California Invasion of Privacy Act (CIPA)

Der California Invasion of Privacy Act (CIPA) wurde ursprünglich 1967 erlassen und im digitalen Zeitalter grundlegend aktualisiert. CIPA hat in den letzten Jahren erhebliche Aufmerksamkeit erlangt, da es auf Website-Tracking-Technologien angewandt wird, darunter Session-Replay-Tools, Chat-Widgets und Analyse-Skripte, die elektronische Kommunikation ohne Einwilligung abfangen.

Was ist CIPA?

CIPA (California Penal Code Sections 630–638.55) ist Kaliforniens Gesetz zu Abhörmaßnahmen und elektronischer Überwachung. Obwohl es ursprünglich für das Abhören von Telefongesprächen konzipiert wurde, wenden Gerichte CIPA zunehmend auf digitale Kontexte an, einschließlich des Abfangens von Daten durch Tracking-Pixel von Drittanbietern, Chatbots und Session-Replay-Software, die auf Websites eingebettet sind.

Gemäß CIPA ist es rechtswidrig, den Inhalt einer Nachricht oder Kommunikation ohne Einwilligung aller Beteiligten absichtlich abzufangen, zu lesen oder zu erfassen. Kalifornien ist ein Staat mit allseitiger Einwilligungspflicht, was bedeutet, dass alle Parteien einer Kommunikation der Aufzeichnung oder dem Abfangen zustimmen müssen.

Wie CIPA auf Websites angewandt wird

Jüngste Sammelklagen haben vorgebracht, dass das Einbetten von Tracking-Skripten Dritter — wie Session-Replay-Tools, Chat-Widgets, Analyse-Pixel und Werbetracker — auf einer Website gemäß CIPA ein illegales Abhören darstellt, da diese Skripte Besucherkommunikation (Tastatureingaben, Mausbewegungen, Formulareingaben) abfangen und ohne Einwilligung an Dritte übermitteln.

Zentrale Szenarien, die CIPA-Klagen ausgelöst haben:

• Session-Replay-Software, die Besucherinteraktionen in Echtzeit aufzeichnet
• Live-Chat- oder Chatbot-Widgets, die Gesprächsdaten mit Drittanbietern teilen
• Analyse- und Werbepixel, die das Surfverhalten abfangen
• Gesundheits- und Finanz-Websites, die sensible Daten erheben und mit Werbeplattformen teilen

Rechtslage

Die Anwendung von CIPA auf Website-Tracking-Technologien bleibt umstritten. Gerichte haben unterschiedliche Entscheidungen darüber getroffen, ob Session-Replay-Tools und Analyse-Skripte von Drittanbietern ein „Abfangen" im Sinne von CIPA darstellen. Einige Gerichte haben solche Klagen abgewiesen und festgestellt, dass Website-Betreiber Partei der Kommunikation sind, während andere ähnliche Klagen zugelassen haben. Unternehmen, die Websites betreiben, die für kalifornische Einwohner zugänglich sind, sollten die laufende Rechtsprechung verfolgen und rechtliche Beratung einholen, da sich das Recht weiterentwickelt.

Einwilligung als Verteidigung

Die Einholung einer vorherigen, informierten Einwilligung von Website-Besuchern vor dem Einsatz von Tracking-Skripten Dritter ist die wichtigste Compliance-Strategie. Eine Consent-Management-Plattform (CMP), die eine Opt-in-Einwilligung einholt, bevor Tracking-Technologien aktiviert werden, kann als wirksame Verteidigung gegen CIPA-Klagen dienen.

Strafen

CIPA sieht sowohl strafrechtliche als auch zivilrechtliche Haftung vor. Zivilkläger können den höheren Betrag von 5.000 US-Dollar pro Verstoß oder dem Dreifachen des tatsächlichen Schadens geltend machen. Da CIPA es einzelnen Klägern ermöglicht, direkt zu klagen, ist es zu einem beliebten Instrument für Sammelklagen gegen Website-Betreiber geworden.

Wie UniConsent die CIPA-Compliance unterstützt

UniConsent bietet Einwilligungsverwaltungstools, die Unternehmen dabei helfen, eine vorherige Einwilligung einzuholen, bevor Tracking-Technologien von Drittanbietern aktiviert werden:

• Opt-in-Einwilligungsbanner, die Skripte blockieren, bis die Einwilligung erteilt wird
• Granulare Einwilligungskontrollen für Analyse-, Werbe- und Chat-Tools
• Einwilligungsprotokollierung und Audit-Trail
• Integration mit Tag-Managern zur Durchsetzung von Einwilligungssignalen
• Unterstützung des Global Privacy Control (GPC)

Jetzt mit UniConsent starten oder unsere Funktionen entdecken.

Weitere kalifornische Datenschutzgesetze

• CCPA: California Consumer Privacy Act, mehr erfahren unter CCPA
• CPRA: California Privacy Rights Act, mehr erfahren unter CPRA

Weitere US-Datenschutzgesetze der Bundesstaaten

• CPA: Colorado Privacy Act, mehr erfahren unter CPA
• VCDPA: Virginia Consumer Data Protection Act, mehr erfahren unter VCDPA
• UCPA: Utah Consumer Privacy Act, mehr erfahren unter UCPA
• CTDPA: Connecticut Data Protection Act, mehr erfahren unter CTDPA
• TDPSA: Texas Data Privacy and Security Act, mehr erfahren unter TDPSA
• DPDPA: Delaware Personal Data Privacy Act, mehr erfahren unter DPDPA
• NJDPA: New Jersey Data Protection Act, mehr erfahren unter NJDPA
• FDBR: Florida Digital Bill of Rights, mehr erfahren unter FDBR

Vergleichen Sie verschiedene US-Datenschutzgesetze der Bundesstaaten