Der Druck des kalifornischen Gesetzgebers für mehr Datenschutz und KI-Regulierungen
Die Gesetzgebungssitzung Kaliforniens 2025 endete mit einer vertrauten Botschaft an Unternehmen: Die Anforderungen an die Datenschutzkonformität erweitern sich, und die Governance von künstlicher Intelligenz (KI) bewegt sich schnell von freiwilligen Best Practices zu durchsetzbaren Transparenz- und Sicherheitsverpflichtungen. Am letzten Tag des Jahres 2025 wurden 33 Datenschutz- und KI-Gesetzentwürfe eingeführt und 16 zur Unterzeichnung oder Ablehnung an den Gouverneur weitergeleitet. Letztendlich unterzeichnete der Gouverneur vier Datenschutzgesetze und sieben KI-Gesetze, während er fünf andere ablehnte.
Neue Datenschutzgesetze
Das kalifornische Gesetz „Opt Me Out Act“ erfordert universelle Opt-out-Signale für Browser und verpflichtet Unternehmen, die einen Webbrowser entwickeln oder warten, den Verbrauchern ein universelles Opt-out-Präferenzsignal zu bieten, das für alle besuchten Websites gilt. Obwohl das Mandat sich an Browserentwickler richtet, sollten Unternehmen sich auf maschinenlesbare Opt-out-Signale vorbereiten und sicherstellen, dass Adtech-, Analyse- und Zustimmungstools diese Signale konsistent über Websites hinweg erkennen und beachten.
Das Gesetz AB1043, das Online-Altersverifizierungssignale behandelt, verfolgt ein alternatives Modell für die Sicherheit von Kindern im Internet, indem es die Verpflichtungen verschiebt. Nach dieser Regelung müssen Betriebssystemanbieter eine Schnittstelle anbieten, über die Nutzer Altersverifizierungsinformationen während der Kontoeinrichtung eingeben können. Dieses Modell weicht von anderen Bundesstaaten ab, indem es die Haftung auf Entwickler überträgt und Betriebssystemanbieter sowie App-Stores von der Haftung ausschließt.
Das Gesetz SB 361 erweitert die Aufsicht über Datenbroker durch umfassendere Offenlegungen und strengere Durchsetzungsmaßnahmen. Broker müssen offenlegen, ob sie persönliche Informationen in zahlreichen Kategorien sammeln, einschließlich sexueller Orientierung, Staatsbürgerschaft, biometrischer Informationen und Regierungsidentifikationsnummern. Diese Regelung zwingt Datenbroker und Unternehmen, die in der Praxis Brokerähnliches tun, dazu, ihre Registrierungs-, Bericht- und Löschabläufe zu überprüfen.
Das Gesetz AB 45 erstreckt die Verbote auf die Erhebung, Verwendung, Offenlegung, den Verkauf, das Teilen oder die Aufbewahrung von persönlichen Informationen von Personen, die sich innerhalb der genauen Geolokalisierung von Kliniken oder Einrichtungen für reproduktive Gesundheitsdienste befinden. Diese Regelung bietet ein privates Klagerecht für Verstöße und erfordert von Organisationen, dass sie ihre Standorterhebungen und -aufbewahrungen überprüfen.
Transparenz und Sicherheit in der KI
Das Gesetz zur Transparenz in der fortschrittlichen künstlichen Intelligenz erfordert von bestimmten Entwicklern fortschrittlicher KI mit einem Umsatz von mindestens 500 Millionen US-Dollar, ihre Sicherheitsbemühungen offenzulegen, einschließlich:
- Offenlegungen an das Büro für Notfalldienste sowie obligatorische Drittanbieterprüfungen; Offenlegungen müssen angeben, welche akzeptierten Standards in ihre Rahmenbedingungen integriert wurden; und es muss ein klares Sicherheitskonzept angenommen und auf der Website des Entwicklers veröffentlicht werden.
- Zusätzlich reguliert das Gesetz SB 243 Begleit-Chatbots, die als Systeme beschrieben werden, die menschliche Antworten nutzen, um soziale Bedürfnisse zu befriedigen und Beziehungen aufrechtzuerhalten. Die Regelung verlangt:
- Eine klare und auffällige Offenlegung, dass der Nutzer mit KI interagiert und nicht mit einem Menschen, wenn eine vernünftige Person irreführt werden könnte; und Schutzmaßnahmen, die verhindern, dass Inhalte bereitgestellt werden, wenn kein Protokoll vorhanden ist, das schädliche Inhalte, einschließlich Selbstschädigung und suizidale Gedanken, oder sexuelle Inhalte bei bekannten Minderjährigen verhindert.
Ausblick auf 2026
Die zweite Hälfte der kalifornischen Gesetzgebungssitzung hat begonnen. Mehr als 22 Gesetzentwürfe werden weiterverfolgt, mit einer Frist für neue Gesetzentwürfe am 20. Februar 2026. Zu den Datenschutzgesetzentwürfen in den Ausschüssen gehören Anpassungen des kalifornischen Verbraucherdatenschutzgesetzes und des kalifornischen Gesetzes über die Verletzung der Privatsphäre sowie Gesetze zur Überwachung am Arbeitsplatz. Potenzielle neue Verpflichtungen für Datenbroker und neue Berichterstattungen für Unternehmen, die präzise Geolokalisierungen sammeln, stehen ebenfalls auf der Liste.
Insgesamt bestätigen diese Maßnahmen, dass Kalifornien kontinuierlich das Risikomanagement im Bereich Datenschutz und KI in betriebliche Anforderungen umwandelt, die durch Dokumentation, Offenlegungen und nachweisbare Kontrollen überprüft werden können. Organisationen sollten Engineering, Produktentwicklung, Beschaffung und Recht auf eine gemeinsame Compliance-Roadmap abstimmen, die die Erkennung universeller Opt-out-Signale, Alters- und Minderjährigenschutzmaßnahmen, Datenbroker-Berichtswesen und Löschabläufe sowie Governance zur Transparenz und Sicherheit von KI abdeckt, die Prüfungen und die Sorgfaltspflicht der Anbieter standhalten kann.
