CA's Todd Snyder CCPA-Strafe: Fallstricke beim Opt-out über Drittanbieter

Die 345.000-Dollar-Warnung: Wie Todd Snyders CCPA-Fehler Ihre Datenschutzstrategie ändern sollten

Im Mai 2025 verhängte die California Privacy Protection Agency (CPPA) eine Strafe in Höhe von 345.178 $ gegen Todd Snyder, Inc., einen nationalen Bekleidungshändler, wegen systematischer Fehler bei der Bearbeitung von Opt-out-Anfragen unter dem California Consumer Privacy Act (CCPA).^{1 2} Auf den ersten Blick sieht dies wie eine weitere Datenschutz-Durchsetzungsmaßnahme aus. Doch bei näherer Betrachtung zeigt sich eine warnende Geschichte über die Verwaltung von Anbietern, technische Aufsicht und die nicht delegierbare Verantwortung für die Einhaltung von Vorschriften.

Der Fall offenbart eine kritische Schwachstelle, die E-Commerce-Websites im ganzen Land betrifft: die Annahme, dass die Auslagerung der Datenschutzinfrastruktur die Verantwortlichkeit aufhebt. Dies ist nicht der Fall. Die Entscheidung der CPPA sendet eine unmissverständliche Botschaft: Die Verantwortung liegt letztendlich beim Unternehmen, das das Datenschutz-Tool verwendet, nicht beim Anbieter, der es bereitstellt.

Was schiefgelaufen ist: Technische und verfahrensmäßige Fehler

Todd Snyders Verstöße konzentrierten sich auf drei miteinander verbundene Probleme, die es den Verbrauchern unmöglich machten, ihre CCPA-Rechte auszuüben.

Die verschwindende Zustimmungsbanner

Erstens war die Zustimmungsbanner des Unternehmens – die Schnittstelle, über die Verbraucher die Möglichkeit hatten, den Verkauf oder die Weitergabe ihrer personenbezogenen Daten abzulehnen – falsch konfiguriert und verschwand sofort nach dem Erscheinen.³ Für 40 Tage machte diese technische Fehlfunktion es funktional unmöglich, Opt-out-Anfragen über den primären Mechanismus der Website zu stellen.^{1 4} Verbraucher klickten auf die Datenschutzpräferenzen, sahen die Banner aufblitzen und sahen dann, wie sie verschwanden, bevor sie mit ihnen interagieren konnten.

Übermäßige Anforderungen an die Identitätsprüfung

Zweitens verlangte Todd Snyder von Verbrauchern, die versuchten, sich abzumelden, die Überprüfung ihrer Identität durch Angabe ihres Namens, ihrer E-Mail-Adresse, ihres Wohnsitzlandes und eines Fotos von sich mit offiziellen Regierungsdokumenten wie einem Führerschein.³ Dies schuf eine mehrschichtige Barriere, die weit über das hinausging, was der CCPA erlaubt.

Nach kalifornischem Recht erfordern Opt-out-Anfragen keine Identitätsprüfung, es sei denn, dies ist absolut notwendig, um Betrug oder Missbrauch zu verhindern.^{1 5} Im Gegensatz dazu verlangte Todd Snyder weniger Identifikationsinformationen, wenn Verbraucher einen Kauf tätigten – eine klare Inkonsistenz, die die CPPA als besonders problematisch hervorhob.³ Die Anforderung, Fotos von Regierungsdokumenten einzureichen, warf auch unnötige Bedenken hinsichtlich der Datenminimierung auf, da Verbraucher vernünftigerweise Angst vor Identitätsdiebstahl haben könnten, wenn sie sensible persönliche Informationen hochladen.³

Fehlmanagement von Drittanbietern

Drittens delegierte Todd Snyder die Verwaltung seiner Website und Datenschutzinfrastruktur an einen Drittanbieter ohne angemessene Aufsicht oder Validierung.^{3 1} Die Untersuchung der CPPA ergab, dass das Unternehmen "sich auf Tools zur Verwaltung des Datenschutzes von Drittanbietern verließ, ohne deren Grenzen zu kennen oder deren Betrieb zu validieren."¹ Mit anderen Worten: Todd Snyder implementierte eine Plattform zur Verwaltung von Zustimmungen, überprüfte aber nie, ob sie tatsächlich funktionierte.

Michael Macko, Leiter der Durchsetzungsabteilung der CPPA, kristallisierte diese Verantwortlichkeitslücke heraus: "Unternehmen sollten ihre Lösungen zur Verwaltung des Datenschutzes genau prüfen, um sicherzustellen, dass sie den Gesetzen entsprechen und wie vorgesehen funktionieren, denn die Verantwortung liegt letztendlich bei den Unternehmen, die sie nutzen."⁵ Die Verwendung eines Tools von Drittanbietern ist kein Freibrief für die Einhaltung von Vorschriften; es ist eine Compliance-Verantwortung, die aktive Verwaltung erfordert.

Der Regulierungsrahmen: Was CCPA tatsächlich erfordert

Um zu verstehen, warum diese Fehler wichtig sind, lohnt es sich, die relevanten CCPA-Verpflichtungen zu überprüfen.

Das Recht auf Opt-out (Cal. Civ. Code § 1798.120)

Kalifornische Verbraucher haben das Recht, einem Unternehmen zu untersagen, ihre personenbezogenen Daten zu verkaufen oder weiterzugeben. Unternehmen müssen diese Anfragen berücksichtigen und dürfen Verbraucher nicht diskriminieren, wenn sie von diesem Recht Gebrauch machen. Das Gesetz besagt ausdrücklich, dass Unternehmen Verbraucher nicht dazu verpflichten können, ein Konto zu erstellen, eine staatliche ID vorzulegen oder ihre Identität als Bedingung für die Abgabe einer Opt-out-Anfrage zu überprüfen – es sei denn, eine Überprüfung ist erforderlich, um Betrug zu verhindern.

Datenminimierung und Überprüfungsstandards (Cal. Code Regs. § 999.308)

Die Durchführungsbestimmungen der CPPA stellen klar, dass Unternehmen, wenn sie eine Überprüfung verlangen, die am wenigsten invasive Methode verwenden müssen, die vernünftigerweise verfügbar ist. Die Bestimmungen betonen auch, dass Unternehmen nicht mehr Informationen verlangen können, um eine Datenschutz-Anfrage zu bearbeiten, als sie für eine kommerzielle Transaktion benötigen.

Anbieter-Verantwortlichkeit

Obwohl der CCPA nicht explizit "Drittanbieter" erwähnt, machen das Gesetz und die Bestimmungen klar, dass Unternehmen dafür verantwortlich sind, sicherzustellen, dass ihre Dienstleister den Gesetzen entsprechen. Die CPPA hat Durchführungsleitlinien herausgegeben, die vor übermäßiger Überprüfung warnen und von Unternehmen fordern, ihre Datenschutzinfrastruktur aktiv zu überwachen.

Wichtige Erkenntnisse: Was dies für Ihr Unternehmen bedeutet

1. Überprüfen Sie Ihren Datenschutz-Anbieter vor der Implementierung

Gehen Sie nicht davon aus, dass Ihre Plattform zur Verwaltung von Zustimmungen (CMP) oder Ihr Tool zur Verwaltung des Datenschutzes korrekt funktioniert. Überprüfen Sie vor der Implementierung:

• Fordern Sie eine technische Prüfung oder Sicherheitsbewertung vom Anbieter an
• Testen Sie den Opt-out-Mechanismus selbst auf verschiedenen Geräten und Browsern
• Stellen Sie sicher, dass das Tool die Opt-out-Präferenzsignale respektiert, einschließlich des Global Privacy Control (GPC)-Standards⁶
• Bestätigen Sie, dass die Datenerfassungspraktiken des Tools den CCPA-Anforderungen entsprechen
• Erstellen Sie eine Servicevereinbarung, die Compliance-Verpflichtungen und Haftungsklauseln enthält

2. Implementieren Sie eine laufende Überwachung und Prüfung

Die CPPA betonte, dass Todd Snyder "gewusst hätte, dass Verbraucher ihre CCPA-Rechte nicht ausüben konnten, wenn das Unternehmen seine Website überwacht hätte."¹ Dies bedeutet:

• Führen Sie vierteljährliche oder halbjährliche Tests Ihrer Opt-out-Mechanismen durch
• Überwachen Sie die Einreichung und Bearbeitungszeit von Datenschutz-Anfragen
• Richten Sie Alarme für fehlgeschlagene Opt-out-Einreichungen oder ungewöhnliche Muster ein
• Dokumentieren Sie Ihre Testverfahren und Ergebnisse für die regulatorische Überprüfung

3. Vereinfachen Sie Ihren Überprüfungsprozess

Wenn Sie die Identität überprüfen müssen, bevor Sie Opt-out-Anfragen bearbeiten (was selten der Fall sein sollte), verwenden Sie die am wenigsten invasive Methode, die verfügbar ist:

• Die Überprüfung per E-Mail ist in der Regel ausreichend
• Die Überprüfung per Telefon ist akzeptabel, aber aufwändiger
• Die Anforderung von Fotos von Regierungsdokumenten ist übermäßig und schafft unnötige Risiken für die Datenexposition
• Verlangen Sie nie mehr Informationen, um sich abzumelden, als Sie für den Abschluss eines Verkaufs benötigen

4. Bieten Sie CCPA-Compliance-Schulungen an

Der Vergleich erfordert von Todd Snyder, CCPA-Compliance-Schulungen für seine Mitarbeiter anzubieten.² Dies ist nicht nur eine Strafe – es ist eine bewährte Praxis. Stellen Sie sicher, dass Ihre Rechts-, Produkt-, Ingenieurs- und Kundenservice-Teams verstehen:

• Was unter CCPA als "Verkauf" oder "Weitergabe" von personenbezogenen Daten gilt
• Wie Opt-out-Anfragen korrekt bearbeitet werden
• Überprüfungsstandards und -beschränkungen
• Die Verpflichtungen des Unternehmens, Drittanbieter zu überwachen

5. Dokumentieren Sie Ihr Compliance-Programm

Die CPPA und andere Regulierungsbehörden erwarten von Unternehmen, schriftliche Richtlinien und Verfahren zu unterhalten. Ihre Dokumentation sollte Folgendes umfassen:

• Verfahren zur Bearbeitung von Datenschutz-Anfragen (Eingang, Überprüfung, Bearbeitung, Bestätigung)
• Kriterien für die Auswahl und Überwachung von Anbietern
• Technische Testprotokolle
• Schulungsunterlagen für Mitarbeiter
• Verfahren zur Datenaufbewahrung und -löschung

Der breitere Kontext: CPPA-Durchsetzungstrends

Die Todd-Snyder-Strafe ist die zweite Durchsetzungsmaßnahme der CPPA unter dem CCPA und spiegelt die aufkommenden Durchsetzungsprioritäten der Behörde wider.⁷ Anfang 2025 hat die CPPA auch einen Vergleich mit Honda wegen ähnlicher Opt-out- und Anbieter-Management-Fehler geschlossen. Diese Fälle deuten darauf hin, dass die CPPA sich auf Folgendes konzentriert:

• Anbieter-Überwachung und -Verantwortlichkeit – Unternehmen können sich nicht hinter Tools von Drittanbietern verstecken
• Überprüfungsexzess – Übermäßige Anforderungen an die Identitätsprüfung verstoßen gegen CCPA-Prinzipien
• Datenminimierung – Die Erfassung von mehr Informationen als notwendig, auch für Compliance-Zwecke, ist problematisch
• Technische Funktionalität – Datenschutz-Tools müssen tatsächlich funktionieren; fehlerhafte Implementierungen sind Verstöße

Diese Durchsetzungstendenz ist wichtig, weil sie signalisiert, wo die Regulierungsbehörden in Zukunft ihre Ressourcen einsetzen werden. Wenn Ihr Unternehmen auf Datenschutzinfrastruktur von Drittanbietern angewiesen ist, ist jetzt der Zeitpunkt, Ihre Anbieter-Management-Praktiken zu überprüfen und zu stärken.

Fazit: Compliance ist nicht delegierbar

Der Fall Todd Snyder bietet eine klare Lektion: Die Auslagerung Ihrer Datenschutzinfrastruktur lagert nicht Ihre Compliance-Verantwortung aus. Ob Sie eine Plattform zur Verwaltung von Zustimmungen, ein Portal für Datenschutz-Anfragen oder ein anderes Tool von Drittanbietern verwenden, Sie bleiben dafür verantwortlich, sicherzustellen, dass es den CCPA-Anforderungen entspricht und wie vorgesehen funktioniert.

Das Unternehmen zahlte 345.178 $ an Strafen, verpflichtete sich, seine Datenschutzpraktiken zu überarbeiten und sich zu laufender Compliance-Überwachung zu verpflichten.^{1 2} Die tatsächlichen Kosten gehen jedoch über die Vergleichssumme hinaus: Reputationsschaden, Betriebsunterbrechung und die Notwendigkeit, das Vertrauen der Verbraucher wiederherzustellen.

Die gute Nachricht ist, dass diese Fehler vermeidbar waren. Durch die Implementierung robuster Kriterien für die Auswahl von Anbietern, die Durchführung regelmäßiger technischer Tests, die Vereinfachung von Überprüfungsanforderungen und die Schulung Ihres Teams zu CCPA-Verpflichtungen können Sie die Todd-Snyder-Falle vermeiden. Datenschutz-Compliance erfordert aktive Verwaltung – nicht nur bei der Implementierung, sondern kontinuierlich im Rahmen Ihrer Geschäftstätigkeit.

Die CPPA beobachtet, und die nächste Durchsetzungsmaßnahme könnte gegen Ihren Konkurrenten oder Ihr Unternehmen gerichtet sein. Der Zeitpunkt, Ihre Datenschutzpraktiken zu stärken, ist jetzt.

Sources

Footnotes

1. natlawreview.com

2. cppa.ca.gov

3. callaborlaw.com

4. governmentcontractslaw.com

5. transcend.io

6. truevault.com

7. venable.com