Der kalifornische Löschgesetz richtet den Blick auf Datenbroker

Der kalifornische „Delete Act“ richtet den Blick auf Datenbroker

Von Danny Bradbury • 28 November 2023

Ab 2026 wird das Leben für Datenmakler, die in Kalifornien Geschäfte machen, deutlich schwieriger. Ab dem 1. August dieses Jahres müssen sie ein neues Gesetz einhalten, das sie dazu zwingt, die Daten eines Verbrauchers auf der Grundlage einer einzigen Anfrage zu löschen.

SB 362Das am 10. Oktober von Gouverneur Gavin Newsom unterzeichnete Gesetz ist auch als „Delete Act“ bekannt. Das neue Gesetz verschärft die Regeln, die Datenbrokern ursprünglich durch den California Consumer Privacy Act (CCPA) aus dem Jahr 2019 auferlegt wurden.

Der CCPA schützte bereits Staatsbürger, indem er Datenmakler dazu zwang, die personenbezogenen Daten einer Person auf Anfrage zu löschen. Allerdings mussten die Leute diese Anfragen individuell stellen.

Das im April dieses Jahres dem Gesetzgeber vorgelegte Löschgesetz ersetzte einen ersten gesetzgeberischen Versuch, dieses Problem zu lösen (SB 1059). Ziel ist es, die Datenlöschung für Verbraucher zu vereinfachen, indem ein einziger Zugangspunkt bereitgestellt wird, der es den Bürgern ermöglicht, die Massenlöschung ihrer Daten bei allen nach dem Gesetz registrierten Datenbrokern zu beantragen.

Die California Privacy Protection Agency, die vom Staat zur Umsetzung des California Privacy Rights Act von 2020 eingerichtete unabhängige Regulierungsbehörde, muss dieses System zur Massenlöschung bis zum 1. Januar 2026 aufbauen. Alle Datenbroker müssen spätestens im August mit der Einhaltung der Löschanforderungen beginnen 1, 2026.

Was ist ein Datenbroker?

Das Löschgesetz beschreibt einen Datenbroker als „ein Unternehmen, das wissentlich die personenbezogenen Daten eines Verbrauchers sammelt und an Dritte verkauft, mit dem das Unternehmen keine direkte Beziehung unterhält.“

Es gibt jedoch einige wesentliche Ausnahmen für Unternehmen, die anderen Vorschriften unterliegen. Dazu gehören Verbraucherauskunfteien wie Kreditauskunfteien, Finanzinstitute, Versicherungsunternehmen und deren Vertreter sowie Gesundheitsdienstleister oder andere Unternehmen, die unter die Richtlinie fallen HIPAA.

Anforderungen an den Datenbroker

Reine Datenbroker, die unter das Gesetz fallen, zahlen die Kosten für das Register der Regulierungsbehörde über eine Registrierungsgebühr, die in einen speziellen Fonds fließt. Neben ihren Kontaktdaten müssen sie bei der Registrierung auch weitere Informationen offenlegen, etwa ob sie Informationen über Minderjährige, Geolokalisierungsdaten oder Daten zur reproduktiven Gesundheit sammeln.

Das Gesetz schreibt vor, dass Datenbroker Daten über Einzelpersonen innerhalb von 45 Tagen nach einer Anfrage löschen müssen. Diese Anforderung kommt immer wieder vor; Danach müssen sie die Daten weiterhin alle 45 Tage löschen, um sicherzustellen, dass sie im Nachhinein nicht erneut einen Speicher mit personenbezogenen Daten einer Person aufbauen. Sie müssen auch ihre Dienstleister und Auftragnehmer anweisen, die Daten der Person nach einer Anfrage zu löschen.

Wenn der Datenvermittler eine Anfrage nicht überprüfen kann, muss er sie so behandeln, als ob der Verbraucher dem Verkauf oder der Weitergabe von Daten in der Zukunft widersprochen hätte. Der Status einer Anfrage bleibt bestehen, bis der Verbraucher etwas anderes sagt.

Bereitstellung eines Konformitätsnachweises

Das Gesetz beinhaltet auch einige wichtige Meldepflichten von Datenbrokern. Bis zum 1. Juli eines jeden Jahres müssen sie die Anzahl der erhaltenen Löschanträge sowie die von ihnen ergriffenen Maßnahmen melden. Sie müssen außerdem die durchschnittliche Antwortzeit für die Anfragen, die Anzahl der abgelehnten Anfragen und den Grund angeben. Alle diese Informationen müssen auf ihrer Website veröffentlicht werden.

2026 ist nicht das einzige Meilensteinjahr für Datenbroker im Rahmen des Delete Act. Ab dem 1. Januar 2028 müssen sie sich außerdem alle drei Jahre einer Prüfung durch einen unabhängigen Dritten unterziehen, um nachzuweisen, dass sie die Anforderungen des Gesetzes erfüllen.

Strafen für Verstöße gegen das Gesetz

Datenmakler, die sich nicht in das neue Register der Regierung eintragen, müssen mit einer Geldstrafe von bis zu 200 US-Dollar pro Tag rechnen. Das Gesetz droht ihnen außerdem mit zusätzlichen Geldstrafen von bis zu 200 US-Dollar für jeden Löschantrag, dem sie nicht nachkommen. Allerdings gibt es Bedenken Kalifornien hat wenig getan, um Makler zu jagen und zu bestrafen die es versäumt haben, sich in das aktuelle Register einzuloggen, und dass dies Makler dazu ermutigen könnte, auch dieses Register zu umgehen, in der Hoffnung, unbemerkt zu bleiben. Das Gegenargument ist, dass das neue Gesetz die Kontrolle über das Register vom Justizministerium des Bundesstaates auf die Datenschutzbehörde überträgt. Vielleicht wird Letzteres mehr Fokus haben?

Es steht viel auf dem Spiel, da die fehlende Regulierung von Datenbrokern durch die US-Bundesregierung es schwierig macht, festzustellen, wie viele es auf nationaler Ebene gibt. Das aktuelle kalifornische Register, das gemäß der CCPA-Gesetzgebung eingerichtet wurde, umfasst über 500 Datenbroker, darunter namhafte Akteure der IT-Branche wie Oracle, das ein gutes Geschäft mit dem Verkauf personenbezogener Daten macht. Der Staat wartet auf Dutzende weitere, die eine Registrierung beantragt, aber noch nicht bezahlt haben.

Makler können eine alarmierende Menge an Daten sammeln, darunter nicht nur Kontaktdaten, sondern auch Informationen über alles, von ihrem Einkommen und ihren politischen Vorlieben bis hin zu den Immobilien, die sie besitzen, und ihrem Online-Verhalten. Dies hat zu einigen erstaunlichen Datenschutzverletzungen geführt. Im Jahr 2021 kaufte ein Online-Nachrichtenportal Standortdaten von einem Datenbroker, die zeigten, wann und wo Menschen die Gay-Dating-App Grindr nutzten. Das führte zum Outing eines katholischen Priesters und sein anschließender Rücktritt.

Andere staatliche Maßnahmen

Im letzten Kongress schlugen die Mitglieder drei Gesetzesentwürfe vor, die darauf abzielen, die Praktiken von Datenmaklern einzudämmen: den American Data Privacy and Protection Act und den Data Elimination and Limiting Extensive Tracking and Exchange (DELETE) Act, der nichts mit dem kalifornischen Gesetz zu tun hat. Ein weiteres Gesetz, das Gesundheits- und Standortdatenschutzgesetz, zielte darauf ab, den Verkauf von Gesundheits- und Standortdaten durch Makler zu verhindern. Keiner schaffte es bis zum Schreibtisch des Präsidenten.

Da der Hill offenbar durch politische Machtkämpfe gelähmt ist und in weniger als einem Jahr eine Bundestagswahl bevorsteht, scheint es unwahrscheinlich, dass die Bundesregierung sofort nationale Gesetze erlassen wird, um Datenmaklern Einhalt zu gebieten. In der Zwischenzeit nehmen die Bundesstaaten die Angelegenheit mit lokalen Datenbrokergesetzen selbst in die Hand. Delaware hat House Bill 262, während Vermont hat 9 VSA § 2430. Der Gouverneur von Texas, Greg Abbott, unterzeichnete SB 2015 im Mai.

Weitere sind in Arbeit. Massachusetts denkt immer noch darüber nach Gesetz zum Datenschutz und zur Sicherheit von Informationen (Bill S.2687), während Oregon darüber nachdenkt House Bill 4017. Obwohl jede Maßnahme auf Landesebene ihre Stärken und Schwächen hat, sollten sie alle ein klares Signal an Datenmakler senden: Bereiten Sie sich auf eine stärkere Kontrolle und regulatorische Leitplanken vor.

Danny Bradbury

Danny Bradbury ist seit 1989 Printjournalist mit Schwerpunkt Technologie und seit 1994 freiberuflicher Autor. Er hat für nationale Publikationen auf beiden Seiten des Atlantiks geschrieben und Auszeichnungen für seine investigative journalistische Arbeit im Bereich Cybersicherheit gewonnen.

Lesen Sie mehr von Danny Bradbury

Internet-Sicherheit 18 December 2025

Wie man sich im Labyrinth der US-KI-Compliance zurechtfindet (Banner)

Wie man sich im US-amerikanischen KI-Regulierungsdschungel zurechtfindet

Im Bereich der Regulierung ist der Begriff „Vereinigte Staaten“ ein Widerspruch in sich. Die Gesetze der einzelnen Bundesstaaten sind alles andere als einheitlich, jede Gerichtsbarkeit hat ihre eigenen Traditionen…

Danny Bradbury

Internet-Sicherheit 20 November 2025

Was uns die Salesforce-Sicherheitslücken über gemeinsame Verantwortlichkeit lehren

Was uns die Salesforce-Sicherheitsvorfälle über gemeinsame Verantwortlichkeit lehren

2025 war kein gutes Jahr für Salesforce-Kunden. Eine dubiose kriminelle Gruppe verübte eine Reihe von Angriffen auf deren Kunden, die letztendlich …

Danny Bradbury

Internet-Sicherheit 13 November 2025

Bewertung des Kurswechsels der Trump-Regierung in der US-Cybersicherheitspolitik (Banner)

Eine Bewertung der Kursänderung der Trump-Administration in der US-Cybersicherheitspolitik

Jüngste Exekutivmaßnahmen und Umstrukturierungen von Behörden markieren einen bedeutenden Wandel in der Cybersicherheitsstrategie des Bundes und werfen Fragen zur nationalen Sicherheit auf...

Danny Bradbury