Kalifornien startet revolutionäres Daten-Löschportal

Mit einem Klick zur digitalen Selbstbestimmung: Kalifornien hat als erster US-Staat eine zentrale Plattform gestartet, mit der Bürger ihre Daten bei Hunderten von Datenhändlern gleichzeitig löschen lassen können. Das „DROP“-System stellt die milliardenschwere Datenindustrie vor eine historische Herausforderung.

Das „Delete Request and Opt-out Platform“ (DROP) der kalifornischen Datenschutzbehörde CPPA ist seit dieser Woche online. Es erlaubt den über 39 Millionen Einwohnern des Bundesstaates, mit einer einzigen Anfrage die Löschung ihrer persönlichen Informationen bei mehr als 500 registrierten Datenbrokern zu verlangen. Die Plattform setzt den „California Delete Act“ um und wird von Datenschützern als „Do-not-call-Register für das digitale Zeitalter“ gefeiert.

So funktioniert die digitale Löschtaste

Bisher mussten Verbraucher jeden Datenhändler einzeln kontaktieren – ein nahezu unmögliches Unterfangen. DROP vereinfacht diesen Prozess radikal. Nutzer verifizieren ihre Identität über ein staatliches Gateway und stellen einen universellen Löschantrag. Dieser wird automatisch an alle registrierten Broker weitergeleitet, die personenbezogene Daten wie Standortverläufe, Kaufhistorie oder demografische Profile sammeln und handeln.

Passend zum Thema Datenschutz: Lücken im Verarbeitungsverzeichnis können teuer werden — Bußgelder bis zu 2% des Jahresumsatzes drohen. Diese kostenlose Excel-Vorlage (inkl. E‑Book) zeigt Ihnen Schritt für Schritt, wie Sie alle Verarbeitungstätigkeiten nach Art. 30 DSGVO lückenlos dokumentieren. Ideal für Unternehmen, Datenschutzbeauftragte und Behörden, die ihre Datenflüsse zu Dritten (u. a. Datenbrokern) übersichtlich erfassen wollen. Jetzt kostenlose Verarbeitungsverzeichnis-Vorlage herunterladen

Die Nutzung ist für Verbraucher kostenlos und rund um die Uhr möglich. Das System vergibt eine eindeutige Kennung, mit der der Fortschritt der Löschung bei allen Brokern nachverfolgt werden kann. Nutzer können zwar bestimmte Firmen von der Löschung ausnehmen, doch erste Daten deuten darauf hin, dass die meisten die pauschale Löschung wählen.

Countdown für die Datenindustrie läuft

Für die Datenbroker beginnt nun eine heiße Phase. Zwar können Verbraucher ab sofort Anträge stellen, doch die verpflichtende Bearbeitung startet erst am 1. August 2026. Ab dann müssen die Unternehmen das DROP-System mindestens alle 45 Tage abfragen und erhaltene Löschaufträge umsetzen. Sie müssen die Daten nicht nur aus ihren eigenen Systemen entfernen, sondern auch bei Dienstleistern löschen lassen. Zudem ist es ihnen fortan verboten, neue Informationen über diese Person zu sammeln oder zu verkaufen.

Die Strafen bei Nichtbeachtung sind drastisch: 200 US-Dollar pro Löschantrag und Tag. Für Broker mit Millionen Datensätzen könnte dies existenzbedrohende Summen bedeuten. Diese harte Gangart soll verhindern, dass DROP zu einem „zahnlosen Tiger“ wie frühere freiwillige Standards wird.

Ein Präzedenzfall mit globaler Strahlkraft

DROP ist die konsequente Weiterentwicklung des kalifornischen Verbraucherdatenschutzgesetzes (CCPA), das ein Löschrecht einführte, aber keinen zentralen Vollzugsmechanismus vorsah. Datenschutzorganisationen wie die Electronic Frontier Foundation begrüßen die Verschiebung der Beweislast: Nicht der Einzelne muss nun Hunderte undurchsichtige Firmen kontrollieren, sondern der Staat schaltet sich als Vermittler ein.

Die Definition, wer als Datenbroker gilt, ist bewusst weit gefasst. Sie umfasst nicht nur klassische Datenhändler, sondern auch Unternehmen, die öffentliche Webdaten scrapen, Kreditinformationen kaufen oder App-Nutzungsstatistiken aggregieren. Alle müssen sich jährlich beim Staat registrieren, was der Aufsichtsbehörde erstmals einen vollständigen Überblick über die Branche verschafft.

Marktumbrüche und offene Fragen

Die Einführung von DROP sendet Schockwellen durch die Data-Brokerage-Branche. Marktbeobachter prognostizieren, dass Datenbanken mit Informationen über Kalifornier massiv an Wert verlieren werden. Dies könnte einen strategischen Schwenk hin zu First-Party-Daten erzwingen, bei denen Unternehmen direkte, einvernehmliche Kundenbeziehungen aufbauen müssen.

Die technische Umsetzung ist anspruchsvoll. Die CPPA setzt auf gehashte Identifikatoren, um Personen über verschiedene Datenbanken hinweg zuordnen zu können, ohne die eigentlichen Daten preiszugeben. Eine elegante Lösung für das Privacy-Paradox: Man muss beweisen, wer man ist, um die Löschung der eigenen Daten zu verlangen.

Aus der Wirtschaft kommen gemischte Reaktionen. Während sich Branchenverbände kooperativ zeigen, klagen einige Unternehmen über die technischen Kosten der 45-Tage-Abfrage. Unklar bleibt auch der Umgang mit komplexen Datensätzen, etwa in Betrugspräventionsdatenbanken, die unter bestimmten Auflagen von der Löschpflicht ausgenommen sind.

Blaupause für die USA und Europa?

Die nächsten sieben Monate bis zur Vollziehung konzentrieren sich auf die Verbraucherakzeptanz und die Vorbereitung der Industrie. Die CPPA plant eine große Aufklärungskampagne, um Millionen Nutzer bis zum Stichtag im August zu gewinnen.

Rechtliche Anfechtungen durch die Datenbranche sind möglich, doch die meisten Experten halten das Gesetz auf solidem verfassungsrechtlichem Grund. Der Erfolg des kalifornischen Experiments wird bundesweit genau beobachtet. Gesetzgeber in Staaten wie Texas, New York und Illinois verfolgen den Rollout. Sollte DROP sich bewähren, könnte es noch in diesem Jahrzehnt zum de-facto-Standard für den US-Datenschutz werden – und womöglich sogar eine bundesweite Lösung erzwingen. Für Europa bietet das System eine faszinierende Blaupause, wie das in der DSGVO verankerte „Recht auf Vergessenwerden“ praktisch und nutzerfreundlich umgesetzt werden könnte.

PS: Sie möchten Prüfungen und Anfragen zur Datenauskunft und Löschung souverän beantworten? Mit der editierbaren Excel-Vorlage inklusive Praxis-E‑Book erstellen Sie Ihr Verarbeitungsverzeichnis in kurzer Zeit — vollständig prüfungssicher und DSGVO-konform. Perfekt für Datenschutzbeauftragte und Unternehmen, die durch neue regulatorische Pflichten (z. B. Registrierungspflichten für Datenbroker) mehr Transparenz in ihren Verarbeitungen brauchen. Jetzt Excel-Vorlage und Anleitung kostenlos sichern