Kalifornien verschärft Meldepflicht bei Datenlecks
01.01.2026 - 04:12:12Ein neues Gesetz in Kalifornien verpflichtet Unternehmen, Datenlecks innerhalb von 30 Tagen zu melden. Die strengere Regelung beendet monatelanges Schweigen und könnte zum nationalen Standard in den USA avancieren.
Ab heute müssen Unternehmen Datenpannen in Kalifornien innerhalb von 30 Tagen melden. Das verschärfte Gesetz setzt dem bisherigen Schweigen nach Cyberangriffen ein Ende und könnte zum nationalen Standard werden.
Ende der Schweigefrist: 30 Tage werden zur Pflicht
Der Countdown läuft: Seit diesem Donnerstag gilt in Kalifornien eine der strengsten Meldepflichten für Datenlecks in den USA. Das neue Gesetz SB 446 ersetzt die bisherige vage Formulierung “ohne unangemessene Verzögerung” durch eine klare Frist: 30 Kalendertage ab Entdeckung der Panne. Für betroffene Verbraucher bedeutet das mehr Transparenz – für Unternehmen deutlich mehr Druck.
Die Uhr tickt ab dem Moment, in dem das Datenleck “entdeckt” wird. Diese Definition ist bewusst weit gefasst. Zwar gibt es Ausnahmen, etwa für laufende Strafverfolgungsermittlungen. Doch die Beweislast liegt nun beim Unternehmen: Jede Überschreitung der 30-Tage-Frist muss aktiv gerechtfertigt werden. Bei großen Vorfällen mit über 500 betroffenen Kaliforniern kommt eine weitere Pflicht hinzu: Innerhalb von 15 Tagen nach der Benachrichtigung der Kunden muss eine Muster-Meldung an die Generalstaatsanwaltschaft des Staates gehen.
Passend zum Thema Cyber-Risiken und Meldepflichten: Das kostenlose E‑Book “Cyber Security Awareness Trends” erklärt konkret, welche organisatorischen und technischen Maßnahmen Unternehmen jetzt ergreifen sollten, um Datenlecks schneller zu erkennen und die neue 30‑Tage‑Meldepflicht sicher einzuhalten. Enthalten sind praxisnahe Checklisten, Umsetzungsschritte für Compliance‑Teams, Empfehlungen für schnelle Forensik‑Workflows und eine verständliche Übersicht zu relevanten Gesetzen. Ideal für Geschäftsführer und IT‑Verantwortliche. Gratis Cyber-Security-Leitfaden herunterladen
Antwort auf monatelanges Schweigen
Kalifornien war mit seinem ersten Datenschutzgesetz von 2002 zwar Vorreiter. Doch die alte Regelung erwies sich als zahnlos. Sie erlaubte Unternehmen, die Meldung über Datenlecks monatelang hinauszuzögern – oft während ihre Rechtsabteilungen über die Definition von “unangemessen” debattierten.
Das neue Gesetz ist eine direkte Reaktion auf mehrere spektakuläre Vorfälle in den Jahren 2024 und 2025. Damals warteten große Tech- und Einzelhandelskonzerne teilweise 60 bis 90 Tage, bevor sie massive Datenkompromittierungen öffentlich machten. Staatssenatorin Melissa Hurtado, die den Gesetzentwurf einbrachte, sprach von einem “kritischen Schlupfloch”, das Verbraucher unnötig lange der Gefahr von Identitätsdiebstahl aussetzte.
Im internationalen Vergleich bleibt Kalifornien zwar hinter der EU-DSGVO zurück, die eine Meldung innerhalb von 72 Stunden vorschreibt. Doch im föderalen US-Kontext setzt der Bundesstaat mit seiner Konsumenten-orientierten Regelung einen wichtigen Akzent. Während die US-Börsenaufsicht SEC für börsennotierte Unternehmen eine 4-Tage-Frist für meldepflichtige Vorfälle durchsetzt, stellt Kalifornien sicher, dass die Betroffenen selbst zeitnah informiert werden.
Hohe Strafen und parallele Reformen
Die neuen Vorschriften sind Teil eines umfassenden Cybersecurity-Pakets, das heute in Kraft tritt. Neben der Meldepflicht führt die kalifornische Datenschutzbehörde (CPPA) nun auch verpflichtende Cybersecurity-Audits und Risikobewertungen für große Unternehmen ein.
Wer die 30-Tage-Frist verpasst, muss mit empfindlichen Strafen rechnen. Das kalifornische Wettbewerbsrecht sieht Bußgelder von bis zu 2.500 US-Dollar pro Verstoß vor. Bei vorsätzlichem Handeln können sogar 7.500 US-Dollar fällig werden. Noch bedeutsamer: Das kalifornische Verbraucherschutzgesetz (CCPA) eröffnet Betroffenen in bestimmten Fällen ein Klagerecht. Eine verspätete Meldung könnte vor Gericht schnell als Indiz für Fahrlässigkeit gewertet werden – und teure Sammelklagen nach sich ziehen.
Wird die 30-Tage-Regel zum US-Standard?
Die Auswirkungen des Gesetzes werden weit über Kalifornien hinaus spürbar sein. Als fünftgrößte Volkswirtschaft der Welt zwingt der Bundesstaat nationale und internationale Konzerne de facto dazu, den 30-Tage-Standard für alle Kunden anzuwenden – einfach aus Gründen der Compliance-Vereinfachung.
Experten rechnen im ersten Quartal 2026 mit einem sprunghaften Anstieg gemeldeter Datenpannen. Der Grund liegt nicht in mehr Cyberangriffen, sondern darin, dass Unternehmen alte Vorfälle jetzt schnell aufarbeiten müssen, um nicht gegen die neuen Fristen zu verstoßen.
Viele Beobachter erwarten, dass weitere US-Bundesstaaten dem kalifornischen Vorbild folgen werden. Solange auf Bundesebene keine einheitliche Regelung existiert, könnten die strengen Fristen Kaliforniens zum de-facto-Nationalstandard werden. Für Sicherheitsverantwortliche (CISOs) ist die Botschaft ab heute eindeutig: Bei einem Datenleck bleibt genau ein Monat, um die Öffentlichkeit zu informieren.
PS: Übrigens: In Zeiten strenger Meldefristen zahlt sich präventive Aufklärung aus. Das kostenlose Anti‑Phishing‑Paket zeigt in vier klaren Schritten, wie Sie Mitarbeitende sensibilisieren, CEO‑Fraud und gefälschte Mails erkennen und erste Angriffe stoppen, bevor sie zu meldepflichtigen Pannen werden. Dazu gibt es praxisnahe Vorlagen für interne Abläufe, Checklisten zur schnellen Kontrolle und branchenspezifische Handlungsempfehlungen – sofort anwendbar. Anti-Phishing-Paket kostenlos anfordern
