CCPA und CPRA: Was die kalifornischen Datenschutzgesetze für IT-Teams und MSPs bedeuten

Mai 2, 2026
George Rouse
CCPA / CPRA

Der California Consumer Privacy Act (CCPA), der durch den California Privacy Rights Act (CPRA) erheblich erweitert wurde, stellt die bislang umfassendste Datenschutzgesetzgebung auf US-Bundesstaatenebene dar. Das oft als „amerikanische DSGVO bezeichnete kalifornische Datenschutzrahmenwerk hat das Datenschutzrecht im ganzen Land geprägt und dient heute Organisationen, die landesweit Datenschutzverpflichtungen erfüllen müssen, als Grundlage für die Einhaltung der Vorschriften.

Laut dem „Kaseya State of the MSP Report 2026“ gehören die Einhaltung gesetzlicher Vorschriften und die Berichterstattung zu den zehn wichtigsten Serviceanforderungen von MSP-Kunden im Jahr 2026. Das kalifornische CPRA-Gesetz ist einer der am genauesten unter die Lupe genommenen Bestandteile jedes US-amerikanischen Compliance-Programms. Die Plattform von Kaseya unterstützt MSPs bei der Verwaltung der Compliance in mehr als 170 Ländern und verschafft uns so einen genauen Einblick, wo die CPRA-Verpflichtungen die größten operativen Reibungsverluste verursachen.

CCPA und CPRA: Was ist der Unterschied?

Der CCPA, der 2018 verabschiedet wurde und im Januar 2020 in Kraft trat, legte grundlegende Datenschutzrechte für Einwohner Kaliforniens fest. Der CPRA, der 2020 von den Wählern angenommen wurde und im Januar 2023 vollständig in Kraft tritt, hat diese Rechte erheblich erweitert und eine eigene Aufsichtsbehörde, die California Privacy Protection Agency (CPPA), ins Leben gerufen.

Wichtige Ergänzungen des CPRA gegenüber dem CCPA:

  • Eine neue Kategorie sensibler personenbezogener Daten (SPI) mit verstärktem Schutz, darunter genaue Standortdaten, Angaben zur ethnischen Herkunft, Gesundheitsdaten, Finanzkontodaten, biometrische Daten und Kommunikationsinhalte.
  • Neue Verbraucherrechte: Recht auf Berichtigung unrichtiger personenbezogener Daten; Recht auf Einschränkung der Nutzung und Weitergabe sensibler personenbezogener Daten.
  • Verschärfte Anforderungen an die Datenminimierung und die Zweckbindung.
  • Eine eigene Vollzugsbehörde (CPPA), die den kalifornischen Generalstaatsanwalt ergänzt.

Aus Compliance-Gründen hat das CPRA Vorrang vor dem CCPA. Organisationen sollten ihre Maßnahmen an den CPRA-Standards ausrichten und nicht an der ursprünglichen Basisversion von 2020.

Wer muss die Vorschriften einhalten?

Das CPRA gilt für gewinnorientierte Unternehmen, die personenbezogene Daten von Einwohnern Kaliforniens erheben und eine oder mehrere der folgenden Schwellenwerte erfüllen:

  • Der Jahresumsatz liegt bei über 25 Millionen Dollar
  • jährlich personenbezogene Daten von 100.000 oder mehr Verbrauchern oder Haushalten zu kommerziellen Zwecken kaufen, verkaufen, erhalten oder weitergeben
  • 50 % oder mehr des Jahresumsatzes stammen aus dem Verkauf oder der Weitergabe personenbezogener Daten von Verbrauchern

Gemeinnützige Organisationen sind in der Regel von der Regelung ausgenommen. Für Technologieunternehmen, darunter SaaS-Anbieter, Cloud-Dienste und MSPs mit großem Kundenstamm, ist die Schwelle von 100.000 Verbrauchern bzw. Haushalten das am häufigsten zutreffende Kriterium. Der Geltungsbereich erstreckt sich über die Landesgrenzen hinaus: Ein Unternehmen mit Sitz in New York oder London, das personenbezogene Daten von 100.000 Einwohnern Kaliforniens verarbeitet, muss die Vorschriften einhalten, unabhängig davon, wo es tätig ist.

Es ist anzumerken, dass der CCPA gemäß den Bestimmungen von 2026 für den Arbeitskontext und den B2B-Bereich gilt. Daten von Mitarbeitern, Auftragnehmern, Bewerbern und Geschäftskontakten fallen in den Anwendungsbereich der Risikobewertungen und anderer Verpflichtungen. Dies stellt einen wesentlichen Unterschied zu vielen anderen Datenschutzgesetzen einzelner US-Bundesstaaten dar.

Verbraucherrechte und ihre Bedeutung für IT-Systeme

Das CPRA gewährt kalifornischen Verbrauchern verschiedene Rechte, die bestimmte Anforderungen an IT-Systeme mit sich bringen.

Recht auf Auskunft. Verbraucher können Auskunft darüber verlangen, welche personenbezogenen Daten erfasst, genutzt, weitergegeben oder verkauft werden. IT-Systeme müssen in der Lage sein, einen vollständigen Überblick darüber zu erstellen, welche personenbezogenen Daten zu einer bestimmten Person vorliegen. Dies erfordert eine Datenbestandsaufnahme und Suchfunktionen, die alle Systeme umfassen, nicht nur das primäre CRM- oder ERP-System.

Recht auf Löschung. Verbraucher können die Löschung ihrer personenbezogenen Daten verlangen. IT-Systeme müssen personenbezogene Daten systemübergreifend ausfindig machen und löschen, einschließlich in Backups und bei externen Auftragsverarbeitern. Ohne ein strukturiertes Datenmanagementprogramm ist dies betrieblich sehr aufwendig. Ein mittelständischer MSP, der Daten in 30 Kundenumgebungen verwaltet, von denen jede über ein eigenes Ticketingsystem, eine eigene Dokumentationsplattform und ein eigenes Backup-Archiv verfügt, steht ohne Tools zur Erfassung und Steuerung von Datenflüssen vor einer erheblichen betrieblichen Herausforderung.

Recht auf Berichtigung. Verbraucher können die Berichtigung unrichtiger personenbezogener Daten verlangen. Die Systeme müssen die Berichtigung von Datensätzen in allen relevanten Datenspeichern unterstützen, nicht nur in der Benutzeroberfläche.

Widerspruchsrecht gegen den Verkauf oder die Weitergabe. Verbraucher können dem Verkauf oder der Weitergabe ihrer personenbezogenen Daten widersprechen. Die Systeme müssen Widerspruchsflags in allen Datenverarbeitungs- und -weitergabe-Workflows berücksichtigen. Marketing-Pixel und Retargeting-Tools, die Daten an Werbeplattformen weitergeben, gelten im Sinne des CPRA als „Weitergabe“, auch wenn keine direkte Zahlung erfolgt.

Recht auf Einschränkung der Verwendung sensibler personenbezogener Daten. Verbraucher können die Verwendung sensibler personenbezogener Daten durch Unternehmen einschränken. Diese Einschränkungen müssen durch technische Kontrollmaßnahmen auf Systemebene durchgesetzt werden und dürfen sich nicht nur auf die Dokumentation von Richtlinien beschränken.

Um Anfragen im Zusammenhang mit Verbraucherrechten innerhalb der 45-tägigen Antwortfrist zu bearbeiten, sind drei Dinge erforderlich: eine Datenbestandsaufnahme (Kenntnis darüber, wo personenbezogene Daten gespeichert sind), Suchfunktionen (um die Daten einer bestimmten Person systemübergreifend zu finden) sowie die Möglichkeit zur Löschung bzw. Berichtigung dieser Daten bei allen Auftragsverarbeitern.

Die IT- und Sicherheitsanforderungen

Das CPRA verpflichtet Unternehmen dazu, angemessene Sicherheitsverfahren und -praktiken einzuführen, die der Art und der Sensibilität der personenbezogenen Daten entsprechen. Der Generalstaatsanwalt von Kalifornien hat darauf hingewiesen, dass die Einhaltung der CIS-Kontrollen IG1 eine angemessene Auslegung des Mindeststandards für „angemessene Sicherheit“ darstellt.

Genauer gesagt schreibt das CPRA Folgendes vor.

Datenminimierung. Erfassen und speichern Sie nur die Daten, die für den angegebenen Zweck erforderlich sind. Konfigurieren Sie die Systeme so, dass nur die unbedingt erforderlichen personenbezogenen Daten erfasst werden. Dies gilt für Formularfelder, die Speicherung von Protokollen, Analysetools und alle Integrationen, bei denen personenbezogene Daten zwischen Systemen weitergegeben werden.

Aufbewahrungsfristen. Personenbezogene Daten dürfen nur so lange aufbewahrt werden, wie es für den jeweiligen Zweck angemessen erforderlich ist. Die automatisierte Durchsetzung von Aufbewahrungsfristen (Löschpläne) ist eine betriebliche Anforderung und nicht nur eine Grundsatzerklärung. Organisationen benötigen einen Aufbewahrungsplan, der Datenkategorie, System, Verantwortlichen, Aufbewahrungsfrist und Löschmethode abbildet.

Risikobewertungen. Für Verarbeitungsvorgänge, die ein erhebliches Risiko für die Privatsphäre der Verbraucher darstellen (automatisierte Entscheidungsfindung, Profiling in großem Umfang, Weitergabe sensibler Daten), ist eine dokumentierte Risikobewertung erforderlich. Gemäß den Vorschriften von 2026 ist für neue Verarbeitungsvorgänge, die nach dem 1. Januar 2026 aufgenommen werden, eine Risikobewertung vor Beginn des Vorgangs erforderlich.

Cybersicherheitsaudits. Unternehmen, die ein erhebliches Risiko für die Privatsphäre der Verbraucher darstellen, können verpflichtet werden, jährliche Cybersicherheitsaudits durchzuführen. Die Fristen für die Einreichung beim CPPA sind nach Umsatz gestaffelt: 1. April 2028 für Unternehmen mit einem Umsatz von über 100 Millionen Dollar, 1. April 2029 für Unternehmen mit einem Umsatz zwischen 50 und 100 Millionen Dollar und 1. April 2030 für Unternehmen mit einem Umsatz unter 50 Millionen Dollar. Unabhängig von der Einreichungsfrist ist es der richtige Ansatz, jetzt mit der Vorbereitung auf das Audit zu beginnen.

Was sich im Jahr 2026 geändert hat

Die CPPA hat im September 2025 ein umfangreiches Paket von Gesetzesänderungen verabschiedet, die am 1. Januar 2026 in Kraft treten. Diese stellen die weitreichendste Ausweitung der Datenschutzverpflichtungen in Kalifornien seit Inkrafttreten des CPRA selbst dar.

Technologie zur automatisierten Entscheidungsfindung (ADMT). Unternehmen, die automatisierte Systeme einsetzen, um wichtige Entscheidungen über Verbraucher zu treffen (Kreditgenehmigungen, Einstellungsprüfungen, Anspruch auf Gesundheitsleistungen, Versicherungsprämien), müssen vor der Nutzung eine Mitteilung bereitstellen, in der erläutert wird, wie die Technologie funktioniert, welche Daten sie verwendet und welche potenziellen Auswirkungen sie auf die Verbraucher hat. Verbraucher haben das Recht, dem zu widersprechen. Für die meisten Unternehmen müssen die ADMT-Mitteilungen vor der Nutzung bis zum 1. Januar 2027 bereitgestellt werden.

Obligatorische Risikobewertungen. Für neue Verarbeitungsvorgänge, die am oder nach dem 1. Januar 2026 aufgenommen werden, ist vor Beginn eine dokumentierte Risikobewertung erforderlich. Für Verarbeitungsvorgänge, die bereits vor diesem Datum bestanden, müssen die Bewertungen bis zum 31. Dezember 2027 abgeschlossen sein.

Umgang mit Global Privacy Control (GPC). Mehrere Durchsetzungsmaßnahmen im Rahmen des CPPA richteten sich gegen Unternehmen, die GPC-Browsersignale nicht beachtet haben, welche als automatische Abmeldung vom Verkauf oder der Weitergabe von Daten dienen. Die Konfiguration von Systemen zur Berücksichtigung von GPC-Signalen ist mittlerweile eine grundlegende Compliance-Anforderung und keine Option mehr.

30-Tage-Frist für die Meldung von Datenschutzverletzungen. Die kalifornische Meldepflicht für Datenschutzverletzungen wurde mit Wirkung zum 1. Januar 2026 auf 30 Tage verkürzt.

Verpflichtungen von Dienstleistern für MSPs

Nach dem CPRA gilt ein MSP, der Dienstleistungen für ein unter das CPRA fallendes Unternehmen erbringt, als Dienstleister, was dem Begriff des DSGVO entspricht. Die wichtigsten Verpflichtungen:

  • Verarbeiten Sie personenbezogene Daten ausschließlich zum Zweck der Erbringung der vertraglich vereinbarten Dienstleistungen.
  • Verkaufen oder geben Sie keine personenbezogenen Daten weiter, die Sie vom Kundenunternehmen erhalten haben.
  • Löschen oder Rückgabe personenbezogener Daten bei Vertragsende.
  • Ergreifen Sie geeignete Sicherheitsmaßnahmen.
  • Schließen Sie einen schriftlichen Dienstleistungsvertrag ab, in dem die Verpflichtungen gemäß CPRA festgelegt sind.

Das bedeutet, dass jeder MSP, der Kunden betreut, die unter den CPRA fallen, einen Datenschutzzusatz mit entsprechenden CPRA-Klauseln benötigt. Es bedeutet auch, dass der MSP nachweisen können muss, dass sein eigenes Sicherheitsprogramm umgesetzt und dokumentiert ist, da ein Kunde, der mit einer behördlichen Untersuchung konfrontiert ist, Nachweise für die Sicherheitslage des MSP verlangen wird und nicht nur ein Richtlinien-Dokument.

Erfahren Sie, wie Compliance Manager GRC das Compliance-Management im Hinblick auf CCPA/CPRA Compliance Manager GRC

Durchsetzung und Sanktionen

Sowohl der kalifornische Generalstaatsanwalt als auch die CPPA können das CPRA durchsetzen. Inflationsbereinigte Bußgelder pro Verstoß für den Zeitraum 2025–2026:

  • Unbeabsichtigte Verstöße: 2.663 $ pro Verstoß
  • Vorsätzliche Verstöße: 7.988 $ pro Verstoß
  • Verstöße im Zusammenhang mit Daten von Minderjährigen: 7.988 $ pro Verstoß

Jeder betroffene Verbraucher gilt als separater Verstoß, wodurch sich die Strafen rasch summieren. Die bislang höchste Geldstrafe nach dem CPPA belief sich auf 1,35 Millionen Dollar und wurde im Oktober 2025 gegen Tractor Supply verhängt, nachdem der Link „Meine personenbezogenen Daten nicht verkaufen“ die Weitergabe von Daten nicht tatsächlich verhindert hatte. Im ersten Quartal 2026 kam es zu Durchsetzungsmaßnahmen gegen Disney, Ford, Honda und andere Unternehmen, die zu Geldstrafen und Anordnungen zur Abhilfe in Höhe von insgesamt mehreren Millionen Dollar führten.

Einzelne Verbraucher haben zudem ein privates Klagerecht bei Sicherheitsverletzungen, die auf die Nichtumsetzung angemessener Sicherheitsmaßnahmen zurückzuführen sind: 100 bis 750 US-Dollar pro Verbraucher und Vorfall oder den tatsächlichen Schadenersatz, falls dieser höher ist. Dies birgt ein erhebliches Risiko von Sammelklagen für jedes Unternehmen, das eine Sicherheitsverletzung erleidet, während es unterhalb eines vertretbaren Sicherheitsstandards operiert.

Die CPPA hat erklärt, dass sie Vorfälle untersuchen kann, die bis zum 1. Januar 2020, dem ursprünglichen Inkrafttreten des Gesetzes, zurückreichen. Die Durchsetzung wird verschärft, nicht gelockert.

Wie Compliance Manager GRC CPRA-Programme Compliance Manager GRC

Compliance Manager GRC die für die CPRA-Konformität erforderlichen Arbeitsabläufe zur Erfassung, Bewertung und Dokumentation von Nachweisen. Für MSPs, die die Compliance für mehrere Kunden verwalten, ersetzt es die manuelle Nachverfolgung in Tabellenkalkulationen durch eine Plattform, die den Status der Kontrollmaßnahmen kontinuierlich überwacht, Bewertungsaufgaben an die zuständigen Verantwortlichen weiterleitet und Compliance-Dokumentation erstellt, die für die Überprüfung durch Aufsichtsbehörden oder Kunden bereit ist.

Zu den unterstützten Rahmenwerken gehören HIPAA, CMMC, PCI DSS, NIST CSF, CIS Controls und die FTC Safeguards Rule sowie kalifornienspezifische und kundenspezifische Rahmenwerke. IT Glue werden Compliance-Berichte automatisch in die Dokumentation jedes Kunden übertragen, sodass alles stets auf dem neuesten Stand bleibt, ohne dass manuelle Export- und Upload-Vorgänge erforderlich sind.

Entdecken Sie Compliance Manager GRC

Das Wichtigste in Kürze

  • Der CPRA (in Kraft seit Januar 2023, 2026 erheblich erweitert) ersetzt den CCPA. Compliance-Programme sollten an den aktuellen CPRA-Standard angepasst werden, einschließlich der Anforderungen für das ADMT 2026, die Risikobewertung und die Cybersicherheitsprüfung.
  • Anfragen im Zusammenhang mit Verbraucherrechten (Auskunft, Löschung, Berichtigung, Widerspruch) erfordern IT-Systeme, die in der Lage sind, die Daten bestimmter Personen system- und verarbeitungsstellenübergreifend innerhalb von 45 Tagen zu lokalisieren, abzurufen, zu berichtigen und zu löschen.
  • Die Datenminimierung und die automatisierte Durchsetzung von Aufbewahrungsfristen sind betriebliche IT-Anforderungen. Ein Aufbewahrungsplan, der Kategorie, System, Verantwortlichen und Löschmethode abbildet, ist das Mindestanforderungsniveau.
  • MSPs, die Kunden betreuen, die unter das CPRA fallen, sind Dienstleister mit vertraglichen und technischen Verpflichtungen. Es müssen angemessene Datenschutzklauseln vorhanden sein, und die Sicherheitsvorkehrungen des MSP müssen dokumentierbar sein.
  • Die Durchsetzung wird verstärkt. Die CPPA verhängte in den Jahren 2025 und 2026 mehrere Bußgelder in siebenstelliger Höhe, wobei jeder betroffene Verbraucher als separater Verstoß gewertet wird.

Eine umfassende Plattform für IT- und Security

Kaseya 365 die Komplettlösung für die Verwaltung, Absicherung und Automatisierung der IT. Durch die nahtlose Integration wichtiger IT-Funktionen vereinfacht sie den Betrieb, erhöht die Sicherheit und steigert die Effizienz.

Demo anfordern Entdecken Sie Kaseya 365

Eine Plattform. Alles IT.

Kaseya 365 profitieren von den Vorteilen der besten IT-Management- und Sicherheitstools in einer einzigen Lösung.

Entdecken Sie Kaseya 365

Ihr Erfolg ist unsere Priorität Nr. 1

„Partner First“ steht für flexible Konditionen, Risikoteilung und engagierte Unterstützung für Ihr Unternehmen.

Entdecken Sie Partner First Pledge

Kaseya State of the MSP Report 2026

Kaseya – Bericht zur Lage der MSPs 2026 – Webgrafik – 1200×800 – AKTUALISIERT

Erhalten Sie Einblicke in den MSP-Markt 2026 von über 1.000 Anbietern und erfahren Sie, wie Sie Ihren Umsatz steigern, sich an den Marktdruck anpassen und wettbewerbsfähig bleiben können.

Jetzt herunterladen

Kategorien entdecken