Aktualisierte CCPA-Bestimmungen vom kalifornischen Amt für Verwaltungsrecht gebilligt

Die kalifornische Behörde für Verwaltungsrecht hat die aktualisierten CCPA-Vorschriften, die von der kalifornischen Datenschutzbehörde im Juli 2025 genehmigt wurden, abgesegnet, und die überarbeiteten Vorschriften werden nun im California Code of Regulations (CCR) veröffentlicht. Die überarbeiteten Vorschriften enthalten neue Regelungen zu automatisierten Entscheidungsfindungs-Technologien (ADMT), die mehr als nur den Einsatz von künstlicher Intelligenz, Risikobewertungen und Cybersicherheitsaudits umfassen, sowie Aktualisierungen und Klarstellungen der bestehenden Vorschriften in Bereichen wie Datenschutzhinweise, Vereinbarungen mit Dienstanbietern und andere gesetzliche Anforderungen. Die überarbeiteten Vorschriften enthalten auch neue Regelungen, die sich nur an Versicherungsunternehmen richten. 

Die Änderungen an den bestehenden Vorschriften treten am 1. Januar 2026 in Kraft. Bestimmte neue Anforderungen in Bezug auf ADMT, Risikobewertungen und Cybersicherheitsaudits treten jedoch erst zu einem späteren Zeitpunkt in Kraft:

• Die Stichtage für Cybersicherheitsprüfungen hängen vom Jahresumsatz eines Unternehmens ab, wobei der 1. April 2028 für Unternehmen mit einem Umsatz von mehr als 100 Millionen US-Dollar, der 1. April 2027 für Unternehmen mit einem Umsatz zwischen 50 und 100 Millionen US-Dollar und der 1. April 2030 für Unternehmen mit einem Umsatz von weniger als 50 Millionen US-Dollar gilt. 
• Unternehmen, die gemäß den überarbeiteten Vorschriften eine Risikobewertung durchführen müssen, müssen mit der Einhaltung der Vorschriften am 1. Januar 2026 beginnen, müssen aber erst am 1. April 2028 eine Bescheinigung über den Abschluss der Risikobewertung und eine Zusammenfassung der Ergebnisse vorlegen. 
• Unternehmen, die ADMT-Technologie verwenden, um wichtige Entscheidungen zu treffen, müssen die neuen ADMT-Vorschriften erst ab 1. Januar 2027 einhalten. 

Auswirkungen auf Unternehmen

Unternehmen sollten daran erinnert werden, dass nicht alle neuen Verordnungen für sie gelten werden. Es gibt bestimmte Schwellenwerte für die Anwendbarkeit der neuen ADMT-, Risikobewertungs- und Cybersicherheits-Audit-Verordnungen. So gelten die ADMT-Verordnungen beispielsweise nur, wenn die ADMT (die wiederum mehr als nur den Einsatz von künstlicher Intelligenz umfasst und auch für andere, traditionellere Technologien gelten kann) für "wichtige Entscheidungen" im Sinne der Verordnungen eingesetzt wird. Unternehmen sollten prüfen, ob und welche der neuen Vorschriften auf sie zutreffen (und ab dem jeweiligen Datum des Inkrafttretens auf sie zutreffen können), und gegebenenfalls mit der Planung für die Einhaltung der Vorschriften beginnen. 

Während einige der Termine für das Inkrafttreten erst in mehr als vier Jahren liegen (für relativ kleine Unternehmen, die den Anforderungen für Cybersicherheitsaudits unterliegen), können einige der neuen Vorschriften eine gewisse Planung und Ressourcen erfordern, die von einem frühen Start profitieren würden. Andererseits verfügen relativ große Unternehmen (mit einem Jahresumsatz von mehr als 100 Millionen US-Dollar) wahrscheinlich über eine umfangreiche IT-Infrastruktur, und das kurze Zeitfenster (weniger als drei Jahre) für die Durchführung der Cybersicherheitsaudits wird schnell vergehen. Diese Unternehmen müssen sofort Ressourcen bereitstellen, um die Fristen einzuhalten. 

Die kalifornische Datenschutzbehörde (California Privacy Protection Agency, CPPA) gab heute bekannt, dass das kalifornische Büro für Verwaltungsrecht (California Office of Administrative Law) Vorschriften zu Cybersicherheitsaudits, Risikobewertungen, automatisierten Entscheidungstechnologien (ADMT), Versicherungsunternehmen und Aktualisierungen bestehender CCPA-Vorschriften genehmigt hat.

Referenzierten Artikel anzeigen