Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen ERKUNDEN KITEWORKS
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > CCPA 2026 Compliance: Navigieren Sie durch Kaliforniens neue Datenschutzregeln

CCPA 2026 Compliance: Navigieren Sie durch Kaliforniens neue Datenschutzregeln

von Patrick Spencer updated Januar 26, 2026 Cybersecurity-Risikomanagement
Lesezeit: 9 Minuten

Kalifornien hat das Thema Datenschutz erneut verschärft.

wichtige Erkenntnisse

  1. Neuronale Daten gelten jetzt als sensible personenbezogene Informationen. Die Definition sensibler personenbezogener Informationen umfasst nun ausdrücklich neuronale Daten – also Informationen, die durch Messung der Aktivität im Nervensystem einer Person entstehen. Damit reagiert Kalifornien auf die zunehmenden Risiken von Brain-Computer-Interfaces und Neurotechnologien, die Einblicke in Gedanken, Emotionen und mentale Zustände geben können.
  2. Alle Daten von Minderjährigen unterliegen besonderen Schutzmaßnahmen. Wenn Ihr Unternehmen personenbezogene Daten von Personen unter 16 Jahren erhebt, gelten diese Daten automatisch als sensible personenbezogene Informationen. Allein diese Änderung kann umfangreiche Anpassungen bei Datenschutzerklärungen und beim Umgang mit Alters- oder Geburtsdaten erforderlich machen.
  3. Die 12-Monats-Rückschau entfällt. Verbraucher können nun Zugriff auf sämtliche personenbezogenen Daten verlangen, die ein Unternehmen über sie gespeichert hat – nicht mehr nur auf die der letzten 12 Monate. Unternehmen müssen Systeme einrichten, um solche erweiterten Anfragen für alle seit dem 1. Januar 2022 erhobenen Daten zu bearbeiten.
  4. Dark Patterns sind ausdrücklich verboten. Die neuen Regelungen nennen konkrete Beispiele für unzulässige „Dark Patterns“ in Einwilligungsdialogen – von asymmetrischen Button-Designs bis hin zu künstlicher Dringlichkeit. Das Schließen eines Consent-Popups ohne explizites Akzeptieren gilt nicht mehr als Einwilligung.
  5. Automatisierte Entscheidungsfindung unterliegt neuen Regeln. Ab Januar 2027 müssen Unternehmen, die KI und automatisierte Systeme für wichtige Entscheidungen in Bereichen wie Beschäftigung, Kreditvergabe, Wohnen und Gesundheitswesen einsetzen, vorab informieren und Verbrauchern ein Opt-out-Recht einräumen.

Wer glaubte, CCPA-konform zu sein, sollte jetzt genau hinschauen: Die seit 1. Januar 2026 geltenden neuen Regelungen verändern grundlegend, wie Unternehmen Verbraucherdaten verarbeiten, Einwilligungen einholen und automatisierte Entscheidungsfindung einsetzen. Die Fristen für weitere Anforderungen – darunter verpflichtende Cybersecurity-Audits – laufen bereits.

Die unbequeme Wahrheit: Viele Unternehmen, die sich bislang regelkonform wähnten, sind nun technisch gesehen nicht mehr compliant. Die erweiterte Definition sensibler personenbezogener Informationen, strengere Einwilligungsregeln und neue Pflichten bei automatisierten Entscheidungen machen deutlich: Das Datenschutzprogramm von gestern reicht heute nicht mehr aus.

Dieser Leitfaden zeigt Ihnen konkret, was sich geändert hat, warum das wichtig ist und was Ihr Unternehmen jetzt tun muss. Ohne juristisches Kauderwelsch, sondern mit praxisnahen Informationen, die Sie direkt anwenden können.

Das große Ganze: Warum diese Änderungen jetzt wichtig sind

Kalifornien war beim Datenschutz schon immer Vorreiter. Die Neuerungen 2026 sind die Antwort der California Privacy Protection Agency auf den technologischen Wandel – und darauf, wie Unternehmen bisherige Lücken ausgenutzt haben.

Die neuen Regelungen adressieren drei Hauptprobleme: Neue Technologien wie neuronale Schnittstellen schaffen neue Datenschutzrisiken, Unternehmen nutzen „Dark Patterns“, um Verbraucher zu manipulieren, und die Erkenntnis, dass 12 Monate Datenhistorie nicht abbilden, was Unternehmen tatsächlich über uns wissen.

Für Unternehmen reicht es nicht mehr, einfach nur Häkchen zu setzen. Die Behörde prüft, wie Datenschutz im tatsächlichen Nutzererlebnis funktioniert – nicht nur, was in einer Datenschutzerklärung steht, die niemand liest.

Die erweiterte Definition sensibler personenbezogener Informationen

Die California Privacy Protection Agency hat die Definition sensibler personenbezogener Informationen nicht nur angepasst, sondern für das Zeitalter der Neurotechnologie und den verstärkten Schutz von Kindern grundlegend neu gefasst.

Neuronale Daten: Die neue Datenschutzgrenze

Neuronale Daten gehören nun zu den Kategorien sensibler personenbezogener Informationen. Sie werden definiert als Informationen, die durch Messung der Aktivität des zentralen oder peripheren Nervensystems einer Person entstehen. Dazu zählen EEG-Headsets, Brain-Computer-Interfaces und einige fortschrittliche Fitness-Wearables, die neurologische Signale erfassen.

Neuronale Daten können Dinge über eine Person offenbaren, die ihr selbst nicht bewusst sind – etwa Stresslevel, emotionale Zustände oder kognitive Fähigkeiten. Wenn Ihr Unternehmen neuronale Daten erhebt, handelt es sich um sensible personenbezogene Informationen. Das löst zusätzliche Offenlegungspflichten aus und schränkt die Nutzung dieser Daten ein.

Der Paukenschlag bei Minderjährigendaten

Wenn Sie personenbezogene Daten erheben und wissen (oder vernünftigerweise wissen sollten), dass diese zu einer Person unter 16 Jahren gehören, gelten diese Daten als sensible personenbezogene Informationen. Punkt.

Was bedeutet das konkret? Wenn Ihre Website beim Anlegen eines Kontos nach dem Geburtsdatum fragt, erfassen Sie möglicherweise sensible personenbezogene Informationen, ohne es zu merken. Verkaufen Sie Produkte an Teenager über Ihre E-Commerce-Plattform? Gleiches Problem. Die Regelungen verlangen kein Vorsatz – sondern Bewusstsein.

Unternehmen müssen gegebenenfalls Altersverifizierungssysteme einführen, Datenschutzhinweise speziell auf Minderjährige ausrichten und Opt-out-Möglichkeiten für sensible personenbezogene Informationen von Nutzern unter 16 Jahren schaffen.

Das Ende der 12-Monats-Grenze

Bisher war das „Recht auf Auskunft“ nach CCPA auf die letzten 12 Monate beschränkt. Diese Begrenzung ist jetzt de facto aufgehoben.

Wenn ein Unternehmen personenbezogene Daten länger als 12 Monate speichert, muss es Verbrauchern Zugang zu allen gespeicherten Informationen ermöglichen. Einzige Ausnahme: Daten, die vor dem 1. Januar 2022 erhoben wurden.

Für Unternehmen heißt das: Sie brauchen Systeme, die historische Daten auf Anfrage bereitstellen und Zeiträume flexibel abdecken können. Jetzt ist auch der richtige Zeitpunkt, die eigenen Datenbestände zu prüfen – jeder gespeicherte Datensatz ist unter den neuen Zugriffsrechten ein potenzielles Risiko.

Einwilligung, Dark Patterns und das Ende der Manipulation

Die neuen Regelungen nehmen gezielt die Tricks ins Visier, mit denen Unternehmen bislang scheinbare Einwilligungen erzeugt haben, die in Wahrheit keine waren.

Was als Einwilligung gilt (und was nicht)

Ein entscheidender Punkt: Das Schließen oder Wegklicken eines Consent-Popups – ohne explizit auf „Akzeptieren“ zu klicken – gilt nicht mehr als Einwilligung. Damit entfällt die gängige Praxis, jede Interaktion mit dem Popup als stillschweigende Zustimmung zu werten.

Die Dark-Pattern-Verbotsliste

Die Behörde nennt konkrete Beispiele für verbotene Dark Patterns. Asymmetrische Auswahlmöglichkeiten sind tabu: Ist der „Ja“-Button größer, auffälliger oder prominenter als der „Nein“-Button, liegt ein Dark Pattern vor. Gibt es nur „Ja“ und „Später fragen“, aber keine klare Ablehnungsmöglichkeit, ist das ein Dark Pattern. Ist eine Zustimmung standardmäßig vorausgewählt, ebenfalls.

Auch künstliche Dringlichkeit ist untersagt – keine Countdown-Timer oder Drucktaktiken mehr. Und: Die Anzahl der Schritte zum Opt-out darf nicht größer sein als die zum Opt-in.

Das Grundprinzip ist Symmetrie – es muss genauso einfach sein, Nein zu sagen wie Ja. Prüfen Sie Ihre aktuellen Einwilligungsprozesse: Zählen Sie Klicks, vergleichen Sie Button-Größen und Farben. Gibt es ein Ungleichgewicht zugunsten Ihrer Wunschoption, besteht Handlungsbedarf.

Neue Opt-out-Bestätigungsanforderungen

Unternehmen müssen Opt-out-Anfragen jetzt aktiv bestätigen – egal ob sie über Cookie-Banner, Website-Link oder universelle Opt-out-Signale wie Global Privacy Control eingehen.

Eine Möglichkeit: Direkt nach der Anfrage eine Nachricht wie „Opt-out-Anfrage bestätigt“ anzeigen. Ihre Systeme müssen Opt-out-Anfragen in Echtzeit bearbeiten – nächtliche Batch-Prozesse reichen nicht mehr aus.

Timing von Hinweisen: Verbraucher dort abholen, wo sie sind

Datenschutzhinweise müssen „vor oder zum Zeitpunkt der Datenerhebung“ bereitgestellt werden. Für Smart-TVs, Smartwatches, vernetzte Geräte und AR/VR-Anwendungen heißt das: Die Hinweise müssen direkt in die Nutzererfahrung integriert werden – nicht versteckt in AGB, die Monate zuvor akzeptiert wurden.

Für VR und AR gilt: Der Hinweis muss erfolgen, bevor oder sobald der Nutzer „das Unternehmen in der virtuellen Umgebung betritt oder mit ihm interagiert“. Unternehmen müssen Datenschutz also als Teil des User Experience Designs denken – nicht als juristisches Anhängsel.

Automatisierte Entscheidungsfindung: Die Frist 2027

Die Regelungen bringen erhebliche neue Pflichten für Unternehmen, die automatisierte Entscheidungsfindung (ADMT) einsetzen – mit Compliance-Pflicht ab 1. Januar 2027.

Was als ADMT gilt

ADMT ist Technologie, die personenbezogene Informationen verarbeitet und durch Berechnungen menschliche Entscheidungen ersetzt oder weitgehend ersetzt. Dazu zählen KI-basierte Recruiting-Tools, automatisierte Kreditentscheidungen und algorithmische Systeme mit erheblichem Einfluss auf das Leben von Menschen.

Wo die Regeln greifen

Die Anforderungen richten sich gezielt an ADMT in Finanzdienstleistungen, Kreditvergabe, Wohnen, Bildung, Beschäftigung und Gesundheitswesen – also dort, wo automatisierte Entscheidungen besonders gravierende Auswirkungen haben.

Zentrale Anforderungen

  • Vor dem Einsatz von ADMT für wichtige Entscheidungen müssen Unternehmen einen Vorab-Hinweis geben, der den Zweck des Einsatzes, das Opt-out-Recht der Verbraucher und die Möglichkeit zur Auskunft über die Funktionsweise erklärt.
  • Verbraucher haben das Recht, der Nutzung von ADMT für sie relevante Entscheidungen zu widersprechen. Unternehmen müssen also gegebenenfalls alternative Prozesse ohne Automatisierung vorhalten.

Cybersecurity-Audits: Der Compliance-Fahrplan

Ab 2028 müssen Unternehmen, deren Datenverarbeitung erhebliche Sicherheitsrisiken birgt, jährliche Cybersecurity-Audits durchführen. Die Fristen sind gestaffelt: 1. April 2028 für Unternehmen mit mehr als 100 Mio. USD Umsatz; 1. April 2029 für 50–100 Mio. USD; 1. April 2030 für kleinere Unternehmen.

Die Audits müssen alle Komponenten des Cybersecurity-Programms, Authentifizierungsmechanismen, Verschlüsselung von Daten im ruhenden Zustand und während der Übertragung sowie Kontenverwaltung abdecken. Das ist keine Formsache – prüfen Sie Ihre Sicherheitsmaßnahmen frühzeitig.

Risikobewertungen: Neue Berichtspflichten

Unternehmen, die bestimmte Datenpraktiken anwenden – etwa Verkauf oder Weitergabe personenbezogener Informationen, Verarbeitung sensibler Daten oder Einsatz von ADMT für wichtige Entscheidungen – müssen formale Risikobewertungen durchführen und Berichte an die Behörde übermitteln.

Die meisten Unternehmen müssen ihre ersten Berichte bis spätestens 31. Dezember 2027 oder 1. April 2028 einreichen, danach jährlich. Die Bewertungen müssen potenzielle Datenschutzrisiken analysieren und getroffene Schutzmaßnahmen dokumentieren – proaktive Compliance, die zeigt, dass Sie die Auswirkungen Ihrer Datenpraktiken durchdacht haben.

Praktische nächste Schritte für Compliance

Der Umfang der Änderungen erfordert Maßnahmen auf mehreren Ebenen. Starten Sie mit einer Überprüfung Ihrer Datenpraktiken: Welche Informationen erheben Sie? Von wem? Sind darunter Minderjährige? Erfassen Sie neuronale Daten? Wie lange speichern Sie Daten?

Prüfen Sie Ihre Einwilligungsdialoge auf Dark Patterns: Sind die Auswahlmöglichkeiten symmetrisch? Sind Buttons gleich auffällig? Ist das Opt-out genauso einfach wie das Opt-in?

Überprüfen Sie Ihre Opt-out-Prozesse – können Sie Anfragen sofort bestätigen? Setzen Sie ADMT in regulierten Bereichen ein, planen Sie jetzt für die Anforderungen ab 2027. Erreichen Sie Umsatzschwellen, bereiten Sie sich auf Cybersecurity-Audits vor.

Was das für Ihr Unternehmen bedeutet

Die CCPA-Regelungen 2026 erweitern die Datenschutzrechte der Verbraucher und die Compliance-Pflichten für Unternehmen erheblich. Sie adressieren neue Technologien, schließen Lücken bei Einwilligungen und schaffen neue Transparenzpflichten für automatisierte Entscheidungen.

Die California Privacy Protection Agency macht klar: Datenschutz muss in Echtzeit funktionieren – im tatsächlichen Nutzererlebnis mit Produkten, Services und Websites. Papier-Compliance reicht nicht. Unternehmen müssen prüfen, wie ihre Systeme tatsächlich arbeiten und ob sie die Wahlfreiheit der Verbraucher respektieren.

Die gute Nachricht: Die meisten der umfangreicheren Anforderungen greifen gestaffelt, sodass Unternehmen Zeit zur Vorbereitung haben. Die schlechte Nachricht: Einige Vorgaben – etwa die erweiterte Definition sensibler personenbezogener Informationen und die neuen Einwilligungsstandards – gelten bereits. Wenn Sie Ihre Compliance noch nicht geprüft haben, ist jetzt der richtige Zeitpunkt.

Kalifornien bleibt Vorreiter bei Datenschutzregelungen, andere Bundesstaaten beobachten und folgen oft. Es geht nicht nur darum, Sanktionen in Kalifornien zu vermeiden – sondern darum, ein Datenschutzprogramm zu etablieren, das Ihr Unternehmen auch bei steigenden Erwartungen in den USA und weltweit zukunftssicher macht.

Unternehmen, die diese Regelungen als Chance begreifen, sind klar im Vorteil. Die Erwartungen der Verbraucher an Datenschutz steigen weiter – wer sich jetzt darauf einstellt, verschafft sich einen entscheidenden Wettbewerbsvorteil gegenüber Nachzüglern.

Häufig gestellte Fragen

Jedes Unternehmen, das in Kalifornien tätig ist und bestimmte Schwellenwerte erreicht, muss die CCPA-Regelungen einschließlich der Neuerungen 2026 erfüllen. Dazu zählen in der Regel Unternehmen mit einem Jahresumsatz über 25 Millionen US-Dollar, Unternehmen, die jährlich personenbezogene Daten von mindestens 100.000 Verbrauchern oder Haushalten kaufen, verkaufen oder teilen, oder Unternehmen, die mindestens 50 % ihres Jahresumsatzes mit dem Verkauf oder Teilen personenbezogener Verbraucherdaten erzielen. Die erweiterten Anforderungen zu Cybersecurity-Audits und Risikobewertungen gelten abhängig von der Unternehmensgröße.

Wenn Ihr Unternehmen Informationen erhebt, die darauf schließen lassen, dass ein Nutzer unter 16 ist – etwa Geburtsdatum, Alter oder Klassenstufe – gelten die personenbezogenen Daten dieses Nutzers jetzt als sensible personenbezogene Informationen. Das löst zusätzliche Anforderungen aus, darunter erweiterte Offenlegungspflichten in Datenschutzhinweisen und die Pflicht, Mechanismen bereitzustellen, mit denen Verbraucher die Nutzung oder Erhebung ihrer sensiblen personenbezogenen Informationen einschränken können. Unternehmen, die Altersdaten bislang etwa zur Altersverifikation genutzt haben, müssen ihre Datenschutzpraxis und -programme neu bewerten und anpassen.

Ein Dark Pattern ist eine Gestaltung von Benutzeroberflächen, die die Autonomie, Entscheidungsfreiheit oder Wahlmöglichkeiten der Verbraucher untergräbt oder beeinträchtigt. Nach den Regelungen 2026 zählen dazu insbesondere Einwilligungsdialoge, bei denen der Akzeptieren-Button größer oder auffälliger gestaltet ist als der Ablehnen-Button, Auswahlmöglichkeiten, die nur „Ja“ und „Später fragen“ bieten, aber keine klare Ablehnung, vorausgewählte Optionen, die Verbraucher automatisch in Programme einbeziehen, oder künstliche Dringlichkeit, um sofortige Entscheidungen zu erzwingen. Grundsätzlich gilt: Das Opt-out muss genauso einfach und auffällig sein wie das Opt-in, mit gleicher Anzahl an Schritten.

Unternehmen, deren Verarbeitung personenbezogener Verbraucherdaten ein erhebliches Sicherheitsrisiko darstellt, müssen ab 2028 jährliche Cybersecurity-Audits durchführen. Die Frist richtet sich nach der Unternehmensgröße: 1. April 2028 für Unternehmen mit mehr als 100 Mio. USD Jahresumsatz, 1. April 2029 für Unternehmen mit 50–100 Mio. USD und 1. April 2030 für kleinere Unternehmen. Die Audits müssen von qualifizierten Auditoren (intern oder extern) durchgeführt werden und alle Komponenten des Cybersecurity-Programms, Authentifizierungsverfahren, Verschlüsselung von Daten im ruhenden Zustand und während der Übertragung sowie Konten- und Zugriffsverwaltung abdecken.

Ab dem 1. Januar 2027 müssen Unternehmen, die ADMT in Finanzdienstleistungen, Kreditvergabe, Wohnen, Bildung, Beschäftigung oder Gesundheitswesen einsetzen, Verbraucher vorab informieren, bevor die Technologie für wesentliche Entscheidungen über sie verwendet wird. Dieser Hinweis muss den Zweck des Einsatzes von ADMT erklären, das Recht der Verbraucher auf Opt-out beschreiben und erläutern, wie Verbraucher weitere Informationen zur Funktionsweise der Technologie anfordern können. Verbraucher haben das Recht, der Nutzung von ADMT für sie relevante Entscheidungen zu widersprechen. Unternehmen müssen daher gegebenenfalls alternative Entscheidungsprozesse bereithalten.

Unternehmen müssen Verbrauchern nun Zugang zu allen über sie gespeicherten personenbezogenen Daten gewähren – nicht mehr nur zu den Daten der letzten 12 Monate. Einzige Ausnahme: Informationen, die vor dem 1. Januar 2022 erhoben wurden. Zur Umsetzung müssen Unternehmen Methoden bereitstellen, mit denen Verbraucher den Zeitraum ihrer Anfrage angeben oder den Zugriff auf alle gespeicherten Daten verlangen können. Dafür sind zugängliche Aufzeichnungen über die Datenhistorie und Systeme zur Bereitstellung dieser Daten auf Anfrage erforderlich.

Unternehmen, die Datenpraktiken mit erheblichen Datenschutzrisiken anwenden – wie Verkauf oder Weitergabe personenbezogener Daten, Verarbeitung sensibler Informationen oder Einsatz von ADMT für wichtige Verbraucherentscheidungen – müssen Risikobewertungen durchführen und Berichte an die California Privacy Protection Agency übermitteln. Je nach Beginn der betreffenden Tätigkeit sind die ersten Berichte bis spätestens 31. Dezember 2027 oder 1. April 2028 einzureichen. Danach sind die Risikoberichte jährlich zu aktualisieren. Die Bewertungen müssen potenzielle Datenschutzrisiken analysieren und die umgesetzten Schutzmaßnahmen dokumentieren.

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks