Erfahren Sie, wie Sie den California Consumer Privacy Act (CCPA) und den California Privacy Rights Act (CPRA) bei der Nutzung von Zenovay Analytics einhalten.
Was ist CCPA/CPRA?
CCPA (California Consumer Privacy Act)
Seit Januar 2020 gewährt der CCPA Einwohnern Kaliforniens:
- Recht zu erfahren, welche Daten erhoben werden
- Recht auf Löschung personenbezogener Daten
- Recht auf Widerspruch gegen den Verkauf von Daten
- Recht auf Nichtdiskriminierung
CPRA (California Privacy Rights Act)
Seit Januar 2023 erweitert der CPRA den CCPA um:
- Recht auf Berichtigung ungenauer Daten
- Recht auf Einschränkung der Nutzung sensibler Daten
- Gründung der California Privacy Protection Agency
- Strengere Regeln für das „Teilen" von Daten
Gilt der CCPA für Sie?
Der CCPA gilt, wenn Sie EINEN der folgenden Schwellenwerte erfüllen:
| Schwellenwert | Anforderung |
|---|---|
| Umsatz | 25 Mio. $+ Jahresbruttoumsatz |
| Datenvolumen | Kauf/Verkauf von 100.000+ Verbraucherdatensätzen |
| Datenumsatz | 50%+ Umsatz aus dem Verkauf von Daten |
Definition von „Verbraucher"
Ein Einwohner Kaliforniens, definiert als jede Person, die:
- Sich in Kalifornien zu einem nicht vorübergehenden Zweck aufhält
- In Kalifornien lebt, sich aber vorübergehend außerhalb befindet
Zenovay und CCPA
Von uns erhobene Daten
Unter dem CCPA gelten folgende als „personenbezogene Daten":
| Kategorie | Beispiele | Erhoben? |
|---|---|---|
| Identifikatoren | IP-Adresse, Geräte-ID | Optional |
| Internetaktivität | Browserverlauf, Klicks | Ja |
| Geolokalisierung | Land, Stadt | Ja |
| Rückschlüsse | Besuchersegmente | Optional |
„Verkaufen" wir Daten?
Nein. Zenovay:
- Verkauft keine Besucherdaten an Dritte
- Teilt keine Daten für kontextübergreifende Werbung
- Überträgt keine Daten gegen Bezahlung
Wir sind ein Dienstleister im Sinne des CCPA.
CCPA-Verbraucherrechte
Recht auf Auskunft (1798.100)
Verbraucher können Folgendes anfordern:
- Kategorien der erhobenen Daten
- Konkrete Datensätze
- Quellen der Daten
- Geschäftszweck
- Dritte, mit denen Daten geteilt wurden
Umsetzung:
Die meisten Zenovay-Analysen sind aggregiert und nicht an eine benannte Person gebunden, daher ordnet sich eine Anfrage nach „spezifischen Datensätzen" in der Regel den mit einem Besucher verbundenen Datensätzen zu.
Um Besucherdatensätze programmgesteuert abzurufen, nutzen Sie die REST-API (verfügbar in Pro und höher):
# Besucherdatensätze für eine Website abrufen
curl -X GET "https://api.zenovay.com/api/external/v1/analytics/{websiteId}/visitors" \
-H "X-API-Key: zv_YOUR_API_KEY"
Wenn Sie auch eine Kopie Ihrer eigenen Zenovay-Kontodaten benötigen (Ihr Profil, Websites, Teamzugehörigkeiten und Audit-Trail), öffnen Sie Ihr Profil und nutzen Sie Meine Daten herunterladen, um einen JSON-Export zu generieren – dies ist in jedem Plan verfügbar.
Recht auf Löschung (1798.105)
Verbraucher können die Löschung ihrer Daten verlangen.
Umsetzung:
Die meisten Zenovay-Analysen sind anonym und aggregiert, daher ordnet sich eine Löschanfrage eines Verbrauchers in der Regel den mit ihren Besuchen verbundenen Datensätzen zu, nicht einem benannten Profil. Zenovay bietet derzeit keine Selbstbedienungsaktion zum Löschen eines einzelnen Besuchers an. Um eine individuelle Löschanfrage zu bearbeiten, kontaktieren Sie Zenovay-Support unter [email protected] mit den relevanten Details und wir werden sie bearbeiten.
Um Ihr gesamtes Zenovay-Konto und alle damit verbundenen Daten zu löschen, öffnen Sie Ihr Profil, suchen Sie Konto löschen, geben Sie LÖSCHEN zur Bestätigung ein und reichen Sie es ein. Dies entfernt dauerhaft Ihr Konto, Ihre verfolgten Websites und die Analysedaten, die Zenovay für diese speichert.
Recht auf Widerspruch (1798.120)
Verbraucher können dem „Verkauf" von Daten widersprechen.
Obwohl Zenovay keine Daten verkauft, beachten Sie Widersprüche:
// Widerspruchssignal respektieren
if (navigator.globalPrivacyControl) {
// Keine Analysen laden oder minimales Tracking verwenden
console.log('GPC signal detected');
}
Recht auf Nichtdiskriminierung (1798.125)
Verbraucher dürfen nicht unterschiedlich behandelt werden, wenn sie ihre Rechte ausüben:
- Keine unterschiedlichen Preise
- Keine unterschiedliche Servicequalität
- Keine Verweigerung von Diensten
Anforderungen an die Datenschutzerklärung
Erforderliche Angaben
Ihre Datenschutzerklärung muss Folgendes enthalten:
## Von uns erhobene Daten
Wir erheben die folgenden Kategorien personenbezogener Daten:
| Kategorie | Beispiele | Quelle |
|-----------|----------|--------|
| Identifikatoren | IP-Adresse, Cookies | Direkt |
| Internetaktivität | Besuchte Seiten, Klicks | Automatisch |
| Geolokalisierung | Stadt, Land | Abgeleitet von IP |
## Wie wir Daten verwenden
- Analyse des Website-Traffics
- Verbesserung der Benutzererfahrung
- Erkennung und Verhinderung von Betrug
## Drittanbieter-Dienstleister
Wir nutzen Zenovay Analytics zur Verarbeitung von Website-Nutzungsdaten.
Zenovay handelt als Dienstleister im Sinne des CCPA und verkauft
Ihre personenbezogenen Daten nicht.
## Ihre Rechte
Einwohner Kaliforniens haben das Recht:
- Zu erfahren, welche Daten wir erheben
- Ihre Daten löschen zu lassen
- Dem Verkauf von Daten zu widersprechen (wir verkaufen keine Daten)
- Nicht diskriminiert zu werden
Um diese Rechte auszuüben, kontaktieren Sie uns unter: [email protected]
Link „Meine persönlichen Daten nicht verkaufen"
Auch wenn Sie keine Daten verkaufen, erwägen Sie diesen Link:
<footer>
<a href="/privacy#do-not-sell">
Do Not Sell or Share My Personal Information
</a>
</footer>
Global Privacy Control (GPC)
Was ist GPC?
Ein Browsersignal, das die Widerspruchspräferenz anzeigt:
- Unterstützt von Firefox, Brave, DuckDuckGo
- CCPA und CPRA erkennen GPC-Signale an
- Muss für kalifornische Verbraucher beachtet werden
GPC erkennen
// Auf GPC-Signal prüfen
if (navigator.globalPrivacyControl) {
// Benutzer hat widersprochen
handleOptOut();
}
function handleOptOut() {
// Option 1: Keine Analysen laden
// Option 2: Zenovay normal laden – es respektiert das GPC-Signal automatisch
const script = document.createElement('script');
script.src = 'https://api.zenovay.com/z.js';
script.setAttribute('data-tracking-code', 'YOUR_TRACKING_CODE');
document.head.appendChild(script);
}
Zenovay GPC-Unterstützung
Zenovay respektiert GPC-Signale standardmäßig. Es ist kein spezielles Attribut erforderlich:
<script
defer
data-tracking-code="YOUR_TRACKING_CODE"
src="https://api.zenovay.com/z.js"
></script>
Wenn ein GPC-Signal erkannt wird, wird das Tracking automatisch angepasst, um die Widerspruchspräferenz zu respektieren.
Prozess zur Bearbeitung von Anfragen
Verifizierung
Vor der Bearbeitung von Anfragen:
- Identität des Verbrauchers verifizieren
- Wohnsitz in Kalifornien bestätigen (begründete Annahme)
- Mit Daten im System abgleichen
Fristen
| Aktion | Frist |
|---|---|
| Eingangsbestätigung | 10 Werktage |
| Antwort auf Anfrage | 45 Kalendertage |
| Verlängerung bei Bedarf | +45 Tage (Verbraucher benachrichtigen) |
Anfragemethoden
Anfragen akzeptieren über:
- Gebührenfreie Telefonnummer (falls vorhanden)
- Website-Formular
- E-Mail-Adresse
- Dafür vorgesehenes Portal
Dienstleistervertrag
Anforderungen
Zenovay handelt als Dienstleister, das bedeutet:
- Wir verarbeiten Daten in Ihrem Auftrag
- Wir nutzen Daten nicht für eigene Zwecke
- Wir folgen Ihren Anweisungen
- Wir wahren die Vertraulichkeit
Vertragsinhalte
Unser Dienstleistervertrag umfasst:
- Definition des Geschäftszwecks
- Verbot des Datenverkaufs
- Pflicht zur Unterstützung bei Anfragen
- Anforderungen an Unterauftragnehmer
- Löschungspflichten
Vertrag erhalten
Zenovay's Data Processing Agreement (das unsere Rolle als Dienstleister abdeckt) ist auf den Seiten zu den rechtlichen Angaben unter zenovay.com/legal veröffentlicht. Wenn Sie eine beglaubigte Kopie für Ihre Unterlagen benötigen, kontaktieren Sie uns unter [email protected].
Widerspruchs-Implementierung
Cookie-Banner
// CCPA-konformer Cookie-Hinweis
function showCCPANotice() {
const notice = document.createElement('div');
notice.innerHTML = `
<div class="ccpa-notice">
<p>Wir verwenden Analysen, um zu verstehen, wie Besucher unsere Website nutzen.</p>
<button onclick="acceptCCPA()">Akzeptieren</button>
<button onclick="optOutCCPA()">Widersprechen</button>
<a href="/privacy">Mehr erfahren</a>
</div>
`;
document.body.appendChild(notice);
}
function optOutCCPA() {
localStorage.setItem('ccpa_opt_out', 'true');
// Ohne Analysen neu laden oder in den Datenschutzmodus wechseln
}
„Do Not Track"-Signale
Der CCPA verlangt nicht die Beachtung von DNT, aber Zenovay respektiert DNT standardmäßig. Es ist kein Attribut erforderlich. Wenn Sie DNT überschreiben und trotzdem tracken möchten, verwenden Sie:
<script
defer
data-tracking-code="YOUR_TRACKING_CODE"
data-ignore-dnt="true"
src="https://api.zenovay.com/z.js"
></script>
Datenspeicherung
Anforderungen
- Nur das Nötige erheben
- Nur so lange wie nötig aufbewahren
- Aufbewahrungsfristen offenlegen
Aufbewahrung in Zenovay
Die Aufbewahrung von Analysedaten wird durch Ihren Plan festgelegt, und ältere Daten werden automatisch gelöscht:
| Plan | Aufbewahrung von Analysen |
|---|---|
| Free | 1 Jahr |
| Pro | 2 Jahre |
| Scale | 4 Jahre |
| Enterprise | Benutzerdefiniert |
Enterprise-Pläne können ein benutzerdefiniertes Aufbewahrungsfenster anfordern. Um die Aufbewahrung für die anderen Pläne zu verkürzen, löschen Sie die relevante Website oder Ihr Konto, wodurch seine Daten entfernt werden.
Mitarbeiterschulung
Schulen Sie Ihr Personal zu:
- Erkennung von CCPA-Anfragen
- Verifizierungsverfahren
- Antwortfristen
- Eskalationsprozess
Strafen
Durchsetzung
Der kalifornische Generalstaatsanwalt kann folgende Strafen verhängen:
| Verstoßart | Strafe pro Verstoß |
|---|---|
| Unbeabsichtigt | 2.500 $ |
| Vorsätzlich | 7.500 $ |
Privates Klagerecht
Bei Datenschutzverletzungen können Verbraucher klagen auf:
- 100–750 $ pro Vorfall
- Tatsächlichen Schadensersatz (falls höher)
- Unterlassungsansprüche
Compliance-Checkliste
Dokumentation
- Datenschutzerklärung mit CCPA-Angaben aktualisieren
- Link „Meine Daten nicht verkaufen" erstellen (empfohlen)
- Datenerhebungspraktiken dokumentieren
- Dienstleistervertrag unterzeichnen
Technisch
- GPC-Erkennung implementieren
- Workflow zur Bearbeitung von Anfragen erstellen
- Datenexport-Funktion einrichten
- Datenlöschung konfigurieren
Organisatorisch
- Kundenservice-Team schulen
- Datenschutzansprechpartner benennen
- System zur Anfragenverfolgung erstellen
- Verifizierungsverfahren dokumentieren
CCPA vs. DSGVO im Vergleich
| Aspekt | CCPA | DSGVO |
|---|---|---|
| Geltungsbereich | Kalifornische Verbraucher | EU-Einwohner |
| Rechtsgrundlage | Widerspruchsmodell | Einwilligungspflicht |
| Strafen | Pro Verstoß | % des Umsatzes |
| Privates Klagerecht | Nur bei Datenschutzverletzungen | Eingeschränkt |
| Aufsichtsbehörde | CA Attorney General | Datenschutzbehörden |
Bewährte Vorgehensweisen
- GPC-Signale beachten – Unter CPRA erforderlich
- Einfacher Widerspruch – Machen Sie es nicht kompliziert
- Klare Angaben – In einfacher Sprache
- Schnelle Antworten – Fristen einhalten
- Alles dokumentieren – Aufzeichnungen führen