Aller au contenu principal
NUKOE

RGPD, CCPA und DPDPA: Wer führt den Datenschutz 2026 an?

• 12 min •
Comparaison des trois grands régimes de protection des données en 2026.

Am 11. August 2026 erließ Indien den Digital Personal Data Protection Act (DPDPA), was einen Wendepunkt in seinem Ansatz zum digitalen Datenschutz markierte. Weniger als ein Jahr später, im Januar 2026, veröffentlichten die Kanzleien Cleary Gottlieb eine detaillierte vergleichende Analyse zwischen diesem neuen Gesetz, der europäischen DSGVO und den US-amerikanischen Gesetzen, einschließlich des kalifornischen CCPA. Heute, im Mai 2026, bestehen diese drei Regelwerke nebeneinander und beeinflussen die Compliance-Strategien von Unternehmen, die international tätig sind. Aber wie schneiden sie tatsächlich im Vergleich ab? Und vor allem, welche Fallstricke sollten Fachleute im digitalen Bereich vermeiden?

1. Anwendungsbereich: Wer ist betroffen?

Die DSGVO gilt für jede Einrichtung, die Daten von EU-Bürgern verarbeitet, unabhängig von ihrem Sitz. Der CCPA hingegen richtet sich an Unternehmen, die einen bestimmten Umsatz erzielen oder ein erhebliches Datenvolumen von Kaliforniern verarbeiten. Der DPDPA gilt für die Verarbeitung personenbezogener digitaler Daten in Indien, auch durch ausländische Unternehmen, wenn die Daten indische Einwohner betreffen.

Laut einer Analyse von Cleary Cyberwatch (Januar 2026) umfasst der DPDPA auch offline erhobene und dann digitalisierte Daten, was seinen Anwendungsbereich im Vergleich zum CCPA erweitert. Im Gegensatz dazu schließt er, wie die DSGVO, die Verarbeitung zu persönlichen oder häuslichen Zwecken aus.

2. Einwilligung und Zwecke: Deutliche Unterschiede

Die DSGVO verlangt eine ausdrückliche, freiwillige, spezifische und widerrufliche Einwilligung. Der CCPA basiert eher auf dem Opt-out-Recht für den Datenverkauf, während der DPDPA eine vorherige Einwilligung für jede Verarbeitung vorschreibt, mit wenigen Ausnahmen.

Ein Artikel auf IGI Global aus dem Jahr 2026 betont, dass der DPDPA, ähnlich wie die DSGVO, eine „freiwillige, spezifische, informierte und unmissverständliche“ Einwilligung verlangt, aber ein zusätzliches Konzept einführt: Die Einwilligung muss durch eine „eindeutige positive Handlung“ erfolgen. Die Autoren kritisieren jedoch das Fehlen von Klarstellungen zum Widerrufsmechanismus, ein in der DSGVO zentraler Punkt.

3. Rechte der betroffenen Personen: Wer schützt am besten?

Die DSGVO bietet einen umfangreichen Katalog von Rechten: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch. Der CCPA konzentriert sich auf das Recht auf Auskunft, Löschung und Opt-out beim Verkauf. Der DPDPA übernimmt laut einem Vergleich von Nyusta vom Oktober 2026 die meisten Rechte der DSGVO, lässt jedoch einige weg, wie die Datenübertragbarkeit und automatisierte Profilerstellung. Eine bemerkenswerte Lücke, die eine Studie des IEEE (2026) feststellt, ist das Fehlen klarer Bestimmungen zu automatisierten Entscheidungen und Profiling, die im Zeitalter der KI entscheidend sind.

4. Sanktionen und Durchsetzung: Die Kosten der Nichteinhaltung

Die DSGVO kann Geldbußen von bis zu 4 % des weltweiten Jahresumsatzes oder 20 Millionen Euro verhängen (der höhere Betrag gilt). Der CCPA sieht zivilrechtliche Strafen von 2.500 $ pro unbeabsichtigter und 7.500 $ pro vorsätzlicher Verletzung vor. Der DPDPA legt Geldbußen von bis zu 250 Crore INR (etwa 30 Millionen Euro) pro Verstoß fest. Laut Global Privacy Blog (Dezember 2026) ist dieser Betrag mit der DSGVO-Obergrenze vergleichbar, aber der DPDPA sieht keinen prozentualen Anteil am Umsatz vor, was kleinere Unternehmen stärker benachteiligen kann.

5. Fallstricke für Fachleute

Fehler Nr. 1: Glauben, dass CCPA und DSGVO austauschbar sind. Der CCPA verlangt keine vorherige Einwilligung für die Erhebung, im Gegensatz zur DSGVO. Ein Unternehmen, das seine DSGVO-Verfahren mechanisch auf Kalifornien überträgt, riskiert, auf unterschiedliche Anforderungen zu stoßen.

Fehler Nr. 2: Die Besonderheiten des DPDPA bei der elterlichen Einwilligung ignorieren. Der DPDPA verlangt eine überprüfbare Einwilligung der Eltern oder Erziehungsberechtigten für die Verarbeitung von Daten von Kindern (unter 18 Jahren). Kein anderes Regelwerk hat eine so hohe Schwelle.

Fehler Nr. 3: Die Meldepflichten bei Verstößen vernachlässigen. Die DSGVO schreibt eine Meldung innerhalb von 72 Stunden vor, der CCPA innerhalb von 30 Tagen und der DPDPA ebenfalls innerhalb von 72 Stunden. Aber die Meldekriterien unterscheiden sich: Der DPDPA verlangt die Meldung jedes Verstoßes, der einen Schaden verursachen könnte, was weiter gefasst ist als die DSGVO.

6. Warnsignale

  • Fehlen einer einheitlichen Anlaufstelle: Im Gegensatz zur DSGVO mit der federführenden Aufsichtsbehörde sieht der DPDPA keinen One-Stop-Shop-Mechanismus vor. Ein Unternehmen, das in mehreren indischen Bundesstaaten tätig ist, muss sich an jede lokale Behörde halten.
  • Umsetzungsfristen: Der DPDPA trat 2026 in Kraft, aber seine Durchführungsbestimmungen sind noch in Ausarbeitung. Laut DLA Piper (2026) hat Indien noch keine Datenschutzbehörde benannt, was zu Rechtsunsicherheit führt.
  • Ausnahmen für die Regierung: Der DPDPA erlaubt der Regierung, bestimmte Verarbeitungen aus Gründen der nationalen Sicherheit auszunehmen, eine Bestimmung, die in der DSGVO und im CCPA fehlt. Dies kann den Schutz der Bürger schwächen.

7. Auf dem Weg zu einer Konvergenz?

Trotz ihrer Unterschiede teilen diese drei Gesetze gemeinsame Prinzipien: Transparenz, Zweckbindung, Datenminimierung. Ein Artikel der USC Gould School of Law (ohne Datum) betont, dass die DSGVO als Vorbild für den DPDPA diente, dieser jedoch einige Bestimmungen an den indischen Kontext angepasst hat, insbesondere in Bezug auf Datensouveränität.

In der Praxis müssen multinationale Unternehmen einen granularen Ansatz verfolgen: Datenflüsse kartieren, anwendbare Regelwerke identifizieren und flexible Richtlinien implementieren. Die Kanzlei Varonis erinnert daran, dass Compliance keine einmalige Übung ist, sondern ein kontinuierlicher Prozess.

Weiterführende Links