anonym.legal

By · Last updated 2026-06-05

Zurück zum BlogDSGVO & Compliance

CCPA/CPRA 2025: Was Kaliforniens Datenschutzgesetz...

Die CPPA verhängte 2024 Bußgelder von über 100 Millionen USD. Die CPRA betrifft 40 Millionen Kalifornier und gilt weltweit für die meisten Unternehmen.

June 5, 202610 min Lesezeit
CCPA CPRACalifornia privacy lawCPPA enforcementUS state privacyAI compliance

CCPA/CPRA: Leitfaden zum Datenschutzrecht in Kalifornien

Aktualisiert für 2026.

Kaliforniens Consumer Privacy Rights Act (CPRA) trat 2023 in Kraft. Er schuf die California Privacy Protection Agency (CPPA). Die CPPA ist die erste staatliche Datenschutzbehörde in den USA. Im Jahr 2024 verhängte die CPPA Bußgelder von über 100 Millionen US-Dollar. Das Datenschutzrecht in Kalifornien ist aktive Strafverfolgung — kein Papiertiger.

Wer muss sich daran halten?

Drei Tests bestimmen, ob das Gesetz gilt. Ein Unternehmen muss mindestens einen davon erfüllen.

  • Jahresumsatz von 25 Millionen US-Dollar oder mehr.
  • Personenbezogene Daten von 100.000 oder mehr Verbrauchern im Bundesstaat.
  • Mehr als 50 % des Umsatzes aus dem Verkauf personenbezogener Daten.

Der Bundesstaat hat 40 Millionen Einwohner. Er ist die fünftgrößte Volkswirtschaft der Welt. Die meisten global tätigen Unternehmen erfüllen mindestens einen Test.

19 Kategorien sensibler Daten

Das Gesetz schafft eine besondere Stufe für sensible persönliche Details. Unternehmen müssen Verbrauchern einen zusätzlichen Hinweis und das Recht zur Einschränkung der Nutzung geben. Die 19 Arten sind:

  1. Sozialversicherungs-, Führerschein-, Ausweis-, Passnummern
  2. Konto- oder Kartennummern mit Zugangscodes
  3. Genaue Geolokalisierung (innerhalb von 1.852 Metern)
  4. Rassische oder ethnische Herkunft
  5. Religiöse oder philosophische Überzeugungen
  6. Gewerkschaftszugehörigkeit
  7. Privater E-Mail- oder Postinhalt
  8. Genetische Informationen
  9. Biometrische Daten zur Identifikation
  10. Gesundheits- oder medizinische Unterlagen
  11. Sexuelle Orientierung oder Sexualleben
  12. Einwanderungsstatus (hinzugefügt 2024)
  13. Psychische Gesundheitsaufzeichnungen (hinzugefügt 2024)
  14. Staatsangehörigkeitsstatus
  15. Kontonummern ohne Zugangscodes
  16. Behinderungsstatus
  17. Indikatoren für den Beschäftigungsstatus
  18. Versicherungspolitische Informationen
  19. Straf- oder Verhaftungsunterlagen

Für jede Kategorie können Verbraucher einschränken, wie ein Unternehmen sie nutzt und weitergibt. Dieses Recht ist vom allgemeinen Widerspruchsrecht gegen den Datenverkauf getrennt.

Was die CPPA 2024 ins Visier nahm

Die Maßnahmen der CPPA im Jahr 2024 fielen in vier Bereiche.

Registrierung von Datenbrokern. Der Bundesstaat verlangt, dass Datenbroker sich bei der CPPA registrieren. Die Behörde fand Hunderte nicht registrierter Broker, die Verbraucherprofile verkauften.

Fehlerhafte Opt-out-Tools. Viele Zustimmungsplattformen boten kein echtes Opt-out. Die Schaltfläche funktionierte nicht, oder das Opt-out deckte nur bestimmte Nutzungen ab.

KI-Entscheidungen ohne Hinweis. Die KI-Regeln von 2025 verlangen einen Hinweis, wenn automatisierte Tools wichtige Entscheidungen treffen. Beschäftigung, Kredit und Wohnung zählen dazu. Mehrere Fälle aus 2024 richteten sich gegen KI-Tools, die ohne diesen Hinweis genutzt wurden.

Kinderdaten. Californias Verhaltenskodex für altersgerechtes Design gilt für jeden Dienst, den Minderjährige wahrscheinlich nutzen. Diese Unternehmen müssen eine Datenschutz-Folgenabschätzung durchführen. Die CPPA stellte fest, dass viele Unternehmen dies nicht getan hatten.

Staatliches Recht vs. DSGVO: Wesentliche Unterschiede

DSGVO-Konformität deckt Sie in Kalifornien nicht ab. Die Gesetze verfolgen ähnliche Ziele, unterscheiden sich aber in wesentlichen Punkten.

Opt-out versus Opt-in. Die DSGVO erfordert eine Opt-in-Einwilligung für die meisten sensiblen Datennutzungen. Das staatliche Recht verwendet ein Opt-out-Modell. Die Verarbeitung ist erlaubt, bis der Verbraucher widerspricht.

Verbraucherrechte. Beide Gesetze gewähren Auskunfts-, Löschungs- und Berichtigungsrechte. Das staatliche Recht fügt ein Recht hinzu, automatisierten Entscheidungen zu widersprechen. DSGVO-Artikel 22 deckt dies ebenfalls ab, aber mit einem engeren Anwendungsbereich.

Mitarbeiterunterlagen. Das staatliche Recht gilt vollständig für persönliche Mitarbeiterdaten. Die DSGVO ebenfalls, aber EU-Mitgliedstaaten haben eigene Beschäftigungsregeln. Der Datenschutz der Mitarbeiter im Bundesstaat braucht oft eine eigene Compliance-Spur.

Sensible Arten. Die 19 staatlichen Arten überschneiden sich teilweise mit DSGVO-Artikel 9. Einwanderungsstatus und eigenständige Kontonummern sind staatsspezifisch.

Lesen Sie den Leitfaden zur rechtlichen Compliance, um zu erfahren, wie diese Pflichten sich stapeln.

Anforderungen an KI-Anbieter

Die KI-Regeln von 2025 schaffen klare Pflichten für Unternehmen, die KI-Tools für Verbraucherdaten nutzen.

Anbieterverträge. Dienstleister müssen eine schriftliche Vereinbarung unterzeichnen. Die Vereinbarung muss vier Punkte abdecken. Erstens: Unterlagen nur für den angegebenen Zweck verwenden. Zweitens: Unterlagen löschen, wenn der Dienst endet. Drittens: Verbraucherrechtsanfragen weiterleiten. Viertens: Angemessene Sicherheit gewährleisten.

Hinweis zu automatisierten Entscheidungen. Wenn ein KI-Tool bei Entscheidungen über Kredit, Betrug oder Beschäftigung hilft — müssen Verbraucher informiert werden. Sie müssen auch ein Opt-out erhalten.

KI-Trainingslimits. Wenn Verbraucherdaten ein KI-Modell trainiert haben, hat das Modell Grenzen. Es darf nicht für Zwecke genutzt werden, die dem ursprünglichen Erhebungsgrund widersprechen.

Die direkte Lösung für die meisten Teams: Persönliche IDs entfernen, bevor Unterlagen in ein KI-System eingehen. Dies erfüllt die KI-Entscheidungsregeln und reduziert gleichzeitig das Risiko sensibler Arten.

Erfahren Sie, wie anonym.legal IDs vor der KI-Verarbeitung entfernt, unter /security-compliance.

Kernpunkte

Das staatliche Recht gilt für die meisten globalen Unternehmen mit Kunden im Bundesstaat. Es fügt 19 sensible Arten, eine aktive Vollzugsbehörde und KI-Hinweisregeln hinzu. DSGVO-Konformität ersetzt keine staatliche Compliance. Der klarste Schritt: Persönliche IDs entfernen, bevor Unterlagen in KI-Tools eingehen.

Lesen Sie mehr über Datenminimierung unter /docs/faq.

Quellen

  • CPPA: California Privacy Protection Agency. cppa.ca.gov.
  • California Privacy Rights Act (CPRA) Volltext. leginfo.legislature.ca.gov.
  • CPPA: Automated Decision-Making Technology Regulations 2025. cppa.ca.gov.
  • California Age-Appropriate Design Code. leginfo.legislature.ca.gov.

Verwandte Artikel

DSGVO & Compliance

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

DSGVO & Compliance

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

DSGVO & Compliance

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Bereit, Ihre Daten zu schützen?

Beginnen Sie mit der Anonymisierung von PII mit über 285 Entitätstypen in 48 Sprachen.

Kostenlose Testversion startenFunktionen anzeigen

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.