CCPA wird massenhaft ignoriert: Was Sie dagegen tun können

Kaliforniens Datenschutzgesetz hat ein Compliance-Problem

Das kalifornische Verbraucherschutzgesetz (CCPA) sollte den Einwohnern eine echte Kontrolle über ihre persönlichen Daten geben. Aber ein umfassendes neues Audit von mehr als 7.000 beliebten Websites erzählt eine andere Geschichte. Forscher fanden das, was sie als „Nichteinhaltung im industriellen Maßstab" bezeichneten: Viele große Technologieunternehmen ignorieren systematisch ein rechtlich anerkanntes Datenschutzsignal, das direkt in Browser integriert ist.

Bei dem fraglichen Signal handelt es sich um den Global Privacy Control (GPC). Wenn er aktiviert ist, sendet er an jede besuchte Website automatisch eine Anweisung, das Verhalten des Nutzers nicht zu verfolgen oder seine persönlichen Daten zu verkaufen. Im Rahmen des CCPA ist die Beachtung dieses Signals für Unternehmen, die in Kalifornien tätig sind, keine Option. Es ist eine gesetzliche Anforderung. Und dennoch stellte das Audit fest, dass in einigen Fällen das Tracking während 86 % der Besuche fortgesetzt wurde, obwohl das GPC-Signal aktiv war.

Diese Zahl verdient einen Moment der Reflexion. Ein Nutzer könnte alles richtig machen – eine gesetzlich geschützte Datenschutzeinstellung aktivieren – und trotzdem würde sein Verhalten in der überwältigenden Mehrheit seiner Browsersitzungen verfolgt und seine Daten möglicherweise verkauft.

Warum rechtliche Schutzmaßnahmen allein nicht ausreichen

Datenschutzgesetze wie das CCPA stellen echten Fortschritt dar. Sie etablieren Rechte, schaffen Durchsetzungsmechanismen und verlagern die Beweislast auf Unternehmen, die ihre Datenpraktiken rechtfertigen müssen. Aber dieses Audit verdeutlicht eine Lücke, vor der Datenschutzexperten seit langem warnen: Ein Gesetz ist nur so wirksam wie seine Durchsetzung.

Wenn die Nichteinhaltung so weit verbreitet und so systematisch ist, deutet das darauf hin, dass Unternehmen kalkuliert haben, dass das Risiko regulatorischer Strafen geringer ist als der Wert der gesammelten Daten. Das ist ein strukturelles Problem, kein individuelles. Kein noch so sorgfältiges Lesen von Cookie-Bannern oder Klicken auf „Alle ablehnen" behebt ein System, in dem die Tracking-Infrastruktur unabhängig davon im Hintergrund weiterläuft.

Dies ist auch über Kalifornien hinaus von Bedeutung. Obwohl das CCPA nur für Einwohner Kaliforniens gilt, bedienen die dagegen verstoßenden Websites Nutzer auf der ganzen Welt. Dieselben Tracking-Technologien, Werbenetzwerke und Datenmakler operieren global. Wenn große Unternehmen bereit sind, ein Staatsgesetz mit echten Konsequenzen zu ignorieren, ist die Situation in Rechtsordnungen mit schwächerem Schutz wahrscheinlich noch schlimmer.

Was das für Sie bedeutet

Die praktische Schlussfolgerung aus diesem Audit ist unangenehm, aber wichtig: Sie können sich beim Surfen im Internet nicht allein auf rechtliche Rahmenbedingungen verlassen, um Ihre Privatsphäre zu schützen. Die Einhaltung durch Unternehmen ist bestenfalls inkonsistent und laut dieser Forschung im schlimmsten Fall vernachlässigbar, wenn es darum geht, Ihre angegebenen Präferenzen zu respektieren.

Das bedeutet nicht, dass Datenschutzgesetze wertlos sind. Regulatorischer Druck, Bußgelder und öffentliche Rechenschaftspflicht bewegen die Dinge im Laufe der Zeit. Aber in der Zwischenzeit wird Ihr tatsächliches Surfverhalten wahrscheinlich weit umfassender verfolgt, als es ein Einwilligungsbanner oder eine Opt-out-Einstellung vermuten lässt.

Die Tools, die zuverlässigeren Schutz bieten, arbeiten auf technischer Ebene statt auf politischer Ebene. Eine Browser-Erweiterung, die Drittanbieter-Tracker blockiert, bittet ein Unternehmen nicht, Ihre Präferenzen zu respektieren. Sie verhindert schlicht, dass der Tracking-Code überhaupt geladen wird. Ebenso verschlüsselt ein VPN Ihre Internetverbindung und verschleiert Ihre IP-Adresse – einen der wichtigsten Identifikatoren, der verwendet wird, um Profile Ihres Verhaltens auf verschiedenen Websites zu erstellen. Keiner dieser Ansätze ist auf den guten Willen von Unternehmen oder die Durchsetzung durch Behörden angewiesen.

Datenschutzkontrollen auf Browser-Ebene sind ebenfalls ausgereifter geworden. Firefox und auf Datenschutz ausgerichtete Browser blockieren viele Tracking-Skripte standardmäßig. Das GPC-Signal selbst ist eine Browser-Einstellung, die es sich lohnt zu aktivieren – nicht weil Unternehmen sie zuverlässig beachten (dieses Audit macht deutlich, dass sie es nicht tun), sondern weil es einen dokumentierten Nachweis Ihrer angegebenen Präferenzen erstellt, der bei Durchsetzungsmaßnahmen von Bedeutung sein kann.

Praktische Schritte zum Schutz Ihrer Privatsphäre jetzt

Angesichts der Erkenntnisse dieses Audits sind hier konkrete Maßnahmen, die echten Schutz bieten, statt von politischen Versprechen abzuhängen:

• Aktivieren Sie den Global Privacy Control in Ihren Browser-Einstellungen. Er wird möglicherweise nicht immer beachtet, fügt aber eine Ebene rechtlicher Absicherung hinzu und wird von datenschutzorientierten Browsern zunehmend unterstützt.
• Verwenden Sie eine Tracker-blockierende Browser-Erweiterung wie uBlock Origin oder einen datenschutzorientierten Browser, der Drittanbieter-Skripte standardmäßig blockiert. Diese funktionieren unabhängig davon, ob eine Website Ihre Opt-out-Präferenzen beachtet.
• Erwägen Sie ein VPN für allgemeines Surfen, insbesondere in Netzwerken, die Sie nicht kontrollieren. Ein VPN blockiert Tracker nicht direkt, verhindert aber, dass Ihr ISP und Beobachter auf Netzwerkebene ein Bild Ihrer Aktivitäten aufbauen, und verschleiert die IP-Adresse, die Ihre Sitzungen auf verschiedenen Websites miteinander verknüpft.
• Überprüfen Sie regelmäßig die Datenschutzeinstellungen Ihres Browsers. Drittanbieter-Cookies, Fingerprinting-Schutz und Tracker-Blockierung sind in gängigen Browsern oft standardmäßig deaktiviert.
• Seien Sie skeptisch gegenüber Cookie-Einwilligungsbannern. Forschungen zeigen konsistent, dass viele Websites das Tracking unabhängig von der gewählten Option fortsetzen.

Das CCPA war ein bedeutender Schritt, um Unternehmen für den Umgang mit persönlichen Daten zur Rechenschaft zu ziehen. Aber dieses Audit bestätigt, was viele Datenschutzforscher seit Jahren argumentieren: Rechtliche Rechte und technische Realitäten sind zwei sehr verschiedene Dinge. Diese Lücke zu verstehen und Schritte zu unternehmen, um sie mit den verfügbaren Mitteln zu schließen, ist derzeit der zuverlässigste Weg zu einem wirksamen Datenschutz.