Kalifornien zwingt Unternehmen zu jährlichen IT-Sicherheits-Checks

Ab sofort müssen große Unternehmen in Kalifornien ihre Cybersicherheit jährlich extern prüfen lassen. Die neuen Regeln gelten als strengste Datenschutzvorschriften der USA und betreffen auch europäische Konzerne mit Geschäften im US-Bundesstaat. Sie markieren einen Paradigmenwechsel: Nicht mehr Absichtserklärungen, sondern nachweisbare Sicherheit zählt.

Die kalifornische Datenschutzbehörde CPPA hat die Verordnung bereits im September 2025 finalisiert. Seit dem 1. Januar 2026 ist sie in Kraft. Kern der Regelung ist eine jährliche, unabhängige Prüfung der IT-Sicherheitsprogramme. Unternehmen müssen zertifizieren, dass sie personenbezogene Daten angemessen schützen. Die Vorschrift ergänzt den California Consumer Privacy Act (CCPA) und ist Teil eines größeren Pakets, das auch Risikobewertungen und Regeln für automatisierte Entscheidungssysteme umfasst.

Wer muss sich auditieren lassen?

Nicht alle Firmen fallen unter die neue Pflicht. Sie betrifft gezielt Unternehmen, deren Datenverarbeitung ein „signifikantes Risiko für die Privatsphäre oder Sicherheit der Verbraucher“ darstellt. Konkret gibt es zwei Hauptkriterien.

Das erste betrifft Unternehmen, die 50 Prozent oder mehr ihres Jahresumsatzes mit dem Verkauf oder der Weitergabe personenbezogener Daten erzielen. Das zweite Kriterium gilt für Firmen, die die CCPA-Umsatzgrenze von über 26 Millionen US-Dollar überschreiten und im Vorjahr eine von zwei Verarbeitungsschwellen erreichten: Daten von 250.000 Verbrauchern oder Haushalten oder sensible Daten von 50.000 Verbrauchern. Dieses zweistufige System soll die datenintensivsten Geschäfte der strengsten Kontrolle unterwerfen.

Kaliforniens neues Prüfregime macht externe Cybersicherheits-Audits zur Pflicht – viele Unternehmen sind dafür noch nicht ausreichend vorbereitet. Das kostenlose E‑Book „Cyber Security Awareness Trends“ erklärt, welche Risiken Prüfer sehen, welche technischen und organisatorischen Nachweise verlangt werden und welche Sofortmaßnahmen IT‑Teams jetzt umsetzen sollten. Mit praktischen Checklisten zur Audit‑Vorbereitung, Tipps für Geschäftsführung und Datenschutzbeauftragte sowie Hinweisen, wie Sie IT‑Prozesse dokumentieren, um Prüfungen zu bestehen. Jetzt kostenloses Cyber-Security-E‑Book herunterladen

So läuft der Audit-Prozess ab

Betroffene Unternehmen müssen für den jährlichen Check einen qualifizierten, objektiven und unabhängigen Prüfer beauftragen. Dieser kann intern oder extern sein, muss aber frei von innerem Einfluss urteilen können. Der Prüfumfang ist umfassend: Er bewertet das gesamte Cybersicherheitsprogramm inklusive Richtlinien, Verfahren und technischer Schutzmaßnahmen.

Interessant ist das Meldeverfahren: Unternehmen müssen der Behörde nicht den vollständigen Prüfbericht vorlegen. Stattdessen reichen sie jährlich eine schriftliche Zertifizierung ein, die von einem Mitglied der Geschäftsführung unterzeichnet wird. Diese bestätigt die ordnungsgemäße Durchführung des Audits. Doch Vorsicht: Die CPPA und die Staatsanwaltschaft können im Untersuchungsfall den vollständigen Bericht anfordern. Eine oberflächliche Prüfung wäre daher riskant.

Gestaffelte Fristen bis 2030

Die Behörde hat gestaffelte Fristen für die erste Zertifizierung festgelegt, gestaffelt nach Unternehmensumsatz. Dies soll Vorbereitungszeit geben.

Die ersten betroffenen sind Großunternehmen mit Umsätzen über 100 Millionen US-Dollar. Sie müssen ihr erstes Audit für das Geschäftsjahr 2027 bis zum 1. April 2028 zertifizieren. Firmen mit Umsätzen zwischen 50 und 100 Millionen US-Dollar folgen ein Jahr später, am 1. April 2029. Die letzte Gruppe (unter 50 Millionen US-Dollar Umsatz, aber hohe Datenverarbeitung) hat bis zum 1. April 2030 Zeit. Anschließend gilt die jährliche Pflicht für alle.

Was bedeutet das für die Wirtschaft?

Kalifornien festigt mit dieser Regelung seine Vorreiterrolle im US-Datenschutz. Für Unternehmen verwandelt sich der vage Rechtsbegriff der „angemessenen Sicherheit“ in einen überprüfbaren Standard. Bloße Behauptungen reichen nicht mehr – die Wirksamkeit der Maßnahmen muss nun nachgewiesen werden. Das dürfte erhebliche Investitionen in IT-Sicherheitsinfrastruktur, Personal und Dokumentationsprozesse auslösen.

Experten raten: Nicht bis zur Deadline warten! Die erste Prüfperiode für die größten Unternehmen beginnt 2027 – die Vorbereitung sollte also jetzt starten. Erste Schritte sind eine Lückenanalyse oder ein Probe-Audit, um Schwachstellen früh zu erkennen. Zudem empfehlen sich robuste Archivierungssysteme für alle Prüfunterlagen. In einer Welt mit wachsendem Datenschutzbewusstsein wird proaktive Vorbereitung der Schlüssel sein, um hohe Strafen zu vermeiden und das Verbrauchervertrauen zu wahren.

PS: Sie wollen Bußgelder und Nachforderungen vermeiden? Der Gratis‑Leitfaden zeigt praxisnah, wie Sie Ihre Dokumentation und Mitarbeiter‑Awareness schnell stärken – inklusive Anti‑Phishing‑Check und einem Umsetzungsfahrplan für kleine, wirkungsvolle Maßnahmen bis zur Zertifizierung. Ideal für Geschäftsführer und IT‑Verantwortliche, die sofort handeln müssen, um Prüfungen sicher zu bestehen. Cyber-Security-Guide jetzt gratis sichern