Mit der ersten Durchsetzungsberatung der CCPA (ISMS.online) wird Datenminimierung jetzt Wirklichkeit

Mit der ersten Durchsetzungsempfehlung der CCPA ist die Datenminimierung jetzt Realität geworden

Von Danny Bradbury • 30. Mai 2024

Im California Consumer Protection Act (CCPA) gibt es eine Klausel zur Datenminimierung, die die Rolling Stones hätten schreiben können. Darin heißt es, dass man als Unternehmen nicht immer die gewünschten Daten erhalten kann, aber man bekommt, was man braucht. Datenminimierung bedeutet, nur so viele Daten wie möglich für den erforderlichen Zweck zu sammeln und nicht mehr. Als extremes Beispiel: Wenn Sie jemandem einen elektronischen Newsletter schicken möchten, dürfen Sie ihn nach seiner E-Mail-Adresse fragen, aber nicht nach einer gescannten Kopie seines Führerscheins.

Sechs Jahre nachdem das Gesetz die Datenminimierung vorschreibt, hat die kalifornische Datenschutzbehörde (CPPA) eine herausgegeben Durchsetzungsberatung und erklärt, wie ernst es dieses Thema nimmt.

Der CCPA ermöglicht es Verbrauchern, Organisationen um Zugang zu den über sie gespeicherten Daten zu bitten und diese bei Bedarf zu korrigieren oder zu löschen. In der Empfehlung vom 2. April wird berichtet, dass viele Organisationen bei der Erfüllung dieser Anfragen zu viele Informationen verlangt haben. Die Botschaft ist klar: Hören Sie damit auf.

Machen Sie es wie die Europäer

Laut Odia Kagan, Partnerin und Vorsitzende der DSGVO Compliance & International Privacy Practice bei Fox Rothschild LLP, spiegelt der CPPA-Ansatz hier weitgehend den europäischen Ansatz wider.

„Die Regel, die Informationen, die Sie im Zusammenhang mit Anfragen erhalten, nicht für andere Zwecke zu verwenden und nur das zu sammeln, was Sie benötigen, ist in Europa genau das Gleiche“, sagt sie gegenüber ISMS.online. „Wir haben diesbezüglich Leitlinien der Europäischen Datenschutzbehörde.“

Warum wenden Unternehmen bei der Bearbeitung von Anfragen nicht einfach die geforderte Datensparsamkeit an? „Das ist kein Selbstläufer“, betont Kagan. Es ist ein Gleichgewicht zwischen Komfort und Sicherheit. Dies ist besonders wichtig bei der Bearbeitung von Anträgen auf Zugriff und Löschung von Informationen.

„Löschen und Zugriff sind wichtiger, weil Sie Informationen weitergeben, die bei Kompromittierung ein Risiko für die Person darstellen könnten“, sagt sie.

Geolokalisierungsdaten sind ein gutes Beispiel. Wenn sich jemand als rechtmäßiger Eigentümer von Geolokalisierungsdaten ausgibt und Zugriff anfordert, könnte er an sensible Informationen gelangen. Wie Kagan betont, könnte dazu auch gehören, ob sie eine Abtreibungsklinik aufgesucht haben – ein besonders heikles Thema in den USA heute.

Auch Löschanfragen sind riskant. „Was ist, wenn jemand darum bittet, Familienfotos zu löschen?“ Sie fügt hinzu. Das Löschen von Fotos im Vorbeifahren ist zwar nicht lebensbedrohlich, aber dennoch äußerst beunruhigend – und möglicherweise rechtlich schädlich für den Dateninhaber.

Identitätswechsel ist eine echte Bedrohung

Identitätsdiebstahl bei Datenzugriffsanfragen stellt eine echte Bedrohung dar, wie der Forscher James Pavur von der Universität Oxford im Jahr 2019 demonstrierte. Mit der Erlaubnis seiner Verlobten hat er vorgetäuscht um sie zu sein, wenn Sie Anträge auf Datenzugriff gemäß den DSGVO-Bestimmungen einreichen.

Fast ein Viertel der 83 von ihm kontaktierten Unternehmen, die über Daten verfügten, übermittelten diese, ohne seine Identität überhaupt zu überprüfen, während 16 % einen leicht zu fälschenden Ausweistyp forderten. Ihm wurden die Ergebnisse von Strafregisterauszügen sowie Reiseunterlagen und Schulnoten ausgehändigt.

Unternehmen müssen ihrer Sorgfaltspflicht nachkommen, dürfen aber nicht zu restriktiv sein, erklärt Kagan.

„Man möchte es nicht zu schwierig machen, eine Anfrage auszuführen, und man möchte nicht mit sensiblen Daten in Berührung kommen“, betont sie. Das Sammeln zu vieler sensibler Daten zur Überprüfung der Identität einer Person birgt nicht nur das Risiko behördlicher Maßnahmen; Es besteht auch das Risiko einer höheren Haftung, wenn diese Verifizierungsdaten später verletzt werden.

Wie man die Grenze überschreitet

Wie können Unternehmen also die Linie einhalten, ohne sie zu überschreiten? Die Durchsetzungsempfehlung liefert zwei Beispiele dafür, wie Unternehmen, die Anfragen erhalten, diese Regeln einhalten können.

Das erste Beispiel ist eine Opt-out-Anfrage vom Verkauf personenbezogener Daten. Dies ist die einfachste Navigation, da für die Verarbeitung von Opt-out-Anträgen gemäß CCPA überhaupt keine Identitätsüberprüfung erforderlich ist. Es sind lediglich die notwendigen Informationen zur Referenzierung des Kunden erforderlich, beispielsweise eine E-Mail-Adresse.

Das zweite Beispiel betrifft jemanden, der ein Unternehmen auffordert, seine persönlichen Daten zu löschen, obwohl er kein Konto bei der Organisation hat. Dieses Unternehmen muss die Identität der Person überprüfen.

Die grundlegendsten Fragen sind in aufgeführt 11 CCR § 7002(c)-(d) und sind im Wesentlichen diese:

Sind die Informationen, die wir sammeln, mehr als das Minimum, das wir benötigen?
Welche potenziellen negativen Auswirkungen hat die Erhebung oder Verarbeitung der Informationen auf Einzelpersonen?
Gibt es Schutzmaßnahmen (z. B. Verschlüsselung oder automatische Löschung), die Verbraucher schützen könnten?

In den angeführten Beispielen mahnt der Ratgeber Unternehmen, sich zu fragen, ob sie noch mehr Informationen vom Verbraucher einholen müssen, als sie bereits haben. Die CCPA lehnt es im Allgemeinen ab, weitere Informationen zur Überprüfung anzufordern, es sei denn, dies ist unbedingt erforderlich, und fordert Unternehmen auf, diese zu löschen, wenn sie erfasst werden.

Zeit sich vorzubereiten

Kagan mahnt ihre Kunden, sich durch eine Risikoanalyse auf diese Fragen vorzubereiten. Dazu gehört die Bewertung der Daten, über die die Organisation über die Person verfügt, sowie die Sensibilität dieser Daten. Sie können anhand der Art der Anfrage die geeignete Authentifizierungsstufe bestimmen und entscheiden, ob sie bereits vorhandene Daten zur Authentifizierung einer Person verwenden können.

Unternehmen sollten die Datenminimierung ernst nehmen, da sie zu einem zentralen Thema im Umgang mit Daten werde. Das britische Information Commissioner's Office (ICO) verfügt über ein eigenes Tipps und Tricks,, ebenso wie verschiedene US-Bundesstaaten. Auch die US-amerikanische Federal Trade Commission interessiert sich zunehmend für das Thema und priorisiert die Datenminimierung in seinem Fall gegen den Alkohollieferdienst Drizly und konzentrierte sich Berichten zufolge auf den Punkt seiner bevorstehenden kommerziellen Überwachungs- und Datensicherheitsregel.

Unterschiedliche Gerichtsbarkeiten haben meist die gleiche Anforderung: Die erhobenen Daten müssen für den beabsichtigten Zweck erforderlich sein.

„Die Tatsache, dass es üblich und einfach ist, bedeutet nicht, dass es einfach ist“, schließt Kagan. „Es ist überhaupt nicht einfach umzusetzen. Aber der Standard ist derzeit ziemlich verbreitet.“

Danny Bradbury

Danny Bradbury ist seit 1989 Printjournalist mit Schwerpunkt Technologie und seit 1994 freiberuflicher Autor. Er hat für nationale Publikationen auf beiden Seiten des Atlantiks geschrieben und Auszeichnungen für seine investigative journalistische Arbeit im Bereich Cybersicherheit gewonnen.

Lesen Sie mehr von Danny Bradbury

Internet-Sicherheit 18 December 2025

Wie man sich im Labyrinth der US-KI-Compliance zurechtfindet (Banner)

Wie man sich im US-amerikanischen KI-Regulierungsdschungel zurechtfindet

Im Bereich der Regulierung ist der Begriff „Vereinigte Staaten“ ein Widerspruch in sich. Die Gesetze der einzelnen Bundesstaaten sind alles andere als einheitlich, jede Gerichtsbarkeit hat ihre eigenen Traditionen…

Danny Bradbury

Internet-Sicherheit 20 November 2025

Was uns die Salesforce-Sicherheitslücken über gemeinsame Verantwortlichkeit lehren

Was uns die Salesforce-Sicherheitsvorfälle über gemeinsame Verantwortlichkeit lehren

2025 war kein gutes Jahr für Salesforce-Kunden. Eine dubiose kriminelle Gruppe verübte eine Reihe von Angriffen auf deren Kunden, die letztendlich …

Danny Bradbury

Internet-Sicherheit 13 November 2025

Bewertung des Kurswechsels der Trump-Regierung in der US-Cybersicherheitspolitik (Banner)

Eine Bewertung der Kursänderung der Trump-Administration in der US-Cybersicherheitspolitik

Jüngste Exekutivmaßnahmen und Umstrukturierungen von Behörden markieren einen bedeutenden Wandel in der Cybersicherheitsstrategie des Bundes und werfen Fragen zur nationalen Sicherheit auf...

Danny Bradbury

Mit der ersten Durchsetzungsempfehlung der CCPA ist die Datenminimierung jetzt Realität geworden

Machen Sie es wie die Europäer

Identitätswechsel ist eine echte Bedrohung

Wie man die Grenze überschreitet

Zeit sich vorzubereiten

Danny Bradbury

In Verbindung stehende Artikel

Leben nach dem Stichtag: Wie die Einhaltung der DORA-Vorschriften zu operativer Stabilität führt

Das Zeitalter der Compliance: Wie Regulierung, Technologie und Risiko die Geschäftsnormen neu schreiben

Fünf Sicherheits- und Compliance-Trends, die Sie 2026 im Auge behalten sollten

Lesen Sie mehr von Danny Bradbury

Wie man sich im US-amerikanischen KI-Regulierungsdschungel zurechtfindet

Was uns die Salesforce-Sicherheitsvorfälle über gemeinsame Verantwortlichkeit lehren

Eine Bewertung der Kursänderung der Trump-Administration in der US-Cybersicherheitspolitik