Zurück zum Blog
5 Min. Lesezeitprivacycompliancetrackingdata

Global Privacy Control ist jetzt in zehn Bundesstaaten ein verbindliches Opt-out-Signal

GPC ist nicht mehr nur empfohlen. Nach dem Disney-Vergleich und einer Prüfaktion dreier Bundesstaaten ist der Sec-GPC-Header in zehn US-Bundesstaaten rechtlich verbindlich — und cookiefreie Analytik hat nichts zu beachten.

Ein Browser kann deinem Server jetzt in einem einzigen HTTP-Header mitteilen, dass der Besucher dem Verkauf oder der Weitergabe seiner Daten widersprochen hat — und in zehn US-Bundesstaaten bist du gesetzlich verpflichtet, dem zu folgen. Das Signal ist Global Privacy Control (GPC), und nach einem Jahr von Durchsetzungsmaßnahmen ist es keine Höflichkeit mehr, sondern eine Pflicht, die Entwicklerinnen und Entwickler im Code umsetzen müssen.

Die meisten Teams haben noch keine einzige Zeile GPC-Behandlung geschrieben. Diese Lücke ist jetzt ein Durchsetzungsziel.

Was das Signal tatsächlich ist

GPC besteht aus zwei Oberflächen, die eine einzige Präferenz beschreiben. Auf der Leitung ist es ein HTTP-Request-Header:

Sec-GPC: 1

Die W3C-Spezifikation erlaubt genau einen Wert: das wörtliche Zeichen 1. Der Header wird bei jeder Anfrage gesendet, die der Browser stellt, solange GPC aktiviert ist: Seitenaufrufe, API-Aufrufe, Bild- und Skript-Abrufe. Es gibt kein Sec-GPC: 0; das Fehlen des Headers bedeutet kein Signal, nicht Einwilligung.

In JavaScript wird dieselbe Präferenz über navigator bereitgestellt:

const optedOut = navigator.globalPrivacyControl === true

Diese Eigenschaft gibt true zurück, wenn GPC aktiv ist, false, wenn es unterstützt, aber ausgeschaltet ist, und undefined in Browsern, die die Spezifikation nicht umsetzen. Header-Erkennung auf dem Server und das Auslesen der Eigenschaft auf dem Client sind nicht austauschbar: Der Header trifft ein, bevor irgendein JavaScript läuft, also muss alles, was Daten am Edge erfasst, den Header lesen.

Warum es verbindlich wurde

Universelle Opt-out-Mechanismen sind in einer Welle von Landesgesetzen von optional zu verpflichtend geworden. Kalifornien (CPRA), Colorado, Connecticut, Delaware, Montana, Nebraska, New Hampshire, New Jersey, Oregon und Texas verlangen jetzt von Unternehmen im Anwendungsbereich, ein anerkanntes Opt-out-Präferenzsignal zu beachten, und jeder dieser Regulierer hat GPC als gültig benannt. Stand Mitte 2025 sind das zehn Bundesstaaten mit einer geltenden gesetzlichen Pflicht.

Die Durchsetzung folgte den Regeln. Im September 2025 kündigten die California Privacy Protection Agency, der Generalstaatsanwalt von Colorado und der Generalstaatsanwalt von Connecticut eine gemeinsame Untersuchungsaktion an, die gezielt Unternehmen ins Visier nahm, die Opt-out-Signale ignorierten — und hoben Seiten hervor, die eine konform wirkende Bestätigung anzeigten, während sie im Hintergrund weiter Daten verarbeiteten.

Im Februar 2026 erzielte der Generalstaatsanwalt von Kalifornien einen Vergleich über 2,75 Millionen US-Dollar mit der Walt Disney Company wegen systematischer Versäumnisse bei der Beachtung von Opt-out-Anfragen — der bislang größte Vergleich unter der CCPA. Der frühere Vergleich über 1,2 Millionen mit Sephora etablierte GPC als gültiges Signal; Disney etablierte, dass es teuer ist, es im großen Maßstab zu ignorieren.

Die Richtung steht fest. Kaliforniens Opt Me Out Act (AB 566), im Oktober 2025 unterzeichnet, verlangt, dass Browser selbst bis zum 1. Januar 2027 eine eingebaute Opt-out-Signalsteuerung ausliefern. Der GPC-Verkehr wächst von hier an nur noch.

Was die Beachtung erfordert

Für einen Analytik- oder Werbe-Stack, der Daten verkauft oder weitergibt, ist die Umsetzung echte Arbeit. Du musst den Header am Edge erkennen, bevor irgendein Tracking ausgelöst wird, die Datenweitergabe für diese Anfrage unterdrücken und — gemäß den seit dem 1. Januar 2026 geltenden CCPA-Regelungen — nachweisen können, dass das Signal verarbeitet und nicht nur empfangen wurde.

if request.headers["Sec-GPC"] == "1":
    # do not sell or share; do not load ad/attribution tags
    # log that the signal was honored

Der schwierige Teil ist nicht das if. Es ist die Prüfung jedes Tags, Pixels und Conversion-Skripts auf der Seite, die Bestätigung, dass jedes davon stoppt, und das Vorlegen von Nachweisen auf Anfrage. Eine typische Seite lädt Opt-out-relevante Drittanbieter, die sie nicht vollständig kontrolliert — genau die Oberfläche, die die bundesstaatenübergreifende Aktion untersuchte.

Warum cookiefreie Analytik außerhalb der Frage steht

GPC ist ein Widerspruch gegen den Verkauf oder die Weitergabe personenbezogener Daten für zielgerichtete Werbung. Die Pflicht greift nur, wenn du etwas tust, dem der Besucher widersprechen kann.

Ein Privacy-First-Tracker verkauft oder teilt keine Daten, baut keine seitenübergreifenden Profile auf und speichert von vornherein keinen personenbezogenen Identifikator. Es gibt keine nachgelagerte Werbebörse und keinen Dritten, der zu unterdrücken wäre. Der tägliche Besucher-Hash ist gezielt so gebaut, dass kein stabiler Identifikator existiert, der weitergegeben werden könnte:

visitor_hash = SHA-256(IP | UA | SALT_SECRET | YYYY-MM-DD)

IP und User-Agent werden nur im Speicher gelesen, zur Berechnung des Hash verwendet und dann verworfen. Die Datumseingabe bewirkt, dass der Hash jeden Tag rotiert, sodass es selbst im Prinzip keine sitzungsübergreifende Identität zu verkaufen gibt. Der /collect-Endpunkt empfängt eine Anfrage, leitet eine aggregierte Zählung ab und behält nichts, was sich auf eine Person zurückführen lässt.

Das befreit dich nicht davon, Sec-GPC aus gutem Glauben zu lesen: Ein Signal zu beachten, zu dem du technisch gar keine Daten zum Handeln hast, ist günstig und zeigt Absicht. Aber es bedeutet, dass der teure Teil der GPC-Konformität — der Teil, den Disney falsch machte — nie greift. Es gibt keinen Datenverkauf zu stoppen, weil die Architektur nie verkäufliche Daten erzeugt hat.

Das Muster über beide Regime hinweg

Das EU-Modell der Einwilligung-vor-dem-Tracking und das US-Modell des Opt-out-auf-Signal wirken gegensätzlich, und verfahrenstechnisch sind sie das auch. Aber sie laufen auf dieselbe technische Tatsache hinaus: Beide Regime regulieren die Erzeugung und Bewegung eines dauerhaften, personenbezogenen Identifikators. Die DSGVO verlangt eine Einwilligung, bevor du einen setzt; das Landesrecht erlaubt es einem Browser, dessen Verkauf nachträglich zu widerrufen.

Ein System, das nie einen sitzungsübergreifenden Identifikator erzeugt, beantwortet beide Fragen auf dieselbe Weise. Das Einwilligungsbanner hat nichts abzusichern, und das Opt-out-Signal hat nichts durchzusetzen — weil das regulierte Objekt nie gebaut wurde.