anonym.legal
Zurück zum BlogDSGVO & Compliance

CCPA/CPRA 2025: Was Kaliforniens Datenschutzgesetz von KI- und Datenverarbeitungsanbietern verlangt

Die CPPA verhängte 2024 Bußgelder von über 100 Millionen USD. Die CPRA betrifft 40 Millionen Kalifornier und gilt weltweit für die meisten Unternehmen. 19 Kategorien sensibler Daten, Opt-out für automatisierte Entscheidungsfindung und Anforderungen an KI-Anbieter.

March 7, 202610 min Lesezeit
CCPA CPRACalifornia privacy lawCPPA enforcementUS state privacyAI compliance

Kaliforniens Consumer Privacy Rights Act (CPRA, in Kraft seit 2023) hat die California Privacy Protection Agency (CPPA) als erste US-Bundesstaat Datenschutzbehörde eingerichtet. Die CPPA verhängte 2024 über 100 Millionen USD an Durchsetzungsmaßnahmen — was zeigt, dass Kaliforniens Datenschutzgesetz nicht nur ein regulatorischer Rahmen, sondern ein aktives Durchsetzungsumfeld ist.

Der extraterritoriale Geltungsbereich der CPRA ist der bedeutendste Aspekt für globale Unternehmen: Das Gesetz gilt für jedes Unternehmen mit einem Jahresumsatz von über 25 Millionen USD oder das personenbezogene Daten von 100.000 oder mehr kalifornischen Verbrauchern oder Haushalten verarbeitet. Mit 40 Millionen kalifornischen Einwohnern und Kaliforniens Status als die fünftgrößte Wirtschaft der Welt fallen die meisten globalen Unternehmen unter die Zuständigkeit der CPRA.

CPRA's Kategorien sensibler personenbezogener Informationen

Die CPRA schafft eine eigene Kategorie von "sensiblen personenbezogenen Informationen", die einen höheren Schutz und spezifische Offenlegungspflichten erfordert. Die 19 Kategorien stimmen eng mit den besonderen Kategorien des Artikels 9 der DSGVO überein, enthalten jedoch spezifische Ergänzungen für die USA:

  1. SSNs, Führerscheine, staatliche Ausweise, Reisepassnummern
  2. Finanzkonten, Debit-/Kreditkartennummern mit Zugangscodes
  3. Präzise Geolokalisierung (innerhalb von 1.852 Metern)
  4. Rassische/ethnische Herkunft
  5. Religiöse oder philosophische Überzeugungen
  6. Gewerkschaftsmitgliedschaft
  7. Inhalt von E-Mails und Postsendungen (wenn nicht allgemein verfügbar)
  8. Genetische Daten
  9. Biometrische Daten zur Identifizierung
  10. Gesundheits-/Medizinische Daten
  11. Sexuelle Orientierung oder Sexualleben
  12. Einwanderungsstatus (in den Vorschriften von 2024 hinzugefügt)
  13. Daten zur psychischen Gesundheit (in den Vorschriften von 2024 hinzugefügt)
  14. Staatsbürgerschaftsstatus
  15. Finanzkontonummern (alleinstehend, ohne Zugangscodes)
  16. Behinderungsstatus
  17. Indikatoren zum Beschäftigungsstatus
  18. Versicherungspoliceninformationen
  19. Strafregister oder Daten zu Verhaftungen

Die praktische Auswirkung: Jede Datenverarbeitungspipeline, die diese Kategorien verarbeitet, muss den Verbrauchern das Recht einräumen, die Nutzung und Offenlegung sensibler personenbezogener Informationen zu beschränken, getrennt vom allgemeinen Recht, dem Verkauf zu widersprechen.

Durchsetzung der CPPA 2024: Was ins Visier genommen wurde

Die CPPA erließ 2024 Durchsetzungsmaßnahmen und Vergleiche, die sich auf Folgendes konzentrierten:

Verstöße gegen die Registrierung von Datenmaklern: Kalifornien verlangt von Datenmaklern, sich bei der CPPA zu registrieren. Die CPPA stellte Hunderte von nicht registrierten Datenmaklern fest — Organisationen, die persönliche Profildaten ohne erforderliche Offenlegung verkaufen.

Nichteinhaltung des Einwilligungsmanagements: Die CPPA stellte fest, dass viele Unternehmen "Einwilligungsmanagement-Plattformen" hatten, die tatsächlich keine funktionalen Opt-out-Mechanismen bereitstellten — entweder funktionierte der Opt-out-Button nicht, oder der Opt-out galt nur für spezifische Datennutzungen, während andere weiterliefen.

Automatisierte Entscheidungsfindung durch KI: Die KI-Vorschriften der CPPA von 2025 verlangen von Unternehmen, die Verbraucher zu benachrichtigen, wenn automatisierte Entscheidungsfindung für bedeutende Entscheidungen (Beschäftigung, Kredit, Wohnen) verwendet wird, und sinnvolle Opt-out-Mechanismen bereitzustellen. Mehrere Durchsetzungsmaßnahmen im Jahr 2024 richteten sich gegen KI-Tools, die ohne angemessene Benachrichtigung verwendet wurden.

Daten von Kindern: Nach dem California Age-Appropriate Design Code (AADC) müssen Unternehmen, die voraussichtlich von Minderjährigen aufgerufen werden, Datenschutz-Folgenabschätzungen durchführen. Die CPPA stellte fest, dass mehrere Technologieunternehmen erforderliche DPIAs nicht abgeschlossen hatten.

CPRA vs. DSGVO: Wichtige Unterschiede für globale Organisationen

Organisationen, die sowohl unter der DSGVO als auch unter der CPRA tätig sind, sehen sich Compliance-Anforderungen gegenüber, die im Prinzip ähnlich, aber in den Einzelheiten unterschiedlich sind:

Opt-out vs. Opt-in: Die DSGVO verlangt eine Opt-in-Einwilligung für die meisten sensiblen Datenverarbeitungen. Die CPRA verwendet ein Opt-out-Modell — die Verarbeitung ist rechtmäßig, bis der Verbraucher widerspricht. Das bedeutet, dass DSGVO-konforme Einwilligungsmechanismen oft restriktiver sind, als die CPRA es verlangt, aber CPRA-konforme Praktiken möglicherweise nicht die Anforderungen der DSGVO erfüllen.

Rechte der betroffenen Personen: Beide verlangen Zugriffs-, Lösch- und Berichtigungsrechte. Die CPRA fügt ein Recht hinzu, der automatisierten Entscheidungsfindung zu widersprechen — breiter als die engere Bestimmung zur automatisierten Entscheidungsfindung in Artikel 22 der DSGVO.

Mitarbeiterdaten: Die CPRA gilt vollständig für personenbezogene Daten von Mitarbeitern. Die DSGVO hat einen ähnlichen Geltungsbereich, aber die Mitgliedstaaten haben unterschiedliche beschäftigungsspezifische Bestimmungen. Der Datenschutz von kalifornischen Mitarbeitern ist oft ein eigener Compliance-Weg im Vergleich zu den Anforderungen der DSGVO für EU-Mitarbeiter.

Umfang sensibler Daten: Die 19 Kategorien der CPRA überschneiden sich teilweise mit Artikel 9 der DSGVO, umfassen jedoch Kategorien (Einwanderungsstatus, Finanzkontonummern, Strafregister), die die DSGVO anders behandelt.

Die Compliance-Anforderung für KI-Anbieter

Die KI-Vorschriften der CPRA von 2025 schaffen spezifische Anforderungen für Organisationen, die KI-Tools verwenden, die Daten von kalifornischen Verbrauchern verarbeiten:

Vertragliche Anforderungen an Anbieter: Dienstleister (Anbieter, die Daten im Auftrag des Unternehmens verarbeiten) müssen vertraglich zusichern: Daten nur für den offengelegten Zweck zu verwenden, Daten zu löschen, wenn der Dienst endet, Anfragen zu Verbraucherrechten weiterzuleiten und angemessene Sicherheitsmaßnahmen zu implementieren.

Offenlegung automatisierter Entscheidungsfindung: Wenn Ihr KI-Tool Entscheidungen über kalifornische Verbraucher trifft oder erheblich dazu beiträgt — Kreditbewertung, Betrugskennzeichnung, Inhaltsmoderation, Beschäftigungsüberprüfung — müssen die Verbraucher benachrichtigt werden und ein sinnvolles Opt-out erhalten.

Herkunft der Trainingsdaten: Wenn Daten kalifornischer Verbraucher verwendet wurden, um ein KI-Modell zu trainieren, bedeuten die Anforderungen der CPRA zur Zweckbindung, dass die Ausgaben des KI-Modells nicht für Zwecke verwendet werden können, die mit dem ursprünglichen Erhebungszweck unvereinbar sind.

Für Organisationen, die Daten kalifornischer Verbraucher in KI-Systemen verwalten: Datenminimierung vor der KI-Verarbeitung — das Entfernen von PII, bevor Daten in KI-Trainingspipelines oder KI-Analysetools gelangen — ist der einfachste Weg, um die Anforderungen der CPPA an automatisierte Entscheidungsfindung zu erfüllen und gleichzeitig die Exposition sensibler personenbezogener Informationen zu reduzieren.

Quellen:

Verwandte Artikel

DSGVO & Compliance

Japan PPC: My Number Verhoeff Validation and Japanese-Language PII Detection for APPI Compliance

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia. Japanese script NER requires dedicated language models.

DSGVO & Compliance

HDPA Greece: AFM and AMKA Detection — Why Greek Identifiers Fail in 52% of Generic NLP Tools

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct compliance requirements. Greek alphabet NER requirements.

DSGVO & Compliance

NAIH Hungary: TAJ-Szám, Adóazonosító Jel, and Why Hungarian NER Accuracy Trails the EU Average

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps. NAIH requires DPIA for all AI systems processing personal data.

Bereit, Ihre Daten zu schützen?

Beginnen Sie mit der Anonymisierung von PII mit über 285 Entitätstypen in 48 Sprachen.

Kostenlose Testversion startenFunktionen anzeigen