Startseite   ›   Ressourcen   ›   Artikel   ›   Das private Klagerecht der CCPA...

Vereinfachtes Privatklagerecht für Unternehmen im CCPA

von: Ali Talip Pınarbaşı, CIPP/E, & LLM Ali Talip Pınarbaşı, CIPP/E, & LLM | Aktualisiert am: November 3, 2025

Erstellen Sie eine CCPA-konforme Datenschutzrichtlinie
CCPA-Privatklagerecht-vereinfacht-für-Unternehmen-01

Der California Consumer Privacy Act (CCPA ) ist ein Datenschutzgesetz, das im Juni 2018 von der kalifornischen Legislative verabschiedet wurde und den Kaliforniern das Recht einräumt, die von Unternehmen erhobenen Daten zu kennen, einzuschränken und zu löschen.

Es ermöglicht auch ein privates Klagerecht, das den Einwohnern Kaliforniens das Recht gibt, Privatklagen gegen fahrlässige Unternehmen einzureichen.

Im Folgenden erkläre ich Ihnen, wie das CCPA den kalifornischen Verbrauchern ein privates Klagerecht ermöglicht und welche Auswirkungen es auf Unternehmen hat.

Inhaltsübersicht
  1. Was ist ein privates Klagerecht?
  2. Für wen gilt das private Klagerecht des CCPA?
  3. Verstöße, die ein privates Klagerecht auslösen können
  4. Schadensersatz nach dem CCPA
  5. Wie man private Ansprüche nach dem CCPA vermeidet

Was ist ein privates Klagerecht?

Ein privates Klagerecht ist definiert als das Recht einer Privatperson, eine Klage einzureichen, um die eigenen Rechte vor dem Gesetz zu schützen.

Dieses Recht besteht aus zwei Komponenten: dem Recht auf Privatsphäre und dem Recht auf Klage:

  • Privat: Die Bedeutung von "privat" im Zusammenhang mit einem privaten Klagerecht ist ein Recht, das einer Privatperson gehört. Es schließt keine Regierung ein, sei es auf staatlicher, lokaler oder föderaler Ebene.
  • Klage: Der Begriff "Klage" bedeutet im Zusammenhang mit dem Privatrecht die Geltendmachung der eigenen Rechte. Mit anderen Worten, es bezieht sich auf die Erhebung einer Klage vor Gericht zum Schutz der eigenen Rechte.

Inwiefern beinhaltet das CCPA das Recht auf Privatklage?

Die Kalifornier haben nach dem CCPA die folgenden Rechte:

  • Recht auf Offenlegung: Ein Verbraucher hat das Recht, von einem Unternehmen zu verlangen, dass es ihm mitteilt, welche personenbezogenen Daten es über ihn gesammelt hat.
  • Recht auf Löschung: Ein Verbraucher hat das Recht, das Unternehmen aufzufordern, alle von ihm gesammelten personenbezogenen Daten zu löschen.
  • Recht auf Ausstieg: Ein Verbraucher hat das Recht, von einem Unternehmen zu verlangen, dass es die über ihn gesammelten personenbezogenen Daten nicht verkauft.
  • Recht auf Nicht-Diskriminierung: Ein Verbraucher hat das Recht, von Unternehmen nicht diskriminiert zu werden, wenn er seine Rechte aus dem CCPA wahrnimmt.
  • Privatrecht auf Klage: Das CCPA sieht weiter vor, dass ein Verbraucher, der sich von einem Unternehmen in seinen Rechten verletzt fühlt, "eine Zivilklage einreichen kann".

Für wen gilt das private Klagerecht des CCPA?

Das private Klagerecht des CCPA ermöglicht es Verbrauchern, vor kalifornischen Gerichten Klage gegen ein Unternehmen zu erheben, das gegen das CCPA verstoßen hat.

Verbraucher

Verbraucher in Kalifornien können nun zivilrechtlich gegen Unternehmen vorgehen, die ihre Rechte nach dem CCPA verletzen. Die Definition eines Verbrauchers in diesem speziellen Zusammenhang ist "eine natürliche Person mit Wohnsitz in Kalifornien".

Eine natürliche Person bedeutet, dass die Definition des Begriffs "Verbraucher" keine Unternehmen umfasst. Daher können nur natürliche Personen mit Wohnsitz in Kalifornien eine Zivilklage nach dem CCPA einreichen.

Das CCPA hat die Definition des Begriffs "Einwohner" aus dem California Code of Regulations übernommen. Danach zählen zu den Einwohnern Kaliforniens auch Personen, die sich nicht nur vorübergehend oder vorübergehend in Kalifornien aufhalten, sowie Personen, die ihren Wohnsitz in Kalifornien haben, aber vorübergehend oder vorübergehend in einem anderen Staat leben.

Und schließlich können Verbraucher nach dem Privatrecht des CCPA nicht andere Verbraucher verklagen, sondern nur Unternehmen.

Unternehmen

Wenn ein Unternehmen die folgenden Anforderungen erfüllt, muss es sich an das CCPA halten:

  • Es handelt sich um ein Unternehmen, das gewinnorientiert arbeitet.
  • Sie hat ihren Sitz in Kalifornien.
  • Es sammelt (oder hat gesammelt) die persönlichen Daten seiner Verbraucher.
  • Sie ist für die Festlegung des Zwecks und der Mittel zur Verarbeitung der gesammelten personenbezogenen Daten zuständig.
  • Sie erfüllt eine der folgenden Bedingungen:
    • Die jährlichen Bruttoeinnahmen des Unternehmens belaufen sich auf über 25 Millionen Dollar.
    • Es kauft, erhält für einen kommerziellen Zweck, verkauft oder teilt die persönlichen Daten von mindestens 50.000 Verbrauchern, Haushalten oder Geräten pro Jahr.
    • Mehr als die Hälfte seines Jahresumsatzes stammt aus dem Verkauf persönlicher Daten seiner Kunden.

Verstöße, die ein privates Klagerecht auslösen können

Das im CCPA vorgesehene private Klagerecht gilt nur für Datenschutzverletzungen.

Ein Verbraucher kann eine Zivilklage gegen ein Unternehmen einreichen, wenn alle folgenden Voraussetzungen erfüllt sind:

  1. Der nicht verschlüsselte oder nicht zensierte Name der Person oder andere aufgelistete Datenelemente waren Gegenstand von unbefugtem Zugriff, Exfiltration, Diebstahl oder Offenlegung.
  2. Dieser unbefugte Zugang, die unbefugte Weitergabe, der Diebstahl oder die Offenlegung ist darauf zurückzuführen, dass das Unternehmen gegen die Pflicht verstoßen hat, angemessene Sicherheitsverfahren und -praktiken einzuführen und aufrechtzuerhalten, die der Art der Daten angemessen sind, um die persönlichen Daten zu schützen.
  3. Bevor der Betroffene Klage erhebt, muss er dem Unternehmen schriftlich eine Frist von 30 Tagen setzen, um den angeblichen Verstoß zu beheben.

In den folgenden Abschnitten werden diese Elemente genauer definiert.

Persönliche Informationen müssen betroffen sein

Betroffene Verbraucher können eine Privatklage gegen Sie einreichen, wenn Ihr Unternehmen von einer Verletzung des Schutz es ihrer persönlichen Daten betroffen ist und Sie es versäumt haben, angemessene Sicherheitsverfahren anzuwenden,

Allerdings definiert der CCPA den Begriff "personenbezogene Daten" im Hinblick auf das private Klagerecht enger.

Vereinfacht ausgedrückt, verwendet der CCPA die Definition von persönlichen Informationen aus Abschnitt 1798.81.5(d)(1)(A) des kalifornischen Gesetzes über Kundendatensätze für die Zwecke des privaten Klagerechts. Nach diesem Gesetz können personenbezogene Daten in zwei verschiedene Kategorien eingeteilt werden.

Kategorie 1
  • Der Vorname oder die erste Initiale und der Nachname der Person und die Kombination mit einem der folgenden Datenelemente:
    • Sozialversicherungsnummer
    • Regierungsdokumente mit eindeutigen Identifikationsnummern wie:
      • Nummer des Führerscheins
      • Nummer des Personalausweises des Bundesstaates Kalifornien
      •   Steueridentifikationsnummer
      • Nummer des Reisepasses
      • Militärische Identifikationsnummer
    • Kontonummern oder Nummern von Kredit- oder Debitkarten zusammen mit ihren Sicherheits- oder Zugangscodes oder Passwörtern, die Zugang zu den Bank- oder anderen Finanzkonten einer Person gewähren würden
    • Medizinische Informationen
    • Informationen zur Krankenversicherung
    • Biometrische Daten
    • Genetische Daten
Kategorie 2
  • Ein Benutzername oder eine E-Mail-Adresse in Kombination mit einem Passwort oder einer Sicherheitsfrage und -antwort, die den Zugang zu einem Online-Konto ermöglichen

Wenn entweder der Name einer Person oder eines der aufgelisteten Datenelemente nicht verschlüsselt oder unkenntlich gemacht wird, gelten diese Daten als "personenbezogene Daten" im Rahmen des privaten Klagerechts nach dem CCPA.

Diese Definition des Begriffs "personenbezogene Daten" enthält auch einige Vorbehalte und Erläuterungen, die Sie kennen sollten:

  • Biometrische Daten umfassen einen Fingerabdruck, einen Netzhautscan oder ein Irisbild, die zur Identifizierung einer Person verwendet werden. Ein Foto einer Person gehört nicht dazu, es sei denn, das Foto wird für die Gesichtserkennung verwendet.
  • Medizinische Informationen sind alle identifizierbaren Informationen über die Krankengeschichte, Behandlung oder Diagnose einer Person, unabhängig davon, ob sie in Papier- oder digitaler Form vorliegen.
  • Zu den Informationen über die Krankenversicherung gehören die Versicherungsscheinnummer oder die Teilnehmeridentifikationsnummer der Person, eine eindeutige Kennung, die von der Versicherungsgesellschaft zur Identifizierung der Person verwendet wird, oder alle Informationen im Versicherungsantrag einer Person sowie der Verlauf der Schadensfälle.
  • Genetische Daten umfassen alle Daten über die Ergebnisse einer Analyse der biologischen Probe einer Person und betreffen genetisches Material. Beispiele für genetisches Material sind DNA, RNA, Gene, Chromosomen und Veränderungen der DNA oder RNA.

Alle personenbezogenen Daten, die rechtmäßig aus Aufzeichnungen von Bundes-, Landes- oder Kommunalbehörden öffentlich zugänglich gemacht werden, fallen nicht unter die Definition personenbezogener Daten, die zur Geltendmachung eines privaten Anspruchs gegen Sie nach dem CCPA verwendet werden.

Persönliche Informationen müssen gegen unbefugten Zugriff und Exfiltration, Diebstahl oder Offenlegung geschützt sein

Eine Datenschutzverletzung hat zwei Komponenten:

  1. Unbefugter Zugang
  2. Exfiltration, Diebstahl oder Offenlegung

Unbefugter Zugriff

Unbefugter Zugriff bedeutet, dass jemand ohne Erlaubnis auf die Daten eines Verbrauchers zugreift. Wenn beispielsweise Ihre Sicherheitskontrollen nicht angemessen oder gar nicht vorhanden sind, kann ein Hacker (der definitionsgemäß keinen autorisierten Zugang hat) auf die persönlichen Daten des Verbrauchers zugreifen und sie stehlen.

Ebenso kann ein Mitarbeiter Ihres Unternehmens ohne Erlaubnis auf die persönlichen Daten Ihrer Kunden zugreifen (unbefugter Zugriff) und sie an Ihre Konkurrenten oder andere Stellen weitergeben.

Sie müssen sich über externe und interne Akteure Gedanken machen, die Ihr Unternehmen in ein CCPA-Verfahren verwickeln können.

Exfiltration, Diebstahl oder Offenlegung

Exfiltration, Diebstahl oder Offenlegung bedeutet, dass Zugangsdaten entzogen, gestohlen oder weitergegeben werden (ohne die Zustimmung des Nutzers).

Eine Datenschutzverletzung muss als Folge des Versäumnisses eines Unternehmens auftreten, angemessene Sicherheitsverfahren und -praktiken einzuführen und aufrechtzuerhalten

Denken Sie daran, dass ein Verbraucher nur dann eine private Klage wegen einer Datenschutzverletzung anstrengen kann, wenn Sie es versäumen, angemessene Sicherheitsverfahren und -praktiken einzuführen und aufrechtzuerhalten.

Der CCPA enthält keine Definition von "angemessenen Sicherheitsverfahren und -praktiken". Daher müssen Sie die Abläufe in Ihrem Unternehmen bewerten und die Sicherheitsmaßnahmen berechnen, die zum Schutz der personenbezogenen Daten der Verbraucher geeignet sind.

Es kann von Vorteil sein, ein IT-Sicherheits- oder Beratungsunternehmen zu beauftragen, das Sie bei der Implementierung von Sicherheitskontrollen und -verfahren für Ihr Unternehmen unterstützt.

Der Einzelne muss dem Unternehmen eine Frist von 30 Tagen einräumen, um den mutmaßlichen Verstoß zu beheben

Das CCPA ermöglicht es einem Unternehmen, Verstöße zu melden und zu beheben, um Strafen zu vermeiden.

Bevor ein Verbraucher ein Verfahren gegen ein Unternehmen einleitet, teilt er dem Unternehmen mit, gegen welche CCPA-Bestimmung der Verbraucher das Unternehmen beschuldigt. Das Unternehmen hat dann 30 Tage Zeit, die Situation zu bereinigen.

Wenn das Unternehmen die Situation bereinigen kann, wird keine Klage gegen das Unternehmen eingereicht. Es ist wichtig zu wissen, dass diese Mitteilung nicht erforderlich ist, wenn der Verbraucher einen finanziellen Schaden erlitten hat.

Während dieses Zeitraums muss das Unternehmen dem Verbraucher eine ausdrückliche schriftliche Erklärung zukommen lassen, in der es erklärt, dass der Verstoß abgestellt wurde und es zu keinen weiteren Verstößen kommen wird.

Wenn innerhalb der 30-tägigen Frist keine Abhilfemaßnahmen getroffen werden oder das Unternehmen gegen die schriftliche Erklärung verstößt, liegt ein Verstoß gegen das CCPA vor.

Schadensersatz nach dem CCPA

Wenn ein Unternehmen die Datenschutzrechte eines Verbrauchers nach dem CCPA verletzt, ist es schadensersatzpflichtig.

Ein Verbraucher kann Klage erheben, um den tatsächlichen oder gesetzlichen Schadenersatz zu erhalten.

  • Tatsächliche Schäden beziehen sich auf die tatsächlichen Verluste, die den Verbrauchern durch die Datenschutzverletzung eines Unternehmens entstehen.
  • Der gesetzliche Schadenersatz liegt zwischen 100 und 750 Dollar pro Verbraucher und Vorfall.

Das Unternehmen haftet entweder für den tatsächlichen oder den gesetzlichen Schaden, je nachdem, welcher Betrag höher ist.

Das Gericht bestimmt den gesetzlichen Schadensersatz nach CCPA anhand folgender Kriterien:

  • Art und Schwere des Verstoßes
  • Anzahl der Verstöße
  • Dauerhaftigkeit der Verstöße
  • Dauer der Straftat
  • Vorsätzlichkeit des Fehlverhaltens des Unternehmens
  • Vermögenswerte, Verbindlichkeiten und Reinvermögen des Unternehmens

Nach dem CCPA kann ein Unternehmen mit Unterlassungs- oder Feststellungsklagen sowie mit "jedem anderen Rechtsbehelf, den das Gericht für angemessen hält", belegt werden.

Einem Unternehmen drohen außerdem eine einstweilige Verfügung und eine Zivilklage des kalifornischen Generalstaatsanwalts wegen Verstoßes gegen das CCPA. Darüber hinaus haftet das Unternehmen mit maximal 2.500 USD pro unbeabsichtigtem Verstoß bzw. 7.500 USD pro vorsätzlichem Verstoß.

Außerdem legt das CCPA eine Obergrenze für den Schadenersatz fest, den ein Unternehmen zahlen muss: Das Unternehmen haftet für nicht mehr als 2.500 USD pro unbeabsichtigtem Verstoß oder 7.500 USD pro vorsätzlichem Verstoß.

Wie man private Ansprüche nach dem CCPA vermeidet

Der Prozess und die Kosten für die Verteidigung gegen eine CCPA-Klage können sich schnell summieren, vor allem wenn es sich um eine massive Datenschutzverletzung handelt. Darüber hinaus wird das öffentliche Image Ihres Unternehmens durch die Bekanntgabe einer Datenschutzverletzung und die anschließende Klage leiden, insbesondere wenn die Medien ausführlich darüber berichten.

Die Vermeidung dieser Ansprüche sollte in Ihrem Unternehmen Vorrang haben, da die Wiederherstellung des Images Ihres Unternehmens und die Wiederherstellung der Sicherheitskontrollen sehr kostspielig sein werden.

Die Implementierung von Datenschutzkontrollen und -sicherheit ist der einfachste Weg, um eine Datenschutzverletzung zu vermeiden.

Sie sollten beachten, dass der CCPA keine spezifischen angemessenen Sicherheitsmaßnahmen aufführt, die Unternehmen anwenden sollten. Die Unternehmen sind jedoch nicht ohne Hinweise auf "angemessene Sicherheitsmaßnahmen", die sie in Erwägung ziehen sollten.

Der Bericht des Generalstaatsanwalts von Kalifornien über Datenschutzverletzungen aus dem Jahr 2016 verweist beispielsweise auf 20 kritische Sicherheitskontrollen, die vom Center for Internet Security empfohlen werden. In diesem Bericht betont der Generalstaatsanwalt, dass das Versäumnis, diese Sicherheitsmaßnahmen umzusetzen, wahrscheinlich einem Versäumnis gleichkommt, angemessene Sicherheitsmaßnahmen anzuwenden.

Zu diesen Kontrollen gehören "Sichere Konfiguration von Unternehmensressourcen und -software" und "Zugriffskontrollmanagement".

Zusätzlich zu diesen Kontrollen sollte Ihr Unternehmen die folgenden Maßnahmen und Praktiken in Betracht ziehen, um Ansprüche im Zusammenhang mit dem CCPA zu vermeiden:

  • Verwaltung und Kontrolle des Zugangs zu Konten
  • Daten schützen
  • Implementierung von Netzsicherheits- und Abwehrsystemen
  • Maßnahmen zur Sicherung und Wiederherstellung von Daten festlegen
  • Schutz vor Malware einrichten

Die Verschlüsselung und Schwärzung aller personenbezogenen Daten kann dazu führen, dass diese Informationen nicht unter das private Klagerecht des CCPA fallen. Dies kann sicherstellen, dass Sie nicht aufgrund von Datenschutzverletzungen nach dem CCPA verklagt werden können.

Das private Klagerecht des CCPA gilt nur für unverschlüsselte oder unredigierte personenbezogene Daten. Wenn alle Informationen verschlüsselt sind, fallen sie nicht unter die Definition von personenbezogenen Daten.

Das CCPA gibt kalifornischen Bürgern ein privates Klagerecht, um Unternehmen wegen Verletzung ihrer Rechte zu verklagen

Unternehmen, die Dienstleistungen für die Einwohner Kaliforniens erbringen, müssen für ausreichende Sicherheit und ausreichenden Schutz der von ihnen erfassten Verbraucherdaten sorgen, um Datenschutzverletzungen zu verhindern. Im Falle eines Verstoßes können Unternehmen von Verbrauchern verklagt und vom Generalstaatsanwalt von Kalifornien zivilrechtlich belangt werden.

Die Aufrechterhaltung der Datenintegrität und des Datenschutzes ist Ihr wichtigstes Anliegen als Unternehmen, um eine Haftung gemäß dem CCPA zu vermeiden.

Ali Talip Pınarbaşı, CIPP/E, & LLM
Mehr über die Autorin

Geschrieben von Ali Talip Pınarbaşı, CIPP/E, & LLM

Ali ist ein in London ansässiger Anwalt für Datenschutzrecht mit einem Master of Laws-Abschluss in EU-Datenschutzrecht am King's College London. Er hat sechs Jahre Erfahrung in der Beratung von Unternehmen bei der Einhaltung von Datenschutzgesetzen. Mehr über die Autorin
termly-dashboard-add-privacy-policy-screenshot-with-green-checkmark

Termly Hilft Ihnen, CCPA-konform zu sein

Mit unserer Lösung können Sie innerhalb von MINUTEN eine CCPA-konforme Datenschutzrichtlinie erstellen!
CCPA-Datenschutzrichtlinie erstellen

Verwandte Artikel

  1. Datenschutzerklärung für ein SaaS-Unternehmen 01
    Datenschutzerklärung für ein SaaS-Unternehmen: So erstellen Sie eine
    Artikel

    4. Dezember 2025
    Hanna De La Garza
  2. Termly
    Termly vs. PolicyMaker: Funktionen und Vorteile im Vergleich
    Vergleiche

    November 26, 2025
    Ali Talip Pınarbaşı, CIPP/E, & LLM
  3. Termly
    Termly vs. Ketch: Funktionen und Dienstleistungen im Vergleich
    Vergleiche

    14. November 2025
    Ali Talip Pınarbaşı, CIPP/E, & LLM
  4. EU-konforme-Datenschutzpolitik-01
    EU-konforme Datenschutzrichtlinie
    Artikel

    7. November 2025
    Hanna De La Garza
  5. Rechtliche Anforderungen für E-Commerce-Geschäfte-01
    5 Arten von rechtlichen Anforderungen für E-Commerce-Shops
    Artikel

    5. November 2025
    Natasha Piirainen
  6. Wie-man-AI-Tools-verwendet-ohne-die-Privatsphärengesetze-zu-brechen-01
    Wie man KI-Tools verwendet, ohne gegen Datenschutzgesetze und bewährte Praktiken zu verstoßen
    Artikel

    31. Oktober 2025
    Natasha Piirainen
  7. AI-Datenschutz-Statistiken
    54 Aufschlussreiche KI-Datenschutzstatistiken
    Artikel

    15. Oktober 2025
    Hanna De La Garza
  8. 14 Website-Richtlinien, die Sie brauchen und wie Sie sie erstellen können
    14 Website-Richtlinien, die Sie brauchen und wie Sie sie erstellen
    Artikel

    15. Oktober 2025
    Hanna De La Garza
  9. Was ist der Unterschied zwischen einem Datenschutzhinweis und den Allgemeinen Geschäftsbedingungen
    Was ist der Unterschied zwischen einer Datenschutzrichtlinie, einem Haftungsausschluss und den Allgemeinen Geschäftsbedingungen?
    Artikel

    15. Oktober 2025
    Natasha Piirainen

Weitere Artikel ansehen