Key Takeaways — CCPA-Compliance 2025
Der California Consumer Privacy Act in der durch die CPRA geänderten Fassung sieht nun inflationsbereinigte Bussgelder von bis zu 7'988 $ pro vorsätzlichem Verstoss vor und verlangt Cybersicherheitsaudits gemäss den im September 2025 finalisierten Vorschriften. Mit 19 US-Bundesstaaten, die umfassende Datenschutzgesetze durchsetzen, und der CPPA, die Hunderte aktive Untersuchungen führt, benötigen Organisationen mit mehreren Einheiten strukturierte Compliance-Programme, die über Jurisdiktionen hinweg skalieren. Priverions in der Schweiz gehostete Plattform bietet automatisierte Rezertifizierung des Verarbeitungsverzeichnisses, einheitenübergreifendes Data-Mapping und ein einziges DPO-Dashboard, um die Pflichten von CCPA, DSGVO und revDSG aus einem System heraus zu steuern.
Definitionen
Was ist die CCPA?
Der California Consumer Privacy Act (CCPA) ist ein bundesstaatliches Datenschutzgesetz, das 2018 erlassen wurde (Cal. Civ. Code §§ 1798.100–1798.199.100) und kalifornischen Einwohnerinnen und Einwohnern Rechte über ihre personenbezogenen Daten gewährt, darunter das Recht auf Auskunft, Löschung und Widerspruch gegen den Verkauf oder die Weitergabe ihrer Daten. Es wurde 2020 durch den California Privacy Rights Act (CPRA) erheblich geändert. IAPP U.S. State Privacy Legislation Tracker
Was ist die CPPA?
Die California Privacy Protection Agency (CPPA) ist die durch die CPRA geschaffene unabhängige bundesstaatliche Behörde zur Umsetzung und Durchsetzung der CCPA. Sie verfügt über Rechtsetzungsbefugnis und kann Verstösse untersuchen, Verwaltungsbussen verhängen und Vollzugsmassnahmen ergreifen, ohne auf den Attorney General angewiesen zu sein. IAPP Privacy Tracker
Was ist ein Verarbeitungsverzeichnis?
Ein Verzeichnis von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis) ist ein dokumentiertes Inventar sämtlicher Verarbeitungsvorgänge personenbezogener Daten innerhalb einer Organisation. Nach Artikel 30 DSGVO müssen Verantwortliche und Auftragsverarbeiter ein Verarbeitungsverzeichnis führen. Zwar schreibt die CCPA ein Verarbeitungsverzeichnis nicht ausdrücklich vor, doch dessen Führung gilt als Best Practice, um die Einhaltung der Pflichten zu Dateninventar und Konsumentenrechten nachzuweisen. Artikel 30 DSGVO — gdpr-info.eu
Was ist eine DSFA?
Eine Datenschutz-Folgenabschätzung (DSFA) ist ein systematischer Prozess zur Bewertung der möglichen Auswirkungen einer Datenverarbeitung auf den Datenschutz von Einzelpersonen. Nach den im September 2025 finalisierten neuen CPPA-Vorschriften müssen Organisationen Risikobewertungen für Verarbeitungen durchführen, die ein erhebliches Risiko für den Datenschutz von Konsumentinnen und Konsumenten darstellen, mit Compliance-Fristen bis 2028.
Häufig gestellte Fragen
Was ist die CCPA und wie unterscheidet sie sich von der CPRA?
Der California Consumer Privacy Act (CCPA) wurde 2018 erlassen und trat am 01.01.2020 in Kraft. Der California Privacy Rights Act (CPRA) änderte die CCPA 2020 und schuf die California Privacy Protection Agency (CPPA) mit unabhängiger Vollzugsbefugnis. Die CPRA führte neue Konsumentenrechte in Bezug auf besonders schützenswerte personenbezogene Daten und Technologien zur automatisierten Entscheidungsfindung ein, weitete die Opt-out-Rechte auf die «Weitergabe» von Daten aus (nicht nur den «Verkauf») und schaffte die 30-tägige Nachbesserungsfrist ab, die es Unternehmen zuvor erlaubte, Verstösse vor Bussgeldern zu beheben. IAPP U.S. State Privacy Legislation Tracker
Wie lauten die CCPA-Umsatz- und Datenschwellen für 2025?
Seit dem 01.01.2025 gilt die CCPA für gewinnorientierte Einheiten, die in Kalifornien geschäftlich tätig sind und eine der folgenden inflationsbereinigten Schwellen erreichen: 26,625 Millionen $ oder mehr jährlicher Bruttoumsatz, Kauf/Verkauf/Weitergabe personenbezogener Daten von 100'000 oder mehr Konsumentinnen und Konsumenten oder Haushalten oder Erzielung von 50 % oder mehr des Jahresumsatzes aus dem Verkauf oder der Weitergabe personenbezogener Daten. Diese Schwellen werden von der CPPA jährlich an die Inflation angepasst.
Wie hoch sind die maximalen CCPA-Bussgelder pro Verstoss?
Seit 2025 erreichen die inflationsbereinigten Bussgelder bis zu 2'663 $ pro fahrlässigem Verstoss und 7'988 $ pro vorsätzlichem Verstoss. Bussgelder werden pro betroffene Person bemessen, was bedeutet, dass eine einzige Compliance-Lücke, die Tausende von Personen betrifft, in die Millionen gehen kann. Das Rekord-Bussgeld der CPPA über 1,35 Millionen $ gegen Tractor Supply Company im September 2025 zeigt die Bereitschaft der Agentur, erhebliche Bussgelder zu verhängen.
Wie viele US-Bundesstaaten haben umfassende Datenschutzgesetze?
Per Januar 2026 haben 19 US-Bundesstaaten umfassende Datenschutzgesetze in Kraft, darunter Kalifornien, Virginia, Colorado, Connecticut, Utah, Iowa, Indiana, Tennessee, Texas, Montana, Oregon, Delaware, New Hampshire, New Jersey, Nebraska, Kentucky, Maryland, Minnesota und Rhode Island. Weitere Bundesstaaten haben Gesetze mit künftigen Inkrafttretensdaten erlassen. Gemäss dem IAPP U.S. State Privacy Legislation Tracker wächst diese Zahl in jeder Legislaturperiode weiter.
Welche neuen CCPA-Vorschriften wurden 2025 finalisiert?
Im September 2025 finalisierte die CPPA neue Vorschriften zu Cybersicherheitsaudits, Risikobewertungen und Technologien zur automatisierten Entscheidungsfindung (ADMT). Diese wurden am 23.09.2025 vom Office of Administrative Law genehmigt und traten am 01.01.2026 in Kraft. Die Compliance-Fristen für Cybersicherheitsaudits reichen bis 2027–2028 und geben Organisationen Zeit, die erforderlichen Programme aufzubauen.
Unterstützt Priverion die CCPA-Compliance für Organisationen mit mehreren Einheiten?
Ja. Priverion ist eigens für Organisationen entwickelt, die Compliance über mehrere Tochtergesellschaften und Jurisdiktionen hinweg steuern. Die Plattform bietet einheitenübergreifendes Data-Mapping, automatisierte Rezertifizierung des Verarbeitungsverzeichnisses, KI-gestütztes Entwerfen von DSFA und ein einziges DPO-Dashboard. Sämtliche Daten werden in Schweizer Infrastruktur gehostet, die vom EU-Angemessenheitsbeschluss der Schweiz profitiert und so rechtliche Absicherung für Organisationen bietet, die sowohl CCPA- als auch DSGVO-Pflichten erfüllen.
Was war das grösste CPPA-Vollzugsbussgeld 2025?
Das grösste CPPA-Bussgeld 2025 betrug 1,35 Millionen $ gegen Tractor Supply Company, angekündigt am 30.09.2025. Die Untersuchung ging auf eine einzige Konsumentenbeschwerde zurück. Zu weiteren bemerkenswerten Vollzugsmassnahmen 2025 zählten 632'500 $ gegen Honda und 345'178 $ gegen Todd Snyder. Die CPPA rief zudem eine Data Broker Enforcement Strike Force ins Leben, und der kalifornische Attorney General führte im März 2025 eine Überprüfung von Standortdaten durch.
Wie kommt Schweizer Hosting der CCPA- und DSGVO-Compliance zugute?
Die Schweiz verfügt über einen EU-Angemessenheitsbeschluss nach der DSGVO (Kommissionsentscheidung 2000/518/EG), was bedeutet, dass in Schweizer Infrastruktur gespeicherte Compliance-Daten nie eine Jurisdiktion verlassen, die die EU geprüft und anerkannt hat. In einem Umfeld nach Schrems II — in dem der EuGH das EU-US Privacy Shield für ungültig erklärte — bietet Schweizer Hosting eine rechtliche Absicherung für Organisationen, die sowohl CCPA- als auch DSGVO-Pflichten erfüllen, und vermeidet die Komplexität von Übermittlungsmechanismen bei in den USA gehosteten Plattformen.
CCPA vs. DSGVO vs. revDSG — Vergleichstabelle
| Dimension | CCPA / CPRA (Kalifornien) | DSGVO (EU/EWR) | revDSG (revidiertes DSG) |
|---|
| Inkrafttreten | 01.01.2020 (CCPA); 01.01.2023 (CPRA-Änderungen) | 25.05.2018 | 01.09.2023 |
| Geltungsbereich | Gewinnorientierte Unternehmen, die Umsatz-/Datenschwellen erreichen | Jede Einheit, die Daten von Personen im EU/EWR verarbeitet | Jede Einheit, die Daten von Personen in der Schweiz verarbeitet |
| Aufsichtsbehörde | CPPA + kalifornischer AG | Nationale Datenschutzbehörden (z. B. CNIL, BfDI, ICO) | EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) |
| Maximalbusse (pro Verstoss) | 7'988 $ (vorsätzlich, inflationsbereinigt 2025) | 20 Mio. € oder 4 % des weltweiten Umsatzes | 250'000 CHF (persönliche Haftung) |
| Recht auf Löschung | Ja | Ja (Art. 17) | Ja (Art. 32) |
| Recht auf Widerspruch gegen Verkauf/Weitergabe | Ja | nicht anwendbar (einwilligungsbasiertes Modell) | nicht anwendbar (einwilligungsbasiertes Modell) |
| Meldung von Datenschutzverletzungen | Über California Civil Code § 1798.82 | 72 Stunden an die Datenschutzbehörde (Art. 33) | So rasch als möglich an den EDÖB (Art. 24) |
| Datenschutzbeauftragter erforderlich | Keine gesetzliche Pflicht | Ja, in bestimmten Fällen (Art. 37) | Empfohlen, nicht obligatorisch |
| Mechanismus für grenzüberschreitende Übermittlung | Kein spezifischer Mechanismus | SCC, BCR, Angemessenheitsbeschlüsse | Angemessenheitsliste, SCC, BCR |
Statistiken und Quellen
Gemäss dem IAPP U.S. State Privacy Legislation Tracker hatten per Januar 2026 19 Bundesstaaten umfassende Datenschutzgesetze in Kraft, weitere wurden erlassen und warten auf ihr Inkrafttreten. Die CPPA meldete während ihrer Vorstandssitzung im September 2025 Hunderte offene Untersuchungen. Inflationsbereinigte Bussgeldbeträge (2'663 $ fahrlässig; 7'988 $ vorsätzlich) traten am 01.01.2025 in Kraft. Das NIST Privacy Framework (nist.gov) bietet ein freiwilliges Instrument, das Organisationen zur Identifizierung und Steuerung von Datenschutzrisiken parallel zur CCPA-Compliance nutzen können. Die Leitlinien des Europäischen Datenschutzausschusses zu internationalen Übermittlungen (edpb.europa.eu) bleiben für Organisationen relevant, die sowohl DSGVO- als auch CCPA-Pflichten über Jurisdiktionen hinweg erfüllen.