CPRA-Compliance-Ressource

Die vollständige CPRA-Anforderungs-Checkliste: 47 Massnahmen, die Ihre Organisation einsatzbereit haben muss

Aktualisiert 2026-06-22
Das Wichtigste auf einen Blick: Priverion ist eine in der Schweiz gehostete GRC-Plattform, die Organisationen mit mehreren Einheiten dabei unterstützt, alle 47 CPRA-Compliance-Massnahmen — vom Verarbeitungsverzeichnis und der DSFA bis hin zu Lieferantenrisiken und der Bearbeitung von Betroffenenanfragen — an einem Ort zu steuern.

Die meisten Organisationen halten sich für CPRA-konform. Unsere Checkliste deckt die Anforderungen auf, die oft übersehen werden — besonders bei Unternehmen mit mehreren Einheiten, die den Datenschutz über Tochtergesellschaften und Rechtsräume hinweg steuern.

$2'663

pro unbeabsichtigtem Verstoss (2025, an den CPI angepasst)

Quelle: CPPA, Dez. 2024

$7'988

pro vorsätzlichem Verstoss oder Verstössen, die Minderjährige betreffen

Quelle: CPI-Anpassung der CPPA, gültig ab 01.01.2025

$1,35 Mio.

höchste CPPA-Busse bis dato (Tractor Supply, Okt. 2025)

Quelle: CPPA-Vollstreckungsentscheid, Sep. 2025

Hunderte

laufende CPPA-Untersuchungen derzeit in Bearbeitung

Quelle: CPPA-Vorstandssitzung, Sep. 2025

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Warum das jetzt zählt

Warum eine CPRA-Anforderungs-Checkliste wichtiger ist, als Sie denken

Die CPRA hat den CCPA nicht nur angepasst. Sie hat die kalifornische Datenschutz-Vollstreckung neu definiert — und Organisationen, die davon ausgingen, ihre bisherige Compliance-Haltung gelte weiter, sind nun exponiert.

Vollstreckung ist jetzt proaktiv

Die CPPA wartet nicht mehr auf Beschwerden

Die California Privacy Protection Agency hat sich von der reaktiven Bearbeitung von Beschwerden hin zu proaktiven Audits und gemeinsamen Vollstreckungsaktionen gewandelt. Im September 2025 leiteten Kalifornien, Colorado und Connecticut eine gemeinsame Untersuchung gegen Unternehmen ein, die Global-Privacy-Control-Signale nicht beachten.

Die CPPA meldete an ihrer Vorstandssitzung im September 2025 Hunderte laufender Untersuchungen, von denen viele Unternehmen betreffen, die noch nicht wissen, dass sie unter Beobachtung stehen. Neue Vorschriften zu Cybersicherheits-Audits, Risikobeurteilungen und automatisierten Entscheidungen sind am 01.01.2026 in Kraft getreten.

$1,35 Mio.

Höchste CPPA-Busse bis dato, gegen Tractor Supply Company (September 2025)

Die Bussen-Rechnung

Bussen pro Verstoss summieren sich schnell

Per 2025 hat die CPPA die zivilrechtlichen Bussen auf $2'663 pro unbeabsichtigtem Verstoss und $7'988 pro vorsätzlichem Verstoss oder Verstoss, der Minderjährige betrifft, angepasst. Diese Beträge werden pro Konsumentin oder Konsument und pro Vorfall berechnet — das heisst, eine einzige systematische Lücke über Ihre kalifornische Konsumentenbasis hinweg kann zu einem theoretischen Risiko in sieben- oder achtstelliger Höhe eskalieren.

Die CPRA hat zudem die zuvor unter dem CCPA geltende verpflichtende 30-Tage-Nachbesserungsfrist abgeschafft. Ob ein Unternehmen Zeit erhält, einen Verstoss zu beheben, liegt nun vollständig im Ermessen der Vollstreckungsbehörde.

$7'988

Maximum pro vorsätzlichem Verstoss (per Januar 2025 an den CPI angepasst, gemäss CPPA-Mitteilung)

Komplexität bei mehreren Einheiten

Tochtergesellschaften vervielfachen Ihre Risikofläche

Wenn Ihre Organisation über Tochtergesellschaften, Geschäftseinheiten oder Rechtsräume hinweg tätig ist, kann jede Einheit eigene Verarbeitungstätigkeiten, Lieferantenbeziehungen und Konsumentenkontaktpunkte haben. Der CCPA gilt für von erfassten Unternehmen kontrollierte Einheiten sowie für Joint Ventures und Partnerschaften — eine einmal angewandte Checkliste auf Konzernebene reicht also nicht aus.

Auch die Vollstreckung wird grenzüberschreitend. Gemeinsame Untersuchungen mehrerer Bundesstaaten bedeuten, dass Unternehmen, die in mehreren Staaten tätig sind, nicht länger davon ausgehen können, dass die Vollstreckung in einzelnen Rechtsräumen isoliert bleibt. Jede Einheit benötigt eine eigenständige Überprüfung der Compliance.

3 Bundesstaaten

Kalifornien, Colorado und Connecticut starteten im September 2025 gemeinsame Vollstreckungsaktionen

Datenschutzteams sind am Limit. Die meisten Organisationen haben keine dedizierten CPRA-Spezialisten. Der Datenschutzbeauftragte oder die Datenschutzverantwortliche jongliert gleichzeitig mit der DSGVO, einem wachsenden Flickenteppich von US-Staatsgesetzen und branchenspezifischen Vorschriften.

Genau deshalb haben wir diese Checkliste erstellt: um Datenschutzteams ein einziges, strukturiertes Dokument an die Hand zu geben, das jede CPRA-Anforderung mit einer konkreten Massnahme verknüpft.

Belegte Kundenergebnisse

Die Zahlen hinter konzernweitem Datenschutz, richtig umgesetzt

200+

eingesparte Stunden bei der ISO-27001-Vorbereitung

Medtec nutzte Priverion, um den Aufwand für Dokumentation und Nachweissammlung zu reduzieren, der Organisationen bei manueller Erledigung üblicherweise 6 bis 12 Monate kostet.

Medtec, ISO-27001-Vorbereitung

60%

weniger Aufwand für Compliance-Administration

Ein Flugzeughersteller eliminierte in den ersten 6 Monaten manuelle Aktualisierungen des Verarbeitungsverzeichnisses über mehrere Tochtergesellschaften hinweg — während Enterprise-Datenschutzplattformen wie OneTrust für Mid-Market-Einführungen jährlich bis zu sechsstellige Beträge kosten können.

Flugzeughersteller, erste 6 Monate mit Priverion

100%

Rezertifizierungsquote des Verarbeitungsverzeichnisses, vollständig automatisiert

AXA erreichte eine vollständige automatisierte Rezertifizierung über alle Verarbeitungstätigkeiten hinweg und ersetzte damit die manuellen Tabellen-Workflows, die Artikel 30 DSGVO jederzeit korrekt und aktuell verlangt.

AXA, automatisierte Rezertifizierung des Verarbeitungsverzeichnisses

Vergleich

Warum Mid-Market-Teams von OneTrust wechseln

OneTrust ist eine leistungsstarke Enterprise-Plattform. Für Mid-Market-Organisationen, die den Datenschutz über mehrere Einheiten hinweg steuern, bedeutet das jedoch oft, für Komplexität zu bezahlen, die Sie nie nutzen. So schneidet Priverion dort ab, wo es am meisten zählt.

Priverion

Schweizer Datensouveränität, garantiert

In der Schweiz entwickelt und gehostet. Die gesamte Datenverarbeitung bleibt innerhalb der Schweizer Infrastruktur, geschützt vor extraterritorialen Zugriffsgesetzen wie dem US CLOUD Act und FISA Section 702. In einer Welt nach Schrems II ist das kein Marketing-Häkchen.

Einsatzbereit in Wochen, nicht Monaten

Priverion ist eigens für das Datenschutzmanagement über mehrere Einheiten hinweg konzipiert. Keine wochenlange Workflow-Konfiguration, kein dediziertes Implementierungsteam erforderlich. Ein Flugzeughersteller war innerhalb von sechs Monaten vollständig einsatzbereit und verzeichnete eine Reduktion des Compliance-Administrationsaufwands um 60%.

Flugzeughersteller, erste 6 Monate

Planbare, transparente Preise

Preise basieren auf der Anzahl der Unternehmen und der Organisationsgrösse. Keine Gebühren pro Nutzer, keine Fallstricke durch modulweise Erweiterung. Sie wissen, was Sie dieses und nächstes Jahr bezahlen.

All-in-one für Datenschutzprogramme

Verwaltung des Verarbeitungsverzeichnisses, DSFA-/TIA-Automatisierung, Lieferantenrisiko-Beurteilungen, Incident-Management, Bearbeitung von Betroffenenanfragen, einheitenübergreifende Datenkartierung und vorstandstaugliche Dashboards. Eine Plattform, ein Preis. Keine Modul-Upsells.

KI-gestützt, vom Menschen kontrolliert

KI hilft beim Entwurf von DSFA und der Bewertung von Risiken, doch jedes Ergebnis wird geprüft, bevor es zu einem Compliance-Nachweis wird. Es werden keine Kundendaten für das Modelltraining verwendet. Die KI unterstützt, der Mensch entscheidet.

Typische Enterprise-Plattform

US-Hauptsitz, US-Rechtshoheit

Selbst wenn Daten in EU-Rechenzentren gespeichert werden, unterliegen Anbieter mit US-Hauptsitz weiterhin dem CLOUD Act. Wie der Geschäftsführer von Microsoft Frankreich 2025 vor dem französischen Senat aussagte, können US-Anbieter nicht garantieren, dass die Daten von EU-Bürgerinnen und -Bürgern vor dem Zugriff durch US-Behörden sicher sind.

Quelle: Aussage vor dem französischen Senat, 2025

Komplexe Einrichtung, steile Lernkurve

Rezensentinnen und Rezensenten weisen durchgehend auf wochenlange Konfigurationszeiten und erheblichen Schulungsbedarf hin. Ein Mid-Market-Nutzer auf G2 berichtete, die Oberfläche „kann überladen wirken", und nannte „den hohen Preis und die steile Lernkurve" als Nachteile. Implementierungsdienstleistungen können allein im ersten Jahr zusätzlich $10'000 bis $50'000 kosten.

Nutzerbewertungen auf G2 und Capterra, 2025; Enzuzo-Preisanalyse, März 2026

Undurchsichtige, modulare Preise, die eskalieren

Keine öffentlichen Preise. Jedes Modul wird nach eigener Kennzahl abgerechnet. Mid-Market-Organisationen (1'000 bis 5'000 Mitarbeitende) können mit $40'000 bis $120'000 pro Jahr rechnen, mit Preisen, die „aufblähen können, sobald Sie die Module hinzufügen, die Sie tatsächlich benötigen". OneTrust veröffentlicht keine Listenpreise; Käufer sollten vorab ein mehrjähriges Angebot über alle Module und Lizenzplätze anfordern.

Vendr-Preisdaten, Februar 2026; Enzuzo, März 2026

Funktionsüberladung über mehr als 5 Produktlinien

Enterprise-Plattformen bieten ESG, Ethik-Hotlines, Cookie-Einwilligung und über 200 Integrationen. Wenn Sie all das benötigen, sind sie die richtige Wahl. Doch die meisten Mid-Market-Datenschutzteams bezahlen am Ende für Funktionen, die sie nie nutzen.

KI-Fähigkeiten mit weniger Transparenz

Grosse Plattformanbieter bieten KI-Funktionen, doch oft ist unklar, wo die Daten verarbeitet werden, ob sie für das Training verwendet werden und wie viel menschliche Aufsicht erhalten bleibt. Für Compliance-Nachweise schafft diese Intransparenz ein Risiko.

Der Vollstreckungskontext: warum diese Wahl jetzt zählt

Die DSGVO-Vollstreckung beschleunigt sich. Die Folgen einer fehlerhaften Compliance über mehrere Einheiten hinweg waren noch nie so gravierend, und die EU-Mitgliedstaaten drängen aktiv auf mehr Datensouveränität durch die im November 2025 unterzeichnete Berliner Erklärung zur europäischen digitalen Souveränität.

€7,1 Mrd.

kumulierte DSGVO-Bussen seit Mai 2018

DLA Piper GDPR Survey, Januar 2026

443/Tag

Meldungen von Datenschutzverletzungen an EU-Behörden (22% Anstieg gegenüber Vorjahr)

DLA Piper GDPR Survey, Januar 2026

97%

der europäischen Cloud-Infrastruktur laufen auf nichteuropäischen Anbietern

TechClass, Januar 2026

Wir sind ehrlich, was wir nicht abdecken: ESG, Ethik-Hotlines und Cookie-Einwilligung liegen ausserhalb unseres Umfangs. Unsere Stärke ist das konzernweite Datenschutzmanagement für Organisationen mit mehreren Einheiten und Rechtsräumen.

Wenn das die Herausforderung ist, die Sie lösen, sprechen wir miteinander.

30-minütige Demo buchen
Kostenloser Download

CPRA-Anforderungs-Checkliste: 2026-Compliance in einem Dokument

Neue CPPA-Vorschriften sind am 01.01.2026 in Kraft getreten und führen verpflichtende Risikobeurteilungen, Fristen für Cybersicherheits-Audits und ADMT-Pflichten ein. Diese Checkliste deckt ab, was Ihr Compliance-Team jetzt überprüfen muss.

In der Checkliste finden Sie:

  • + Vollständige Anwendbarkeitskriterien: Umsatzschwellen, Konsumentenvolumen und Auslöser bei der Verarbeitung sensibler Daten, die bestimmen, ob die CPRA für Ihre Organisation gilt
  • + Anforderungen an Datenkartierung, DSAR-Workflow und Lieferantenverträge, einschliesslich der 5-Tage-Benachrichtigungsklausel für Dienstleister und aktualisierter Mechanismen zur Beschränkung sensibler personenbezogener Daten (SPI)
  • + Gestaffelte Fristen für Cybersicherheits-Audits nach Umsatzstufe (April 2028 für Unternehmen über $100 Mio., bis April 2030 für kleinere Organisationen) und Einreichungsfristen für Risikobeurteilungen
  • + Referenzleitfaden zu Bussen mit aktuellen Bussenhöhen (bis zu $7'988 pro vorsätzlichem Verstoss), damit Sie das Risiko der Geschäftsleitung in finanziellen Begriffen vermitteln können

Die CPPA hat diese Vorschriften im September 2025 finalisiert und Hunderte laufender Untersuchungen gemeldet, darunter den rekordverdächtigen Vergleich über $1,35 Millionen mit Tractor Supply Company. Die Vollstreckung ist nicht hypothetisch.

Quellen: CPPA-Vollstreckungsunterlagen (September 2025), finalisierte CPPA-Vorschriften (Januar 2026).

Checkliste erhalten

Deckt alle CPRA-Pflichten für 2026 in einem einzigen, umsetzbaren PDF ab.

Kostenloses PDF. Keine Demo erforderlich. Wir senden es an Ihren Posteingang.

Warum das jetzt zählt

Die CPPA hat die 30-Tage-Nachbesserungsfrist abgeschafft. Es gibt kein Mahnschreiben, bevor die Bussen beginnen. Organisationen, die kalifornische Konsumentendaten über mehrere Einheiten hinweg steuern, benötigen dokumentierte Compliance — nicht den Plan, später damit anzufangen.

FAQ

Häufig gestellte Fragen zur CPRA-Compliance

Was ist der Unterschied zwischen dem CCPA und der CPRA?

Die CPRA (California Privacy Rights Act) hat den CCPA erheblich geändert und erweitert. Zu den wesentlichen Änderungen zählen die Schaffung der California Privacy Protection Agency (CPPA) als dedizierte Vollstreckungsbehörde, neue Kategorien sensibler personenbezogener Daten mit spezifischen Konsumentenrechten, verpflichtende Risikobeurteilungen für Verarbeitungen mit hohem Risiko, das Recht auf Berichtigung und Einschränkung der Nutzung sensibler Daten sowie die Abschaffung der 30-Tage-Nachbesserungsfrist bei Verstössen. Die CPRA trat am 01.01.2023 in Kraft und gilt für Daten, die am oder nach dem 01.01.2022 erhoben wurden.

Für wen gilt die CPRA?

Die CPRA gilt für gewinnorientierte Unternehmen, die personenbezogene Daten kalifornischer Konsumentinnen und Konsumenten erheben und mindestens eine von drei Schwellen erfüllen: einen jährlichen Bruttoumsatz von über $25 Millionen im vorangegangenen Kalenderjahr, den Kauf, Verkauf oder die Weitergabe personenbezogener Daten von 100'000 oder mehr Konsumenten oder Haushalten pro Jahr oder die Erzielung von 50% oder mehr des Jahresumsatzes aus dem Verkauf oder der Weitergabe personenbezogener Daten. Wichtig ist, dass die CPRA auch für von erfassten Unternehmen kontrollierte Einheiten gilt, einschliesslich Tochtergesellschaften und Joint Ventures — weshalb Organisationen mit mehreren Einheiten besonders komplexen Compliance-Anforderungen gegenüberstehen.

Welche Bussen drohen bei Nichteinhaltung der CPRA?

Per Januar 2025 (an den CPI angepasst) betragen die Bussen $2'663 pro unbeabsichtigtem Verstoss und $7'988 pro vorsätzlichem Verstoss oder Verstössen, die Minderjährige betreffen. Diese werden pro Konsumentin oder Konsument und pro Vorfall berechnet, ohne Gesamtobergrenze. Die höchste CPPA-Busse bis dato betrug $1,35 Millionen gegen Tractor Supply Company im September 2025. Die CPRA erhält zudem das private Klagerecht bei Datenschutzverletzungen aufrecht, die aus dem Versäumnis resultieren, angemessene Sicherheitsmassnahmen umzusetzen — dabei können Konsumenten zwischen $100 und $750 pro Vorfall oder den tatsächlichen Schaden geltend machen, je nachdem, welcher Betrag höher ist.

Welche neuen CPRA-Vorschriften sind 2026 in Kraft getreten?

Die von der CPPA im September 2025 finalisierten Vorschriften sind am 01.01.2026 in Kraft getreten. Sie decken drei Hauptbereiche ab: verpflichtende Cybersicherheits-Audits (gestaffelt nach Umsatzstufe, wobei Unternehmen mit einem Umsatz von über $100 Mio. ihr erstes Audit bis April 2028 abschliessen müssen und kleinere Organisationen bis April 2030), Risikobeurteilungen für Verarbeitungstätigkeiten, die ein erhebliches Risiko für die Privatsphäre der Konsumenten darstellen, sowie Pflichten zu automatisierten Entscheidungstechnologien (ADMT), einschliesslich Widerspruchsrechten der Konsumenten und Vorab-Hinweisen für Profiling und wesentliche Entscheidungen.

Wie unterstützt Priverion die CPRA-Compliance für Organisationen mit mehreren Einheiten?

Priverion bietet konzernweites Datenschutzmanagement über alle Tochtergesellschaften und Einheiten hinweg aus einer einzigen Plattform. Speziell für die CPRA-Compliance umfasst dies die automatisierte Verwaltung und Rezertifizierung des Verarbeitungsverzeichnisses über Einheiten hinweg (ein Flugzeughersteller reduzierte den Compliance-Administrationsaufwand in den ersten 6 Monaten um 60%), den KI-gestützten Entwurf von DSFA und Risikobeurteilungen zur Erfüllung der neuen Anforderungen für 2026, Lieferantenrisiko-Beurteilungen und Drittparteien-Vertragsmanagement, Incident-Management und Workflows zur Meldung von Datenschutzverletzungen, die Bearbeitung von Betroffenenanfragen über Einheiten hinweg sowie einheitenübergreifende Datenkartierung für konzernweite Sichtbarkeit. Alle Daten werden innerhalb der Schweizer Infrastruktur mit vollständiger Datensouveränitätsgarantie verarbeitet.

Gilt die CPRA auch für Unternehmen ausserhalb Kaliforniens?

Ja. Die CPRA gilt für jedes gewinnorientierte Unternehmen, das die Umsatz- oder Datenverarbeitungsschwellen erfüllt und personenbezogene Daten von kalifornischen Konsumentinnen und Konsumenten erhebt — unabhängig davon, wo das Unternehmen seinen Hauptsitz hat. Dies schliesst europäische und internationale Unternehmen ein, die mit kalifornischen Einwohnern Geschäfte machen. Bei Organisationen mit mehreren Einheiten benötigt möglicherweise jede Tochtergesellschaft mit Kontaktpunkten zu kalifornischen Konsumenten eine eigenständige Compliance-Überprüfung. Die gemeinsame Vollstreckungsaktion zwischen Kalifornien, Colorado und Connecticut im September 2025 zeigte zudem, dass die staatliche Datenschutz-Vollstreckung zunehmend über Rechtsräume hinweg koordiniert wird.

Was deckt diese Checkliste ab, das generische CPRA-Leitfäden nicht abdecken?

Unsere Checkliste bildet alle 47 spezifischen Massnahmen-Anforderungen mit umsetzbaren Überprüfungsschritten ab, einschliesslich der Vorschriften für 2026, die die meisten bestehenden Leitfäden noch nicht berücksichtigt haben. Sie deckt gestaffelte Fristen für Cybersicherheits-Audits nach Umsatzstufe, die neuen ADMT-Pflichten, die aktualisierten Anforderungen an Risikobeurteilungen sowie die spezifischen Dienstleister-Vertragsklauseln (einschliesslich der 5-Tage-Benachrichtigungspflicht) ab, die Organisationen mit mehreren Einheiten über jede Lieferantenbeziehung in jeder Tochtergesellschaft hinweg überprüfen müssen. Jede Massnahme enthält die einschlägige regulatorische Quellenangabe, damit Ihr Rechtsteam sie eigenständig überprüfen kann.

Ihre Compliance-Haltung kann nicht warten

Hören Sie auf, Datenschutz-Compliance über Tabellen zu steuern. Beginnen Sie, ruhig zu schlafen.

Allein im Jahr 2025 erreichten die DSGVO-Bussen €1,2 Milliarden, und europäische Behörden bearbeiten inzwischen über 400 Meldungen von Datenschutzverletzungen pro Tag. Für Organisationen mit mehreren Einheiten war die Fehlertoleranz noch nie so gering. In 30 Minuten zeigen wir Ihnen, wie Priverion fragmentierte Tools und manuelle Prozesse durch automatisiertes, konzernweites Datenschutzmanagement ersetzt.

60%

weniger Compliance-Administrationsaufwand

Flugzeughersteller, erste 6 Monate

200+

eingesparte Stunden bei der ISO-27001-Vorbereitung

Medtec

100%

Rezertifizierungsquote des Verarbeitungsverzeichnisses

AXA, vollständig automatisiert

In der Schweiz entwickelt. In der Schweiz gehostet. KI-gestützt mit vollständiger menschlicher Aufsicht. Keine Kundendaten für das Modelltraining verwendet. Planbare Preise ohne Pro-Nutzer-Fallstricke.

Keine Verpflichtung erforderlich. Erleben Sie echte Kunden-Workflows in einer Live-Umgebung.

The Privacy Compliance Briefing

Monatliche Einblicke in die DSGVO-Vollstreckung, revDSG-Aktualisierungen und Automatisierungsstrategien für Datenschutzbeauftragte und Compliance-Teams.

Kein Spam. Jederzeit abbestellbar.

Über diese Seite — Quellen, Definitionen und FAQ

Das Wichtigste auf einen Blick

Die CPRA hat Kaliforniens Datenschutzrahmen weit über den ursprünglichen CCPA hinaus erweitert und 47 unterschiedliche Compliance-Massnahmen geschaffen, die Organisationen adressieren müssen. Die Vollstreckung durch die California Privacy Protection Agency (CPPA) hat sich zu proaktiven Audits verlagert, mit Bussen, die per CPI-Anpassung 2025 $2'663 pro unbeabsichtigtem Verstoss und $7'988 pro vorsätzlichem Verstoss erreichen. Organisationen mit mehreren Einheiten stehen einem erhöhten Risiko gegenüber, da die Verarbeitungstätigkeiten jeder Tochtergesellschaft eigenständig beurteilt werden. Diese Checkliste verknüpft jede CPRA-Anforderung mit einer konkreten, prüfbaren Massnahme.

Definitionen

Was ist die CPRA?

Der California Privacy Rights Act (CPRA) ist eine Volksinitiative, die von den kalifornischen Wählerinnen und Wählern im November 2020 angenommen wurde und den California Consumer Privacy Act (CCPA) erheblich geändert und erweitert hat. Sie trat am 01.01.2023 in Kraft und gilt für personenbezogene Daten, die am oder nach dem 01.01.2022 erhoben wurden. Die CPRA führte neue Konsumentenrechte ein — darunter das Recht auf Berichtigung unrichtiger personenbezogener Daten und das Recht, die Nutzung sensibler personenbezogener Daten einzuschränken — und etablierte die California Privacy Protection Agency (CPPA) als erste dedizierte Datenschutz-Vollstreckungsbehörde auf Bundesstaatsebene in den Vereinigten Staaten. Quelle: CPPA — Vorschriften

Was ist die CPPA?

Die California Privacy Protection Agency (CPPA) ist eine unabhängige staatliche Behörde, die durch die CPRA geschaffen wurde, um Kaliforniens Datenschutzgesetze für Konsumenten umzusetzen und zu vollstrecken. Sie verfügt über die volle administrative Befugnis, Verstösse zu untersuchen, Audits durchzuführen und zivilrechtliche Bussen zu verhängen, ohne eine Überweisung an den Generalstaatsanwalt zu benötigen. Quelle: CPPA — Über uns

Was ist ein Verarbeitungsverzeichnis?

Ein Verzeichnis von Verarbeitungstätigkeiten (ROPA) ist ein umfassendes Verzeichnis, das jede Verarbeitungstätigkeit personenbezogener Daten dokumentiert, die eine Organisation durchführt. Während Artikel 30 DSGVO Verarbeitungsverzeichnisse ausdrücklich vorschreibt, gilt die Führung eines solchen Verzeichnisses unter der CPRA-Compliance als bewährte Praxis, da sie es Organisationen ermöglicht, auf Konsumentenanfragen zu reagieren, Risikobeurteilungen durchzuführen und Regulierungsbehörden gegenüber Rechenschaft abzulegen. Quelle: Artikel 30 DSGVO

Was ist eine DSFA unter der CPRA?

Eine Datenschutz-Folgenabschätzung (DSFA) unter der CPRA ist eine Risikobeurteilung, die Organisationen durchführen müssen, bevor sie Verarbeitungstätigkeiten aufnehmen, die ein erhebliches Risiko für die Privatsphäre der Konsumenten darstellen. Die ab dem 01.01.2026 gültigen Vorschriften der CPPA formalisieren die Anforderungen an Cybersicherheits-Audits und Risikobeurteilungen für Unternehmen, deren Verarbeitung bestimmte Schwellen erreicht. Quelle: CPPA-Vorschriften

Was ist Global Privacy Control (GPC)?

Global Privacy Control (GPC) ist eine technische Spezifikation, die es Konsumenten ermöglicht, ihre Widerspruchspräferenzen über ihren Webbrowser zu signalisieren. Unter den CPRA-Vorschriften müssen Unternehmen ein gültiges GPC-Signal als rechtsverbindlichen Widerspruch gegen den Verkauf oder die Weitergabe personenbezogener Daten behandeln. Die CPPA hat Vollstreckungsaktionen durchgeführt, die gezielt Unternehmen betreffen, die GPC-Signale nicht beachten. Quelle: CPPA-Mitteilungen

Was sind sensible personenbezogene Daten unter der CPRA?

Sensible personenbezogene Daten (SPI) sind eine von der CPRA definierte Kategorie, die Sozialversicherungsnummern, Zugangsdaten zu Finanzkonten, präzise Geolokalisierung, rassische oder ethnische Herkunft, religiöse Überzeugungen, biometrische Daten, Gesundheitsinformationen, Daten zum Sexualleben oder zur sexuellen Orientierung sowie den Inhalt von Post, E-Mails oder Textnachrichten umfasst. Konsumenten haben das Recht, die Nutzung und Offenlegung ihrer SPI auf das zu beschränken, was für die von ihnen erwarteten Dienste erforderlich ist.

Häufig gestellte Fragen

Wer muss die CPRA einhalten?

Die CPRA gilt für gewinnorientierte Unternehmen, die personenbezogene Daten kalifornischer Konsumenten erheben und mindestens eine von drei Schwellen erfüllen: (1) einen jährlichen Bruttoumsatz von über $25 Millionen, (2) den Kauf, Verkauf oder die Weitergabe personenbezogener Daten von 100'000 oder mehr Konsumenten oder Haushalten pro Jahr oder (3) die Erzielung von 50% oder mehr des Jahresumsatzes aus dem Verkauf oder der Weitergabe personenbezogener Daten von Konsumenten. Einheiten, die von einem erfassten Unternehmen kontrolliert werden oder unter gemeinsamer Massnahme stehen, unterliegen ebenfalls dem Gesetz. Quelle: CPPA

Wie werden CPRA-Bussen berechnet?

Zivilrechtliche Bussen unter der CPRA werden pro Konsumentin oder Konsument und pro Vorfall bemessen, ohne Gesamtobergrenze. Per CPI-Anpassung im Januar 2025 sind unbeabsichtigte Verstösse mit Bussen von bis zu $2'663 je Verstoss bewehrt, während vorsätzliche Verstösse oder solche, die Minderjährige betreffen, mit Bussen von bis zu $7'988 je Verstoss bewehrt sind. Die CPRA hat die verpflichtende 30-Tage-Nachbesserungsfrist des CCPA abgeschafft, was bedeutet, dass die CPPA nach eigenem Ermessen entscheidet, ob sie vor der Verhängung von Bussen eine Nachbesserung zulässt.

Was ist der Unterschied zwischen dem CCPA und der CPRA?

Die CPRA hat den CCPA in mehreren wesentlichen Punkten geändert und erweitert: Sie schuf die CPPA als dedizierte Vollstreckungsbehörde, führte das Recht auf Berichtigung personenbezogener Daten ein, etablierte die Kategorie sensibler personenbezogener Daten mit einem Recht auf Einschränkung ihrer Nutzung, schaffte die verpflichtende 30-Tage-Nachbesserungsfrist ab und führte neue Anforderungen an Cybersicherheits-Audits und Risikobeurteilungen ein. Die CPRA dehnte zudem den Geltungsbereich auf Beschäftigten- und B2B-Daten aus, die unter dem ursprünglichen CCPA vorübergehend ausgenommen waren.

Gilt die CPRA für Beschäftigtendaten?

Ja. Die CPRA hob die vorübergehenden Ausnahmen für Beschäftigten- und Bewerberdaten auf, die unter dem ursprünglichen CCPA bestanden. Seit dem 01.01.2023 müssen Unternehmen alle CPRA-Konsumentenrechte — einschliesslich Auskunft, Löschung, Berichtigung und Widerspruch — auf ihre in Kalifornien ansässigen Mitarbeitenden und Bewerber ausdehnen.

Was sind die neuen CPRA-Anforderungen, die seit Januar 2026 gelten?

Die am 01.01.2026 in Kraft getretenen Vorschriften formalisieren Anforderungen an Cybersicherheits-Audits, Risikobeurteilungen für Verarbeitungen, die ein erhebliches Risiko für die Privatsphäre der Konsumenten darstellen, sowie Regeln für automatisierte Entscheidungstechnologien (ADMT). Diese Vorschriften verpflichten Unternehmen, regelmässige Beurteilungen durchzuführen und zu dokumentieren und Konsumenten Informationen über automatisiertes Profiling sowie in bestimmten Fällen die Möglichkeit zum Widerspruch dagegen bereitzustellen. Quelle: CPPA-Vorschriften

Wie ist die CPRA-Vollstreckung im Vergleich zur DSGVO-Vollstreckung?

Während DSGVO-Bussen bis zu 4% des weltweiten Jahresumsatzes oder €20 Millionen (je nachdem, welcher Betrag höher ist) erreichen können, werden CPRA-Bussen pro Konsument und pro Vorfall ohne Obergrenze berechnet, was bei Unternehmen mit grossen kalifornischen Konsumentenbasen zu einem vergleichbaren oder sogar höheren Gesamtrisiko führen kann. Laut der IAPP bedeutet das Modell pro Verstoss, dass systematische Compliance-Lücken, die Millionen von Konsumenten betreffen, ein theoretisches Risiko in Höhe von Hunderten Millionen Dollar erzeugen können.

Müssen Unternehmen Global-Privacy-Control-Signale beachten?

Ja. Die CPPA hat ausdrücklich erklärt, dass Unternehmen ein gültiges Global-Privacy-Control-Signal (GPC) als Widerspruch eines Konsumenten gegen den Verkauf oder die Weitergabe seiner personenbezogenen Daten behandeln müssen. Im September 2025 leiteten Kalifornien, Colorado und Connecticut gemeinsame Vollstreckungsaktionen ein, die gezielt Unternehmen betrafen, die GPC-Signale nicht beachteten. Die Nichteinhaltung von GPC wird als vorsätzlicher Verstoss behandelt, der der höheren Bussenstufe von $7'988 unterliegt.

Wie unterstützt Priverion die CPRA-Compliance?

Priverion ist eine in der Schweiz gehostete GRC-Plattform, die eigens für Organisationen mit mehreren Einheiten entwickelt wurde. Sie bietet integrierte Module für die Verwaltung des Verarbeitungsverzeichnisses, die Automatisierung von DSFA und Transfer-Folgenabschätzungen, Lieferantenrisiko-Beurteilungen, Incident-Management, die Bearbeitung von Betroffenenanfragen, einheitenübergreifende Datenkartierung und vorstandstaugliche Compliance-Dashboards. Die gesamte Datenverarbeitung erfolgt innerhalb der Schweizer Infrastruktur, die nach dem US CLOUD Act und FISA Section 702 vor extraterritorialem Zugriff geschützt ist.

Statistiken und Quellen

Gemäss dem an den CPI angepassten Bussenschema der CPPA von 2025 sind unbeabsichtigte CPRA-Verstösse mit Bussen von $2'663 pro Verstoss und vorsätzliche Verstösse mit Bussen von $7'988 pro Verstoss bewehrt. Die höchste CPPA-Busse bis dato betrug $1,35 Millionen gegen Tractor Supply Company im September 2025. Die CPPA meldete an ihrer Vorstandssitzung im September 2025 Hunderte laufender Untersuchungen. Im September 2025 leiteten drei Bundesstaaten — Kalifornien, Colorado und Connecticut — gemeinsame Vollstreckungsaktionen gegen GPC-Nichteinhaltung ein. Laut dem IAPP-EY Annual Privacy Governance Report gibt die durchschnittliche Organisation inzwischen jährlich über $2,7 Millionen für Datenschutz-Compliance aus. Das NIST Privacy Framework bietet eine ergänzende Struktur zum Management von Datenschutzrisiken neben den CPRA-Anforderungen (Quelle: NIST).

CPRA im Vergleich zu anderen US-Bundesstaaten-Datenschutzgesetzen

MerkmalCPRA (Kalifornien)CPA (Colorado)CTDPA (Connecticut)VCDPA (Virginia)
Dedizierte VollstreckungsbehördeJa (CPPA)Nein (nur Generalstaatsanwalt)Nein (nur Generalstaatsanwalt)Nein (nur Generalstaatsanwalt)
Recht auf BerichtigungJaJaJaJa
Recht auf Einschränkung der SPI-NutzungJaNeinNeinNein
Verpflichtende NachbesserungsfristNein (im Ermessen)60 Tage (läuft 2025 aus)60 Tage (läuft 2025 aus)30 Tage
Bussen pro Verstoss$2'663–$7'988Bis zu $20'000Bis zu $5'000Bis zu $7'500
Beschäftigtendaten erfasstJaNeinNeinNein
GPC-Signal erforderlichJaJaJaNein