Compliance-Frist: 22.04.2026

COPPA-Compliance-Anforderungen 2026: Der vollständige Leitfaden für Datenschutzteams

Die geänderte COPPA-Regel der FTC, am 22.04.2025 im Federal Register veröffentlicht, führt umfassende neue Pflichten für Betreiber ein, die Daten von Kindern verarbeiten. Von erweiterten Definitionen personenbezogener Daten über verpflichtende schriftliche Sicherheitsprogramme bis hin zur separaten elterlichen Einwilligung für die Weitergabe an Dritte: Die Anforderungen treten am 22.04.2026 vollständig in Kraft. Wenn Ihre Organisation Daten von Nutzern unter 13 Jahren erhebt, verarbeitet oder weitergibt, finden Sie hier genau, was Sie vor Beginn der Durchsetzung wissen und tun müssen.

53'088 USD

Pro Verstoss, pro Tag. FTC COPPA FAQ, 2025

5-0

Einstimmiges FTC-Votum zur Annahme der Änderungen, Jan. 2025

22.04.2026

Vollständige Compliance-Frist für Betreiber. Federal Register, April 2025

Dieser Leitfaden wird von Priverion herausgegeben, einer Plattform für das Management von Datenschutzprogrammen, die von Organisationen mit mehreren Einheiten genutzt wird, um regulatorische Änderungen wie COPPA über Tochtergesellschaften, Produkte und Rechtsräume hinweg zu operationalisieren.

Zeitachse der COPPA-Regel

1998

COPPA vom Kongress erlassen

2013

Erste grosse Regelaktualisierung (Mobile, Social)

Jan. 2025

FTC stimmt 5-0 über finale Änderungen ab

Apr. 2025

Im Federal Register veröffentlicht; wirksam ab 23. Juni

22.04.2026

Vollständige Compliance-Frist für Betreiber

Quelle: Federal Register, 16 CFR Part 312, 22.04.2025

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Wichtige Anforderungen bis 22.04.2026

Jede COPPA-Compliance-Anforderung, die Sie erfüllen müssen

Die geänderte COPPA-Regel der FTC wurde am 22.04.2025 im Federal Register veröffentlicht, und betroffene Betreiber müssen bis zum 22.04.2026 die vollständige Compliance erreichen. Hier sind die acht Anforderungsbereiche, die Ihr Datenschutzteam adressieren muss.

Neu in 2026

Separate Einwilligung für die Weitergabe an Dritte

Betreiber müssen eine separate, überprüfbare elterliche Einwilligung einholen, bevor sie personenbezogene Daten von Kindern an Dritte für Zwecke weitergeben, die für den Dienst nicht wesentlich sind, etwa für gezielte Werbung. Eine gebündelte Einwilligung genügt nicht mehr.

Das bedeutet, dass Ihre Einwilligungsarchitektur granulare, zweckspezifische Auswahlmöglichkeiten unterstützen muss und jedes Einwilligungsereignis in Ihrem Verarbeitungsverzeichnis dokumentiert werden muss.

Quelle: FTC Final Rule, 16 CFR Part 312, Federal Register, 22.04.2025

Aktualisiert in 2026

Erweiterte Definition personenbezogener Daten

Die Definition umfasst nun ausdrücklich biometrische Identifikatoren (Fingerabdrücke, Stimmprofile, Gesichtsvorlagen, Irismuster, genetische Daten) und behördlich ausgestellte Identifikatoren (Sozialversicherungsnummern, Reisepässe, Geburtsurkunden).

Ihre Datenbestände und Verzeichnisse von Verarbeitungstätigkeiten müssen aktualisiert werden, um diese erweiterten Kategorien über jedes Produkt und jede Einheit hinweg zu erfassen.

Quelle: FTC Final Rule Amendments, veröffentlicht am 16.01.2025; Federal Register, 22.04.2025

Neu in 2026

Schriftliche Aufbewahrungsrichtlinien

Betreiber dürfen personenbezogene Daten von Kindern nicht länger aufbewahren, als zur Erfüllung dokumentierter Zwecke erforderlich ist. Sie müssen eine schriftliche Aufbewahrungsrichtlinie erstellen, umsetzen und pflegen, die Erhebungszwecke, geschäftlichen Bedarf und Löschfristen festlegt.

Die Aufbewahrungsrichtlinie muss zudem in Ihrer COPPA-Datenschutzerklärung veröffentlicht werden, wodurch eine direkte Verbindung zwischen interner Richtlinie und öffentlicher Offenlegung entsteht.

Quelle: Hunton Andrews Kurth, Analyse der FTC Final COPPA Rule Amendments, April 2025

Neu in 2026

Verpflichtende schriftliche Sicherheitsprogramme

Betreiber müssen ein schriftliches Informationssicherheitsprogramm mit Schutzmassnahmen erstellen, umsetzen und pflegen, die der Sensibilität der von Kindern erhobenen Daten angemessen sind. Die FTC stellte klar, dass kein separates Programm erforderlich ist, wenn Ihr bestehendes bereits die Daten von Kindern abdeckt.

Dies erfordert dokumentierte Sicherheitsmassnahmen, die Aufsicht über Anbieter von Drittanbieter-SDKs sowie gepflegte Verfahren zur Reaktion auf Datenpannen, die jederzeit überprüfbar sind.

Quelle: Latham & Watkins, Analyse der FTC COPPA Rule Updates, Mai 2025

Aktualisiert in 2026

Neue Methoden für die überprüfbare elterliche Einwilligung

Die Final Rule fügt neue zugelassene Methoden zur Einholung der überprüfbaren elterlichen Einwilligung hinzu, darunter die Verifizierung per SMS und die wissensbasierte Authentifizierung. Organisationen müssen dokumentieren, welche Methode für jede Verarbeitungstätigkeit verwendet wird, und Nachweise der Einwilligung aufbewahren.

Das Management des Einwilligungslebenszyklus, einschliesslich Widerruf und erneuter Verifizierung, wird beim Management mehrerer Produkte oder Einheiten operativ entscheidend.

Quelle: BBB National Programs / CARU, COPPA Amendments Guidance, Januar 2026

Aktualisiert in 2026

Verschärfte Informationspflichten

Betreiber müssen Eltern transparentere direkte Hinweise geben, einschliesslich der Offenlegung, wie die personenbezogenen Daten von Kindern verwendet werden, der Identitäten der Drittempfänger und der Aufbewahrungspraktiken des Betreibers. Dies geht über die frühere Anforderung hinaus, allein die Datenkategorien aufzulisten.

Für Organisationen mit mehreren Produkten oder Tochtergesellschaften ist es eine echte operative Herausforderung, über jeden Dienst hinweg eine konsistente und zugleich massgeschneiderte Formulierung der Hinweise zu pflegen.

Quelle: FTC Final Rule, 16 CFR Part 312; Wiley Rein, Analyse, Januar 2025

Strengere Durchsetzung

Rechenschaftspflicht der Safe-Harbor-Programme

Von der FTC genehmigte COPPA-Safe-Harbor-Programme müssen nun Mitgliederlisten öffentlich veröffentlichen, detaillierte Jahresberichte einreichen (einschliesslich Disziplinarmassnahmen und Verbraucherbeschwerden) und alle drei Jahre über ihre technologischen Fähigkeiten berichten.

Wenn sich Ihre Organisation für die Compliance auf ein Safe-Harbor-Programm stützt, prüfen Sie, ob Ihr Programm die neuen Transparenzanforderungen erfüllt. Die Teilnahme an einem Safe-Harbor-Programm ersetzt nicht die interne Compliance-Dokumentation.

Quelle: Wiley Rein, FTC Adopts Amended COPPA Rule, Januar 2025

Neu in 2026

Definition von Websites mit gemischtem Publikum

Die Final Rule definiert erstmals formell den Begriff der «Website oder des Online-Dienstes mit gemischtem Publikum» und stellt klar, dass solche Dienste begrenzte personenbezogene Daten erheben dürfen, bevor das Alter eines Besuchers bestimmt wird, jedoch nur für bestimmte zulässige Zwecke wie die elterliche Benachrichtigung oder den Schutz der Sicherheit eines Kindes.

Websites für ein allgemeines Publikum, die Kinder anziehen, müssen prüfen, ob sie als «gemischtes Publikum» gelten, und entsprechend Altersverifizierung und Datenflüsse umsetzen.

Quelle: Morrison Foerster, COPPA Rule Updates Analysis, Februar 2025

Durchsetzungskontext

Steigende Bussen: Es steht viel auf dem Spiel

Gerichte können Zivilbussen von bis zu 53'088 USD pro Verstoss und Tag verhängen. Die jüngste Durchsetzung durch die FTC richtete sich gegen grosse Unternehmen: Disney einigte sich 2025 auf 10 Millionen USD, und die FTC verfolgte weiterhin Verfahren sowohl nach der früheren als auch nach der geänderten COPPA-Regel.

Die Durchsetzung des Kinderdatenschutzes ist eine überparteiliche Priorität. Die geänderte Regel wurde 5-0 angenommen, und der derzeitige FTC-Vorsitzende hat signalisiert, dass die aggressive Durchsetzung fortgesetzt wird.

Quelle: FTC COPPA Final Rule Amendments, Federal Register; Reed Smith, Durchsetzungsanalyse, September 2025

Sie verwalten diese Anforderungen über mehrere Produkte, Tochtergesellschaften oder Rechtsräume hinweg? Priverion automatisiert Aktualisierungen des Verarbeitungsverzeichnisses, Anbieterbewertungen und die Dokumentation von Einwilligungen, damit sich Ihr Datenschutzteam auf die Strategie konzentrieren kann statt auf Tabellen.

Eine 30-minütige Demo buchen

Echte Ergebnisse von echten Kunden

Die Zahlen, die für Compliance-Teams zählen

200+

Eingesparte Stunden bei der ISO-27001-Vorbereitung

Medtec sparte Wochen manueller Dokumentation, Richtlinienerstellung und Nachweissammlung ein. Zeit, die wieder in die Arbeit am Patienten floss.

Medtec, Vorbereitungsphase ISO 27001

60%

Weniger administrative Compliance-Zeit

Ein Flugzeughersteller ersetzte tabellengestützte Aktualisierungen des Verarbeitungsverzeichnisses über mehrere Tochtergesellschaften hinweg durch eine automatisierte Rezertifizierung, und das innerhalb von sechs Monaten nach dem Go-live.

Flugzeughersteller, erste 6 Monate mit Priverion

Wochen

Bis zur vollständigen Einführung, nicht Monate

Eine ISO-27001-Zertifizierung dauert typischerweise 6 bis 12 Monate. Priverion-Kunden berichten, dass sie mit vorgefertigten Frameworks und automatisierter Nachweissammlung Monate früher als geplant auditbereit sind.

Branchendurchschnitt: Vanta, ISO-27001-Zeitachsen-Recherche

Vorhersehbare Preise basierend auf Anzahl und Grösse der Unternehmen. Keine Gebühren pro Nutzer, keine Fallen durch modulweise Erweiterung.

Sehen Sie, wie diese Zahlen für Ihre Organisation gelten
Vergleich

Warum Mid-Market-Teams von OneTrust wechseln

Datenschutzmanagement auf Enterprise-Niveau sollte keine Enterprise-Budgets, Berater oder monatelange Implementierung erfordern. So sieht der Unterschied in der Praxis aus.

Priverion

Schweizer Datensouveränität, von Grund auf integriert

In der Schweiz entwickelt, in der Schweiz gehostet. Die gesamte Datenverarbeitung bleibt innerhalb der Schweizer Infrastruktur, der die Europäische Kommission ein angemessenes Datenschutzniveau zuerkennt. In einem regulatorischen Umfeld, in dem das EU-US Data Privacy Framework anhaltender rechtlicher Unsicherheit ausgesetzt ist, eliminiert Schweizer Hosting das Risiko grenzüberschreitender Datenübermittlung von vornherein.

Die Schweiz verfügt über einen EU-Angemessenheitsbeschluss nach der DSGVO (Quelle: Europäische Kommission)

Vorhersehbare, transparente Preise

Bepreist nach Anzahl der Einheiten und Unternehmensgrösse, nicht pro Nutzer oder pro Modul. Keine Erweiterungsfallen, keine überraschenden Preiserhöhungen, keine separaten Implementierungsgebühren. Sie wissen, was Sie dieses und nächstes Jahr zahlen.

Einsatzbereit in Wochen, nicht Monaten

Ein Flugzeughersteller erreichte innerhalb der ersten sechs Monate eine Reduktion der administrativen Compliance-Zeit um 60%. AXA erreichte eine vollständig automatisierte Rezertifizierung des Verarbeitungsverzeichnisses zu 100%. Ihr Datenschutzbeauftragter bekommt seine Freitagnachmittage zurück.

Kundenergebnisse von Flugzeughersteller und AXA (von Priverion verifiziert)

Entwickelt für Gruppen mit mehreren Einheiten

Management des Verarbeitungsverzeichnisses, DSFA-Automatisierung, Anbieterrisiko, Vorfall-Workflows, Bearbeitung von Betroffenenanfragen und einheitenübergreifendes Datenmapping in einer Plattform. Speziell entwickelt für Organisationen, die Compliance über mehrere Tochtergesellschaften und Rechtsräume hinweg managen.

KI-unterstützt, vom Menschen entschieden

Die KI entwirft DSFA, bewertet Risiken und ordnet regulatorische Anforderungen zu. Alle Ergebnisse werden geprüft, bevor sie zu Compliance-Aufzeichnungen werden. Es werden keine Kundendaten für das Modelltraining verwendet. Jede Entscheidung bleibt bei Ihrem Team.

Typische Enterprise-Plattform

US-gehostet, Übermittlungsrisiko inklusive

Die meisten Enterprise-Datenschutzplattformen haben ihren Hauptsitz in den USA und werden dort gehostet. Nach dem CLOUD Act müssen US-Anbieter Anforderungen zur Datenoffenlegung nachkommen, selbst wenn dies gegen ausländisches Recht verstösst. Standardvertragsklauseln allein können diesen strukturellen Konflikt nicht aufheben.

EDSA-Empfehlungen 01/2020 zu ergänzenden Übermittlungsmassnahmen

Intransparente, modulare Preise

Mid-Market-Organisationen berichten von jährlichen Kosten von 40'000 bis 120'000 USD pro Jahr allein für die Datenschutzautomatisierung, wobei Implementierungsgebühren zusätzlich 20 bis 40% draufschlagen. Jedes Modul wird nach seiner eigenen Metrik abgerechnet, was bedeutet, dass die Kosten auf unerwartete Weise steigen können, wenn Teams oder Datenbestände wachsen.

Vendr-Marktdaten, Februar 2026; Enzuzo-Preisanalyse, März 2026

Wochen der Konfiguration erforderlich

Nutzer berichten durchgängig von steilen Lernkurven und komplexen Einrichtungsprozessen. Das Konfigurieren von Workflows und das Mapping von Daten dauert häufig mehrere Wochen, wobei kleinere Teams die Plattform als besonders schwierig zu pflegen empfinden.

Basierend auf aggregierten Nutzerbewertungen (G2, Capterra, 2025-2026)

Entwickelt für Fortune-500-Käufer

Umfassende Funktionssets, die GRC, ESG, Ethik-Hotlines und Cookie-Einwilligung abdecken. Für Mid-Market-Datenschutzteams bedeutet das, für Funktionen zu zahlen, die Sie nicht benötigen, während Sie sich durch eine überladene Oberfläche bewegen, die für eine andere Organisationsgrösse konzipiert ist.

200+ Integrationen, variable Tiefe

Umfangreiche Konnektor-Bibliotheken wirken auf dem Papier beeindruckend, doch Organisationen benötigen häufig eigene technische Teams, um sie zu implementieren und zu pflegen. Breite bedeutet nicht immer Tiefe für die Systeme, die für Datenschutz-Workflows am wichtigsten sind.

Der regulatorische Kontext: Warum der Datenstandort wichtiger ist denn je

Die kumulierten DSGVO-Bussen übersteigen mittlerweile 7,1 Milliarden Euro, davon allein 1,2 Milliarden Euro im Jahr 2025. Europäische Datenschutzbehörden erhalten 443 Meldungen von Datenpannen pro Tag, ein Anstieg von 22% gegenüber dem Vorjahr. Im Oktober 2025 veröffentlichte die Europäische Kommission ihr Cloud Sovereignty Framework, das Souveränitätsziele für EU-Institutionen bei der Beschaffung von Cloud-Diensten definiert. Die Wahl, wo Ihre Compliance-Daten liegen, ist nicht länger optional; sie ist eine strategische Entscheidung mit direkten regulatorischen Folgen.

DLA Piper GDPR Fines and Data Breach Survey, Januar 2026; Europäische Kommission, Cloud Sovereignty Framework, Oktober 2025

7,1 Mrd. Euro

kumulierte DSGVO-Bussen seit Mai 2018

DLA Piper Survey, Januar 2026

443/Tag

Meldungen von Datenpannen an EU-Datenschutzbehörden

Anstieg von 22% gegenüber dem Vorjahr, DLA Piper, Januar 2026

Eine ehrliche Anmerkung: Wir decken weder ESG noch Ethik-Hotlines oder Cookie-Einwilligung ab. Wir sind nicht für Unternehmen mit einer einzigen Einheit gebaut. Unsere Stärke ist das gruppenweite Management von Datenschutzprogrammen für Organisationen, die es über mehrere Tochtergesellschaften hinweg richtig gemacht haben müssen.

Kostenloser Download

COPPA-Compliance-Checkliste: Was sich vor dem 22.04.2026 ändert

Die geänderte COPPA-Regel der FTC tritt am 22.04.2026 in Kraft und bringt die erste grosse Aktualisierung seit 2013. Unsere kostenlose Checkliste ordnet jede neue Anforderung konkreten Massnahmen zu, damit Sie Compliance-Lücken schliessen können, bevor die Durchsetzung beginnt.

Das erhalten Sie:

  • Audit der erweiterten Definition «personenbezogener Daten»: biometrische Identifikatoren, behördlich ausgestellte Ausweise und Mobiltelefonnummern fallen nun in den Anwendungsbereich
  • Vorlage für einen Workflow zur separaten elterlichen Einwilligung bei der Weitergabe von Daten an Dritte und bei gezielter Werbung
  • Rahmenwerk für eine schriftliche Aufbewahrungsrichtlinie mit den erforderlichen Elementen: Erhebungszwecke, Begründung des geschäftlichen Bedarfs und Löschfristen
  • Checkliste für ein schriftliches Informationssicherheitsprogramm, das die von der FTC vorgeschriebenen Schutzmassnahmen und den jährlichen Evaluierungszyklus abdeckt

Verstösse können nach dem FTC Act zu Zivilbussen von über 50'000 USD pro Verstoss führen.

Quelle: FTC COPPA Rule, 16 C.F.R. Part 312; Änderungen veröffentlicht im Federal Register, 22.04.2025.

Holen Sie sich die Checkliste

12 Seiten, die jede geänderte COPPA-Anforderung abdecken, mit Massnahmen und Fristen.

Kostenloses PDF. Keine Demo erforderlich. Wir senden es an Ihren Posteingang.

Die regulatorische Uhr tickt

Schluss mit Compliance in Tabellen. Beginnen Sie damit, sie wirklich zu managen.

Die DSGVO-Bussen übersteigen mittlerweile 7,1 Milliarden Euro, davon allein 1,2 Milliarden Euro im Jahr 2025. Europäische Aufsichtsbehörden erhalten jeden einzelnen Tag 443 Meldungen von Datenpannen. Und die EU-KI-Verordnung erreicht im August 2026 die vollständige Durchsetzung für Hochrisikosysteme. Organisationen mit mehreren Einheiten können sich manuelle Prozesse nicht länger leisten.

Quellen: DLA Piper GDPR Fines and Data Breach Survey, Januar 2026; CMS GDPR Enforcement Tracker Report 2025

60%

weniger administrative Compliance-Zeit

Flugzeughersteller, erste 6 Monate

200+

eingesparte Stunden bei der ISO-27001-Vorbereitung

Medtec

100%

automatisierte Rezertifizierung des Verarbeitungsverzeichnisses

AXA

In 30 Minuten zeigen wir Ihnen, wie Priverion das Tabellen-Chaos durch ein automatisiertes, gruppenweites Management von Datenschutzprogrammen ersetzt. In der Schweiz entwickelt, in der Schweiz gehostet, mit einer KI, die Ihre Entscheidungen unterstützt, ohne Ihre Daten jemals für das Modelltraining zu nutzen.

Buchen Sie Ihre 30-minütige Demo

Keine Verpflichtung erforderlich. Erleben Sie die Plattform mit Ihren eigenen Datenszenarien.

The Privacy Compliance Briefing

Monatliche Einblicke in die DSGVO-Durchsetzung, Aktualisierungen zum revDSG und Automatisierungsstrategien für Datenschutzbeauftragte und Compliance-Teams.

Kein Spam. Jederzeit kündbar.