Datenschutz in Kalifornien: Neue Regeln für Datenlöschung und E-Mail-Verifizierung

Die kalifornische Datenschutzbehörde CPPA verschärft die Regeln für die Verarbeitung von Löschanträgen. Unternehmen müssen ihre E-Mail-Verifizierungsprozesse dringend überprüfen, um hohe Strafen zu vermeiden.

Lücken im DSGVO-Verarbeitungsverzeichnis können Ihr Unternehmen bis zu 2 % des Jahresumsatzes kosten. Viele Firmen unterschätzen dieses Risiko – eine kostenlose Excel-Vorlage hilft, die Dokumentationspflicht rechtssicher zu erfüllen. Rechtssicheres Verarbeitungsverzeichnis jetzt kostenlos erstellen

Heute endet die erste Kommentarfrist für neue Prüfstandards der kalifornischen Datenschutzbehörde (CPPA). Sie betreffen die Audits für Datenbroker und die Betriebsvorschriften für die zentrale Löschplattform DROP. Diese Entwicklung markiert einen Wendepunkt für Unternehmen, die mit Anfragen nach der California Consumer Privacy Act (CCPA) konfrontiert sind. Der Fokus liegt klar darauf, Verbrauchern eine reibungslose Ausübung ihrer Rechte zu ermöglichen – ohne bürokratische Hürden.

DROP-Plattform: Das Ende umständlicher Verifizierung?

Kern der neuen Initiative ist die „zugängliche Löschfunktion“ nach dem California Delete Act. Seit dem 1. Januar 2026 können Einwohner Kaliforniens über die DROP-Plattform mit einer einzigen Anfrage ihre personenbezogenen Daten bei allen registrierten Datenbrokern löschen lassen. Die nun geplanten Audits deuten jedoch an, dass einige Unternehmen Verifizierungsprozesse – insbesondere mehrstufige E-Mail-Bestätigungen – nutzen, um solche Anfragen zu verzögern oder zu erschweren.

Die Behörde will prüfen, ob sich Firmen an den Grundsatz der Datenminimierung halten. Laut den seit Januar geltenden Regeln muss ein Unternehmen zunächst versuchen, die vom Verbraucher angegebenen Daten mit seinen vorhandenen Beständen abzugleichen, bevor es zusätzliche Informationen anfordert. Liegt bereits eine verifizierte E-Mail-Adresse vor, dürfen weitere Bestätigungsschleifen oder übermäßige Identitätsnachweise nicht mehr verlangt werden. Juristen vermuten, dass die CPPA gezielt nach „Dark Patterns“ sucht – also nach Prozessen, die Nutzer absichtlich verwirren oder frustrieren sollen.

Rekordstrafe als Warnschuss: 2,75 Millionen Dollar Buße

Die Dringlichkeit der Anpassungen unterstreicht ein Präzedenzfall vom 11. Februar 2026. Das kalifornische Justizministerium vereinbarte eine Rekordstrafe von 2,75 Millionen Dollar mit einem großen Medienunternehmen. Der Vorwurf: „Zersplitterte“ Opt-out- und Verifizierungsmethoden, die Verbraucherentscheidungen nicht über alle Geräte und Dienste eines Kontos hinweg umsetzten.

Die strengen Anforderungen an die Dokumentation von Datenverarbeitungen gelten auch für KI-Systeme und automatisierte Prozesse. Dieser kostenlose Leitfaden verschafft Ihnen den Überblick über Fristen und Pflichten, den Ihre Rechts- und IT-Abteilung jetzt dringend braucht. EU AI Act Umsetzungsleitfaden kostenlos herunterladen

Dieses Urteil ist eine klare Warnung für alle, die E-Mail-Verifizierung für CCPA-Anfragen nutzen. Wählt ein Verbraucher über einen verifizierten Kanal wie sein primäres E-Mail-Konto die Löschung, muss diese Entscheidung technisch und rechtlich im gesamten Datenökosystem des Unternehmens gelten. Die Behörde ließ das Argument nicht gelten, „Verifizierungsprobleme“ verhinderten eine präzise Umsetzung. Inkomplette Verifizierung gilt zunehmend als irreführende Praxis.

Automatisierte Entscheidungen und Cybersicherheit im Fokus

Über die DROP-Plattform hinaus bringt das Regulierungspaket 2026 neue Pflichten für Automatisierte Entscheidungstechnologien (ADMT) und Cybersicherheits-Audits. Seit dem 1. Januar müssen Unternehmen, die Algorithmen für „bedeutende Entscheidungen“ – etwa in den Bereichen Kredit, Arbeit oder Wohnen – einsetzen, ein klares Opt-out-Recht einräumen.

Die E-Mail-Verifizierung spielt hier eine Doppelrolle: Sie ist das Hauptwerkzeug, um die Identität der Person zu authentifizieren, die ihr Widerspruchsrecht ausübt. Gleichzeitig unterliegt der Verifizierungsprozess selbst nun Risikobewertungen. Nutzt ein Unternehmen einen automatisierten Dienst zur Prüfung von E-Mail-Adressen, muss dieser auditiert werden, um sicherzustellen, dass er keine berechtigten Verbraucher ausschließt.

Bis zum 1. April jedes Jahres müssen große Unternehmen zudem Zertifizierungen ihrer Cybersicherheits-Audits vorlegen. Diese müssen nun auch die Integrität und Sicherheit der Verifizierungskanäle bewerten. Ein anfälliges E-Mail-System, das unbefugte Dritte Löschanträge abfangen lässt, kann zu erheblicher Haftung führen.

Ausblick: Der Weg zum nächsten Meilenstein am 1. August

Nach dem Ende der Kommentarfrist am 7. Mai steht der nächste große Termin im CCPA-Kalender an: Ab dem 1. August 2026 müssen Datenbroker die DROP-Plattform mindestens alle 45 Tage abrufen, um Löschanträge zu bearbeiten. Dieser Rhythmus könnte zum Industriestandard für alle Unternehmen werden, da Verbraucher „Echtzeit“-Kontrolle über ihre Daten erwarten.

Experten rechnen damit, dass der „Global Privacy Control“ (GPC) in den nächsten 18 Monaten zur primären Verifizierungsalternative wird. Da der „California Opt Me Out Act“ bis 2027 automatische Opt-out-Signale in allen Webbrowsern vorschreibt, könnte das traditionelle „E-Mail-Verifizierungs“-Modell bald zweitrangig werden. Die kompliantesten Unternehmen werden jene sein, die die Identität eines Nutzers sicher und still über Browsersignale verifizieren können – ganz ohne manuelle E-Mail-Interaktion.

Die Strategie für 2026 ist klar: Bestehende E-Mail-Verifizierungsprozesse auf Reibungsverluste überprüfen, ihre Integration über alle Datensilos sicherstellen und sich auf die neuen Audit-Standards der CPPA vorbereiten. Die Ära, in der „Verifizierung“ als Schutzschild gegen Verbraucherrechte diente, ist offiziell vorbei.

de | boerse | 69111077 |