe-Ökosystem übermittelt und in Ihren Einwilligungsnachweisen mit dem jeweils geltenden Banner, Regime und den zugehörigen Signalen gespeichert.
Die Signale, die Passiro sendet
Global Privacy Control (GPC)
Wenn der Browser eines Besuchers das GPC-Signal sendet, behandelt Passiro dies als automatischen Opt-out — ohne Banner-Interaktion — und protokolliert es. Die Beachtung von GPC ist in Kalifornien, Colorado, Connecticut, Texas und einer wachsenden Zahl von Bundesstaaten gesetzlich vorgeschrieben; Passiro beachtet es für alle US-Besucher.
IAB GPP — US National v2
Passiro gibt IAB Global Privacy Platform-Strings (Abschnitt US National v2) über die standardmäßige __gpp JavaScript-API und den __gppLocator-Frame aus — das Format, das Google und moderne Werbeplattformen lesen, Byte für Byte gegen die Referenzimplementierung von IAB verifiziert.
Ältere US-Privacy-Signale
Für Anbieter, die noch das ältere IAB US Privacy Framework nutzen, stellt Passiro außerdem die __uspapi-API und den usprivacy-Cookie bereit – so erhält jede Generation von Ad-Tech ein Signal, das sie versteht.
Was sich zwischen den Bundesstaaten unterscheidet – und was Passiro abdeckt
Die Gesetze der Bundesstaaten teilen denselben Opt-out-Kern. Die praktischen Unterschiede und wie sie gehandhabt werden:
| Unterschied | Bundesländer | Verwaltet von Passiro |
|---|---|---|
| GPC muss berücksichtigt werden | CA, CO, CT, TX, MT, OR, DE, NJ + weitere | Ja — für alle US-Besucher berücksichtigt |
| Formulierung „Nicht verkaufen oder weitergeben“ | Kalifornien (CPRA); andere erfordern einen Opt-out-Mechanismus | Ja – der Hinweis erfüllt beide |
| Signalformat, das Werbeplattformen akzeptieren | GPP US National + Abschnitte CA/CO/CT/FL/VA (Google) | Ja — US National v2, der von Google empfohlene Weg |
| Einwilligung für sensible Daten erforderlich | VA, CO, CT und weitere | Hinweis abgedeckt; was Sie erfassen, ist eine Entscheidung in Ihrer Data-Layer-Ebene |
| Anwendungsbereich auf sehr große Unternehmen beschränkt | Florida (Umsatz über 1 Mrd. USD) | Konservativ durch den US-weiten Hinweis abgedeckt |
Ein US-Banner – oder eines pro Bundesstaat
Der empfohlene Standard ist ein einziges US-weites Opt-out-Banner: Sie können durch das Gewähren von Rechten nicht gegen die Compliance verstoßen, und die IAB hat den Abschnitt GPP US National genau dafür entwickelt. Wählen Sie im Banner-Designer die Region "United States" (oder das US-Compliance-Profil) aus, und schon sind Sie fertig.
Sie bevorzugen eine feinere Steuerung? Sprechen Sie einzelne Bundesstaaten (z. B. US-CA, US-CO) mit eigenen Bannern an — die Ausrichtung auf Bundesstaaten hat automatisch Vorrang vor der Länderausrichtung. Geo-Targeting, mehrere Banner und das US-Opt-out-System sind in jedem Tarif kostenlos, auch im kostenlosen.
Funktioniert zusammen mit Ihrem EU-Banner
US-Opt-out und die EU-DSGVO sind unterschiedliche Regime, und Passiro hält sie strikt getrennt: EU-Besucher erhalten das Opt-in-Banner (optional mit IAB TCF v2.3 und Google Consent Mode v2), US-Besucher erhalten den Opt-out-Hinweis — über denselben Tag, mit den passenden Texten in 25 Sprachen.
Richten Sie Ihr US-Banner ein — kostenlos
Diese Seite erläutert die Funktionsweise von Passiro und stellt keine Rechtsberatung dar. Ob bestimmte einzelstaatliche Gesetze für Ihr Unternehmen gelten, hängt von den gesetzlichen Schwellenwerten ab — konsultieren Sie Ihren Rechtsbeistand.