HTTP Sec-GPC Header

Der HTTP-Header Sec-GPC ist ein Request-Header für Global Privacy Control, der das Opt-Out-Signal des Nutzers für Datenverkauf und Tracking übermittelt. Er sendet 1 wenn Nutzer GPC aktiviert hat, rechtlich bindend unter CCPA und ähnlichen Privacy-Laws, ersetzt Do-Not-Track (DNT).

Typ

Request-Header

Syntax

Der Header gibt das GPC-Signal als einfachen numerischen Wert an.

http 
Sec-GPC: 1

Direktiven

Die Direktiven definieren das Global Privacy Control Opt-Out-Signal.

1
Nutzer hat Global Privacy Control aktiviert. Opt-Out von Datenverkauf und Cross-Site-Tracking. Unter CCPA rechtlich bindend, Website muss Wunsch respektieren.
(Header absent)
Kein GPC-Header bedeutet keine explizite Opt-Out-Präferenz. Standard-Privacy-Policy der Website gilt, kein Opt-Out signalisiert.

Beispiele

Nachfolgend finden Sie praktische Anwendungsbeispiele für den Sec-GPC-Header.

Beispiel 1 GPC aktiviert Opt-Out Signal

http 
GET / HTTP/1.1
Host: shop.example.com
Sec-GPC: 1
DNT: 1

Browser mit aktiviertem GPC (z.B. Brave, Firefox mit Privacy Badger), Server muss Tracking-Cookies und Datenverkauf deaktivieren unter CCPA.

Beispiel 2 Server respektiert GPC Signal

http 
GET /api/analytics HTTP/1.1
Host: tracker.example.com
Sec-GPC: 1

HTTP/1.1 204 No Content
Tk: N
X-GPC-Honored: true

<!-- No tracking cookies set -->

Analytics-Server erkennt GPC: 1, setzt keine Tracking-Cookies und dokumentiert Compliance via X-GPC-Honored Custom-Header.

Beispiel 3 CCPA Compliance Banner

http 
GET / HTTP/1.1
Host: news.example.com
Sec-GPC: 1

HTTP/1.1 200 OK
Content-Type: text/html

<div class="privacy-notice">
  Your Global Privacy Control signal has been detected.
  We do not sell your personal information.
</div>

Website erkennt GPC-Signal, zeigt Confirmation-Banner statt Opt-Out-Dialog und deaktiviert Third-Party-Ad-Networks.

GPC Privacy Signal Flow

Global Privacy Control Ablauf

Vorteile für die Systemarchitektur

  • Legal Compliance Automation: CCPA Do-Not-Sell Right automatisch erfüllt via Header-Detection, reduziert manuelle Opt-Out-Prozesse
  • Privacy by Default: GPC-Signal ist Browser-Level-Setting, funktioniert site-übergreifend ohne per-site Cookie-Banner-Interactions
  • Better than DNT: Im Gegensatz zu Do-Not-Track hat GPC rechtliche Bindung unter Privacy-Laws, wird breiter respektiert

Spezifikation

Global Privacy Control Specification https://globalprivacycontrol.github.io/gpc-spec/

Weitere Spezifikationen

DNT Header, Permissions-Policy Header