Um ein optimales Surferlebnis zu gewährleisten, aktivieren Sie bitte JavaScript in Ihrem Webbrowser. Ohne JavaScript sind viele Website-Funktionen nicht verfügbar.


Internet Security Center
Gesamtzahl der Tests:
Diese Woche:
Heute:
ImmuniWebComplianceEinhaltung des California Consumer Privacy Act (CCPA)

Einhaltung des California Consumer Privacy Act (CCPA)

Lesezeit:14 Min. Aktualisiert:8. Juli 2025

Der California Consumer Privacy Act (CCPA) gewährt den Einwohnern Kaliforniens Rechte an ihren personenbezogenen Daten, darunter Zugang, Löschung und Opt-out von Verkäufen, während er Unternehmen Transparenz- und Sicherheitsverpflichtungen auferlegt.

Einhaltung des California Consumer Privacy Act (CCPA)
Haftungsausschluss: Keine Rechtsberatung – Diese Seite dient ausschließlich zu Informations- und Bildungszwecken. Der Inhalt dieser Seite ist nicht als Rechtsberatung zu verstehen. Für Beratung zu konkreten Rechtsfragen sollten Sie sich an eine Anwaltskanzlei oder einen Rechtsanwalt wenden.

Die digitale Wirtschaft lebt von Daten, doch diese Verbreitung von Informationen hat zunehmend Bedenken hinsichtlich der Privatsphäre und Kontrolle des Einzelnen aufgeworfen. Als Reaktion darauf verabschiedete Kalifornien 2018 den California Consumer Privacy Act (CCPA), der am 1. Januar 2020 in Kraft trat.

Dieses wegweisende Gesetz, das später durch den California Privacy Rights Act (CPRA) erheblich geändert wurde, gewährt kalifornischen Verbrauchern umfangreiche neue Rechte in Bezug auf ihre personenbezogenen Daten und erlegt Unternehmen, die diese Daten erfassen, verwenden und weitergeben, erhebliche Verpflichtungen auf.

Erhalten Sie Ihre kostenlose Cyber-Risikobewertung

Überblick über den California Consumer Privacy Act (CCPA)

Der CCPA, der durch den CPRA (der im Januar 2023 vollständig in Kraft getreten ist und dessen Durchsetzung am 29. März 2024 begann) erheblich verschärft wurde, soll den Einwohnern Kaliforniens mehr Kontrolle über ihre personenbezogenen Daten geben. Er führt eine Reihe von Grundrechten für Verbraucher ein, darunter:

  • Recht auf Auskunft: Verbraucher haben das Recht zu wissen, welche personenbezogenen Daten ein Unternehmen über sie erhebt, aus welchen Quellen diese erhoben werden, zu welchem Zweck sie erhoben oder verkauft werden, sowie welche Kategorien von Dritten mit ihnen geteilt werden.
  • Recht auf Löschung: Verbraucher können verlangen, dass ein Unternehmen die von ihnen erhobenen personenbezogenen Daten löscht, wobei bestimmte Ausnahmen gelten.
  • Recht auf Ablehnung des Verkaufs/der Weitergabe: Verbraucher haben das Recht, ein Unternehmen anzuweisen, ihre personenbezogenen Daten nicht zu „verkaufen“ oder „weiterzugeben“. Die Definition von „Weitergabe“ umfasst nun ausdrücklich kontextübergreifende verhaltensbasierte Werbung.
  • Recht auf Einschränkung der Nutzung und Weitergabe sensibler personenbezogener Daten (SPI): Verbraucher können die Nutzung und Weitergabe sensibler personenbezogener Daten durch ein Unternehmen auf das für die Erbringung der Dienstleistungen oder die Bereitstellung der angeforderten Waren erforderliche Maß beschränken.
  • Recht auf Berichtigung unrichtiger personenbezogener Daten: Verbraucher können von einem Unternehmen verlangen, dass unrichtige personenbezogene Daten, die dieses über sie speichert, berichtigt werden.
  • Recht auf Nichtdiskriminierung: Unternehmen dürfen Verbraucher, die ihre CCPA/CPRA-Rechte ausüben, nicht diskriminieren (z. B. durch Verweigerung von Waren oder Dienstleistungen, Erhebung unterschiedlicher Preise oder Bereitstellung von Waren oder Dienstleistungen unterschiedlicher Qualität oder Leistung).

Der CCPA/CPRA führt auch spezifische Anforderungen für Datenschutzhinweise, Datensicherheit und Lieferantenmanagement ein.

Die Wichtigkeit der Einhaltung des singapurischen Datenschutzgesetzes (PDPA)

Kernaspekte der Einhaltung des California Consumer Privacy Act (CCPA)?

Die Einhaltung des CCPA/CPRA ist eine vielschichtige Aufgabe, die ein tiefes Verständnis der Datenflüsse und robuste technische Implementierungen erfordert.

  1. Definition von personenbezogenen Daten (PI) und sensiblen personenbezogenen Daten (SPI):
    • Technische Details: Der CCPA/CPRA definiert „Personal Information“ allgemein als Informationen, die einen bestimmten Verbraucher oder Haushalt identifizieren, sich auf ihn beziehen, ihn beschreiben, vernünftigerweise mit ihm in Verbindung gebracht werden können oder vernünftigerweise direkt oder indirekt mit ihm verknüpft werden könnten. Dazu gehören Identifikatoren wie echter Name, Alias, Postanschrift, eindeutiger persönlicher Identifikator, Online-Identifikator, IP-Adresse, E-Mail-Adresse, Kontoname, SSN, Führerscheinnummer, Passnummer oder andere ähnliche Identifikatoren.
      • „Sensitive Personal Information“ (SPI) ist eine neue Kategorie unter dem CPRA und umfasst: Sozialversicherungsnummer, Führerschein, staatliche ID, Passnummer; Zugangsdaten für Konten, Finanzkonten, Debit-/Kreditkartennummer zusammen mit Sicherheitscode; präzise Geolokalisierung; rassische oder ethnische Herkunft, religiöse oder philosophische Überzeugungen, Gewerkschaftsmitgliedschaft; Inhalt von Briefen, E-Mails, Textnachrichten (sofern das Unternehmen nicht der beabsichtigte Empfänger ist); genetische Daten; biometrische Informationen zur Identifizierung sowie Informationen über Gesundheit, Sexualleben oder sexuelle Orientierung.
      • Technische Umsetzung: Dies erfordert einen umfassenden Dateninventarisierungs- und -zuordnungsprozess. Unternehmen benötigen Tools und Prozesse, um alle Vorkommen von PI und SPI in allen ihren Systemen (Datenbanken, Anwendungen, Logs, Cloud-Speicher, Marketingplattformen, Mitarbeitergeräte) zu identifizieren, zu klassifizieren und zu verfolgen. Dies erfordert robuste Technologien zur Datenentdeckung und -klassifizierung.
  2. Verbraucherrechte und Erfüllung von Anfragen:
    • Technische Details: Die Erfüllung der Verbraucherrechte (Know, Delete, Opt-Out, Limit, Correct) erfordert ausgefeilte technische Mechanismen:
      • Recht auf Auskunft/Zugriff/Portabilität: Unternehmen müssen in der Lage sein, bestimmte PI und SPI schnell zu lokalisieren, abzurufen und den Verbrauchern in einem „leicht nutzbaren Format“ (z. B. CSV, JSON) zur Verfügung zu stellen. Dies erfordert häufig die Einrichtung sicherer Verbraucherportale oder API-Endpunkte, die sich mit verschiedenen Datenquellen integrieren, relevante Daten extrahieren und sicher präsentieren können. Die Daten müssen als dem anfragenden Verbraucher zugehörig verifizierbar sein, was Identitätsprüfungsverfahren erfordert.
      • Recht auf Löschung: Auf eine verifizierbare Anfrage hin müssen Unternehmen PI/SPI aus ihren Systemen löschen und Dienstleister/Auftragnehmer anweisen, dasselbe zu tun.
        • Technische Implementierung: Dies umfasst sichere Datenlöschtechniken (z. B. kryptografische Löschung, Überschreiben, Entmagnetisierung) für alle relevanten Datenspeicher (Datenbanken, Backups, Protokolle, Dateisysteme). Dabei müssen Datenabhängigkeiten und die potenziellen Auswirkungen auf die Dienstbereitstellung sorgfältig berücksichtigt werden.
      • Recht auf Ablehnung des Verkaufs/der Weitergabe und Einschränkung der Verwendung von SPI: Unternehmen müssen klare Mechanismen bereitstellen, in der Regel einen Link „Meine personenbezogenen Daten nicht verkaufen oder weitergeben“ auf ihrer Homepage und einen Link „Die Verwendung meiner sensiblen personenbezogenen Daten einschränken“. Außerdem müssen sie Global Privacy Control (GPC)-Signale berücksichtigen.
        • Technische Umsetzung: Dies erfordert Consent-Management-Plattformen (CMPs) oder maßgeschneiderte Lösungen, die Opt-out-Signale (einschließlich GPC) erkennen und verarbeiten können. Diese Systeme müssen diese Präferenzen dann an alle relevanten internen Systeme (z. B. Marketing-Datenbanken, Analyseplattformen) sowie an Drittanbieter weiterleiten, um einen weiteren Verkauf oder eine Weitergabe zu verhindern oder die Nutzung von SPI einzuschränken. Dies beinhaltet häufig die Integration mit Ad-Tech-Plattformen und Datenmanagement-Plattformen (DMPs).
  3. Anforderungen an die Datensicherheit:
    • Technische Details: Der CCPA/CPRA schreibt keine spezifischen Sicherheitsmaßnahmen vor, verlangt jedoch „angemessene Sicherheitsverfahren und -praktiken, die der Art der zu schützenden personenbezogenen Daten angemessen sind“. Das „private Klagerecht“ bei Datenschutzverletzungen gilt jedoch speziell für unverschlüsselte und nicht redigierte personenbezogene Daten. Dies ist ein starker Anreiz für die Verschlüsselung.
      • Technische Umsetzung (Best Practices):
        • Verschlüsselung: Verschlüsselung von PI/SPI sowohl at rest (z. B. vollständige Festplattenverschlüsselung, Datenbankverschlüsselung, Cloud-Speicherverschlüsselung wie AES-256) als auch in transit (z. B. TLS 1.2+ für Webkommunikation, sichere VPNs).
        • Zugriffskontrollen: Implementierung von Role-Based Access Control (RBAC), Durchsetzung des Prinzips der geringsten Berechtigungen und starker Authentifizierungsmechanismen wie Multi-Faktor-Authentifizierung (MFA) für alle internen und externen Zugriffe auf Systeme, die PI/SPI enthalten.
        • Schwachstellenmanagement und Penetrationstests: Durchführung regelmäßiger Schwachstellenscans und Penetrationstests von Webanwendungen, mobilen Anwendungen, APIs und Netzwerkinfrastrukturen, die PI/SPI verarbeiten.
        • Plan zur Reaktion auf Vorfälle: Entwicklung und regelmäßige Überprüfung eines umfassenden Plans zur Reaktion auf Vorfälle mit technischen Maßnahmen zur Erkennung, Eindämmung, Beseitigung, Wiederherstellung und Benachrichtigung bei Datenverletzungen.
        • Protokollierung und Überwachung: Implementierung robuster Protokollierung auf allen Systemen, die PI/SPI verarbeiten, und Einsatz eines Security Information and Event Management (SIEM)-Systems für die Echtzeitanalyse und Warnung bei verdächtigen Aktivitäten.
        • Sichere Entwicklungspraktiken: Einbindung von Sicherheit in den Softwareentwicklungslebenszyklus (SDLC) für kundenspezifische Anwendungen durch SAST, DAST und Schulungen zur sicheren Codierung.
  4. Datenschutzhinweise und Transparenz:
    • Technische Details: Unternehmen müssen eine klare und umfassende Datenschutzerklärung bereitstellen, die ihre Praktiken zur Datenerhebung, -nutzung, -verkauf und -weitergabe sowie die Rechte der Verbraucher erläutert. Die Hinweise müssen zum Zeitpunkt der Erhebung oder davor bereitgestellt werden.
      • Technische Umsetzung: Dazu gehören häufig Cookie-Einwilligungsbanner, Website-Formulare für Datenschutzanfragen und die Sicherstellung, dass Websites und Anwendungen so gestaltet sind, dass diese Hinweise transparent und zugänglich bereitgestellt werden.
  5. Lieferantenmanagement:
    • Technische Details: Unternehmen müssen Verträge mit Dienstleistern und Auftragnehmern abschließen, in denen die Zwecke, für die PI/SPI verarbeitet werden dürfen, festgelegt sind, der Verkauf/die Weitergabe untersagt wird und die Umsetzung angemessener Sicherheitsmaßnahmen verlangt wird.
      • Technische Umsetzung: Dies erfordert ein Vendor Risk Management Program, das Sicherheitsbewertungen, Audits und Vertragsklauseln umfasst, die die technische Compliance von Dritten gewährleisten.
ImmuniWeb Newsletter

Erhalten Sie exklusive Updates zu Cybersicherheitsgesetzen und -vorschriften:


Vertraulich und privat Ihre Daten bleiben privat und vertraulich.

Erhalten Sie Ihre kostenlose Cyber-Risikobewertung

Warum ist die Einhaltung des California Consumer Privacy Act (CCPA) wichtig?

Die Einhaltung des CCPA/CPRA ist für Unternehmen aus mehreren überzeugenden Gründen von entscheidender Bedeutung:

  • Verbesserte Reputation und Kundenvertrauen: Das Bekenntnis zum Datenschutz fördert das Vertrauen bei Kunden, Partnern und Stakeholdern und stärkt die Markenreputation.
  • Verbrauchervertrauen und Markenruf: In einer Zeit, in der das Datenschutzbewusstsein stetig zunimmt, schafft die Demonstration der Compliance Vertrauen bei den Verbrauchern. Verstöße oder Nichtkonformität können den Markenruf schwer beschädigen und zu Kunden- und Marktanteilsverlusten führen.
  • Gesetzliche Verpflichtung und Vermeidung von Strafen: Es handelt sich um eine strenge gesetzliche Anforderung für berechtigte Unternehmen. Die Nichteinhaltung kann zu erheblichen finanziellen Strafen und rechtlichen Schritten seitens der California Privacy Protection Agency (CPPA) und des Attorney General sowie zu privaten Klagen durch Verbraucher führen.
  • Minderung des Risikos von Datenverstößen: Die Betonung „angemessener Sicherheitsverfahren“ ermutigt Unternehmen, robuste Cybersicherheitsmaßnahmen einzuführen, wodurch die Wahrscheinlichkeit und die Auswirkungen von Datenverstößen erheblich reduziert werden. Diese proaktive Haltung schützt sensible Kundendaten vor Diebstahl, Betrug und Missbrauch.
  • Grundlage für zukünftige Datenschutzgesetze: Der CCPA/CPRA dient als Vorlage für andere Datenschutzgesetze auf Bundesstaatsebene in den USA (z. B. Virginias CDPA, Colorados CPA). Die Einhaltung des CCPA/CPRA bildet oft eine solide Grundlage für die Einhaltung dieser anderen neu entstehenden Vorschriften und erleichtert die Mehrstaateneinhaltung.
  • Ethischer Umgang mit Daten: Über die gesetzlichen Anforderungen hinaus fördert die Compliance ethische Datenhandhabungspraktiken und schafft eine Kultur des Datenschutzes innerhalb der Organisation.

Bedeutung der Einhaltung des California Consumer Privacy Act (CCPA)

Wer muss dem California Consumer Privacy Act (CCPA) nachkommen?

Der CCPA/CPRA gilt für gewinnorientierte Unternehmen, die personenbezogene Daten von Verbrauchern erheben, in Kalifornien geschäftlich tätig sind und jährlich mindestens ein der folgenden Kriterien erfüllen:

  1. Hat einen Bruttojahresumsatz von über 25 Millionen US-Dollar.
  2. Kauft, verkauft oder teilt die persönlichen Daten von 100.000 oder mehr Verbrauchern in Kalifornien, Haushalten oder Geräten. (Dieser Schwellenwert wurde durch den CPRA von 50.000 erhöht).
  3. Erzielt 50 % oder mehr seines jährlichen Umsatzes durch den Verkauf oder die Weitergabe personenbezogener Daten von Verbrauchern.

Dieser breite Anwendungsbereich bedeutet, dass viele Unternehmen, auch solche ohne physische Präsenz in Kalifornien, die Vorschriften einhalten müssen, wenn sie Daten von kalifornischen Anwohnern verarbeiten und mindestens einen der Schwellenwerte erfüllen. Non-profits und staatliche Behörden sind in der Regel ausgenommen, jedoch müssen Auftragnehmer und Dienstleister, die mit betroffenen Unternehmen zusammenarbeiten, die Vorschriften ebenfalls durch vertragliche Verpflichtungen erfüllen.

Erhalten Sie Ihre kostenlose Cyber-Risikobewertung

Vergleich zwischen CCPA und DSGVO

Obwohl sowohl CCPA/CPRA als auch die DSGVO wegweisende Datenschutzregelungen sind, unterscheiden sie sich in Philosophie, Geltungsbereich und technischen Nuancen:

Aspekt CCPA/CPRA (Kalifornien, USA) GDPR (EU)
Philosophische Grundlage Fokus auf „consumer rights“ und Kontrolle über PI/SPI. Opt-out-Modell für Verkauf/Weitergabe. Schwerpunkt auf dem Grundrecht auf Privatsphäre. Opt-in für die Datenverarbeitung.
Geltungsbereich Gilt für „Unternehmen“ (gewinnorientiert), die bestimmte Schwellenwerte erfüllen; umfasst „personenbezogene Daten“ von Einwohnern Kaliforniens. Gilt allgemein für jede Stelle, die „personenbezogene Daten“ von EU-Bürgern verarbeitet, unabhängig von Standort oder Gewinnstatus.
Datendefinition ["Personal Information" (umfassend) und "Sensitive Personal Information" (spezifische Untergruppe).] „Personenbezogene Daten“ (weit gefasst, umfasst sensible Kategorien wie Gesundheits-, genetische und biometrische Daten).
Rechtsgrundlage für die Verarbeitung Nicht ausdrücklich vorgeschrieben; Schwerpunkt liegt auf Transparenz und Verbraucherrechten. Erfordert eine spezifische Rechtsgrundlage (z. B. Einwilligung, Vertrag, berechtigtes Interesse) für alle Verarbeitung.
Einwilligungsmodell Im Allgemeinen opt-out für Verkauf/Weitergabe. Erfordert opt-in für Minderjährige unter 16 Jahren. Grundsätzlich Opt-in (ausdrückliche Einwilligung) für die Datenverarbeitung, insbesondere für sensible Daten.
Verbraucherrechte Wissen, Löschen, Opt-out aus Verkauf/Weitergabe, Begrenzung von SPI, Korrektur, Nichtdiskriminierung. Auskunft, Berichtigung, Löschung (Recht auf Vergessenwerden), Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch, Rechte in Bezug auf automatisierte Entscheidungen.
Meldepflicht bei Datenverletzungen Privates Klagerecht bei Verstößen gegen nicht verschlüsselte und nicht redigierte PI/SPI; Benachrichtigung der Verbraucher erforderlich. Benachrichtigung der Aufsichtsbehörden innerhalb von 72 Stunden; Benachrichtigung der betroffenen Personen „ohne unangemessene Verzögerung“ bei hohem Risiko.
„Recht auf Vergessenwerden“ Unterliegt dem „Recht auf Löschung“ mit bestimmten Ausnahmen. Explizites „Recht auf Löschung“ (Recht auf Vergessenwerden), weiter gefasst.
Datenschutzbeauftragter (DSB) Keine ausdrückliche DPO-Anforderung. erforderlich für die groß angelegte Verarbeitung besonderer Datenkategorien oder die systematische Überwachung.
Grenzüberschreitende Datenübertragung Begrenzte direkte Bestimmungen, jedoch implizit durch Lieferantenverträge. Strenge Regeln, die „angemessene Schutzmaßnahmen“ (z. B. SCCs, verbindliche Unternehmensregeln) für Übertragungen außerhalb der EU/des EWR vorschreiben.
Aufsichtsbehörde California Privacy Protection Agency (CPPA) und kalifornischer Generalstaatsanwalt. Datenschutzbehörden (DPAs) in jedem EU-Mitgliedstaat.
Sanktionen Bis zu 2.500 USD pro unbeabsichtigter Verletzung, 7.500 USD pro vorsätzlicher Verletzung (pro Verletzung, nicht pro Verstoß). Privates Klagerecht bei Datenschutzverletzungen (100 bis 750 USD pro Verbraucher oder tatsächlicher Schaden). Keine gesetzliche Obergrenze. Bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
Sicherheitsanforderungen „Angemessene Sicherheitsverfahren und -praktiken, entsprechend der Art der Informationen.“ Starker Anreiz zur Verschlüsselung. „Angemessene technische und organisatorische Maßnahmen“, die dem Risiko angemessen sind, einschließlich Pseudonymisierung und Verschlüsselung. Risikobasierter Ansatz.

Obwohl CCPA/CPRA oft als „GDPR-lite“ bezeichnet wird, enthält es einzigartige Bestimmungen und spezifische technische Anforderungen, insbesondere im Hinblick auf die Mechanismen „Do Not Sell/Share“ und „Limit SPI“, die maßgeschneiderte Compliance-Anstrengungen erfordern.

Wie kann die Einhaltung des California Consumer Privacy Act (CCPA) sichergestellt werden?

Die Gewährleistung der CCPA/CPRA-Konformität ist ein fortlaufender Prozess, der kontinuierliche Anstrengungen und technische Sorgfalt erfordert:

  1. Dateninventar und -zuordnung:
    • Technische Maßnahme: Implementieren Sie Tools zur Datenentdeckung und -klassifizierung (z. B. Data Loss Prevention (DLP)-Lösungen, Datenscan-Tools), um alle Vorkommen von PI und SPI in Ihrer gesamten IT-Umgebung (lokale Server, Cloud-Instanzen, Datenbanken, Anwendungen, Endpunkte, SaaS-Dienste) zu identifizieren. Karten Sie die Datenflüsse von der Erfassung über Speicherung, Verarbeitung bis hin zur Weitergabe auf. Dies ist die Grundlage für alle weiteren Compliance-Schritte.
  2. Implementieren Sie robuste Sicherheitsmaßnahmen:
    • Technische Maßnahme:
      • Verschlüsselung: Fordern Sie End-to-End-Verschlüsselung für alle PI und SPI, sowohl in Ruhe (Datenbankverschlüsselung, Dateisystemverschlüsselung, Verschlüsselungsdienste von Cloud-Anbietern) als auch in Transit (TLS/SSL für Web, SFTP, sichere VPNs). Implementieren Sie ein kryptografisches Schlüsselverwaltungssystem (KMS).
      • Zugriffskontrolle: Setzen Sie granulare, rollenbasierte Zugriffskontrollen (RBAC) für PI/SPI gemäß dem Prinzip der minimalen Berechtigung durch. Implementieren Sie Multi-Faktor-Authentifizierung (MFA) für alle internen und externen Zugriffe auf Systeme, die PI/SPI enthalten. Implementieren Sie Privileged Access Management (PAM) für Administratorkonten.
      • Schwachstellenmanagement und Penetrationstests: Führen Sie regelmäßig (z. B. vierteljährlich) Schwachstellenscans und jährliche Penetrationstests Ihrer Webanwendungen, mobilen Anwendungen, APIs sowie der zugrunde liegenden Netzwerkinfrastruktur durch, die PI/SPI verarbeiten. Dies überprüft die Wirksamkeit Ihrer Sicherheitsmaßnahmen und identifiziert potenzielle Angriffsvektoren.
      • Sicherer Softwareentwicklungslebenszyklus (SSDLC): Integrieren Sie Sicherheitstests (SAST, DAST) sowie Schulungen zur sicheren Programmierung für Entwickler in Ihren SDLC, um sichere Anwendungen zu erstellen, die PI/SPI verarbeiten.
      • Protokollierung und Überwachung: Implementieren Sie eine umfassende Protokollierung in allen Systemen, die mit PI/SPI interagieren. Nutzen Sie ein Security Information and Event Management (SIEM)-System, um Protokolle in Echtzeit zu aggregieren, zu korrelieren und zu analysieren, sodass unbefugte Zugriffe oder verdächtige Aktivitäten schnell erkannt werden können.
      • Datenminimierung und -speicherung: Setzen Sie die Grundsätze der Datenminimierung technologisch um, indem Sie ausschließlich erforderliche PI/SPI erheben. Implementieren Sie automatisierte Datenretentionsrichtlinien, um Daten, sobald sie nicht mehr benötigt werden, sicher zu entsorgen, beispielsweise durch kryptografisches Löschen oder sicheres Wischen.
  3. Entwickeln und pflegen Sie Prozesse zur Erfüllung von Verbraucheranfragen:
    • Technische Maßnahme:
      • Sichere Portale/APIs: Entwickeln Sie sichere, benutzerfreundliche Webportale oder API-Endpunkte, über die Verbraucher Anfragen zum „Recht auf Auskunft“, „Recht auf Löschung“, „Recht auf Berichtigung“, „Recht auf Widerspruch“ und „Recht auf Einschränkung“ einreichen können.
      • Identitätsprüfung: Implementieren Sie robuste Identitätsüberprüfungsmethoden (z. B. Multi-Faktor-Authentifizierung, wissensbasierte Authentifizierung oder Verifizierungsdienste von Drittanbietern), um sicherzustellen, dass der Anfragende der Verbraucher ist, dessen Daten gespeichert sind.
      • Automatisierter Workflow: Implementieren Sie automatisierte Workflows zur Weiterleitung und Verwaltung von Verbraucheranfragen, um zeitnahe Antworten zu gewährleisten (45 Tage, mit einer möglichen Verlängerung um 45 Tage).
      • Mechanismen zur Datenlöschung: Entwickeln Sie technische Verfahren für die dauerhafte und sichere Löschung von PI/SPI aus allen relevanten Systemen, einschließlich Backups, bei einer verifizierbaren Löschungsanfrage.
  4. Implement Opt-Out and Limit Mechanisms:
    • Technische Maßnahme:
      • Link „Meine personenbezogenen Daten nicht verkaufen/weitergeben“: Platzieren Sie diesen Link prominent auf Ihrer Homepage. Der Link sollte zu einem Mechanismus führen (z. B. einer Einwilligungsmanagement-Plattform (CMP), einem benutzerdefinierten Formular oder einem Einstellungscenter), über den Verbraucher sich leicht abmelden können.
      • Link „Verwendung meiner sensiblen personenbezogenen Daten einschränken“: Bereitstellen eines klaren Links und Mechanismus für SPI.
      • Erkennung von Global Privacy Control (GPC): Implementieren Sie technologische Mechanismen zur Erkennung und Einhaltung von GPC-Signalen, um sicherzustellen, dass Ihre Website und Anwendungen die Datenschutzpräferenzen der Verbraucher automatisch respektieren.
      • Weitergabe von Präferenzen: Stellen Sie sicher, dass Opt-out- und Begrenzungspräferenzen technisch an alle internen Systeme und externen Dienstleister oder Auftragnehmer weitergeleitet werden, die mit den Daten der Verbraucher umgehen.
  5. Drittanbieter und Dienstleister verwalten:
    • Technische Maßnahme: Führen Sie gründliche Anbietersicherheitsbewertungen (einschließlich Sicherheitsfragebögen, Schwachstellenberichten und gegebenenfalls Audits) für alle Dritten durch, die PI/SPI in Ihrem Auftrag verarbeiten. Stellen Sie sicher, dass Datenverarbeitungsvereinbarungen (DPAs) vorhanden sind, die die Einhaltung der technischen Schutzmaßnahmen gemäß CCPA/CPRA vorschreiben.
  6. Datenschutzrichtlinien und -hinweise aktualisieren
    • Technische Maßnahmen: Stellen Sie sicher, dass Ihre Website eine leicht zugängliche Datenschutzrichtlinie bietet, die jährlich aktualisiert und technisch alle Praktiken zur Datenerfassung, -nutzung, -weitergabe und -verkauf widerspiegelt. Implementieren Sie Just-in-Time-Hinweise zur Datenerfassung am Ort der Erfassung.
  7. Mitarbeiterschulung und Sensibilisierung:
    • Technische Maßnahmen: Führen Sie regelmäßige, verpflichtende Schulungen für alle Mitarbeiter durch, die PI/SPI verarbeiten, mit Fokus auf CCPA/CPRA-Anforderungen, Best Practices bei der Datenverarbeitung, Erkennung von Phishing-Angriffen und Melden von Sicherheitsvorfällen. Schließen Sie spezialisierte technische Schulungen für IT- und Sicherheitsteams ein.
Erhalten Sie Ihre kostenlose Cyber-Risikobewertung

Konsequenzen der Nichteinhaltung des California Consumer Privacy Act (CCPA)

Die finanziellen und reputationschädigenden Folgen einer Nichteinhaltung des CCPA/CPRA können schwerwiegend sein:

  • Zivilsanktionen durch die CPPA/AG:
    • Unbeabsichtigte Verstöße: Bis zu 2.500 USD pro Verstoß.
    • Vorsätzliche Verstöße: Bis zu 7.500 Dollar pro Verstoß.
    • Insbesondere wird „per violation“ oft als „pro betroffener Verbraucher“ interpretiert, was bedeutet, dass Geldstrafen selbst bei mittelgroßen Datenpannen oder systematischer Nichteinhaltung schnell in die Millionen gehen können. Es gibt keine gesetzliche Obergrenze für diese Sanktionen.
    • Bisher gab es eine 30-tägige „Cure Period“ für unbeabsichtigte Verstöße, aber unter CPRA liegt die Entscheidung darüber nun im Ermessen der CPPA, sodass eine schnelle Behebung von entscheidender Bedeutung ist.
  • Privates Klagerecht bei Datenschutzverletzungen:
    • Verbraucher können Zivilklagen wegen Verstößen gegen nicht verschlüsselte und nicht redigierte personenbezogene Daten erheben, die auf einer Nichtimplementierung oder Nichtaufrechterhaltung angemessener Sicherheitsverfahren durch ein Unternehmen beruhen.
    • Der Schaden reicht von 100 bis 750 US-Dollar pro Betroffenen und Vorfall oder dem tatsächlichen Schaden, je nachdem, welcher höher ist. Bei einem großen Verstoß kann dies zu Sammelklagen in Höhe von mehreren Millionen Dollar führen.
  • Unterlassungsansprüche und Wiedergutmachung: Die CPPA oder der Generalstaatsanwalt können gerichtliche Anordnungen beantragen, um Unternehmen zur Einstellung nicht konformer Praktiken und zur Zahlung von Wiedergutmachung an betroffene Verbraucher zu zwingen.
  • Reputationsschaden: Eine öffentliche Durchsetzungsmaßnahme oder eine Datenverletzung führt zu erheblicher negativer Publicity, Verlust von Kundenvertrauen und langfristigem Markenschaden, was sich auf die Kundenakquise und -bindung auswirkt.
  • Audit- und Überwachungskosten: Nicht konforme Unternehmen müssen mit laufender Überwachung und verpflichtenden Audits durch die CPPA rechnen, was kostspielig und ressourcenintensiv sein kann.

Wie hilft ImmuniWeb bei der Einhaltung des California Consumer Privacy Act (CCPA)?

Die KI-gestützte Plattform von ImmuniWeb für Anwendungssicherheitstests (AST) und Angriffsflächenmanagement (ASM) bietet mehrere wichtige Funktionen, die die Einhaltung der technischen Anforderungen des CCPA/CPRA direkt unterstützen:

API-PenetrationstestsAPI-Penetrationstests
ImmuniWeb führt tiefe API-Penetrationstests durch, deckt Schwachstellen wie unsichere Endpunkte, fehlerhafte Authentifizierung und Datenlecks auf und gewährleistet die Einhaltung der OWASP API Security Top 10.
API-SicherheitsscansAPI-Sicherheitsscans
Automatisierte, KI-basierte Scans erkennen Fehlkonfigurationen, übermäßige Berechtigungen und schwache Verschlüsselung in REST-, SOAP- und GraphQL-APIs und liefern umsetzbare Behebungshinweise.
Application Penetration TestingApplication Penetration Testing
ImmuniWeb bietet Anwendungspenetrationstests mit unserem preisgekrönten Produkt ImmuniWeb® On-Demand an.
Anwendungssicherheitslage-ManagementAnwendungssicherheitslage-Management
Die preisgekrönte ImmuniWeb® AI-Plattform für Application Security Posture Management (ASPM) hilft dabei, den gesamten digitalen Fußabdruck einer Organisation, einschließlich versteckter, unbekannter und vergessener Webanwendungen, APIs und mobiler Anwendungen, aggressiv und kontinuierlich zu erkunden.
AngriffsflächenmanagementAngriffsflächenmanagement
ImmuniWeb entdeckt und überwacht kontinuierlich exponierte IT-Assets (Webanwendungen, APIs, Cloud-Dienste), reduziert blinde Flecken und verhindert Einbrüche durch Echtzeit-Risikobewertung.
Automatisierte PenetrationstestsAutomatisierte Penetrationstests
ImmuniWeb bietet automatisierte Penetrationstests mit unserem preisgekrönten Produkt ImmuniWeb® Continuous an.
Cloud-PenetrationstestsCloud-Penetrationstests
Simuliert fortgeschrittene Angriffe auf AWS-, Azure- und GCP-Umgebungen, um Fehlkonfigurationen, unsichere IAM-Rollen und exponierte Speicher zu identifizieren, gemäß den CIS-Benchmarks.
Cloud Security Posture Management (CSPM)Cloud Security Posture Management (CSPM)
Automatisiert die Erkennung von Cloud-Fehlkonfigurationen, Compliance-Lücken (z. B. PCI DSS, HIPAA) und Schatten-IT und bietet Behebungshinweise für eine resiliente Cloud-Infrastruktur.
Kontinuierliches automatisiertes Red TeamingKontinuierliches automatisiertes Red Teaming
Kombiniert KI-basierte Angriffssimulationen mit menschlichem Fachwissen, um Abwehrmaßnahmen 24/7 zu testen und dabei reale Angreifer nachzuahmen, ohne den Betrieb zu stören.
Kontinuierliche Simulation von Sicherheitsverletzungen und Angriffen (BAS)Kontinuierliche Simulation von Sicherheitsverletzungen und Angriffen (BAS)
Führt automatisierte Angriffsszenarien durch, um Sicherheitskontrollen zu validieren und Schwachstellen in Netzwerken, Anwendungen und Endpunkten aufzudecken, bevor Angreifer sie ausnutzen.
Kontinuierliche PenetrationstestsKontinuierliche Penetrationstests
Bietet kontinuierliche, KI-gestützte Penetrationstests, um neue Schwachstellen nach der Bereitstellung zu identifizieren und damit eine proaktive Risikominderung über einmalige Audits hinaus zu gewährleisten.
Continuous Threat Exposure Management (CTEM)Continuous Threat Exposure Management (CTEM)
Priorisiert und behebt Risiken in Echtzeit, indem Bedrohungsinformationen mit Schwachstellen in Assets korreliert werden, wodurch Exploit-Fenster minimiert werden.
Cyber Threat IntelligenceCyber Threat Intelligence
Überwacht das Dark Web, Paste-Sites und Hacker-Foren auf gestohlene Anmeldedaten, leakte Daten und gezielte Bedrohungen, um proaktive Maßnahmen zu ermöglichen.
Data Security Posture ManagementData Security Posture Management
Die preisgekrönte ImmuniWeb® AI-Plattform für Datensicherheitsmanagement hilft dabei, die internetexponierten digitalen Assets einer Organisation, einschließlich Webanwendungen, APIs, Cloud-Speicher und Netzwerkdienste, kontinuierlich zu identifizieren und zu überwachen.
Dark Web MonitoringDark Web Monitoring
Durchsucht Untergrundmärkte nach kompromittierten Mitarbeiter-/Kundendaten, geistigem Eigentum und Betrugsmaschen und warnt Unternehmen vor Datenpannen.
Mobile PenetrationstestsMobile Penetrationstests
Testet iOS-/Android-Apps auf unsichere Datenspeicherung, Reverse Engineering-Risiken und API-Fehler gemäß den OWASP Mobile Top 10-Leitlinien.
Mobile Security ScanningMobile Security Scanning
Automatisiert die statische (SAST) und dynamische (DAST) Analyse mobiler Apps, um Schwachstellen wie hartcodierte Geheimnisse oder schwache TLS-Konfigurationen zu erkennen.
Bewertung der NetzwerksicherheitBewertung der Netzwerksicherheit
Identifiziert falsch konfigurierte Firewalls, offene Ports und schwache Protokolle in lokalen und hybriden Netzwerken und stärkt die Abwehr.
Penetrationstests als Dienstleistung (PTaaS)Penetrationstests als Dienstleistung (PTaaS)
Bietet skalierbare, abonnementbasierte Penetrationstests mit detaillierten Berichten und Abhilfemaßnahmenverfolgung für agile Sicherheits-Workflows.
Phishing-Websites-AbnahmePhishing-Websites-Abnahme
Erkennt und beschleunigt die Abnahme von Phishing-Websites, die sich als Ihre Marke ausgeben, und minimiert Reputationsschäden und Betrugsverluste.
Drittanbieter-RisikomanagementDrittanbieter-Risikomanagement
Bewertet die Sicherheitslage von Anbietern (z. B. exponierte APIs, veraltete Software), um Angriffe auf die Lieferkette zu verhindern und die Einhaltung der Vorschriften sicherzustellen.
Threat-Led Penetration Testing (TLPT)Threat-Led Penetration Testing (TLPT)
Simuliert auf Ihre Branche zugeschnittene Advanced Persistent Threats (APTs) und testet die Erkennungs- und Reaktionsfähigkeiten gegen realistische Angriffsketten.
Web-PenetrationstestsWeb-Penetrationstests
Manuelle und automatisierte Tests decken SQLi-, XSS- und Geschäftslogikfehler in Webanwendungen auf, im Einklang mit OWASP Top 10 und regulatorischen Anforderungen.
Web-SicherheitsscansWeb-Sicherheitsscans
Führt kontinuierliche DAST-Scans durch, um Schwachstellen in Echtzeit zu erkennen, und integriert in CI/CD-Pipelines für DevSecOps-Effizienz.

Durch die Nutzung der Funktionen von ImmuniWeb können Unternehmen technische Risiken systematisch identifizieren und mindern, ihre Datensicherheitslage stärken und ihr proaktives Engagement für den Schutz der personenbezogenen Daten kalifornischer Verbraucher unter Beweis stellen, um so die Einhaltung der CCPA/CPRA-Vorschriften zu erreichen und aufrechtzuerhalten.

Erhalten Sie Ihre kostenlose Cyber-Risikobewertung

Liste maßgeblicher Ressourcen

Erfüllen Sie regulatorische Anforderungen mit der ImmuniWeb® AI-Plattform

Cybersicherheits-Compliance

ImmuniWeb kann auch bei der Einhaltung anderer Datenschutzgesetze und -vorschriften helfen:

Demo anfordern
Holen Sie sich Ihre kostenlose Cyber-Risiko-Exposition

Diese Website verwendet Cookies, um Ihnen ein besseres Surferlebnis zu bieten. Weitere Informationen finden Sie in unserer Datenschutzerklärung. Durch die weitere Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu.

Sprechen Sie mit einem Experten