DSGVO vs. CCPA: Die wichtigsten Unterschiede erklärt (2026)
Die Verordnung (EU) 2016/679 (DSGVO) verlangt eine dokumentierte Rechtsgrundlage, bevor eine Verarbeitung personenbezogener Daten beginnt, und ist damit ein Opt-in-Rahmenwerk. Der kalifornische CCPA, kodifiziert in Cal. Civ. Code 1798.100, erlaubt die Datenerhebung standardmäßig und räumt Verbrauchern ein Widerspruchsrecht ein. Dieser strukturelle Unterschied prägt die Kluft zwischen den beiden Gesetzen.
Die europäische Datenschutz-Grundverordnung (DSGVO) und Kaliforniens Verbraucherdatenschutzregime, der California Consumer Privacy Act (CCPA), grundlegend umgestaltet durch den California Privacy Rights Act (CPRA), sind die beiden einflussreichsten Datenschutz-Rahmenwerke im englischsprachigen Raum. Beide geben Einzelpersonen eine wirksame Kontrolle über personenbezogene Informationen. Über diese grobe Übereinstimmung hinaus weichen die beiden Gesetze in ihrem Anwendungsbereich, ihrer Philosophie, ihrem Einwilligungsmodell, ihrem Durchsetzungsapparat und den konkreten Pflichten, die sie Organisationen auferlegen, deutlich voneinander ab.
Dieser Leitfaden vergleicht jede wichtige Dimension der DSGVO und des CCPA/CPRA, berücksichtigt die Rechtsetzung der CPPA vom September 2025 zu automatisierten Entscheidungen und schließt mit praktischen Hinweisen für Unternehmen, die beide Rahmenwerke erfüllen müssen.
Kurzantwort
Die DSGVO ist ein Opt-in-, genehmigungsbasiertes Rahmenwerk, das praktisch jede Organisation erfasst, die Daten von Einwohnern der EU/des EWR verarbeitet. Der CCPA/CPRA ist ein Opt-out-Rahmenwerk, das gewinnorientierte kalifornische Unternehmen erfasst, die festgelegte Größenschwellen erreichen. DSGVO-Bußgelder übersteigen CCPA-Bußgelder in absoluten Beträgen bei weitem, doch Kaliforniens eigens zuständige Durchsetzungsbehörde, die CPPA, hat ihr Durchsetzungstempo seit 2024 deutlich beschleunigt.
Die beiden Regelungen im Überblick
| Merkmal | DSGVO | CCPA/CPRA |
|---|---|---|
| Erlassen / in Kraft | 25. Mai 2018 | 1. Jan. 2020 (CCPA); 1. Jan. 2023 (CPRA-Änderungen) |
| Räumlicher Anwendungsbereich | EU/EWR + extraterritorial | Einwohner Kaliforniens + extraterritorial |
| Wer muss sich richten | Nahezu alle Verantwortlichen/Auftragsverarbeiter | Gewinnorientierte Unternehmen ab bestimmten Schwellen |
| Umsatzschwelle | Keine | Jährlicher Bruttoumsatz über 25 Mio. USD |
| Datenvolumenschwelle | Keine | 100.000+ Verbraucher oder Haushalte pro Jahr |
| Schwelle Umsatz aus Datenverkauf | Keine | 50 %+ des Jahresumsatzes aus Verkauf/Weitergabe von PI |
| Einwilligungsmodell | Opt-in (Rechtsgrundlage erforderlich) | Opt-out |
| Datenschutzbeauftragter erforderlich | Ja (bestimmte Organisationen) | Nein |
| Meldung von Datenschutzverletzungen | 72 Stunden an die Aufsichtsbehörde | "Schnellstmöglicher Zeitpunkt" (separates kalifornisches Gesetz) |
| Höchstes behördliches Bußgeld | 20 Mio. Euro oder 4 % des weltweiten Umsatzes | 7.500 USD je vorsätzlichem Verstoß |
| Individuelles Klagerecht | Begrenzt, je nach Mitgliedstaat | Ja, bei qualifizierten Datenschutzverletzungen |
| Eigene Durchsetzungsbehörde | Datenschutzbehörden in 27+ EU/EWR-Staaten | California Privacy Protection Agency (CPPA) |
| Widerspruchsrecht bei ADMT | Recht auf menschliche Überprüfung (Art. 22) | Recht auf Widerspruch gegen ADMT (CPRA + Vorschriften 2025) |
Anwendungsbereich und wer sich richten muss
Räumlicher Anwendungsbereich der DSGVO
Die DSGVO gilt für jede Organisation, unabhängig davon, wo sie gegründet wurde oder physisch ansässig ist, sofern sie personenbezogene Daten von Personen im Europäischen Wirtschaftsraum verarbeitet. Ein SaaS-Unternehmen mit Sitz in Chicago und EU-Kunden fällt unter die DSGVO. Ein japanischer Elektronikhersteller, dessen Website sich an EU-Verbraucher richtet, fällt unter die DSGVO. Artikel 3 macht diese extraterritoriale Reichweite ausdrücklich: Die Verordnung gilt für Organisationen, die Waren oder Dienstleistungen für Personen im EWR anbieten oder deren Verhalten innerhalb des EWR beobachten.
Organisationen außerhalb der EU/des EWR, die in den Anwendungsbereich der DSGVO fallen, müssen nach Artikel 27 einen EU-Vertreter benennen, sofern sie nicht unter eine eng gefasste Ausnahme fallen.
Schwellenmodell des CCPA/CPRA
Der CCPA, in Kraft seit dem 1. Januar 2020 und wesentlich geändert durch den CPRA (Proposition 24, im November 2020 von kalifornischen Wählern angenommen, mit den meisten Änderungen in Kraft seit 1. Januar 2023), gilt für gewinnorientierte Unternehmen, die personenbezogene Informationen von Einwohnern Kaliforniens erheben und mindestens eine von drei Schwellen erreichen:
- Jährlicher Bruttoumsatz über 25 Millionen US-Dollar
- Kauf, Verkauf, Erhalt oder Weitergabe der personenbezogenen Informationen von 100.000 oder mehr Verbrauchern oder Haushalten pro Jahr zu kommerziellen Zwecken
- Erzielung von 50 % oder mehr des Jahresumsatzes aus dem Verkauf oder der Weitergabe personenbezogener Informationen von Verbrauchern
Gemeinnützige Organisationen und Regierungsbehörden fallen vollständig aus dem Anwendungsbereich des CCPA/CPRA heraus. Die DSGVO hingegen erfasst praktisch alle Organisationen, die personenbezogene Daten verarbeiten (einschließlich gemeinnütziger Organisationen, öffentlicher Stellen und kleiner Unternehmen), mit eng gefassten Ausnahmen nur für rein persönliche oder familiäre Tätigkeiten.
Begriffsbestimmungen: Personenbezogene Daten vs. Personal Information
DSGVO: Weit gefasste, personenbezogene Definition
Die DSGVO definiert "personenbezogene Daten" als jede Information, die sich auf eine identifizierte oder identifizierbare natürliche Person bezieht. Diese bewusst weit gefasste Definition umfasst Namen, Identifikationsnummern, Standortdaten, Online-Kennungen (IP-Adressen, Cookie-IDs) sowie Merkmale, die für die physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität einer Person kennzeichnend sind. Aggregierte und anonymisierte Daten, die nicht erneut identifiziert werden können, fallen nicht unter die Definition; pseudonymisierte Daten in der Regel schon.
Artikel 9 schafft eine erhöhte Kategorie "besonderer Kategorien personenbezogener Daten" für Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, die Gewerkschaftszugehörigkeit hervorgehen, sowie für genetische Daten, biometrische Daten zur eindeutigen Identifizierung, Gesundheitsdaten und Daten zum Sexualleben oder der sexuellen Orientierung. Die Verarbeitung besonderer Kategorien personenbezogener Daten erfordert eine ausdrückliche Einwilligung oder eine andere spezifische Rechtsgrundlage.
CCPA/CPRA: Verbraucher- und Haushaltsbezug
Der CCPA definiert "Personal Information" als Informationen, die einen bestimmten Verbraucher oder Haushalt identifizieren, sich auf ihn beziehen, ihn beschreiben, ihm vernünftigerweise zugeordnet werden können oder vernünftigerweise mit ihm verknüpft werden könnten. Bemerkenswerte Unterschiede zur DSGVO-Definition: Der CCPA erfasst ausdrücklich Daten auf Haushaltsebene und schließt öffentlich zugängliche Informationen aus, bei denen ein Unternehmen vernünftigerweise davon ausgehen kann, dass der Verbraucher sie freiwillig der Öffentlichkeit zugänglich gemacht hat.
Die CPRA-Änderungen führten die Kategorie "Sensitive Personal Information" ein, die teilweise den besonderen Kategorien der DSGVO entspricht. Zu den sensiblen personenbezogenen Informationen nach CPRA zählen Sozialversicherungsnummern, Angaben zu Finanzkonten, präzise Standortdaten, rassische oder ethnische Herkunft, religiöse Überzeugungen, Kommunikationsinhalte, genetische Daten, biometrische Daten zur Identifizierung, Gesundheitsinformationen sowie Daten zum Sexualleben oder der sexuellen Orientierung. Die Vorschriften der CPPA von 2025 erweiterten die sensiblen personenbezogenen Informationen zusätzlich um neuronale Daten und personenbezogene Informationen von Verbrauchern, von denen das Unternehmen weiß, dass sie unter 16 Jahre alt sind.
| Datenbegriff | DSGVO | CCPA/CPRA |
|---|---|---|
| Kerngeschützte Daten | Personenbezogene Daten (jede identifizierte/identifizierbare natürliche Person) | Personal Information (Verbraucher oder Haushalt) |
| Haushaltsdaten | Nicht ausdrücklich erfasst | Erfasst |
| Öffentlich zugängliche Daten | Weiterhin personenbezogene Daten, wenn sie jemanden identifizieren | Von der Definition ausgeschlossen |
| Arbeitnehmer- und B2B-Daten | Vollständig erfasst | Erfasst (CPRA hob befristete Ausnahmen zum Jan. 2023 auf) |
| Erhöhte sensible Kategorie | Besondere Kategorien (Art. 9) | Sensitive Personal Information (CPRA) |
| Neuronale Daten | Als Gesundheits-/biometrische Daten erfasst | Ausdrücklich durch CPPA-Vorschriften 2025 ergänzt |
Das Einwilligungsmodell: Opt-in vs. Opt-out
Dies ist die schärfste philosophische Kluft zwischen den beiden Rahmenwerken.
DSGVO: Genehmigungsbasiertes Opt-in
Die DSGVO folgt einem genehmigungsbasierten Modell. Organisationen dürfen personenbezogene Daten erst verarbeiten, nachdem sie eine von sechs Rechtsgrundlagen nach Artikel 6 festgelegt haben: Einwilligung, Vertragserfüllung, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe oder berechtigte Interessen. Die Rechtsgrundlage muss festgelegt und dokumentiert werden, bevor die Verarbeitung beginnt.
Wird die Einwilligung als gewählte Rechtsgrundlage genutzt, verlangt Artikel 7, dass sie freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich erfolgt. Vorangekreuzte Kästchen, Schweigen und gebündelte Einwilligungen sind unwirksam. Für besondere Kategorien personenbezogener Daten und Daten von Kindern verlangt die DSGVO eine ausdrückliche Einwilligung: eine bejahende Erklärung statt eines Verhaltens, das eine Zustimmung lediglich vermuten lässt.
CCPA/CPRA: Tätigkeitsbezogenes Opt-out
Der CCPA folgt für die meisten Verarbeitungen einem Opt-out-Modell. Unternehmen dürfen personenbezogene Informationen ohne vorherige Einwilligung erheben und nutzen, müssen jedoch: (1) ihre Datenpraktiken in einer Datenschutzerklärung offenlegen; (2) einen Link "Do Not Sell or Share My Personal Information" bereitstellen; und (3) Widerspruchsanfragen von Verbrauchern respektieren. Der CPRA ergänzte das Recht, die Nutzung sensibler personenbezogener Informationen einzuschränken, das als gezieltes Widerspruchsrecht wirkt.
Zwei bemerkenswerte Ausnahmen mit Opt-in-Charakter bestehen: Unternehmen müssen eine Opt-in-Einwilligung einholen, bevor sie personenbezogene Informationen von Verbrauchern verkaufen oder weitergeben, von denen sie wissen, dass sie unter 16 Jahre alt sind (bei unter 13-Jährigen ist die Einwilligung der Eltern oder Erziehungsberechtigten erforderlich), und eine Opt-in-Einwilligung ist erforderlich, um einen Verbraucher erneut anzusprechen, der seit mindestens 12 Monaten widersprochen hat.
| Dimension der Einwilligung | DSGVO | CCPA/CPRA |
|---|---|---|
| Standardhaltung | Verarbeitung untersagt, bis Rechtsgrundlage besteht | Verarbeitung erlaubt; Verbraucher kann widersprechen |
| Wo Einwilligung genutzt wird | Muss freiwillig, spezifisch, informiert, unmissverständlich sein | Für die meisten Verarbeitungen nicht erforderlich |
| Kinder | Elterliche Einwilligung unter 16 (Mitgliedstaaten können auf 13 absenken) | Opt-in erforderlich für Verkauf/Weitergabe von Daten unter 16-Jähriger |
| Sensible Daten | Ausdrückliche Einwilligung oder spezifische Ausnahme erforderlich (Art. 9) | Recht auf Einschränkung der Nutzung (Opt-out-Modell) |
| Erneute Ansprache nach Widerspruch | Kein Äquivalent (Widerruf muss so einfach sein wie die Einwilligung) | 12 Monate Wartezeit vor erneuter Anfrage |
Vergleich der Verbraucher- und Betroffenenrechte
Beide Gesetze gewähren Einzelpersonen ein Bündel von Datenschutzrechten. Die Rechte der DSGVO sind umfassender, und die Ausnahmetatbestände sind enger gefasst.
| Recht | DSGVO | CCPA/CPRA |
|---|---|---|
| Recht auf Kenntnis / Auskunft | Ja (Art. 15) | Ja (durch CPRA auf 12 Monate erweitert) |
| Recht auf Löschung | Ja, "Recht auf Vergessenwerden" (Art. 17) | Ja, mit mehr Ausnahmen für Unternehmen |
| Recht auf Berichtigung | Ja (Art. 16) | Kein Äquivalent |
| Recht auf Datenübertragbarkeit | Ja (Art. 20) | Ja (durch CPRA ergänzt) |
| Recht auf Einschränkung der Verarbeitung | Ja (Art. 18) | Beschränkt auf sensible PI |
| Widerspruchsrecht | Ja (Art. 21) | Kein direktes Äquivalent |
| Recht auf Widerspruch gegen Verkauf | Kein Konzept "Verkauf" | Ja, Kernrecht des CCPA |
| Recht auf Widerspruch gegen Weitergabe | Kein Konzept "Weitergabe" | Ja (durch CPRA ergänzt) |
| Recht auf Einschränkung der Nutzung sensibler Daten | Geregelt durch Beschränkungen des Art. 9 | Ja (durch CPRA ergänzt) |
| Recht auf Nichtdiskriminierung | Allgemeine Gleichbehandlungsgrundsätze | Ausdrückliches Recht; Anreizprogramme bei Offenlegung zulässig |
| Automatisierte Entscheidungsfindung | Recht auf menschliche Überprüfung; Recht auf Anfechtung (Art. 22) | Recht auf Widerspruch gegen ADMT zzgl. Auskunftsrecht (CPRA und Vorschriften 2025) |
Das Recht der DSGVO aus Artikel 22 gegen ausschließlich automatisierte Entscheidungen ist in einer Hinsicht stärker: Es gilt standardmäßig und erfordert eine bejahende Rechtfertigung, um es außer Kraft zu setzen. Das CCPA/CPRA-Recht auf Widerspruch gegen ADMT ist ein Opt-out-Recht; Unternehmen, die ADMT einsetzen, dürfen dies fortsetzen, bis ein Verbraucher widerspricht.
Sensible personenbezogene Informationen
Beide Rahmenwerke schaffen eine erhöhte Datenkategorie mit verstärktem Schutz, definieren und regeln sie jedoch unterschiedlich.
Nach der DSGVO ist die Verarbeitung "besonderer Kategorien" personenbezogener Daten standardmäßig untersagt. Um sie zu verarbeiten, müssen Organisationen sowohl eine Rechtsgrundlage nach Artikel 6 als auch eine spezifische Bedingung nach Artikel 9 erfüllen: etwa ausdrückliche Einwilligung, arbeitsrechtliche Pflichten, lebenswichtige Interessen, wenn keine Einwilligung eingeholt werden kann, oder rechtmäßige Tätigkeiten gemeinnütziger Einrichtungen. Biometrische Daten, die zur eindeutigen Identifizierung von Personen verarbeitet werden, gehören zu den besonderen Kategorien.
Nach dem CCPA/CPRA haben Verbraucher das Recht, einem Unternehmen aufzugeben, die Nutzung und Offenlegung sensibler PI auf den Zweck zu beschränken, für den sie erhoben wurden, oder auf andere ausdrücklich zulässige Nutzungen. Unternehmen müssen einen Link "Limit the Use of My Sensitive Personal Information" bereitstellen (der mit dem Link "Do Not Sell or Share" kombiniert werden kann). Die Vorschriften der CPPA von 2025 erweiterten die sensiblen PI um neuronale Daten und schlossen ausdrücklich personenbezogene Informationen bekannter Minderjähriger unter 16 Jahren ein.
Durchsetzung und Bußgelder
Durchsetzung der DSGVO
Die DSGVO wird von unabhängigen Datenschutzbehörden in jedem EU-/EWR-Mitgliedstaat durchgesetzt. Artikel 83 legt eine zweistufige Bußgeldstruktur fest:
- Untere Stufe (bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes): Verstöße gegen Pflichten von Verantwortlichen und Auftragsverarbeitern, Zertifizierungsregeln und Regeln für Überwachungsstellen.
- Obere Stufe (bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes): Verstöße gegen zentrale Grundsätze der Datenverarbeitung, Einwilligungsvoraussetzungen, Betroffenenrechte und Regeln für internationale Übermittlungen.
Die kumulierten DSGVO-Bußgelder überstiegen bis Anfang 2025 insgesamt 5,8 Milliarden Euro. Zu den bemerkenswerten jüngeren Durchsetzungsmaßnahmen zählen das Bußgeld der irischen Datenschutzkommission über 1,2 Milliarden Euro gegen Meta im Mai 2023 wegen unrechtmäßiger Datenübermittlungen in die Vereinigten Staaten (das bisher höchste einzelne DSGVO-Bußgeld) und ein Bußgeld über 310 Millionen Euro gegen LinkedIn im Oktober 2024 wegen unrechtmäßiger Verarbeitung für verhaltensbasierte Werbung.
Durchsetzung des CCPA/CPRA
Der kalifornische Generalstaatsanwalt setzte den CCPA vom Beginn der Durchsetzung am 1. Juli 2020 bis Mitte 2023 durch. Die California Privacy Protection Agency (CPPA) übernahm im Juli 2023 die primäre Durchsetzungsbefugnis und ist die erste eigens zuständige Datenschutz-Durchsetzungsbehörde auf US-Bundesstaatenebene.
Sanktionen nach dem CCPA/CPRA:
- Bis zu 2.500 USD je unbeabsichtigtem Verstoß
- Bis zu 7.500 USD je vorsätzlichem Verstoß oder je Verstoß mit Bezug zu personenbezogenen Informationen Minderjähriger
- Die CPPA passt die Bußgeldbeträge im Januar ungerader Jahre an die Verbraucherpreisentwicklung an
Das Durchsetzungstempo der CPPA hat sich erheblich beschleunigt. Zu den bemerkenswerten Vergleichen von 2025 zählen:
- Tractor Supply Company: 1,35 Millionen USD wegen CCPA-Verstößen
- American Honda Motor Co.: 632.500 USD wegen CCPA-Verstößen, zu diesem Zeitpunkt das zweithöchste Bußgeld in der Geschichte des Gesetzes
- Todd Snyder, Inc.: 345.178 USD wegen unsachgemäßer Verwaltung seines Datenschutzportals, unter anderem weil Verbraucher zur Ausübung ihres Widerspruchsrechts ihre Identität nachweisen mussten
| Durchsetzungsdimension | DSGVO | CCPA/CPRA |
|---|---|---|
| Durchsetzungsbehörde | Nationale Datenschutzbehörden (27+ in EU/EWR) | Kalifornischer Generalstaatsanwalt plus CPPA |
| Höchstes behördliches Bußgeld | 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes | 7.500 USD je vorsätzlichem Verstoß |
| Nachbesserungsfrist | Keine verpflichtende Nachbesserungsfrist | 30-Tage-Frist (nur bei Durchsetzung durch den Generalstaatsanwalt; kein Nachbesserungsrecht bei CPPA-Durchsetzung) |
| Grenzüberschreitender Mechanismus | One-Stop-Shop über die federführende Behörde | Nur kalifornische Zuständigkeit |
| Individuelles Klagerecht | Begrenzt (je nach Mitgliedstaat unterschiedlich; Art. 82) | Ja, bei qualifizierten Datenschutzverletzungen (Cal. Civ. Code 1798.150) |
Das individuelle Klagerecht
Beide Gesetze räumen Einzelpersonen gewisse Klagerechte ein, doch der Umfang unterscheidet sich erheblich.
Artikel 82 DSGVO
Artikel 82 DSGVO gewährt jeder Person, der durch einen Verstoß gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, das Recht, vom Verantwortlichen oder Auftragsverarbeiter Schadensersatz zu erhalten. In der Praxis unterscheiden sich Verfügbarkeit und Umfang von Sammelklagen wegen DSGVO-Schäden erheblich je nach Mitgliedstaat; das EU-Recht schreibt keinen einheitlichen Sammelklagemechanismus vor.
Section 1798.150 CCPA
Das individuelle Klagerecht des CCPA ist enger gefasst als das allgemeine Schadensersatzrecht der DSGVO. Nach California Civil Code 1798.150 können Verbraucher nur bei qualifizierten Datenschutzverletzungen klagen, die unverschlüsselte oder ungeschwärzte personenbezogene Informationen (oder E-Mail-Adressen in Kombination mit Passwörtern oder Sicherheitsfragen) betreffen und auf das Versäumnis des Unternehmens zurückzuführen sind, angemessene Sicherheitsmaßnahmen umzusetzen. Der gesetzliche Schadensersatz liegt zwischen 100 und 750 USD je Verbraucher und Vorfall, oder dem tatsächlichen Schaden, sofern dieser höher ist.
Das individuelle Klagerecht erstreckt sich nicht auf Verstöße gegen Auskunfts-, Löschungs-, Widerspruchs- oder andere CCPA-Rechte außerhalb des Kontexts einer Datenschutzverletzung. Diese Verstöße werden ausschließlich von der CPPA oder dem Generalstaatsanwalt durchgesetzt.
2025 deuteten mehrere Entscheidungen kalifornischer Bundesbezirksgerichte auf eine mögliche Ausweitung des individuellen Klagerechts auf Fälle hin, in denen Tracking-Technologien Dritter eine unbefugte Offenlegung personenbezogener Informationen darstellen. Diese Fälle werden von Datenschutzpraktikern aufmerksam verfolgt.
Die Vorschriften der CPPA von 2025: ADMT, Risikobewertungen und Cybersicherheitsaudits
Der Vorstand der CPPA verabschiedete am 24. Juli 2025 umfassende Vorschriften. Das kalifornische Office of Administrative Law genehmigte und registrierte sie am 22. September 2025. Diese Vorschriften stellen die bedeutendste Erweiterung des kalifornischen Datenschutzrahmens seit dem Inkrafttreten des CPRA dar.
Automatisierte Entscheidungstechnologie (ADMT)
Die ADMT-Vorschriften von 2025 setzen die durch den CPRA eingeführten Verbraucherrechte um. ADMT bezeichnet jede Technologie, die personenbezogene Informationen verarbeitet und Berechnungen einsetzt, um eine Entscheidung zu treffen, eine menschliche Entscheidung zu ersetzen oder eine menschliche Entscheidung wesentlich zu unterstützen.
Die Vorschriften gewähren Verbrauchern zwei Rechte gegenüber Unternehmen, die ADMT für wesentliche Entscheidungen einsetzen:
- Recht auf Widerspruch gegen die Nutzung von ADMT durch das Unternehmen für wesentliche Entscheidungen, die den Verbraucher betreffen, einschließlich Beschäftigungsfähigkeit, Kreditentscheidungen, Wohnraum, medizinischer Behandlung und Bildungszugang.
- Auskunftsrecht über die Art und Weise der ADMT-Nutzung, einschließlich der beteiligten Logik und der Bedeutung des Ergebnisses.
Unternehmen, die ADMT für wesentliche Entscheidungen einsetzen, müssen ab dem 1. Januar 2027 konform sein. Unternehmen, die ADMT für Werbe-Targeting einsetzen, unterliegen nach den Vorschriften einem gesonderten Zeitplan für die Einhaltung.
Dieses Recht ist konzeptionell dem Recht aus Artikel 22 DSGVO ähnlich, strukturell jedoch anders aufgebaut: Artikel 22 DSGVO untersagt ausschließlich automatisierte Entscheidungen mit rechtlicher oder ähnlich bedeutsamer Wirkung, sofern nicht eine von drei spezifischen Bedingungen erfüllt ist; das CCPA/CPRA-Recht ist ein Widerspruchsrecht, das ADMT so lange wirksam bleiben lässt, bis ein Verbraucher es geltend macht.
Risikobewertungen
Unternehmen müssen vor bestimmten Verarbeitungstätigkeiten, die ein erhebliches Risiko für die Privatsphäre der Verbraucher darstellen, Risikobewertungen durchführen. Risikobewertungen funktionieren wie herkömmliche Datenschutz-Folgenabschätzungen und müssen dokumentiert, mindestens alle drei Jahre überprüft und innerhalb von 45 Tagen nach einer wesentlichen Änderung der Verarbeitungstätigkeit aktualisiert werden. Unternehmen müssen der CPPA bis zum 1. April 2028 eine Erklärung und eine Zusammenfassung der Ergebnisse vorlegen.
Cybersicherheitsaudits
Unternehmen, die festgelegte Schwellen erreichen, müssen jährliche Cybersicherheitsaudits durchführen. Die Zertifizierungseinreichungen bei der CPPA erfolgen gestaffelt:
-
- April 2028: Unternehmen mit einem Jahresumsatz über 100 Millionen USD
-
- April 2029: Unternehmen mit einem Jahresumsatz zwischen 50 und 100 Millionen USD
-
- April 2030: Unternehmen mit einem Jahresumsatz unter 50 Millionen USD
Die Anforderung eines Cybersicherheitsaudits hat kein direktes Äquivalent in der DSGVO, obwohl die DSGVO nach den Artikeln 25 und 32 angemessene technische und organisatorische Maßnahmen verlangt.
Das allgemeine Inkrafttretensdatum für alle vier Regelungsbereiche ist der 1. Januar 2026, wobei die ADMT-Pflicht für wesentliche Entscheidungen auf den 1. Januar 2027 verschoben wurde.
Internationale Datenübermittlungen
Die DSGVO reguliert Übermittlungen personenbezogener Daten außerhalb des EWR streng. Organisationen dürfen Daten nur in Länder mit einem EU-Angemessenheitsbeschluss übermitteln oder über Mechanismen wie Standardvertragsklauseln (SCC), verbindliche interne Datenschutzvorschriften (BCR) oder das EU-US Data Privacy Framework. Weitere Informationen zum Übermittlungsregime der EU finden Sie in unserem Leitfaden zu den EU-Datenschutzgesetzen.
Der CCPA/CPRA sieht keine Beschränkungen für internationale Datenübermittlungen vor. Ein kalifornisches Unternehmen darf personenbezogene Informationen in jedes Land übermitteln. Übermittlungen, die einen "Verkauf" oder eine "Weitergabe" darstellen, unterliegen weiterhin dem Widerspruchsrecht, und die Risikobewertungsvorschriften von 2025 gelten für bestimmte grenzüberschreitende Übermittlungen mit erheblichem Datenschutzrisiko.
Datenschutzbeauftragte und Compliance-Infrastruktur
Die DSGVO verlangt von bestimmten Organisationen die Benennung eines Datenschutzbeauftragten (DSB) nach Artikel 37: öffentliche Stellen, Organisationen, deren Kerntätigkeit eine umfangreiche systematische Überwachung von Personen umfasst, und Organisationen, die besondere Kategorien personenbezogener Daten in großem Umfang verarbeiten. Der Datenschutzbeauftragte muss der obersten Leitungsebene unterstellt sein, unabhängig handeln und darf für die Erfüllung seiner Aufgaben nicht benachteiligt werden.
Der CCPA/CPRA sieht keine vergleichbare Rolle vor. Unternehmen müssen Verbraucheranfragen innerhalb festgelegter Fristen beantworten (45 Tage, mit einer Verlängerungsmöglichkeit um weitere 45 Tage), Aufzeichnungen über Anfragen mindestens 24 Monate lang aufbewahren und angemessene Sicherheitspraktiken einhalten, doch es gibt keine vorgeschriebene interne Datenschutz-Governance-Struktur.
Beide Gesetze verlangen eine Dokumentationspflicht. Artikel 30 DSGVO verlangt ein detailliertes Verzeichnis von Verarbeitungstätigkeiten. Der CCPA/CPRA verlangt Aufzeichnungen über Verbraucheranfragen und deren Bearbeitung.
Meldung von Datenschutzverletzungen
Nach der DSGVO müssen Organisationen ihre Aufsichtsbehörde innerhalb von 72 Stunden nach Kenntniserlangung von einer Verletzung des Schutzes personenbezogener Daten benachrichtigen, die ein Risiko für die Rechte und Freiheiten von Personen darstellt. Besteht ein hohes Risiko, muss die Organisation zusätzlich die betroffenen Personen direkt benachrichtigen. Unser DSGVO-Überblick behandelt die Meldepflichten im Detail.
Der CCPA/CPRA enthält keine eigene Regelung zur Meldung von Datenschutzverletzungen. Kalifornien stützt sich auf sein bereits bestehendes Gesetz zur Meldung von Datenschutzverletzungen (Cal. Civ. Code 1798.82), das eine Benachrichtigung betroffener Einwohner "zum schnellstmöglichen Zeitpunkt und ohne unangemessene Verzögerung" verlangt. Das individuelle Klagerecht des CCPA nach Section 1798.150 ist speziell an Verletzungen unverschlüsselter oder ungeschwärzter personenbezogener Informationen geknüpft.
Die breitere US-Datenschutzlandschaft
Der CCPA/CPRA entstand nicht isoliert und ist seither nicht lange einzigartig geblieben. Stand Anfang 2026 haben rund 20 US-Bundesstaaten umfassende Verbraucherdatenschutzgesetze erlassen. Indiana, Kentucky und Rhode Island haben Gesetze, die am 1. Januar 2026 in Kraft treten. Zwar wurde 2025 kein neues umfassendes Datenschutzgesetz eines Bundesstaates erlassen, die erste solche Lücke seit fünf Jahren, doch hat sich der Schwerpunkt in den USA von der Gesetzgebung zur Durchsetzung und Regelsetzung verschoben.
Keines der übrigen Landesgesetze reicht an den CCPA/CPRA hinsichtlich Strenge, Umfang der Verbraucherrechte oder dem Vorhandensein einer eigenen Durchsetzungsbehörde heran. Für landesweit tätige Unternehmen bietet ein CCPA/CPRA-konformes Programm eine solide Grundlage für die Einhaltung in mehreren Bundesstaaten, in der Regel mit Anpassungen an die jeweiligen spezifischen Begriffsbestimmungen, Schwellen und Widerspruchsmechanismen der einzelnen Staaten.
Ein bundesweites, umfassendes Datenschutzgesetz existiert in den Vereinigten Staaten zum Zeitpunkt dieser Überprüfung nicht.
Wie Unternehmen, die beiden Regelungen unterliegen, die Compliance angehen sollten
Organisationen, die sowohl den EU-/EWR- als auch den kalifornischen Markt bedienen, bauen häufig ein einheitliches Datenschutzprogramm auf, das auf DSGVO-Compliance basiert. Da die DSGVO in den meisten Bereichen das strengere Rahmenwerk ist, erfüllt DSGVO-Compliance in der Regel die meisten grundlegenden CCPA/CPRA-Anforderungen. Umgekehrt gilt das nicht.
Zentrale CCPA/CPRA-spezifische Pflichten, die auch für DSGVO-konforme Organisationen bestehen bleiben:
- Link "Do Not Sell or Share My Personal Information" auf der Startseite und in der Datenschutzerklärung (kein DSGVO-Äquivalent)
- Link "Limit the Use of My Sensitive Personal Information" (oder ein kombinierter Link)
- Offenlegung finanzieller Anreize: Unternehmen, die Prämien oder Preisunterschiede im Zusammenhang mit der Datenerhebung anbieten, müssen die Berechnungsgrundlage erläutern
- ADMT-Widerspruchs- und Auskunftshinweise (in Kraft ab 1. Januar 2027 für wesentliche Entscheidungen)
- Risikobewertungen für bestimmte risikoreiche Verarbeitungstätigkeiten (in Kraft ab 1. Januar 2026)
- Jährliche Cybersicherheitsaudits, sofern Umsatz- und Verarbeitungsschwellen erreicht werden
- Verträge mit Dienstleistern, die zusätzlich zur DSGVO-Auftragsverarbeitersprache CCPA-spezifische Begriffe verwenden
Für die DSGVO-Seite eines dualen Compliance-Programms siehe unseren Überblick zu den EU-Datenschutzgesetzen sowie unseren Leitfaden dazu, was die DSGVO verlangt.
Aktuelle Entwicklungen
September 2025: Die CPPA verabschiedete endgültige Vorschriften zu ADMT, Cybersicherheitsaudits, Risikobewertungen und CCPA-Aktualisierungen. Allgemeines Inkrafttretensdatum: 1. Januar 2026. Die ADMT-Pflicht für wesentliche Entscheidungen wurde auf den 1. Januar 2027 verschoben.
Durchsetzung der CPPA 2025: Die Behörde einigte sich unter anderem mit American Honda (632.500 USD), der Tractor Supply Company (1,35 Millionen USD) und Todd Snyder (345.178 USD). Die CPPA berichtete in ihrem Jahresbericht 2025 von Hunderten laufenden Ermittlungen.
Oktober 2024: Die irische Datenschutzkommission verhängte gegen LinkedIn ein Bußgeld über 310 Millionen Euro wegen unrechtmäßiger Verarbeitung für verhaltensbasierte Werbung. Die kumulierten DSGVO-Bußgelder überstiegen bis Anfang 2025 insgesamt 5,8 Milliarden Euro.
Januar 2025: Die CPPA passte die CCPA-Bußgeldbeträge an die Verbraucherpreisentwicklung an. Neuronale Daten wurden in die Definition sensibler PI aufgenommen.
1. Januar 2026: Die umfassenden Datenschutzgesetze von Indiana, Kentucky und Rhode Island treten in Kraft, womit die Gesamtzahl der US-Bundesstaaten mit umfassenden Datenschutzgesetzen auf rund 20 steigt.
Frequently Asked Questions
Gilt der CCPA/CPRA für Unternehmen außerhalb Kaliforniens?
Ja. Der CCPA/CPRA gilt für jedes gewinnorientierte Unternehmen, das personenbezogene Informationen von Einwohnern Kaliforniens erhebt und mindestens eine der drei Schwellen erreicht (Umsatz über 25 Millionen USD, Daten von 100.000+ Verbrauchern pro Jahr oder 50 %+ des Umsatzes aus dem Verkauf oder der Weitergabe von Daten), unabhängig vom Sitz des Unternehmens. Ein Unternehmen ohne physische Präsenz in Kalifornien, aber mit kalifornischen Kunden und einer entsprechenden Website, kann erfasst sein.
Kann ein Unternehmen sowohl der DSGVO als auch dem CCPA/CPRA unterliegen?
Ja. Jedes Unternehmen, das personenbezogene Daten von Personen aus der EU/dem EWR verarbeitet und personenbezogene Informationen von Einwohnern Kaliforniens erhebt, die die CCPA-Schwellen erreichen, muss beide Gesetze einhalten. Viele multinationale Unternehmen bauen einheitliche Datenschutzprogramme auf, die auf DSGVO-Anforderungen basieren, und ergänzen sie um CCPA/CPRA-spezifische Pflichten.
Welches Gesetz hat strengere Sanktionen?
Die DSGVO sieht deutlich höhere Höchstsanktionen vor: 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. CCPA/CPRA-Sanktionen sind auf 7.500 USD je vorsätzlichem Verstoß gedeckelt. Sammelklageverfahren nach dem individuellen Klagerecht des CCPA können jedoch erhebliche Gesamtschäden hervorbringen, und die aktive Durchsetzung durch die CPPA hat bereits zu Vergleichen im siebenstelligen Bereich geführt.
Verlangt die DSGVO für jede Datenverarbeitung eine Opt-in-Einwilligung?
Nein. Die Einwilligung ist eine von sechs Rechtsgrundlagen nach Artikel 6 DSGVO. Unternehmen können sich auch auf Vertragserfüllung, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe oder berechtigte Interessen stützen. Wird jedoch die Einwilligung als gewählte Rechtsgrundlage genutzt, muss sie freiwillig, spezifisch, informiert und unmissverständlich erfolgen. Für besondere Kategorien personenbezogener Daten ist eine ausdrückliche Einwilligung erforderlich, sofern keine andere Bedingung nach Artikel 9 vorliegt.
Was ist die ADMT-Vorschrift der CPPA und wann tritt sie in Kraft?
Die CPPA verabschiedete am 22. September 2025 Vorschriften zu automatisierten Entscheidungstechnologien (ADMT) mit einem allgemeinen Inkrafttretensdatum am 1. Januar 2026. Unternehmen, die ADMT einsetzen, um wesentliche Entscheidungen mit Auswirkungen auf Verbraucher zu treffen (etwa zu Beschäftigungsfähigkeit, Kreditvergabe, Wohnraum und medizinischer Behandlung), müssen ab dem 1. Januar 2027 die Widerspruchs- und Auskunftsrechte der Verbraucher einhalten. Unternehmen, die ADMT für Werbe-Targeting einsetzen, unterliegen einem gesonderten Zeitplan für die Einhaltung.
Was ist der größte praktische Unterschied zwischen DSGVO- und CCPA/CPRA-Compliance?
Das Einwilligungsmodell. Die DSGVO verlangt eine dokumentierte Rechtsgrundlage, bevor die Datenverarbeitung beginnt, was häufig bedeutet, dass vorab eine Opt-in-Einwilligung eingeholt werden muss. Der CCPA/CPRA erlaubt die Datenerhebung standardmäßig, verlangt jedoch, dass Unternehmen Widerspruchsanfragen respektieren, einen Link 'Do Not Sell or Share My Personal Information' bereitstellen und (nach den Vorschriften von 2025) ADMT-Widerspruchs- und Auskunftshinweise bereitstellen. Dieser grundlegende Unterschied prägt Website-Gestaltung, Cookie-Banner, Datenschutzhinweise und die interne Daten-Governance.
Erfüllt DSGVO-Compliance die Anforderungen des CCPA/CPRA?
Größtenteils, aber nicht vollständig. Ein DSGVO-konformes Programm erfüllt die meisten grundlegenden CCPA/CPRA-Anforderungen, da die DSGVO in der Regel das strengere Rahmenwerk ist. Mehrere CCPA/CPRA-spezifische Pflichten haben jedoch kein DSGVO-Äquivalent: der Link 'Do Not Sell or Share', Offenlegungen zu finanziellen Anreizen, das ADMT-Widerspruchsrecht, die Anforderungen an Risikobewertungen und Cybersicherheitsaudits nach den Vorschriften von 2025 sowie CCPA-spezifische Vertragsklauseln für Dienstleister.
Sources and References
- DSGVO - Verordnung (EU) 2016/679, Volltext (EUR-Lex)(eur-lex.europa.eu).gov
- DSGVO Artikel 3 - Räumlicher Anwendungsbereich(gdpr-info.eu)
- DSGVO Artikel 6 - Rechtmäßigkeit der Verarbeitung(gdpr-info.eu)
- DSGVO Artikel 9 - Besondere Kategorien personenbezogener Daten(gdpr-info.eu)
- DSGVO Artikel 17 - Recht auf Löschung(gdpr-info.eu)
- DSGVO Artikel 22 - Automatisierte Entscheidungen im Einzelfall(gdpr-info.eu)
- DSGVO Artikel 37 - Benennung des Datenschutzbeauftragten(gdpr-info.eu)
- DSGVO Artikel 83 - Allgemeine Bedingungen für die Verhängung von Geldbußen(gdpr-info.eu)
- Europäische Kommission - Datenschutz in der EU(commission.europa.eu).gov
- Europäischer Datenschutzausschuss - Leitlinien(edpb.europa.eu).gov
- California Consumer Privacy Act - Volltext (Cal. Civ. Code 1798.100 ff.)(leginfo.legislature.ca.gov).gov
- Cal. Civ. Code 1798.150 - Individuelles Klagerecht(leginfo.legislature.ca.gov).gov
- Kalifornischer Generalstaatsanwalt - Informationen zu CCPA/CPRA(oag.ca.gov).gov
- CPPA - CCPA-Aktualisierungen, Cybersicherheitsaudits, Risikobewertungen, ADMT-Vorschriften(cppa.ca.gov).gov
- CPPA-Mitteilung: Kalifornien verabschiedet endgültige Vorschriften zur Stärkung des Verbraucherdatenschutzes (22. Sept. 2025)(cppa.ca.gov).gov
- CPPA: Honda vergleicht sich wegen Datenschutzverstößen - Bußgeld von 632.500 USD(cppa.ca.gov).gov
- CPPA verpflichtet Todd Snyder zur Zahlung von 345.178 USD und zur Überarbeitung der Datenschutzpraktiken(cppa.ca.gov).gov