Der US-Bundesstaat Kalifornien hat mit General Motors einen Vergleich über 12,75 Millionen Euro geschlossen – die höchste Strafe in der Geschichte des kalifornischen Verbraucherdatenschutzgesetzes (CCPA).
Der Autobauer soll Fahrerdaten unrechtmäßig gesammelt und an Datenhändler verkauft haben. Der Fall markiert eine Zeitenwende: Kalifornien geht künftig deutlich aggressiver gegen Verstöße vor.
Lücken in der Datendokumentation können Unternehmen heute Millionen kosten – eine rechtssichere Übersicht aller Verarbeitungstätigkeiten ist daher unverzichtbar. Diese kostenlose Excel-Vorlage hilft Ihnen, Ihre Dokumentationspflichten nach aktuellen Standards zeitsparend zu erfüllen. Muster-Verarbeitungsverzeichnis jetzt kostenlos herunterladen
Rekordvergleich: GM verkaufte Standort- und Fahrverhalten
Die Ermittlungen der kalifornischen Generalstaatsanwaltschaft, mehrerer Bezirksstaatsanwälte und der Datenschutzbehörde CPPA förderten Erschreckendes zutage. GM sammelte über vernetzte Fahrzeugdienste präzise Standortdaten sowie Informationen über Beschleunigungs- und Bremsverhalten – und verkaufte diese an Datenmakler. Die Verbraucher wurden darüber weder ausreichend informiert noch um Einwilligung gebeten.
Der Vergleich, der am 8. Mai 2026 finalisiert wurde, enthält weitreichende Auflagen. GM muss unter anderem für fünf Jahre auf den Verkauf von Fahrerdaten an Kreditauskunfteien verzichten und bestimmte Datensätze aus den vergangenen 180 Tagen löschen.
„Unternehmen dürfen nicht mehr Daten sammeln als für einen bestimmten Zweck nötig“, betonte Generalstaatsanwalt Rob Bonta. „Und sie dürfen diese Daten nicht unbegrenzt aufbewahren, um sie später zu Geld zu machen.“
Neue Ära: Kaliforniens Audits Division nimmt Arbeit auf
Der GM-Fall ist kein Einzelfall, sondern der Auftakt zu einer neuen Durchsetzungsstrategie. Die CPPA hat im Februar 2026 eine eigene Audits Division gegründet, die von der Chef-Datenschutzprüferin Sabrina Boyson Ross geleitet wird. Ihre Aufgabe: Unternehmen systematisch auf Datenschutzlücken überprüfen.
Bereits Anfang Mai signalisierte CPPA-Direktor Tom Kemp, dass die Behörde noch in diesem Jahr mit ersten Prüfungen beginnen wird. Unternehmen müssen demnach schon jetzt „prüfungsbereit“ sein – also umfassende Dokumentationen ihrer Cybersicherheitsrichtlinien, Penetrationstests und Notfallpläne vorweisen können.
Die Behörde treibt zudem neue Regelungen voran. Seit dem 11. Mai 2026 sammelt sie Stellungnahmen zu Prüfanforderungen für Datenmakler – insbesondere solche, die KI-Systeme einsetzen. Eine weitere Konsultation zu Beschäftigten- und Bewerberdaten läuft bis zum 20. Mai 2026.
Wer ist betroffen? Strenge Kriterien und gestaffelte Fristen
Die neuen Cybersicherheitsprüfungen gelten für Unternehmen, deren Datenverarbeitung ein „erhebliches Risiko“ für Verbraucher darstellt. Das ist der Fall, wenn sie im Vorjahr die Daten von mehr als 250.000 Kaliforniern verarbeitet haben oder die sensiblen Daten von mehr als 50.000 Verbrauchern. Auch Unternehmen mit einem Jahresumsatz über 26,6 Millionen Euro, die bestimmte Verarbeitungsmengen erreichen, fallen unter die Regeln.
Betroffene Firmen müssen jährlich eine unabhängige Prüfung nach anerkannten Standards wie dem NIST Cybersecurity Framework 2.0 oder ISO/IEC 27001 durchführen lassen. Geprüft werden 18 Bereiche, darunter:
- Authentifizierung und Verschlüsselung von Daten
- Schwachstellenmanagement mit regelmäßigen Penetrationstests
- Kontrolle von Dienstleistern und Drittanbietern
- Vorfallreaktionspläne für Datenlecks
Die Fristen für die Vorlage der Prüfbescheinigungen sind gestaffelt. Unternehmen mit über 100 Millionen Euro Jahresumsatz müssen ihre erste Zertifizierung bis April 2028 einreichen. Kleinere Firmen haben bis 2029 oder 2030 Zeit – die zugrundeliegenden Prüfzeiträume beginnen jedoch bereits am 1. Januar 2027.
Besonders bei risikoreichen Datenverarbeitungen fordern Behörden heute strikte Folgenabschätzungen, um Bußgelder von bis zu 2 % des Jahresumsatzes zu vermeiden. Mit dieser Experten-geprüften Muster-Vorlage erstellen Sie eine rechtssichere DSFA in wenigen Schritten selbst. Kostenloses DSFA-E-Book inkl. Checklisten anfordern
Ausblick: KI-Regulierung und steigende Strafen
Die CPPA hat für 2026 und darüber hinaus ein ehrgeiziges Programm. Neue Regeln für automatisierte Entscheidungstechnologien (ADMT) sollen 2027 in Kraft treten. Sie verlangen von Unternehmen, Verbraucher in verständlicher Sprache zu informieren und ihnen Widerspruchsrechte einzuräumen, wenn KI über Arbeitsplätze, Kredite oder Krankenversicherungen entscheidet.
Die Botschaft aus Kalifornien ist unmissverständlich: Die Zeit der „Papierformular-Compliance“ ist vorbei. Mit einer schlagkräftigen Prüfbehörde und einem Rekordvergleich im Rücken hat der Bundesstaat gezeigt, dass er sowohl die Befugnisse als auch die Mittel hat, Datenschutzverstöße konsequent zu ahnden. Unternehmen, die in Kalifornien Geschäfte machen oder Daten von Einwohnern verarbeiten, sollten ihre Sicherheitsvorkehrungen dringend an den NIST-2.0-Standard anpassen und teamsübergreifende Arbeitsgruppen aus IT, Rechtsabteilung und Betrieb aufbauen.
