Aktualisierung zur KI- und Datenschutzgesetzgebung in Kalifornien – Januar 2026

Aktualisierung zur KI- und Datenschutzgesetzgebung in Kalifornien – Januar 2026

Das neue Jahr hat schnell begonnen. Der Februar steht vor der Tür. Unternehmen gewöhnen sich allmählich an 2026, und einige Trends beginnen sich abzuzeichnen. Unternehmen setzen sich mit den im vergangenen Herbst verabschiedeten Gesetzen zu KI und Datenschutz auseinander. Die Klagewelle gemäß dem California Invasion of Privacy Act (CIPA) zeigt keine Anzeichen der Abnahme. Möglicherweise treibt das Scheitern von SB 690 und ein weiteres Jahr Aufschub die Klageflut in diesem Bereich an. Bis zum 21. Januar 2026 wurden 40 Datenverletzungen, die mehr als 500 kalifornische Bewohner betrafen, dem Attorney General von Kalifornien gemeldet, im Vergleich zu 23 im gleichen Zeitraum 2025. Datenschutz-Klageverfahren folgen in der Regel kurz nach der Meldung, was darauf hindeutet, dass 2026 ein weiteres, wenn nicht sogar aktiveres Jahr in diesem Bereich wird.

Regulatorische Untersuchungen folgen ebenfalls. Der Beginn des Jahres ist ein guter Zeitpunkt, um das Written Information Security Program (WISP) zu überprüfen und die angemessene Umsetzung der Systeme und Maßnahmen zu bestätigen, die sich aus dem WISP ergeben. Ebenso ist es ein guter Zeitpunkt, um die Datenschutzmitteilungen auf Webseiten zu überprüfen und (falls erforderlich) zu aktualisieren, sicherzustellen, dass die Einwilligungsmanager und Opt-out-Mechanismen auf der Webseite wie vorgesehen funktionieren, und Schulungen zu Datenschutz und Cybersicherheit durchzuführen.

Fokus der California Privacy Protection Agency

Die California Privacy Protection Agency konzentriert sich weiterhin auf Datenbroker und wird voraussichtlich 2026 die Durchsetzung mit der Verfügbarkeit der Delete Request and Opt-Out Platform (DROP) verstärken. Die Implementierung von DROP könnte jedoch nicht ganz unkompliziert sein, weshalb ein detaillierter Projektplan und eine Checkliste empfohlen werden.

Aktualisierte Vorschriften des California Consumer Privacy Act

Die aktualisierten Vorschriften des California Consumer Privacy Act (CCPA) traten am 1. Januar 2026 in Kraft. Diese Vorschriften verlangen unter anderem jährliche Cybersicherheitsaudits, Bewertungen von Datenschutzrisiken und Vorabbenachrichtigungen sowie weitere Anforderungen für Technologien zur automatisierten Entscheidungsfindung, die allgemein gestaffelte Starttermine je nach Unternehmensgröße haben.

Die kalifornische Legislative trat am 5. Januar 2026 wieder zusammen. Da wir uns im zweiten Jahr des Bienniums 2025-2026 befinden, könnten neue Gesetze eingeführt oder Gesetzentwürfe, die im ersten Jahr nicht den Gouverneur erreichten, vorangetrieben werden. Beispielsweise sind einige Gesetzentwürfe im Ausschuss für Datenschutz und Verbraucherschutz der Versammlung ins Stocken geraten, nachdem sie vom Senat genehmigt wurden: SB 690, das eine Konfliktlösung zwischen CIPA und CCPA anstrebt und damit die Klageflut unter CIPA legislativ eindämmen würde; SB 420, das Entwicklern von Hochrisiko-automatisierten Entscheidungssystemen vorschreibt, vor der öffentlichen Bereitstellung Auswirkungen zu bewerten. Die aktuelle Legislaturperiode endet am 31. August 2026.

Neue Gesetze zur KI- und Datenschutzgesetzgebung

Die folgenden Gesetze zur KI und zum Datenschutz traten am 1. Januar 2026 in Kraft:

• AB 316 (Künstliche Intelligenz: Verteidigungen)
• AB 566 (CCPA: Opt-out-Präferenzsignal)
• AB 853 (Kalifornisches KI-Transparenzgesetz)
• SB 53 (Künstliche Intelligenz-Modelle: große Entwickler)
• SB 243 (Begleit-Chatbots)
• SB 361 (Registrierung von Datenbrokern: Datensammlung)
• SB 446 (Änderung von Abschnitt 1798.82 des Zivilgesetzbuchs: persönliche Informationen und Benachrichtigung über Datenverletzungen)

AB 566 (das kalifornische Opt Me Out Act) verlangt von Webbrowsern, eine klare, einheitliche Einstellung zu integrieren, die es Nutzern ermöglicht, ein Opt-out-Präferenzsignal zu senden. AB 853 auferlegt neue Transparenz- und Offenlegungspflichten für GenAI-Systeme und ändert das bestehende kalifornische KI-Transparenzgesetz. Auf einer noch größeren Ebene verpflichtet SB 53 große KI-Entwickler, Risikomanagementrahmen zu veröffentlichen und katastrophale Sicherheitsvorfälle dem Staat zu melden.

SB 446 verlangt die Benachrichtigung betroffener kalifornischer Einwohner innerhalb von 30 Kalendertagen nach Entdeckung oder Mitteilung der Datenverletzung, mit üblichen Ausnahmen. Ein Bericht über die Benachrichtigung einer Datenverletzung muss innerhalb von 15 Kalendertagen nach der Benachrichtigung der betroffenen Personen dem Attorney General von Kalifornien vorgelegt werden.

Neue Gesetzentwürfe zur KI und Datenschutz

Eine Reihe neuer Gesetzentwürfe zur KI und zum Datenschutz wurden eingeführt. SB 300, SB 867 und AB 1609 sind neue Gesetzentwürfe zu Chatbots. AB 1064 (Leading Ethical AI Development (LEAD) for Kids Act) wurde im letzten Herbst von Gouverneur Newsom vetoisiert. Ein neuer Wahlvorschlag, der Parents & Kids Safe AI Act, wurde eingeführt, und es werden jetzt Unterschriften gesammelt, um den Vorschlag im November 2026 auf die Wahlurne zu bringen. Es ist möglich, dass die kalifornische Legislative neue Gesetzgebung zu diesem Thema einführt und Gouverneur Newsom diese nach dem Vorbild des CCPA unterzeichnet, der ursprünglich ein vorgeschlagener Wahlvorschlag war.

AB 1542 (ein Gesetz zur Änderung der Abschnitte 1798.100 und 1798.121 des Zivilgesetzbuchs bezüglich Datenschutz) würde unter dem CCPA es einem Unternehmen, Dienstleister oder Auftragnehmer verbieten, sensible persönliche Informationen an Dritte zu verkaufen oder weiterzugeben. Das geltende Gesetz erlaubt dem Verbraucher, dem Verkauf oder der Weitergabe persönlicher Informationen zu widersprechen und die Verwendung und Offenlegung sensibler persönlicher Informationen auf bestimmte im Gesetz festgelegte Verwendungszwecke zu beschränken. AB 1542 könnte am 5. Februar 2026 im Ausschuss behandelt werden.

Fazit

Bleiben Sie dran. 2026 verspricht ein weiteres interessantes Jahr in Kalifornien zu werden.