CPPA verschärft Datenschutz: Neue Regeln für KI und Datenhändler

Die kalifornische Datenschutzbehörde CPPA treibt die strengsten Privatsphäre-Regeln der USA voran – mit direkten Auswirkungen auf internationale Tech-Konzerne. Am 1. Mai endete eine zweitägige Sitzung, die den Übergang zu einer neuen Durchsetzungsphase markiert.

Während Kalifornien neue Standards setzt, müssen auch hiesige Unternehmen ihre Dokumentationspflichten lückenlos erfüllen. Mit dieser kostenlosen Excel-Vorlage erstellen Sie Ihr DSGVO-Verarbeitungsverzeichnis rechtssicher und vermeiden Bußgelder von bis zu 2 % des Jahresumsatzes. Kostenlose Muster-Vorlage und Schritt-für-Schritt-Anleitung jetzt gratis herunterladen

Automatisierte Entscheidungen unter Beobachtung

Seit dem 1. Januar 2026 gelten in Kalifornien weitreichende Regelungen für automatisierte Entscheidungstechnologien (ADMT). Die CPPA hat den Anwendungsbereich inzwischen präzisiert: Erfasst wird nur Technologie, die menschliche Entscheidungen in Bereichen wie Arbeit, Gesundheit oder Kreditvergabe „im Wesentlichen ersetzt“ – nicht jedoch Systeme, die lediglich Entscheidungen ausführen oder den Menschen unterstützen.

Verbraucher erhalten das Recht, über solche automatisierten Prozesse informiert zu werden und ihnen zu widersprechen. Besonders betroffen sind Unternehmen, die Profiling für Verhaltenswerbung oder wesentliche Dienstleistungen einsetzen.

Die Behörde kündigte an, die Durchsetzung in diesem Quartal zu priorisieren. Größere Konzerne müssen zudem jährliche Cybersecurity-Audits vorlegen. Kleinere Firmen mit weniger als 50 Millionen US-Dollar (rund 46 Millionen Euro) Jahresumsatz haben bis 2030 Zeit, sofern sie bestimmte Umsatzschwellen 2028 erreichen.

Rekordstrafe für Disney: Warnsignal an die Streaming-Branche

Der Durchsetzungswille der Behörde zeigt sich am spektakulären Fall Disney. Im Februar 2026 verhängte Generalstaatsanwalt Rob Bonta eine Rekordstrafe von 2,75 Millionen US-Dollar (rund 2,5 Millionen Euro) gegen den Unterhaltungskonzern. Der Vorwurf: Disney habe auf seinen Streaming-Diensten die Opt-out-Anforderungen des CCPA nicht konsequent umgesetzt.

Die Ermittlungen gehen auf eine Untersuchungswelle von 2024 zurück. Nutzer konnten sich auf verschiedenen Geräten nicht einheitlich gegen Datensammlung entscheiden. Disney muss nun einen geräteübergreifenden Opt-out-Mechanismus einführen – einmal abgewählt, gilt das für alle angeschlossenen Plattformen.

Die Strafe übertrifft die bisherige Höchstmarke von 1,55 Millionen Dollar gegen Healthline Media aus dem Juli 2025 deutlich. Die Botschaft der CPPA ist klar: Ein geräteweises Opt-out-Modell ist nicht mehr akzeptabel.

„Delete Act“: Zentrales Löschportal für Datenhändler

Im Zentrum der aktuellen Agenda steht der California Delete Act. Die Plattform DROP („Delete Request and Opt-out Platform“) ist inzwischen live. Verbraucher können damit einen einzigen Löschantrag stellen, der alle registrierten Datenhändler im Bundesstaat erreicht.

Bis zum 1. August 2026 müssen diese Broker ihre Systeme an die zentrale Plattform angebunden haben. Eine Übergangsfrist läuft. Bereits im Januar leitete die CPPA Durchsetzungsmaßnahmen gegen mehrere Händler ein, die sich nicht registriert oder erforderliche Angaben gemacht hatten – etwa zur Erfassung von Standortdaten oder sexueller Orientierung.

Viele Unternehmen unterschätzen die Risiken lückenhafter Dokumentation, die bei einer Prüfung sofort auffallen. Experten zeigen in diesem kostenlosen Report die häufig übersehenen Pflichtfelder des Verarbeitungsverzeichnisses auf, um Ihre Compliance sicherzustellen. Kostenloses Muster-Verarbeitungsverzeichnis für Ihre Dokumentationspflicht sichern

Neu ist die Pflicht zur Offenlegung, ob Daten an ausländische Akteure, Strafverfolgungsbehörden oder Entwickler generativer KI-Modelle weitergegeben werden. Eine eigens eingerichtete Einsatztruppe überwacht die Einhaltung.

Ausblick: Kampf gegen schwächere Bundesgesetze

Die CPPA positioniert sich zunehmend als Gegengewicht zu bundesweiten Initiativen wie dem American Privacy Rights Act (APRA). Die Behörde lehnt jede Regelung ab, die Kaliforniens bestehende Schutzstandards verwässern würde. Ihr Ziel: Bundesgesetze sollen eine „Untergrenze“ setzen, nicht eine Obergrenze – damit der Bundesstaat weiterhin strengere Vorschriften entwickeln kann.

Für Unternehmen bedeutet dies: Die Compliance-Anforderungen werden nicht sinken. Die CPPA kündigte für die zweite Jahreshälfte „hochwirksame Durchsetzungsmaßnahmen“ an. Besonders im Fokus: digitale Dienste und vernetzte Geräte, die personenbezogene Daten verarbeiten.

de | wissenschaft | 69275122 |