Die vollständige CPRA-Anforderungs-Checkliste: 47 Massnahmen, die Ihre Organisation einsatzbereit haben muss
Die meisten Organisationen halten sich für CPRA-konform. Unsere Checkliste deckt die Anforderungen auf, die oft übersehen werden — besonders bei Unternehmen mit mehreren Einheiten, die den Datenschutz über Tochtergesellschaften und Rechtsräume hinweg steuern.
Warum eine CPRA-Anforderungs-Checkliste wichtiger ist, als Sie denken
Die CPRA hat den CCPA nicht nur angepasst. Sie hat die kalifornische Datenschutz-Vollstreckung neu definiert — und Organisationen, die davon ausgingen, ihre bisherige Compliance-Haltung gelte weiter, sind nun exponiert.
Vollstreckung ist jetzt proaktiv
Die CPPA wartet nicht mehr auf Beschwerden
Die California Privacy Protection Agency hat sich von der reaktiven Bearbeitung von Beschwerden hin zu proaktiven Audits und gemeinsamen Vollstreckungsaktionen gewandelt. Im September 2025 leiteten Kalifornien, Colorado und Connecticut eine gemeinsame Untersuchung gegen Unternehmen ein, die Global-Privacy-Control-Signale nicht beachten.
Die CPPA meldete an ihrer Vorstandssitzung im September 2025 Hunderte laufender Untersuchungen, von denen viele Unternehmen betreffen, die noch nicht wissen, dass sie unter Beobachtung stehen. Neue Vorschriften zu Cybersicherheits-Audits, Risikobeurteilungen und automatisierten Entscheidungen sind am 01.01.2026 in Kraft getreten.
$1,35 Mio.
Höchste CPPA-Busse bis dato, gegen Tractor Supply Company (September 2025)
Die Bussen-Rechnung
Bussen pro Verstoss summieren sich schnell
Per 2025 hat die CPPA die zivilrechtlichen Bussen auf $2'663 pro unbeabsichtigtem Verstoss und $7'988 pro vorsätzlichem Verstoss oder Verstoss, der Minderjährige betrifft, angepasst. Diese Beträge werden pro Konsumentin oder Konsument und pro Vorfall berechnet — das heisst, eine einzige systematische Lücke über Ihre kalifornische Konsumentenbasis hinweg kann zu einem theoretischen Risiko in sieben- oder achtstelliger Höhe eskalieren.
Die CPRA hat zudem die zuvor unter dem CCPA geltende verpflichtende 30-Tage-Nachbesserungsfrist abgeschafft. Ob ein Unternehmen Zeit erhält, einen Verstoss zu beheben, liegt nun vollständig im Ermessen der Vollstreckungsbehörde.
$7'988
Maximum pro vorsätzlichem Verstoss (per Januar 2025 an den CPI angepasst, gemäss CPPA-Mitteilung)
Komplexität bei mehreren Einheiten
Tochtergesellschaften vervielfachen Ihre Risikofläche
Wenn Ihre Organisation über Tochtergesellschaften, Geschäftseinheiten oder Rechtsräume hinweg tätig ist, kann jede Einheit eigene Verarbeitungstätigkeiten, Lieferantenbeziehungen und Konsumentenkontaktpunkte haben. Der CCPA gilt für von erfassten Unternehmen kontrollierte Einheiten sowie für Joint Ventures und Partnerschaften — eine einmal angewandte Checkliste auf Konzernebene reicht also nicht aus.
Auch die Vollstreckung wird grenzüberschreitend. Gemeinsame Untersuchungen mehrerer Bundesstaaten bedeuten, dass Unternehmen, die in mehreren Staaten tätig sind, nicht länger davon ausgehen können, dass die Vollstreckung in einzelnen Rechtsräumen isoliert bleibt. Jede Einheit benötigt eine eigenständige Überprüfung der Compliance.
3 Bundesstaaten
Kalifornien, Colorado und Connecticut starteten im September 2025 gemeinsame Vollstreckungsaktionen
Datenschutzteams sind am Limit. Die meisten Organisationen haben keine dedizierten CPRA-Spezialisten. Der Datenschutzbeauftragte oder die Datenschutzverantwortliche jongliert gleichzeitig mit der DSGVO, einem wachsenden Flickenteppich von US-Staatsgesetzen und branchenspezifischen Vorschriften.
Genau deshalb haben wir diese Checkliste erstellt: um Datenschutzteams ein einziges, strukturiertes Dokument an die Hand zu geben, das jede CPRA-Anforderung mit einer konkreten Massnahme verknüpft.
Belegte Kundenergebnisse
Die Zahlen hinter konzernweitem Datenschutz, richtig umgesetzt
200+
eingesparte Stunden bei der ISO-27001-Vorbereitung
Medtec nutzte Priverion, um den Aufwand für Dokumentation und Nachweissammlung zu reduzieren, der Organisationen bei manueller Erledigung üblicherweise 6 bis 12 Monate kostet.
Medtec, ISO-27001-Vorbereitung
60%
weniger Aufwand für Compliance-Administration
Ein Flugzeughersteller eliminierte in den ersten 6 Monaten manuelle Aktualisierungen des Verarbeitungsverzeichnisses über mehrere Tochtergesellschaften hinweg — während Enterprise-Datenschutzplattformen wie OneTrust für Mid-Market-Einführungen jährlich bis zu sechsstellige Beträge kosten können.
Flugzeughersteller, erste 6 Monate mit Priverion
100%
Rezertifizierungsquote des Verarbeitungsverzeichnisses, vollständig automatisiert
AXA erreichte eine vollständige automatisierte Rezertifizierung über alle Verarbeitungstätigkeiten hinweg und ersetzte damit die manuellen Tabellen-Workflows, die Artikel 30 DSGVO jederzeit korrekt und aktuell verlangt.
AXA, automatisierte Rezertifizierung des Verarbeitungsverzeichnisses
Warum Mid-Market-Teams von OneTrust wechseln
OneTrust ist eine leistungsstarke Enterprise-Plattform. Für Mid-Market-Organisationen, die den Datenschutz über mehrere Einheiten hinweg steuern, bedeutet das jedoch oft, für Komplexität zu bezahlen, die Sie nie nutzen. So schneidet Priverion dort ab, wo es am meisten zählt.
Priverion
Schweizer Datensouveränität, garantiert
In der Schweiz entwickelt und gehostet. Die gesamte Datenverarbeitung bleibt innerhalb der Schweizer Infrastruktur, geschützt vor extraterritorialen Zugriffsgesetzen wie dem US CLOUD Act und FISA Section 702. In einer Welt nach Schrems II ist das kein Marketing-Häkchen.
Einsatzbereit in Wochen, nicht Monaten
Priverion ist eigens für das Datenschutzmanagement über mehrere Einheiten hinweg konzipiert. Keine wochenlange Workflow-Konfiguration, kein dediziertes Implementierungsteam erforderlich. Ein Flugzeughersteller war innerhalb von sechs Monaten vollständig einsatzbereit und verzeichnete eine Reduktion des Compliance-Administrationsaufwands um 60%.
Flugzeughersteller, erste 6 Monate
Planbare, transparente Preise
Preise basieren auf der Anzahl der Unternehmen und der Organisationsgrösse. Keine Gebühren pro Nutzer, keine Fallstricke durch modulweise Erweiterung. Sie wissen, was Sie dieses und nächstes Jahr bezahlen.
All-in-one für Datenschutzprogramme
Verwaltung des Verarbeitungsverzeichnisses, DSFA-/TIA-Automatisierung, Lieferantenrisiko-Beurteilungen, Incident-Management, Bearbeitung von Betroffenenanfragen, einheitenübergreifende Datenkartierung und vorstandstaugliche Dashboards. Eine Plattform, ein Preis. Keine Modul-Upsells.
KI-gestützt, vom Menschen kontrolliert
KI hilft beim Entwurf von DSFA und der Bewertung von Risiken, doch jedes Ergebnis wird geprüft, bevor es zu einem Compliance-Nachweis wird. Es werden keine Kundendaten für das Modelltraining verwendet. Die KI unterstützt, der Mensch entscheidet.
Typische Enterprise-Plattform
US-Hauptsitz, US-Rechtshoheit
Selbst wenn Daten in EU-Rechenzentren gespeichert werden, unterliegen Anbieter mit US-Hauptsitz weiterhin dem CLOUD Act. Wie der Geschäftsführer von Microsoft Frankreich 2025 vor dem französischen Senat aussagte, können US-Anbieter nicht garantieren, dass die Daten von EU-Bürgerinnen und -Bürgern vor dem Zugriff durch US-Behörden sicher sind.
Quelle: Aussage vor dem französischen Senat, 2025
Komplexe Einrichtung, steile Lernkurve
Rezensentinnen und Rezensenten weisen durchgehend auf wochenlange Konfigurationszeiten und erheblichen Schulungsbedarf hin. Ein Mid-Market-Nutzer auf G2 berichtete, die Oberfläche „kann überladen wirken", und nannte „den hohen Preis und die steile Lernkurve" als Nachteile. Implementierungsdienstleistungen können allein im ersten Jahr zusätzlich $10'000 bis $50'000 kosten.
Nutzerbewertungen auf G2 und Capterra, 2025; Enzuzo-Preisanalyse, März 2026
Undurchsichtige, modulare Preise, die eskalieren
Keine öffentlichen Preise. Jedes Modul wird nach eigener Kennzahl abgerechnet. Mid-Market-Organisationen (1'000 bis 5'000 Mitarbeitende) können mit $40'000 bis $120'000 pro Jahr rechnen, mit Preisen, die „aufblähen können, sobald Sie die Module hinzufügen, die Sie tatsächlich benötigen". OneTrust veröffentlicht keine Listenpreise; Käufer sollten vorab ein mehrjähriges Angebot über alle Module und Lizenzplätze anfordern.
Vendr-Preisdaten, Februar 2026; Enzuzo, März 2026
Funktionsüberladung über mehr als 5 Produktlinien
Enterprise-Plattformen bieten ESG, Ethik-Hotlines, Cookie-Einwilligung und über 200 Integrationen. Wenn Sie all das benötigen, sind sie die richtige Wahl. Doch die meisten Mid-Market-Datenschutzteams bezahlen am Ende für Funktionen, die sie nie nutzen.
KI-Fähigkeiten mit weniger Transparenz
Grosse Plattformanbieter bieten KI-Funktionen, doch oft ist unklar, wo die Daten verarbeitet werden, ob sie für das Training verwendet werden und wie viel menschliche Aufsicht erhalten bleibt. Für Compliance-Nachweise schafft diese Intransparenz ein Risiko.
Wir sind ehrlich, was wir nicht abdecken: ESG, Ethik-Hotlines und Cookie-Einwilligung liegen ausserhalb unseres Umfangs. Unsere Stärke ist das konzernweite Datenschutzmanagement für Organisationen mit mehreren Einheiten und Rechtsräumen.
Wenn das die Herausforderung ist, die Sie lösen, sprechen wir miteinander.
30-minütige Demo buchenCPRA-Anforderungs-Checkliste: 2026-Compliance in einem Dokument
Neue CPPA-Vorschriften sind am 01.01.2026 in Kraft getreten und führen verpflichtende Risikobeurteilungen, Fristen für Cybersicherheits-Audits und ADMT-Pflichten ein. Diese Checkliste deckt ab, was Ihr Compliance-Team jetzt überprüfen muss.
In der Checkliste finden Sie:
- + Vollständige Anwendbarkeitskriterien: Umsatzschwellen, Konsumentenvolumen und Auslöser bei der Verarbeitung sensibler Daten, die bestimmen, ob die CPRA für Ihre Organisation gilt
- + Anforderungen an Datenkartierung, DSAR-Workflow und Lieferantenverträge, einschliesslich der 5-Tage-Benachrichtigungsklausel für Dienstleister und aktualisierter Mechanismen zur Beschränkung sensibler personenbezogener Daten (SPI)
- + Gestaffelte Fristen für Cybersicherheits-Audits nach Umsatzstufe (April 2028 für Unternehmen über $100 Mio., bis April 2030 für kleinere Organisationen) und Einreichungsfristen für Risikobeurteilungen
- + Referenzleitfaden zu Bussen mit aktuellen Bussenhöhen (bis zu $7'988 pro vorsätzlichem Verstoss), damit Sie das Risiko der Geschäftsleitung in finanziellen Begriffen vermitteln können
Die CPPA hat diese Vorschriften im September 2025 finalisiert und Hunderte laufender Untersuchungen gemeldet, darunter den rekordverdächtigen Vergleich über $1,35 Millionen mit Tractor Supply Company. Die Vollstreckung ist nicht hypothetisch.
Quellen: CPPA-Vollstreckungsunterlagen (September 2025), finalisierte CPPA-Vorschriften (Januar 2026).
Checkliste erhalten
Deckt alle CPRA-Pflichten für 2026 in einem einzigen, umsetzbaren PDF ab.
Kostenloses PDF. Keine Demo erforderlich. Wir senden es an Ihren Posteingang.
Warum das jetzt zählt
Die CPPA hat die 30-Tage-Nachbesserungsfrist abgeschafft. Es gibt kein Mahnschreiben, bevor die Bussen beginnen. Organisationen, die kalifornische Konsumentendaten über mehrere Einheiten hinweg steuern, benötigen dokumentierte Compliance — nicht den Plan, später damit anzufangen.
Häufig gestellte Fragen zur CPRA-Compliance
Was ist der Unterschied zwischen dem CCPA und der CPRA?
Die CPRA (California Privacy Rights Act) hat den CCPA erheblich geändert und erweitert. Zu den wesentlichen Änderungen zählen die Schaffung der California Privacy Protection Agency (CPPA) als dedizierte Vollstreckungsbehörde, neue Kategorien sensibler personenbezogener Daten mit spezifischen Konsumentenrechten, verpflichtende Risikobeurteilungen für Verarbeitungen mit hohem Risiko, das Recht auf Berichtigung und Einschränkung der Nutzung sensibler Daten sowie die Abschaffung der 30-Tage-Nachbesserungsfrist bei Verstössen. Die CPRA trat am 01.01.2023 in Kraft und gilt für Daten, die am oder nach dem 01.01.2022 erhoben wurden.
Für wen gilt die CPRA?
Die CPRA gilt für gewinnorientierte Unternehmen, die personenbezogene Daten kalifornischer Konsumentinnen und Konsumenten erheben und mindestens eine von drei Schwellen erfüllen: einen jährlichen Bruttoumsatz von über $25 Millionen im vorangegangenen Kalenderjahr, den Kauf, Verkauf oder die Weitergabe personenbezogener Daten von 100'000 oder mehr Konsumenten oder Haushalten pro Jahr oder die Erzielung von 50% oder mehr des Jahresumsatzes aus dem Verkauf oder der Weitergabe personenbezogener Daten. Wichtig ist, dass die CPRA auch für von erfassten Unternehmen kontrollierte Einheiten gilt, einschliesslich Tochtergesellschaften und Joint Ventures — weshalb Organisationen mit mehreren Einheiten besonders komplexen Compliance-Anforderungen gegenüberstehen.
Welche Bussen drohen bei Nichteinhaltung der CPRA?
Per Januar 2025 (an den CPI angepasst) betragen die Bussen $2'663 pro unbeabsichtigtem Verstoss und $7'988 pro vorsätzlichem Verstoss oder Verstössen, die Minderjährige betreffen. Diese werden pro Konsumentin oder Konsument und pro Vorfall berechnet, ohne Gesamtobergrenze. Die höchste CPPA-Busse bis dato betrug $1,35 Millionen gegen Tractor Supply Company im September 2025. Die CPRA erhält zudem das private Klagerecht bei Datenschutzverletzungen aufrecht, die aus dem Versäumnis resultieren, angemessene Sicherheitsmassnahmen umzusetzen — dabei können Konsumenten zwischen $100 und $750 pro Vorfall oder den tatsächlichen Schaden geltend machen, je nachdem, welcher Betrag höher ist.
Welche neuen CPRA-Vorschriften sind 2026 in Kraft getreten?
Die von der CPPA im September 2025 finalisierten Vorschriften sind am 01.01.2026 in Kraft getreten. Sie decken drei Hauptbereiche ab: verpflichtende Cybersicherheits-Audits (gestaffelt nach Umsatzstufe, wobei Unternehmen mit einem Umsatz von über $100 Mio. ihr erstes Audit bis April 2028 abschliessen müssen und kleinere Organisationen bis April 2030), Risikobeurteilungen für Verarbeitungstätigkeiten, die ein erhebliches Risiko für die Privatsphäre der Konsumenten darstellen, sowie Pflichten zu automatisierten Entscheidungstechnologien (ADMT), einschliesslich Widerspruchsrechten der Konsumenten und Vorab-Hinweisen für Profiling und wesentliche Entscheidungen.
Wie unterstützt Priverion die CPRA-Compliance für Organisationen mit mehreren Einheiten?
Priverion bietet konzernweites Datenschutzmanagement über alle Tochtergesellschaften und Einheiten hinweg aus einer einzigen Plattform. Speziell für die CPRA-Compliance umfasst dies die automatisierte Verwaltung und Rezertifizierung des Verarbeitungsverzeichnisses über Einheiten hinweg (ein Flugzeughersteller reduzierte den Compliance-Administrationsaufwand in den ersten 6 Monaten um 60%), den KI-gestützten Entwurf von DSFA und Risikobeurteilungen zur Erfüllung der neuen Anforderungen für 2026, Lieferantenrisiko-Beurteilungen und Drittparteien-Vertragsmanagement, Incident-Management und Workflows zur Meldung von Datenschutzverletzungen, die Bearbeitung von Betroffenenanfragen über Einheiten hinweg sowie einheitenübergreifende Datenkartierung für konzernweite Sichtbarkeit. Alle Daten werden innerhalb der Schweizer Infrastruktur mit vollständiger Datensouveränitätsgarantie verarbeitet.
Gilt die CPRA auch für Unternehmen ausserhalb Kaliforniens?
Ja. Die CPRA gilt für jedes gewinnorientierte Unternehmen, das die Umsatz- oder Datenverarbeitungsschwellen erfüllt und personenbezogene Daten von kalifornischen Konsumentinnen und Konsumenten erhebt — unabhängig davon, wo das Unternehmen seinen Hauptsitz hat. Dies schliesst europäische und internationale Unternehmen ein, die mit kalifornischen Einwohnern Geschäfte machen. Bei Organisationen mit mehreren Einheiten benötigt möglicherweise jede Tochtergesellschaft mit Kontaktpunkten zu kalifornischen Konsumenten eine eigenständige Compliance-Überprüfung. Die gemeinsame Vollstreckungsaktion zwischen Kalifornien, Colorado und Connecticut im September 2025 zeigte zudem, dass die staatliche Datenschutz-Vollstreckung zunehmend über Rechtsräume hinweg koordiniert wird.
Was deckt diese Checkliste ab, das generische CPRA-Leitfäden nicht abdecken?
Unsere Checkliste bildet alle 47 spezifischen Massnahmen-Anforderungen mit umsetzbaren Überprüfungsschritten ab, einschliesslich der Vorschriften für 2026, die die meisten bestehenden Leitfäden noch nicht berücksichtigt haben. Sie deckt gestaffelte Fristen für Cybersicherheits-Audits nach Umsatzstufe, die neuen ADMT-Pflichten, die aktualisierten Anforderungen an Risikobeurteilungen sowie die spezifischen Dienstleister-Vertragsklauseln (einschliesslich der 5-Tage-Benachrichtigungspflicht) ab, die Organisationen mit mehreren Einheiten über jede Lieferantenbeziehung in jeder Tochtergesellschaft hinweg überprüfen müssen. Jede Massnahme enthält die einschlägige regulatorische Quellenangabe, damit Ihr Rechtsteam sie eigenständig überprüfen kann.
Ihre Compliance-Haltung kann nicht warten
Hören Sie auf, Datenschutz-Compliance über Tabellen zu steuern. Beginnen Sie, ruhig zu schlafen.
Allein im Jahr 2025 erreichten die DSGVO-Bussen €1,2 Milliarden, und europäische Behörden bearbeiten inzwischen über 400 Meldungen von Datenschutzverletzungen pro Tag. Für Organisationen mit mehreren Einheiten war die Fehlertoleranz noch nie so gering. In 30 Minuten zeigen wir Ihnen, wie Priverion fragmentierte Tools und manuelle Prozesse durch automatisiertes, konzernweites Datenschutzmanagement ersetzt.
60%
weniger Compliance-Administrationsaufwand
Flugzeughersteller, erste 6 Monate
200+
eingesparte Stunden bei der ISO-27001-Vorbereitung
Medtec
100%
Rezertifizierungsquote des Verarbeitungsverzeichnisses
AXA, vollständig automatisiert
In der Schweiz entwickelt. In der Schweiz gehostet. KI-gestützt mit vollständiger menschlicher Aufsicht. Keine Kundendaten für das Modelltraining verwendet. Planbare Preise ohne Pro-Nutzer-Fallstricke.
Keine Verpflichtung erforderlich. Erleben Sie echte Kunden-Workflows in einer Live-Umgebung.
The Privacy Compliance Briefing
Monatliche Einblicke in die DSGVO-Vollstreckung, revDSG-Aktualisierungen und Automatisierungsstrategien für Datenschutzbeauftragte und Compliance-Teams.
Kein Spam. Jederzeit abbestellbar.


