Kaliforniens DROP‑Gesetz startet am 1. August: Automatisierung von Löschanfragen
Das neue kalifornische Gesetz zur Löschung von Datenbroker‑Informationen verlangt ab August 2026 die automatisierte Bearbeitung von Verbraucher‑Löschanfragen alle 45 Tage, bei Verstößen $200 pro Tag und Anfrage. Webseiten‑Betreiber, die kalifornischen Traffic erhalten, müssen jetzt die Anforderungen zur Weitergabe an Dienstleister verstehen.
Kaliforniens DROP‑Gesetz startet am 1. August: Automatisierung von Löschanfragen
Stellen Sie sich einen kalifornischen Einwohner vor, der frustriert ist, weil seine persönlichen Daten endlos bei Datenbrokern zirkulieren – Profile, die aus Online‑Einkaufsgewohnheiten, Browserverlauf und abgeleiteten Interessen erstellt werden. Mit einer einzigen Anfrage über die neue Delete Request and Opt-Out Platform (DROP) des Staates kann er die Löschung bei Hunderten von Brokern gleichzeitig verlangen. Ab dem 1. August 2026 müssen Datenbroker diesen Prozess alle 45 Tage automatisieren oder mit hohen Strafen rechnen – das verändert grundlegend, wie Unternehmen mit Verbraucherdaten umgehen.1 2
Das ist nicht nur ein kalifornisches Thema. Wenn Ihre Website kalifornische Nutzer bedient und Daten sammelt, teilt oder verkauft – selbst indirekt – könnten Sie betroffen sein. Der Delete Act (SB 362), im Oktober 2023 unterzeichnet, schreibt dieses zentrale System vor, um Verbraucher zu stärken und gleichzeitig strenge operative Vorgaben für Datenbroker zu setzen.3 2 Da DROP seit dem 1. Januar 2026 für Verbraucher‑Anfragen live ist und die Verarbeitungspflichten bald beginnen, ist jetzt der richtige Zeitpunkt, die Compliance zu prüfen.4 5
Was ist der Delete Act und DROP?
Der Delete Act erweitert das kalifornische Datenbroker‑Register von 2019, indem er DROP einführt – eine weltweit erste Plattform, die von der California Privacy Protection Agency (CalPrivacy) betrieben wird. Sie ermöglicht es Verbrauchern, eine verifizierbare Anfrage zu stellen, um ihre persönlichen Informationen von allen registrierten Datenbrokern zu löschen und sich gleichzeitig von zukünftigen Verkäufen oder Weitergaben abzumelden.1 6 7
Wichtige Termine
- Januar 2024 und später: Jährliche Registrierung von Datenbrokern bei CalPrivacy, inklusive Gebühren zur Finanzierung des Registers und DROP.6 3
- 1. Januar 2026: DROP öffnet für Verbraucheranfragen; Datenbroker müssen bis zum 31. Januar ein Konto anlegen und die Registrierung abschließen.4 5 2
- Frühling 2026: API‑Integration für automatisierten Zugriff verfügbar.4
- 1. August 2026: Datenbroker müssen Anfragen alle 45 Tage abrufen und bearbeiten.1 4 5
- Januar 2028: Dreijährige unabhängige Audits beginnen.3
DROP verwendet standardisierte Kennungen und einen festgelegten Hash‑Algorithmus, um Anfragen mit Datensätzen zu matchen und präzise Löschungen sicherzustellen.1 4 Die 2026 finalisierten Regelungen verlangen, dass Datenbroker auch Dienstleister, Auftragnehmer und verbundene Unternehmen zur Löschung verpflichten.1
Das erinnert an breitere Datenschutz‑Trends, etwa das Recht auf Löschung nach dem CCPA (Civil Code § 1798.105), jedoch wird es für Datenbroker durch Automatisierung skaliert.1
Wer gilt als Datenbroker?
Kalifornien definiert einen Datenbroker weitgehend: jede Einheit, die „wissentlich personenbezogene Informationen eines Verbrauchers sammelt und an Dritte verkauft, mit denen das Unternehmen keine direkte Beziehung hat.“4 5 Das schließt Aggregatoren, Enricher und Wiederverkäufer von Daten ein, die außerhalb direkter Verbraucher‑Interaktionen gewonnen werden, etwa aus öffentlichen Quellen oder Dritt‑Käufen.4 7
- Websites oder Apps, die Daten verkaufen oder teilen für Profiling, Werbung oder Anreicherung – selbst wenn das nicht Ihr Kerngeschäft ist – können als Broker eingestuft werden.4 5
- Ausnahmen gelten für öffentliche Regierungsdaten, nach dem FCRA regulierte Kreditinformationen, HIPAA‑Gesundheitsdaten und Unternehmen, die bereits nach diesen Gesetzen konform sind.7
- Wenn Sie Daten weiter unten in der Kette weitergeben (z. B. an Analyse‑Dienstleister), prüfen Sie, ob das den Broker‑Status auslöst.4
Webseiten‑Betreiber: Der Traffic von kalifornischen Nutzern macht Sie nicht automatisch zum Broker, aber wenn Sie personenbezogene Informationen (z. B. E‑Mails, IP‑Adressen, Verhaltensdaten) verarbeiten und verkaufen/teilen, sollten Sie sich jetzt registrieren. Nicht‑kalifornische Unternehmen fallen ebenfalls in den Geltungsbereich, wenn sie kalifornische Daten gezielt ansprechen oder verarbeiten.4 5
Kern‑Compliance‑Anforderungen ab dem 1. August 2026
Ab dem 1. August müssen Datenbroker DROP mindestens alle 45 Tage über die CalPrivacy‑Website oder API prüfen.1 4 5 Der Ablauf im Detail:
- Konto einrichten: Registrieren Sie ein sicheres DROP‑Konto, wählen Sie die relevanten Verbraucher‑Löschlisten (Doppelte vermeiden) und pflegen Sie Zugriffskontrollen. Informieren Sie CalPrivacy sofort bei Sicherheitsverletzungen.1
- Anfragen abrufen: Laden Sie Listen herunter, die zu Ihren Datenkennungen passen (z. B. gehashte E‑Mails, Namen).1 4
- Matchen und Löschen: Nutzen Sie das standardisierte Hash‑Verfahren, um Treffer zu bestätigen. Löschen Sie alle zugehörigen personenbezogenen Informationen, inkl. abgeleiteter Daten, aus Ihren Systemen, bei Dienstleistern und Auftragnehmern. Weisen Sie diese an, ebenfalls zu löschen.1 4 5
- Frist: Schließen Sie die Löschung innerhalb von 90 Tagen nach Abruf ab. Eine direkte Kontaktaufnahme mit dem Verbraucher zur Verifizierung ist nach Section 7616 verboten.1 5
- Dokumentation: Dokumentieren Sie Entscheidungen, führen Sie Unterdrückungslisten und bewahren Sie Aufzeichnungen auf. Melden Sie den Status über DROP zurück.4 5
- Fortlaufend: Aktualisieren Sie Kontodaten, löschen Sie DROP‑gelieferte Daten, wenn Sie den Broker‑Status verlassen (innerhalb von 30 Tagen nach Registrierung/Audit), und deaktivieren Sie das Konto.1
Automatisierung ist entscheidend: Manuelle Kontrollen laufen Gefahr, den 45‑Tage‑Zyklus zu verpassen. Die seit dem Frühjahr 2026 verfügbare API ermöglicht programmatisches Abrufen, Matching und Weitergabe.4
Strafen: $200 pro verpasster Anfrage pro Tag. Eine einzige übersehene Anfrage kann schnell zu hohen Kosten führen.1
Vendor‑Propagation: Die verborgene Herausforderung für Websites
Datenbroker nutzen häufig Dienstleister für Speicherung, Analyse oder Marketing. DROP verlangt, dass Löschungen an alle Dienstleister und Auftragnehmer weitergegeben werden, die die Daten halten.1 4 Das entspricht den Prozessor‑Pflichten nach der GDPR (Artikel 28) und den Service‑Provider‑Regeln des CCPA (Civil Code § 1798.140(v)).1
Praktische Tipps für die Compliance
- Ökosystem kartieren: Inventarisieren Sie alle Dienstleister, die kalifornische personenbezogene Daten berühren. Klassifizieren Sie sie als Service‑Provider (beschränkte Nutzung) vs. solche, die Verkauf/Weitergabe ermöglichen.4
- Vertrags‑Updates: Ergänzen Sie Vereinbarungen, um DROP‑Compliance, automatisierte Lösch‑APIs und Prüfungsrechte vorzuschreiben. Fügen Sie eine Haftungsfreistellung für Strafen ein.1
- Technische Umsetzung:
- Integrieren Sie die DROP‑API für das Einlesen von Anfragen.
- Bauen Sie interne Lösch‑Workflows: Hash‑Match → Datenscan → Weitergabe via Vendor‑APIs.
- Nutzen Sie Unterdrückungslisten, um erneutes Erfassen zu verhindern.
- Tests: Verwenden Sie den Sandbox‑Bereich von CalPrivacy für API‑Tests vor dem 1. August.5
- Ausnahmen: Löschen Sie nicht, wenn die Daten öffentliche Regierungsinformationen oder durch andere Gesetze (z. B. Finanzunterlagen) ausgenommen sind.7
Für Websites: Wenn Sie kein Broker sind, aber Datenbroker (z. B. für Werbezielgruppen) nutzen, stellen Sie sicher, dass Ihre Verträge DROP‑Compliance verlangen, um indirekte Haftung zu vermeiden.
Konkrete Handlungsschritte für Website‑Betreiber und Unternehmen
Mit sechs Monaten bis zur Durchsetzung (Stand Februar 2026) sollten Sie folgende Prioritäten setzen:
- Selbst‑Assessment (Jetzt): Prüfen Sie Datenflüsse gegen die Definitionen des Delete Act. Nutzen Sie das CalPrivacy‑Register, um Mitbewerber zu prüfen.5 2
- Registrierung falls nötig (Januar 2026): Jahresgebühr‑basiertes Verfahren; inkl. erweiterter Offenlegungspflichten nach SB 361‑Änderungen.6 2
- Automatisierung aufbauen:
| Schritt | Maßnahme | Zeitrahmen |
|---|---|---|
| 1. Konto‑Erstellung | Über CalPrivacy‑Portal | 1.–31. Januar 20264 |
| 2. API‑Einrichtung | Sandbox‑Integration | Frühling 20264 5 |
| 3. Lösch‑Pipeline | Hash, Scan, Propagation | Test bis Juli 2026 |
| 4. Erster Check | Abrufen/Verarbeiten | 1. August 20261 |
- Audit‑Vorbereitung: Planen Sie Audits ab 2028; dokumentieren Sie alles.3
- Teams schulen: Recht, Engineering und Betrieb über Verbote informieren (z. B. kein direkter Verbraucher‑Kontakt).1
- Updates verfolgen: Die Vorschriften entwickelten sich seit den 2024‑Entwürfen; beobachten Sie CalPrivacy für Klarstellungen.3 2
Vergleich zu anderen Gesetzen
| Gesetz | Lösch‑Mechanismus | Frequenz/Automatisierung |
|---|---|---|
| CCPA § 1798.105 | Einzelne Anfragen | 45–90 Tage, manuell1 |
| GDPR Art. 17 | Recht auf Löschung | Sofort, Prozessor‑Propagation |
| DROP (Delete Act) | Zentralisiert, automatisiert | Alle 45 Tage1 4 |
Diese Automatisierung reduziert die Hürden für Verbraucher, verlangt jedoch robuste technische Infrastrukturen.
Potenzielle Herausforderungen und Risiken
- Skalierung: Hochvolumige Broker erhalten tausende Anfragen; manuelle Prozesse skalieren nicht.4
- Matching‑Genauigkeit: Hash‑Fehler können zu Über‑ oder Unter‑Löschungen führen und Bußgelder oder Klagen auslösen.1
- Widerstand von Dienstleistern: Nicht‑konforme Partner setzen Sie zusätzlichen Risiken aus.1
- Durchsetzung: Die jüngsten Aktionen der CPPA zeigen eine aggressive Aufsicht; Audits starten 2028.6 3
Unternehmen, die den Broker‑Status verlassen, müssen innerhalb von 45 Tagen benachrichtigen und Daten löschen.1
Wichtigste Erkenntnisse
- 1. August 2026 ist Go‑Live: Automatisieren Sie die 45‑Tage‑DROP‑Prüfungen oder riskieren Sie $200/Tag‑Strafen pro verpasster Anfrage.1 5
- Breiter Anwendungsbereich: Jeder, der kalifornische Daten verkauft/teilt, kann als Broker gelten – jetzt prüfen.4 5
- Automatisierung ist entscheidend: API‑Integration und Vendor‑Propagation sind unverzichtbar für Effizienz.4
- Früh planen: Selbst‑Audit, Vertrags‑Updates, Pipeline‑Tests und Dokumentation für Audits vorbereiten.5
- Stärkung der Verbraucherrechte: DROP vereinfacht Löschungen, verbindet CCPA‑ und GDPR‑Prinzipien, ist aber einzigartig zentralisiert.7 2
Compliance ist kein Nice‑to‑have, sondern ein Wettbewerbsvorteil in einem datenschutz‑fokussierten Kalifornien. Bleiben Sie wachsam, während CalPrivacy die Umsetzung weiter verfeinert.1 2