Kalifornien setzt Gesetz in Kraft, das eine umfassende Ablehnung der Datenweitergabe ermöglicht

 (therecord.media)
1 Punkte von GN⁺ 2025-10-10 | 1 Kommentare | Auf WhatsApp teilen
  • Im US-Bundesstaat Kalifornien wurde ein neues Gesetz verabschiedet, mit dem sich die Weitergabe von Daten an Dritte umfassend ablehnen lässt – direkt über den Webbrowser
  • Der 2018 eingeführte California Consumer Privacy Act gewährte bereits ein Opt-out-Recht, in der praktischen Nutzung war dieses jedoch schwer zugänglich
  • Das neue Gesetz ermöglicht ein vollständiges Opt-out mit nur einem Klick und stellt damit klare Umsetzungsanforderungen an die großen Browser
  • Weitere am selben Tag unterzeichnete Gesetze verschärfen die Pflichten zur vollständigen Löschung von Daten bei der Löschung von Social-Media-Konten sowie zur Offenlegung von Informationen durch Datenbroker
  • Es markiert einen Wendepunkt für den Schutz der Privatsphäre und die Kontrolle von Verbraucherdaten mit deutlich ausgeweiteten Rechten

Überblick über das kalifornische Gesetz zur Ablehnung der Datenweitergabe

  • Der kalifornische Gouverneur Gavin Newsom hat ein Gesetz offiziell unterzeichnet, das die Opt-out-Funktion für den Verkauf von Daten im Webbrowser vereinfacht
  • Mit dem 2018 verabschiedeten California Consumer Privacy Act erhielten Bürger Kaliforniens zwar das Recht, ein Signal zur Ablehnung des Datenverkaufs zu senden, doch Webbrowser boten bislang keinen wirklich einfachen Zugang zu dieser Funktion
  • Das nun verabschiedete Gesetz verlangt, dass Webbrowser verpflichtend einen leicht zugänglichen Opt-out-Mechanismus einführen
  • Statt den Vorgang auf jeder einzelnen Website manuell abzulehnen, geht es im Kern darum, eine Umgebung zu schaffen, in der sich mit einem Klick ein Opt-out-Signal an alle Websites senden lässt

Gesellschaftliche Bedeutung des Gesetzes

  • Das Gesetz ist das erste allgemein geltende Gesetz in den USA zur universellen Ablehnung der Datennutzung
  • Bisher war ein universelles Opt-out nur mit Browser-Erweiterungen von Drittanbietern oder auf Privatsphäre spezialisierten Browsern möglich
  • Nun können Millionen von Nutzern die Ablehnung des Datenverkaufs deutlich einfacher umsetzen

Weitere verabschiedete Gesetze zum Datenschutz

  • Ein weiteres Gesetz, das der Gouverneur am selben Tag unterzeichnete, verpflichtet Social-Media-Unternehmen dazu, eine einfache Kontolöschung und die vollständige Löschung aller Daten zu ermöglichen
  • Ein anderes Gesetz verschärft das Data Broker Registration Law und erweitert die Offenlegungspflichten dazu, welche personenbezogenen Daten Datenbroker sammeln und wer diese erhalten kann

Ausblick

  • Dieses Gesetzespaket ist ein wichtiger Schritt hin zu einem deutlich höheren Schutz der Privatsphäre und mehr Kontrolle der Verbraucher über ihre Daten
  • Es ist zu erwarten, dass sich der Trend zu stärkerer Regulierung und mehr Transparenz bei Browsern, Social Media und Datenbrokern fortsetzen wird

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-10-10
Hacker-News-Kommentare

  • Es wird angemerkt, dass es nur dann wirksam wäre, wenn Unternehmen bei Missachtung solcher Anforderungen per Sammelklage verklagt werden könnten. Es wurde ein Skript geschrieben, das die Opt-out-Funktion direkt auf Websites regelmäßig testet, und dabei festgestellt, dass fast 50 % fehlerhaft implementiert sind; darunter auch renommierte IT-Unternehmen, die erst kürzlich an die Börse gegangen sind. Nach den kalifornischen Gesetzen CCPA/CPRA liegt der Großteil der Durchsetzungsbefugnisse jedoch bei Behörden (CPPA, Attorney General), und Einzelpersonen können nicht direkt klagen, weshalb Unternehmen vergleichsweise wenig Druck verspüren, da ihnen keine Sammelklagen drohen.

    • Durch weitreichende vorab vereinbarte Schiedsvereinbarungen, Verzicht auf Sammelklagen und Klauseln gegen Massen-Schiedsverfahren sind Sammelklagen deutlich schwieriger geworden. Da der Oberste Gerichtshof der USA dies anerkannt hat, kann Kalifornien das nicht ohne Weiteres rückgängig machen. Stattdessen wird vorgeschlagen, gesetzlich festzuschreiben, dass CPPA oder der Attorney General bei Auftreten eines Problems zwingend tätig werden müssen, dass jede NDA unwirksam ist, wenn Einwohner Kaliforniens solche Probleme melden, und dass bei unterlassener Durchsetzung per Klage auf Erzwingung amtlichen Handelns (writ of mandamus) die Durchsetzung verlangt werden kann. Damit solche Klagen finanziell möglich sind, sollten auch Anwaltskosten erstattet werden. Im Grundsatz sollte dies verpflichtend sein, Ausnahmen könnten transparent diskutiert werden. Insgesamt entsteht der Eindruck, dass die kalifornische Legislative oder der Gouverneur eher an Symbolpolitik als an tatsächlichen Lösungen interessiert sind.

    • Es wird gefragt, ob das verwendete Skript geteilt werden könnte.

    • Es wird als seltsam bezeichnet, dass es Gesetze gibt, die Privatpersonen nicht selbst durchsetzen können. Nach dieser Ansicht wäre eine Verfassungsänderung nötig, um die Rechtsdurchsetzung zu erleichtern; wie genau, müssten Rechtsexperten ausarbeiten.

  • Es wird eine Erfahrung aus der Zeit geteilt, als es den Browser-Header "Do Not Track" gab. Als Nutzer und als Ingenieur wurde das begrüßt, verschwand aber wegen des Widerstands der Branche. Hätten alle in gutem Glauben mitgespielt, wäre das großartig gewesen. Solche Werkzeuge sollten nach dieser Ansicht vom Browser implementiert werden. Hätte man das auch auf Cookies angewendet, gäbe es heute womöglich nicht dieses Chaos mit Cookie-Pop-ups. Im Zusammenhang mit diesem Artikel wird die Auffassung vertreten, dass Browser-Hersteller auch "do not sell" umsetzen sollten, verbunden mit der Frage, ob das etwas Ähnliches wie Do Not Track ist.

    • Stattdessen sollte der Verkauf von Daten eher ein klares Opt-in erfordern. Im Fall einer Zustimmung sollten wir jedes Mal, wenn unsere Daten verkauft, genutzt oder weiterverkauft werden, einen Preis festlegen und vergütet werden. Dass Unternehmen ohne Zustimmung der Nutzer Daten einfach ohne Gegenleistung nehmen, wird als anormal bezeichnet.

    • Inzwischen ist es sogar noch schlimmer. In der Privacy-Branche wird inzwischen empfohlen, den "Do Not Track"-Header lieber nicht zu aktivieren, weil er kaum beachtet wird und stattdessen sogar als zusätzlicher Datenpunkt für Browser-Fingerprinting genutzt werden kann, was zu noch mehr Tracking führt.

  • Den kalifornischen Gesetzgebern wird gedankt, verbunden mit der Hoffnung, dass dieses Gesetz wie beabsichtigt funktioniert und etwaige Schlupflöcher sofort geschlossen werden.

    • Solche Nachrichten sind willkommen, aber es braucht auch echte Bußgelder und verlässliche Durchsetzung. Wenn gesetzliche Bestimmungen keine praktische Wirkung haben, sind sie bedeutungslos, und es braucht nach dieser Ansicht so harte Sanktionen, dass problematische Unternehmen tatsächlich aus dem Markt gedrängt werden können.

    • Es wird erwartet, dass dadurch einfach wieder ein neues Pop-up entsteht, das man auf allen Websites schließen muss.

  • Es gibt die Sorge, dass das chaotische US-Datenschutzrecht die Vorteile eines einheitlichen US-Marktes schwächen wird. Große Unternehmen verkaufen Daten in Wirklichkeit oft gar nicht, sondern nutzen sie direkt selbst; tatsächlich getroffen würden durch dieses Gesetz eher kleine und mittlere Unternehmen.

  • Das Gesetz zum "universal opt-out" selbst hat nur sehr schwache Durchsetzungskraft und entfaltet Potenzial nur in Verbindung mit dem bestehenden CCPA. Das CCPA beschränkt nur das Teilen von Informationen zum Zweck kontextübergreifender verhaltensbezogener Werbung. Dieses Gesetz verlangt lediglich, dass Browser und mobile Betriebssysteme eine Einstellung anbieten, mit der sich ein Opt-out-Wille leicht ausdrücken lässt. Weder das Signalformat noch die Erzwingung der Einhaltung werden ausdrücklich verlangt. Das gesamte Gesetz ließe sich sogar in einem einzigen Tweet zusammenfassen. Das Problem der "Cookie-Banner" ist allerdings in einem anderen Gesetz (CCPA) geregelt, das eine Cooldown-Frist von 12 Monaten vorsieht. Es werden außerdem die zentralen Gesetzespassagen und die Definition des Signals geteilt: https://legiscan.com/CA/text/AB566/id/3117187 https://oag.ca.gov/privacy/ccpa

  • Als alternatives Werkzeug für den Fall, dass universal opt-out nicht funktioniert, wird https://simpleoptout.com/ vorgestellt.

  • Es wird die Ansicht vertreten, dass standardmäßig Opt-out gelten sollte und Nutzer nur dann wieder explizit Opt-in wählen müssten, wenn sie es möchten. Darin liege das eigentliche Kernproblem.

    • Microsoft versuchte, DNT als standardmäßiges Opt-out umzusetzen, scheiterte jedoch daran, dass datengetriebene Unternehmen es einfach ignorierten.

  • Es wird vorgeschlagen, dass Nutzer jedes Mal am Erlös beteiligt werden sollten, wenn ihre Daten verkauft werden.

    • Solche Ideen werden in der Startup-Branche seit Langem diskutiert, tatsächlich ausprobiert wurde das aber kaum. Es erscheint als vernünftiges Modell, der breiten Öffentlichkeit eine Entschädigung nach dem Muster "Ich lasse mich für ein paar Euro als Werbezielgruppe nutzen" anzubieten.

  • Es wird der Link zur offiziellen Ankündigung geteilt: https://www.gov.ca.gov/2025/10/08/governor-newsom-signs-data-privacy-bills-to-protect-tech-users/

  • Dank solcher Funktionen würde man gern einige der derzeit installierten Sicherheits-Erweiterungen loswerden, ist aber nicht sicher, ob Opt-out-Signale in der Praxis wirklich beachtet werden, weshalb man defensive Erweiterungen wohl weiterhin behalten muss. Die Stoßrichtung des Gesetzes wird jedoch sehr positiv gesehen.