Der Flickenteppich der US-Datenschutzgesetze erfasst jetzt die Hälfte des Landes — Unternehmen läuft die Zeit davon

Als der California Consumer Privacy Act (CCPA) im Januar 2020 in Kraft trat, war es das erste umfassende Verbraucherdatenschutzgesetz in den USA – und viele gingen davon aus, dass bald ein Bundesgesetz folgen würde, das einen einheitlichen nationalen Standard schafft. Sechs Jahre später steckt die bundesweite Datenschutzgesetzgebung weiterhin fest. Stattdessen hat sich ein Flickenteppich von Einzelstaatsregelungen entwickelt, der inzwischen die Mehrheit der US-Bevölkerung abdeckt – mit erheblichen Unterschieden bei Rechten, Durchsetzung und Anwendungsschwellen, die die Compliance zu einer echten operativen Herausforderung machen.

Wo der Flickenteppich steht

Bis 2026 sind in mehr als 20 Bundesstaaten umfassende Datenschutzgesetze in Kraft oder stehen unmittelbar bevor, darunter Kalifornien (CCPA/CPRA), Virginia, Colorado, Connecticut, Utah, Texas, Oregon, Montana, Indiana, Tennessee, Iowa, Florida, Delaware, New Hampshire, New Jersey, Kentucky, Maryland, Nebraska, Minnesota, Rhode Island und mehrere weitere, die Gesetze mit zukünftigen Inkrafttretensdaten verabschiedet haben.

Die Gesetze teilen eine gemeinsame Architektur, die der DSGVO entlehnt ist: Verbraucher haben das Recht zu erfahren, welche Daten über sie gesammelt werden, das Recht auf Löschung, das Recht, dem Verkauf ihrer Daten zu widersprechen, und das Recht auf Korrektur unrichtiger Daten. Die Details unterscheiden sich jedoch erheblich zwischen den Bundesstaaten – und das auf eine Weise, die für Compliance-Programme relevant ist.

Die Anwendungsschwellen variieren stark. Kaliforniens CPRA gilt für Unternehmen mit einem Jahresumsatz von über 25 Millionen US-Dollar, die Daten von 100.000 oder mehr Verbrauchern verarbeiten oder 50 % ihres Umsatzes aus dem Verkauf von Daten erzielen. Texas’ TDPSA gilt für jedes Unternehmen, das Daten von Einwohnern von Texas verarbeitet – ohne Umsatzschwelle, also eine deutlich breitere Reichweite. Der Oregon Consumer Privacy Act gilt für Unternehmen, die Daten von 100.000 oder mehr Verbrauchern in Oregon verarbeiten oder Einnahmen aus der Verarbeitung von Daten von 25.000 oder mehr Verbrauchern erzielen. Ein Unternehmen, das nicht unter das kalifornische Gesetz fällt, könnte durchaus vollständig unter das von Texas und Oregon fallen.

Das Problem des „Verkaufs“

Alle US-Datenschutzgesetze der Bundesstaaten geben Verbrauchern das Recht, dem „Verkauf“ ihrer personenbezogenen Daten zu widersprechen, aber die Definitionen von „Verkauf“ weichen erheblich voneinander ab – und das beeinflusst maßgeblich, welche Geschäftspraktiken Opt-out-Mechanismen erfordern.

Kaliforniens CPRA definiert „Weitergabe“ (sharing) getrennt von „Verkauf“, um verhaltensorientierte Werbung zu erfassen, selbst wenn kein Geld fließt – ein Unternehmen, das Nutzerdaten an ein Werbenetzwerk sendet, das nicht dafür bezahlt, „teilt“ sie dennoch im Sinne der kalifornischen Definition, und Verbraucher können widersprechen. Viele andere Bundesstaaten verwenden eine engere Definition, die an eine geldwerte Gegenleistung geknüpft ist – das bedeutet, dass Datenflüsse für verhaltensorientierte Werbung, die in Kalifornien einen Opt-out erfordern, in Virginia kein Opt-out auslösen.

Diese Divergenz stellt Unternehmen, die national tätig sind, vor ein schwieriges Dilemma. Die Einwilligungsflüsse an Kaliforniens breite Definition anzupassen und landesweit anzuwenden, ist operativ einfacher als eine bundesstaatspezifische Steuerung, könnte aber restriktiver sein als rechtlich erforderlich in Staaten mit engeren Definitionen. Die Anpassung an die spezifischen Anforderungen jedes Bundesstaates ist permissiver, erfordert aber die Aufrechterhaltung bundesstaatspezifischer Logik über den gesamten Datenstapel hinweg.

Datenbroker unter besonderem Druck

Datenbroker – Unternehmen, die personenbezogene Informationen aus verschiedenen Quellen sammeln und verkaufen – sind zunehmend bundesstaatspezifischen Regulierungen ausgesetzt, die über die allgemeinen Verbraucherdatenschutzrahmen hinausgehen. Kaliforniens Delete Act (SB 362), der 2026 vollständig in Kraft trat, verlangt von registrierten Datenbrokern, Löschungsanträge zu honorieren, die über ein einziges staatlich betriebenes Portal eingereicht werden – anstatt dass Verbraucher jeden Broker einzeln kontaktieren müssen. Texas, Oregon und mehrere andere Bundesstaaten haben ähnliche Registrierungs- und Opt-out-Anforderungen für Datenbroker erlassen oder entwickeln sie gerade.

Der praktische Effekt ist, dass Datenbroker, die zuvor von der Reibung durch brokerweise Löschungsanträge profitierten, nun konsolidierten Löschungsmechanismen gegenüberstehen, die Verbraucher tatsächlich nutzen können. Branchendaten deuten darauf hin, dass das Volumen der Löschungsanträge seit der Einführung des zentralisierten Mechanismus in Kalifornien erheblich gestiegen ist – was bedeutet, dass der Mechanismus wie beabsichtigt funktioniert, aber eine erhebliche operative Belastung für Broker darstellt, die Anträge über ihre gesamte Datenpipeline hinweg verarbeiten müssen.

Sensible Daten: Wo die Regeln am strengsten sind

Alle US-Datenschutzgesetze der Bundesstaaten behandeln bestimmte Datenkategorien als „sensibel“ und sehen strengere Anforderungen vor – in der Regel Opt-in-Einwilligung statt Opt-out. Die Kategorien umfassen biometrische Daten, Gesundheitsdaten, präzise Geolokalisierungsdaten, Finanzdaten, Rasse und ethnische Zugehörigkeit, religiöse Überzeugungen, sexuelle Orientierung und Daten von Kindern. Aber die spezifischen Definitionen und Anforderungen variieren je nach Bundesstaat.

Präzise Geolokalisierung ist besonders umstritten. Kalifornien verlangt eine Opt-in-Einwilligung für die Erfassung „präziser Geolokalisierungsdaten“, definiert als innerhalb von 1.850 Fuß (~550 Metern). Texas verwendet einen ähnlichen Radius. Einige Bundesstaaten haben keinen Radius festgelegt, sodass die Schwelle unklar bleibt. Für Apps, die Standortfunktionen nutzen – Navigation, lokale Suche, Wetter, Fitness – hängt die Compliance-Frage, ob sie „präzise“ Geolokalisierung erfassen, davon ab, welches Landesrecht gilt.

Was ein Bundesgesetz lösen würde – und was nicht

Der American Privacy Rights Act (APRA) – der jüngste Bundesentwurf zum Datenschutz, der ernsthafte Dynamik gewonnen hat – würde die Gesetze der Bundesstaaten in vielen Bereichen verdrängen und eine nationale Grundlinie für Verbraucherrechte schaffen. Er enthält Datenminimierungsanforderungen (man darf nur das sammeln, was für den angegebenen Zweck notwendig ist), starke Opt-out-Rechte für zielgerichtete Werbung und ein privates Klagerecht für Verbraucher, um Verstöße einzuklagen.

Gegner aus der Industrie (besorgt über das private Klagerecht und die strengen Datenminimierungsanforderungen) sowie Verbraucherschützer (die stärkere Schutzmaßnahmen als der Bundesentwurf fordern) haben ihn wiederholt blockiert. Der Flickenteppich wird sich zumindest kurzfristig wahrscheinlich weiter ausdehnen.

Praktische Compliance in einem Flickenteppich

Für Unternehmen, die sich durch den Flickenteppich navigieren, hat sich in der Praxis ein Ansatz etabliert: „höchster gemeinsamer Nenner mit selektiver Kalibrierung“. Man wendet das kalifornische Rahmenwerk breit an – es ist in der Regel das strengste und deckt die größte Bevölkerungsgruppe ab – und dokumentiert, wo andere Bundesstaaten spezifische Anforderungen haben, die davon abweichen.

Die operativen Investitionen, die sich am konsequentesten auszahlen, sind: ein umfassendes Dateninventar (man kann Datenrechte nicht erfüllen, wenn man nicht weiß, wo die Daten sind), eine Consent-Management-Plattform, die bundesstaatsgerechte Einwilligungsflüsse ermöglicht, ein Prozess zur Honorierung von Löschungsanträgen über die gesamte Datenpipeline hinweg (nicht nur die primäre Datenbank) und eine dokumentierte Rechtsgrundlage für jede Kategorie der Datenverarbeitung. Diese Investitionen sind wertvoll, unabhängig davon, welche Gesetze welcher Bundesstaaten gelten, und schaffen die Grundlage für den Umgang mit neuen Anforderungen, die im nächsten Legislativzyklus auftauchen.