Eine wachsende Zahl von US-Bundesstaaten führt Datenschutzgesetze zum Schutz der Datenschutzrechte ihrer Einwohner ein.
Im Folgenden finden Sie eine Übersicht über die Vorschriften der einzelnen Bundesstaaten, welche Unternehmen sie einhalten müssen und wann sie in Kraft treten.
Es handelt sich um folgende Bundesstaaten:
Colorado Datenschutzgesetz(CPA)
Connecticut-Datenschutzgesetz(CTDPA)
Delaware Personal Data Privacy Act(DPDPA)
Florida Digital Bill of Rights(FDBR)
Indiana Verbraucherdatenschutzgesetz(Indiana CDPA)
Iowa Verbraucherdatenschutzgesetz(Iowa CDPA)
Kentucky Verbraucherdatenschutzgesetz(KCDPA)
Montana Verbraucherdatenschutzgesetz(MCDPA)
Datenschutzgesetz von New Hampshire(SB 255)
New Jersey Datenschutzgesetz(NJDPA)
Oregon Verbraucherdatenschutzgesetz(OCPA)
Gesetz zum Schutz von Informationen in Tennessee(TIPA)
Texas Datenschutz- und Sicherheitsgesetz(TDPSA)
Verbraucherschutzgesetz von Utah(UCPA)
Virginia Verbraucherdatenschutzgesetz(VCDPA)
Sie können auch den Termly-Tracker für die Gesetzgebung der US-Bundesstaaten verfolgen, um über die neuesten Nachrichten und Änderungen in allen Bundesstaaten auf dem Laufenden zu bleiben.
Abschnitt 1: Kalifornien, Colorado, Connecticut, Utah und Virginia (derzeit in Kraft)
Kalifornisches Gesetz zum Schutz der Privatsphäre von Verbrauchern - Datum des Inkrafttretens: 1. Januar 2020 | California Privacy Rights Act - Datum des Inkrafttretens: 1. Januar 2023
Die Anforderungen des California Consumer Privacy Act (CCPA) und des California Privacy Rights Act (CPRA) gelten für gewinnorientierte Unternehmen, die personenbezogene Daten von kalifornischen Verbrauchern erheben, den Zweck und die Mittel der Verarbeitung personenbezogener Daten bestimmen, in Kalifornien geschäftlich tätig sind und einen der folgenden Punkte erfüllen:
zum 1. Januar des Kalenderjahres einen Jahresbruttoumsatz von mehr als 25 Millionen Dollar im vorangegangenen Kalenderjahr hatte
kauft, verkauft oder teilt jährlich die persönlichen Daten von 100.000 oder mehr kalifornischen Verbrauchern oder Haushalten
50 % oder mehr der jährlichen Einnahmen aus dem Verkauf oder der Weitergabe persönlicher Daten kalifornischer Verbraucher erzielt
Colorado Privacy Act - Datum des Inkrafttretens: 1. Juli 2023
Die Anforderungen des Colorado Privacy Act (CPA) gelten für jede Person, die in Colorado geschäftlich tätig ist oder Produkte oder Dienstleistungen herstellt oder liefert, die sich an Einwohner von Colorado richten, und die eine der folgenden Bedingungen erfüllt:
Jährlich kontrolliert oder verarbeitet er die persönlichen Daten von 100.000 oder mehr Verbrauchern
Erzielt Einnahmen oder erhält einen Rabatt auf den Preis von Waren oder Dienstleistungen aus dem Verkauf personenbezogener Daten und verarbeitet oder kontrolliert die personenbezogenen Daten von 25.000 oder mehr Verbrauchern
Connecticut Data Privacy Act - Datum des Inkrafttretens: 1. Juli 2023
Die Anforderungen des Connecticut Data Privacy Act (CTDPA) gelten für alle Personen, die in Connecticut geschäftlich tätig sind oder Produkte oder Dienstleistungen herstellen, die sich an Einwohner von Connecticut richten, und die im vorangegangenen Kalenderjahr eine der folgenden Bedingungen erfüllt haben:
Kontrolle oder Verarbeitung der personenbezogenen Daten von 100.000 oder mehr Verbrauchern, ausgenommen personenbezogene Daten, die ausschließlich zum Zweck der Durchführung einer Zahlungstransaktion kontrolliert oder verarbeitet wurden
Sie haben die personenbezogenen Daten von 25.000 oder mehr Verbrauchern kontrolliert oder verarbeitet und mehr als 25 % ihrer Bruttoeinnahmen aus dem Verkauf von personenbezogenen Daten erzielt.
Utah Consumer Privacy Act - Datum des Inkrafttretens: 31. Dezember 2023
Die Anforderungen des Utah Consumer Privacy Act (UCPA) gelten für jede Person, die in Utah geschäftlich tätig ist oder Produkte oder Dienstleistungen herstellt, die sich an Einwohner von Utah richten, einen Jahresumsatz von 25 Millionen Dollar oder mehr hat und eine der folgenden Bedingungen erfüllt:
Während eines Kalenderjahres kontrolliert oder verarbeitet sie persönliche Daten von 100.000 oder mehr Verbrauchern
Erzielt mehr als 50 % der Bruttoeinnahmen aus dem Verkauf von personenbezogenen Daten und kontrolliert oder verarbeitet personenbezogene Daten von 25.000 oder mehr Verbrauchern
Virginia Verbraucherdatenschutzgesetz - Datum des Inkrafttretens: 1. Januar 2023
Das Verbraucherdatenschutzgesetz von Virginia (Virginia Consumer Data Protection Act, VCDPA) gilt für alle Personen, die in Virginia geschäftlich tätig sind oder Produkte oder Dienstleistungen herstellen, die sich an Einwohner von Virginia richten, und die eine der folgenden Bedingungen erfüllen:
Während eines Kalenderjahres kontrolliert oder verarbeitet er persönliche Daten von 100.000 oder mehr Verbrauchern
Kontrolle oder Verarbeitung personenbezogener Daten von mindestens 25.000 Verbrauchern und Erzielung von mehr als 50 % der Bruttoeinnahmen aus dem Verkauf personenbezogener DatenAbschnitt 1: Florida, Oregon, Texas und Montana (in Kraft ab 2024)
Abschnitt 2: Florida, Oregon, Texas und Montana (Gültig ab 2024)
Florida Digital Bill of Rights - Datum des Inkrafttretens: Juli 1, 2024
Die Anforderungen der Florida Digital Bill of Rights (FDBR) gelten für jede Person, die in Florida geschäftlich tätig ist oder Produkte oder Dienstleistungen für Einwohner Floridas herstellt, personenbezogene Daten von Verbrauchern sammelt, einen Bruttojahresumsatz von mehr als 1 Milliarde US-Dollar erzielt und eine der folgenden Bedingungen erfüllt:
Erzielt 50 % oder mehr seiner weltweiten Bruttojahreseinnahmen aus dem Verkauf von Online-Werbung, einschließlich der Bereitstellung gezielter Werbung oder dem Verkauf von Online-Anzeigen
Betreibt einen intelligenten Lautsprecher für Verbraucher und einen Sprachbefehlsdienst mit einem integrierten virtuellen Assistenten, der mit einem Cloud-Computing-Dienst verbunden ist, der eine freihändige Sprachaktivierung verwendet
Betreibt einen App-Store oder eine digitale Vertriebsplattform, die mindestens 250.000 verschiedene Softwareanwendungen zum Herunterladen und Installieren anbietet
Oregon Consumer Privacy Act - Datum des Inkrafttretens: 1. Juli 2024
Die Anforderungen des Oregon Consumer Privacy Act (OCPA) gelten für alle Personen, die in Oregon geschäftlich tätig sind oder den Einwohnern von Oregon Produkte oder Dienstleistungen anbieten und während eines Kalenderjahres eine der folgenden Bedingungen erfüllen:
Sie haben 100.000 oder mehr persönliche Daten von Verbrauchern verarbeitet oder kontrolliert. Dies umfasst jedoch nicht "personenbezogene Daten, die ausschließlich zum Zweck der Abwicklung eines Zahlungsvorgangs kontrolliert oder verarbeitet werden".
Verarbeitung oder Kontrolle der personenbezogenen Daten von 25.000 oder mehr Verbrauchern, wobei 25 % oder mehr der jährlichen Bruttoeinnahmen aus dem Verkauf personenbezogener Daten stammen.
Texas Data Privacy and Security Act - Datum des Inkrafttretens: 1. Juli 2024
Das texanische Datenschutz- und Sicherheitsgesetz (Texas Data Privacy and Security Act, TDPSA) gilt für alle Personen, die in Texas geschäftlich tätig sind oder Produkte oder Dienstleistungen für Einwohner von Texas herstellen, die beide der folgenden Bedingungen erfüllen:
Es handelt sich nicht um ein kleines Unternehmen gemäß der Definition der United States Small Business Administration. Die SBA definiert ein Kleinunternehmen als ein unabhängiges Unternehmen mit weniger als 500 Mitarbeitern.
Verarbeitet oder verkauft persönliche Daten
Montana Consumer Data Privacy Act - Datum des Inkrafttretens: Oktober 1, 2024
Die Anforderungen des Montana Consumer Data Privacy Act (MCDPA) gelten für alle Personen, die in Montana geschäftlich tätig sind oder Produkte oder Dienstleistungen herstellen, die sich an Einwohner von Montana richten, und die einen oder mehrere der folgenden Schwellenwerte erfüllen:
Verarbeitung oder Kontrolle von 50.000 oder mehr personenbezogenen Daten von Verbrauchern. Dazu gehören jedoch nicht "personenbezogene Daten, die ausschließlich zum Zweck der Abwicklung eines Zahlungsvorgangs kontrolliert oder verarbeitet werden".
Verarbeitung oder Kontrolle der personenbezogenen Daten von 25.000 oder mehr Verbrauchern, wobei mehr als 25 % der Bruttoeinnahmen aus dem Verkauf personenbezogener Daten stammen.
Abschnitt 3: Delaware, Iowa, New Hampshire, New Jersey und Tennessee (gültig ab 2025)
Delaware Personal Data Privacy Act - Datum des Inkrafttretens: 1. Januar 2025
Die Anforderungen des Delaware Personal Data Privacy Act (DPDPA) gelten für alle Personen, die in Delaware geschäftlich tätig sind oder Produkte oder Dienstleistungen herstellen, die sich an Einwohner von Delaware richten, und die im vorangegangenen Kalenderjahr eine der folgenden Bedingungen erfüllt haben:
Sie haben die personenbezogenen Daten von 35.000 oder mehr Verbrauchern verarbeitet oder kontrolliert. Dies umfasst jedoch nicht "personenbezogene Daten, die ausschließlich zum Zweck der Durchführung eines Zahlungsvorgangs kontrolliert oder verarbeitet werden".
Verarbeitung oder Kontrolle der personenbezogenen Daten von 10.000 oder mehr Verbrauchern, wobei mehr als 20 % der Bruttoeinnahmen aus dem Verkauf personenbezogener Daten stammen.
Iowa Consumer Data Protection Act - Datum des Inkrafttretens: 1. Januar 2025
Die Anforderungen des Iowa Consumer Data Protection Act (Iowa CDPA) gelten für jede Person, die in Iowa geschäftlich tätig ist oder Produkte oder Dienstleistungen herstellt, die sich an Einwohner von Iowa richten, und die während eines Kalenderjahres eine der folgenden Bedingungen erfüllt:
Verarbeitet oder kontrolliert die personenbezogenen Daten von 100.000 oder mehr Verbrauchern.
Verarbeitet oder kontrolliert die personenbezogenen Daten von 25.000 oder mehr Verbrauchern und erzielt dabei 50 % oder mehr der Bruttoeinnahmen aus dem Verkauf personenbezogener Daten.
New Hampshire Datenschutzgesetz - Datum des Inkrafttretens: 1. Januar 2025
Die Anforderungen des Datenschutzgesetzes von New Hampshire (SB 255) gelten für jede Person, die in New Hampshire geschäftlich tätig ist oder Produkte oder Dienstleistungen herstellt, die sich an Einwohner von New Hampshire richten, und während eines Zeitraums von einem Jahr eine der folgenden Bedingungen erfüllt:
Sie haben die personenbezogenen Daten von 35.000 oder mehr Verbrauchern verarbeitet oder kontrolliert. Dies umfasst jedoch nicht "personenbezogene Daten, die ausschließlich zum Zweck der Durchführung eines Zahlungsvorgangs kontrolliert oder verarbeitet werden".
Verarbeitung oder Kontrolle der personenbezogenen Daten von 10.000 oder mehr Verbrauchern, wobei 25 % oder mehr der Bruttoeinnahmen aus dem Verkauf personenbezogener Daten erzielt werden.
New Jersey Data Privacy Act - Datum des Inkrafttretens: 16. Januar 2025
Die Anforderungen des New Jersey Data Privacy Act (NJDPA) gelten für für die Verarbeitung Verantwortliche, die in New Jersey geschäftlich tätig sind oder Produkte oder Dienstleistungen herstellen, die sich an Einwohner von New Jersey richten, und die während eines Kalenderjahres einen der folgenden Punkte erfüllen:
Sie verarbeiten oder kontrollieren die personenbezogenen Daten von 100.000 oder mehr Verbrauchern. Dies umfasst jedoch nicht "personenbezogene Daten, die ausschließlich zum Zweck der Abwicklung eines Zahlungsvorgangs kontrolliert oder verarbeitet werden".
die personenbezogenen Daten von 25.000 oder mehr Verbrauchern verarbeiten oder kontrollieren und dabei Einnahmen oder Preisnachlässe für Waren oder Dienstleistungen aus dem Verkauf personenbezogener Daten erhalten.
Tennessee Information Protection Act - Datum des Inkrafttretens: 1. Juli 2025
Die Anforderungen des Tennessee Information Protection Act (TIPA) gelten für alle Personen, die in Tennessee geschäftlich tätig sind und Produkte oder Dienstleistungen herstellen, die sich an Einwohner von Tennessee richten und deren Umsatz 25.000.000 US-Dollar übersteigt. Sie müssen außerdem einen oder mehrere der folgenden Schwellenwerte erfüllen:
Sie müssen personenbezogene Daten von 25.000 oder mehr Verbrauchern verarbeiten oder kontrollieren und mehr als 50 % der Bruttoeinnahmen aus dem Verkauf personenbezogener Daten erzielen.
Während eines Kalenderjahres verarbeiten oder kontrollieren Sie die personenbezogenen Daten von mindestens 175.000 Verbrauchern.
Abschnitt 4: Indiana und Kentucky (Gültig ab 2026)
Indiana Consumer Data Protection Act - Datum des Inkrafttretens: 1. Januar 2026
Die Anforderungen des Indiana Consumer Data Protection Act (Indiana CDPA) gelten für alle Personen, die in Indiana geschäftlich tätig sind oder Produkte oder Dienstleistungen herstellen, die sich an Einwohner von Indiana richten, und die während eines Kalenderjahres eine der folgenden Bedingungen erfüllen:
Verarbeitet oder kontrolliert die persönlichen Daten von 100.000 oder mehr Verbrauchern.
Verarbeitet oder kontrolliert die personenbezogenen Daten von 25.000 oder mehr Verbrauchern und erzielt mehr als 50 % der Bruttoeinnahmen aus dem Verkauf personenbezogener Daten.
Kentucky Consumer Data Protection Act - Datum des Inkrafttretens: 1. Januar 2026
Die Anforderungen des Kentucky Consumer Data Protection Act (KCDPA) gelten für alle Personen, die in Kentucky geschäftlich tätig sind oder Produkte oder Dienstleistungen herstellen, die sich an Einwohner von Kentucky richten, und die während eines Kalenderjahres eine der folgenden Bedingungen erfüllen:
Verarbeitet oder kontrolliert die personenbezogenen Daten von 100.000 oder mehr Verbrauchern.
Verarbeitet oder kontrolliert die personenbezogenen Daten von 25.000 oder mehr Verbrauchern und erwirtschaftet 50 % oder mehr der Bruttoeinnahmen aus dem Verkauf personenbezogener Daten.