Loading…
GDPR und CCPA/CPRA sind die beiden weltweit am häufigsten herangezogenen Datenschutzrahmen. Auf den ersten Blick wirken sie ähnlich, weichen jedoch deutlich bei der extraterritorialen Reichweite, der Rechtsgrundlage für die Verarbeitung, der Opt-in- vs. Opt-out-Architektur, den Meldefristen bei Datenschutzverletzungen und der Höhe der Sanktionen voneinander ab. Dieser Leitfaden liefert Ihnen den präzisen direkten Vergleich, auf den jedes Datenschutzteam zurückgreifen wird.
| Dimension | 🇪🇺 GDPR | 🇺🇸 CCPA |
|---|---|---|
| Rechtsinstrument | Verordnung (EU) 2016/679 | Cal. Civ. Code § 1798.100 ff. (CCPA, geändert durch CPRA, 2020) |
| Datum des Inkrafttretens | 25. Mai 2018 | CCPA: 1. Jan. 2020; CPRA-Verschärfung: 1. Jan. 2023 |
| Räumlicher Anwendungsbereich | Jeder, der personenbezogene Daten von Personen in der EU verarbeitet (Art. 3 — extraterritorial) | Gewinnorientierte Unternehmen, die in Kalifornien geschäftlich tätig sind und die Schwellenwerte erfüllen (§1798.140(d)) |
| Anwendbarkeitsschwelle Ein einziger Auslöser genügt | Jeder Verantwortliche/Auftragsverarbeiter — keine Umsatz-/Mengenuntergrenze | 25 Mio. USD Umsatz ODER über 100.000 kalifornische Verbraucher/Haushalte ODER über 50 % des Umsatzes aus dem Verkauf/Weitergeben von PI |
| Einwilligungsmodell | Opt-in für die meisten Verarbeitungen (Art. 6) | Opt-out beim Verkauf oder Weitergeben; Opt-in für Minderjährige unter 16 |
| Erforderliche Rechtsgrundlage | Ja — eine von sechs (Art. 6) oder eine Bedingung für besondere Kategorien (Art. 9) | Keine formale Rechtsgrundlage; „Geschäftszweck“ + Hinweis bei der Erhebung |
| Sensible Daten | Daten besonderer Kategorien (Art. 9) erfordern ausdrückliche Einwilligung + Schutzmaßnahmen | Sensible PI (CPRA §1798.140(ae)) — Recht auf Einschränkung, keine absolute Beschränkung |
| Meldung von Datenschutzverletzungen | 72 Stunden an die Aufsichtsbehörde (Art. 33); betroffene Personen ohne unangemessene Verzögerung bei hohem Risiko | Keine konkrete Frist; „in der schnellstmöglichen Zeit“ nach Cal. Civ. Code §1798.82 |
| Höchstbußgeld | 20 Mio. € oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist (Art. 83(5)) | 2.500 USD pro unbeabsichtigtem / 7.500 USD pro vorsätzlichem oder minderjährigenbezogenem Verstoß (pro Datensatz) |
| Aufsichtsbehörde | 27 DPAs der EU-Mitgliedstaaten + EDPB (One-Stop-Shop) | California Privacy Protection Agency (CPPA) + California Attorney General |
| DPO-Anforderung | Verpflichtend in definierten Fällen (Art. 37) | Nicht verpflichtend; Risikobewertungspflicht für SDFs |
| Lokaler Vertreter | EU-Vertreter nach Artikel 27 für Nicht-EU-Verantwortliche/-Auftragsverarbeiter erforderlich | Nicht erforderlich; physische Präsenz nicht verpflichtend |
| DSAR-Bearbeitungsfrist | 1 Monat + 2 Monate Verlängerung bei komplexen Anfragen (Art. 12(3)) | 45 Tage, um weitere 45 Tage verlängerbar (§1798.130) |
| Grenzüberschreitende Übermittlung | Beschränkt — SCCs/BCRs/Angemessenheit erforderlich (Kapitel V) | Keine ausdrückliche Beschränkung; vertragliche Schutzmaßnahmen nach sektorspezifischem Recht |
| Privates Klagerecht | Ja — Art. 79 (begrenzt) + Schadensersatz nach Art. 82 | Nur bei Datenschutzverletzungen nach §1798.150 |
| Daten von Kindern | Standardeinwilligungsalter unter 16 (Mitgliedstaaten können auf 13 absenken) | Opt-in beim Verkauf/Weitergeben für unter 16-Jährige; unter 13 erfordert die Eltern |
| Recht auf Löschung | Recht auf Löschung (Art. 17) mit Ausnahmen | Recht auf Löschung (§1798.105) mit Ausnahmen |
| Recht auf Kenntnis/Auskunft | Art. 15 — Bestätigung + Kopie | §1798.110 + §1798.115 — Offenlegung von Kategorien und konkreten PI |
| Recht auf Opt-out | Widerspruch gegen die Verarbeitung auf Grundlage berechtigter Interessen oder Direktmarketing (Art. 21) | Opt-out beim Verkauf oder Weitergeben von PI (§1798.120); GPC muss berücksichtigt werden |
| Recht auf Übertragbarkeit | Art. 20 — strukturiert, gängig, maschinenlesbar | Recht auf Erhalt in einem übertragbaren Format (§1798.100(d)) |
Ja, wenn Sie sich sowohl an EU-Personen als auch an kalifornische Verbraucher richten. Sie haben sich überschneidende Kernanforderungen (Hinweis, Auskunft, Löschung), weichen jedoch bei Einwilligung, Meldefristen und Territorialität voneinander ab. Ein einziger abgebildeter Satz von Kontrollen funktioniert für beide.
Inhaltlich ja. Die GDPR verlangt eine Rechtsgrundlage für jede Verarbeitungstätigkeit, schreibt eine 72-stündige Meldung von Datenschutzverletzungen vor, beschränkt grenzüberschreitende Übermittlungen und sieht ungedeckelte umsatzbasierte Bußgelder vor. CCPA/CPRA ist stärker Opt-out-geprägt und kennt Sanktionen pro Verstoß statt umsatzbezogen — doch der 1,2 Mrd. USD-Vergleich von Meta zeigt, dass die aggregierte Belastung der GDPR entsprechen kann.
Nein. Artikel 3 GDPR gilt extraterritorial. Wenn Sie Personen in der EU Waren oder Dienstleistungen anbieten oder ihr Verhalten beobachten, fallen Sie in den Anwendungsbereich und müssen einen EU-Vertreter nach Artikel 27 benennen.
Es gibt kein formales Äquivalent. Der CCPA verlangt keinen benannten lokalen Vertreter. Sensible Finanz- oder Gesundheitsdaten können jedoch parallele bundesrechtliche Regelungen (HIPAA, GLBA) mit eigenen Anforderungen an Kontaktstellen auslösen.
GDPR: 72 Stunden an die federführende Aufsichtsbehörde. CCPA: „schnellstmögliche Zeit“ ohne feste Frist — wobei Anwälte der Klägerseite in Sammelklagen nach §1798.150 argumentieren, dass alles über wenige Tage unangemessen ist.
Ja — und das sollte er. Bauen Sie eine einzige Pipeline für nachprüfbare Verbraucheranfragen auf und bilden Sie die Ausgaben sowohl auf die Offenlegungen nach Artikel 15 GDPR als auch nach §1798.110 CCPA ab. Halten Sie die Frist einfach am kürzeren Fenster (1 Monat für EU-Ansässige, 45 Tage für kalifornische Ansässige).
Einmal Kontrollen zuordnen, doppelt konform sein. RegulatoryBridge bietet Ihnen eine einzige DSAR-Pipeline, einen einzigen DPO, ein einziges Breach-Runbook – beide Rahmenwerke abgedeckt.