Neues Jahr – neue Datenschutzlandschaft. Letztes Jahr gab es sage und schreibe sieben neue umfassende Datenschutzgesetze auf Bundesstaatsebene. Staaten wie Kentucky, Maryland, Minnesota, Nebraska, New Hampshire, New Jersey und Rhode Island haben sich alle dafür entschieden, ihren Bürgern besseren Schutz in der sich ständig verändernden digitalen Welt zu bieten.
Viele dieser neuen Datenschutzgesetze werden voraussichtlich im Jahr 2025 aufblühen. Hier ist ein kurzer Überblick über alle umfassenden Datenschutzgesetze der Bundesstaaten, die in diesem Jahr in Kraft treten.
1. Delaware
Delawares Personal Data Privacy Act (DPDPA), das in Kraft trat am 1. Januar 2025, schafft umfassenden Datenschutz für die Einwohner des Staates. Delaware ist damit der jüngste Bundesstaat in der wachsenden Liste der US-Gerichtsbarkeiten mit robuster Datenschutzgesetzgebung. Das Gesetz verpflichtet Unternehmen zu mehr Transparenz in ihren Datenschutzpraktiken und erfordert ausdrückliche Zustimmung bei der Erhebung oder Verwendung sensibler personenbezogener Daten, wie etwa Informationen zu Rasse, Religion, Gesundheitszustand, biometrische Datenund Standort.
Nach dem neuen Gesetz erhalten die Verbraucher in Delaware umfassende Rechte hinsichtlich ihrer persönliche DatenSie können sich abmelden des Verkaufs ihrer Daten, gezielter Werbung und bestimmter Arten automatisierter Entscheidungsfindung. Das DPDPA enthält auch schrittweise Umsetzungsmeilensteine: von 1. Juli 2025müssen Unternehmen Datenschutzbewertungen für bestimmte Verarbeitungsaktivitäten durchführen, und beginnend 1. Januar 2026müssen sie ehren universelles Opt-out Signale für Verbraucherpräferenzen. Darüber hinaus endet das obligatorische „Recht auf Heilung“ bei Verstößen am 31. Dezember 2025, danach ist für die Durchsetzung durch die Generalstaatsanwaltschaft von Delaware keine Schonfrist mehr erforderlich.
2. Iowa
Die Iowa Consumer Data Protection Act (ICDPA) trat in Kraft am 1. Januar 2025 Das Gesetz zielt auf Unternehmen ab, die die personenbezogenen Daten von mindestens 100.000 Verbrauchern in Iowa kontrollieren oder verarbeiten oder mehr als 501 TP3T ihres Umsatzes mit dem Verkauf personenbezogener Daten von mindestens 25.000 Einwohnern Iowas erzielen. Das Gesetz sieht Strafen von bis zu 1 TP4T7.500 pro Verstoß vor, allerdings mit einer großzügigen 90-tägigen, unbefristeten Heilungsfrist, die Unternehmen ausreichend Zeit gibt, Verstöße zu beheben.
Bemerkenswert ist, dass das ICDPA im Vergleich zu anderen Landesgesetzen unternehmensfreundlicher ist, da ihm bestimmte Anforderungen fehlen, wie etwa die Anerkennung universeller Opt-out-Mechanismen, die Durchführung von Datenschutz-Folgenabschätzungen oder die Einholung einer Opt-in-Zustimmung zur Verarbeitung sensibler Daten.
3. Maryland
Die Maryland Online Data Protection Act (MODPA) tritt in Kraft am 1. Oktober 2025MODPA gilt für Unternehmen, die in Maryland tätig sind oder sich an Einwohner Marylands richten. Organisationen unterliegen dem Gesetz, wenn sie im vorangegangenen Kalenderjahr die personenbezogenen Daten von mindestens 35.000 Verbrauchern (ohne Zahlungsverkehrsdaten) kontrollierten oder verarbeiteten oder die personenbezogenen Daten von mindestens 10.000 Verbrauchern verarbeiteten und dabei einen Bruttoumsatz von über 201.000.000 Milliarden US-Dollar aus dem Verkauf personenbezogener Daten erzielten.
Bei Nichteinhaltung drohen Strafen von bis zu $10.000 pro Verstoß und $25.000 bei wiederholten Verstößen. Der Generalstaatsanwalt von Maryland kann eine 60-tägige Nachfrist bis zum 1. April 2027 einräumen.
4. Minnesota
Die Minnesota Consumer Data Privacy Act (MCDPA) ist voraussichtlich am 31. Juli 2025Es legt Datenschutzverpflichtungen für Unternehmen fest, die sich an Einwohner von Minnesota richten. Es gilt für Organisationen, die jährlich die personenbezogenen Daten von mindestens 100.000 Verbrauchern verarbeiten oder mehr als 251.000 Milliarden ihres Bruttoumsatzes aus dem Verkauf personenbezogener Daten erzielen und dabei die personenbezogenen Daten von mindestens 25.000 Verbrauchern verarbeiten.
Verstöße drohen mit Geldstrafen von bis zu 14.7500 TP1T. Es besteht eine 30-tägige Frist bis zum 31. Januar 2026. Kleine Unternehmen sind vom MCDPA ausgenommen, müssen jedoch vor dem Verkauf sensibler personenbezogener Daten eine Einwilligung einholen. Das Gesetz schreibt außerdem die Erstellung von Dateninventaren vor, was zwar eine umfassendere Compliance unterstützt, gesetzlich jedoch nur selten vorgeschrieben ist.
5. Nebraska
Die Nebraska Datenschutzgesetz (NDPA) trat in Kraft zum 1. Januar 2025 und legt Datenschutzverpflichtungen für Unternehmen fest, die in Nebraska geschäftlich tätig sind oder Produkte und Dienstleistungen für Einwohner anbieten. Im Gegensatz zu vielen Datenschutzgesetzen der Bundesstaaten gilt das NDPA für Organisationen, die personenbezogene Daten verarbeiten oder verkaufen, unabhängig vom Datenvolumen, sofern sie nicht als Kleinunternehmen nach Bundesrecht eingestuft werden. Richtlinien der Small Business Administration.
Verstöße können mit Strafen von bis zu $7.500 pro Verstoß geahndet werden. Die Frist für die Behebung des Verstoßes beträgt 30 Tage und endet nicht. Kleine Unternehmen sind von den meisten Anforderungen ausgenommen, müssen jedoch vor dem Verkauf sensibler personenbezogener Daten eine Einwilligung einholen.
6. New Hampshire
Die New Hampshire Datenschutzgesetz (NHDPA) trat am 1. Januar 2025 in Kraft und führt erhebliche Datenschutzverpflichtungen für Unternehmen ein, die im Bundesstaat geschäftlich tätig sind oder seinen Einwohnern Produkte und Dienstleistungen anbieten. Das Gesetz gilt für Organisationen, die innerhalb eines Jahres personenbezogene Daten von mindestens 35.000 Verbrauchern verwalten oder verarbeiten (ausgenommen Daten, die ausschließlich für Zahlungstransaktionen verarbeitet werden) oder einen Bruttoumsatz von über 251 TP3B aus dem Verkauf der personenbezogenen Daten von mindestens 10.000 Verbrauchern erzielen.
Bei Nichteinhaltung drohen Geldbußen von bis zu $10.000 pro Verstoß, mit einer 60-tägigen Heilungsfrist bis 1. Januar 2026.
Das NHDPA ist ein Alleinstellungsmerkmal der staatlichen Datenschutzgesetze und weist relativ niedrige Anwendbarkeitsschwellen auf, was seine Reichweite auf kleine Unternehmen erhöht. Im Gegensatz zu Iowa schreibt es Datenschutz-Folgenabschätzungen für bestimmte Aktivitäten vor, und im Gegensatz zu Delaware sieht es Ausnahmen auf Unternehmensebene für gemeinnützige Organisationen und staatlich regulierte Organisationen vor. HIPAA oder GLBA. Mit seinem umfassenden Geltungsbereich soll das NHDPA die Datenschutzpraktiken in ganz New Hampshire verbessern.
7. New Jersey
Datenschutzgesetz von New Jersey (NJDPA) trat in Kraft zum Januar 15, 2025 und legt klare Schwellenwerte für die Einhaltung fest. Es gilt für Unternehmen, die jährlich die personenbezogenen Daten von mindestens 100.000 Verbrauchern verwalten oder verarbeiten – ausgenommen Daten, die ausschließlich für Zahlungstransaktionen verarbeitet werden – oder für Unternehmen, die die Daten von mindestens 25.000 Verbrauchern verarbeiten und durch den Verkauf personenbezogener Daten Einnahmen erzielen oder Rabatte erhalten. Die Strafen für Verstöße betragen bis zu $10.000 für den ersten Verstoß und $20.000 für weitere Verstöße. Es besteht eine 30-tägige Nachbesserungsfrist, bis 15. Juli 2026.
Im Gegensatz zu anderen Landesgesetzen schreibt das NJDPA keine Mindestumsatzhöhe für die Anwendbarkeit vor. Daher ist es auch über traditionelle Datenhändler und Ad-Tech-Netzwerke hinaus relevant. Gemeinnützige Organisationen sind nicht von dem Gesetz ausgenommen, allerdings sind Finanzdaten, die ausschließlich für Zahlungstransaktionen verwendet werden, davon ausgenommen. Insbesondere behandelt das NJDPA bestimmte Finanzdaten als sensibel und erfordert für deren Verarbeitung außerhalb von Transaktionszwecken eine Einwilligung.
8. Tennessee
Tennessee Information Protection Act (TIPA) wird wirksam 1. Juli 2025 und legt Datenschutzanforderungen für im Bundesstaat tätige Unternehmen fest. Das Gesetz gilt für Organisationen mit einem Jahresumsatz von über 1425 Millionen TP25 Millionen, die in Tennessee geschäftlich tätig sind oder dessen Einwohner ansprechen und eines der folgenden Kriterien erfüllen: Sie verarbeiten jährlich die personenbezogenen Daten von mindestens 175.000 Verbrauchern oder verarbeiten die personenbezogenen Daten von 25.000 Verbrauchern und erzielen dabei einen Bruttoumsatz von über 501 TP3B. Verstöße können zu Geldstrafen von bis zu 1425 Millionen TP25 Millionen pro Vorfall führen, mit dreifachem Schadensersatz bei vorsätzlichen Verstößen und einer 60-tägigen, unbefristeten Heilungsfrist.
Das TIPA setzt eine besonders hohe Verbraucherschwelle – 175.000 im Vergleich zu den üblichen 100.000 – und gilt ausschließlich für Unternehmen mit einem Umsatz von mindestens $25 Millionen, was seinen Anwendungsbereich einschränkt. Einzigartig unter den staatlichen Datenschutzgesetzen ermöglicht das TIPA Unternehmen, eine positive Verteidigung durch die Implementierung eines dokumentierten Datenschutzprogramms zu etablieren, das mit dem NIST-Datenschutzrahmen oder ähnliche Standards. Diese proaktive Maßnahme ist zwar kein Allheilmittel, kann aber die Haftung für konforme Organisationen mindern.
Erreichen Sie Datenschutzkonformität mit BigID
Ganz gleich, in welcher Branche Ihr Unternehmen tätig ist: Im Jahr 2025 muss sich Ihr Team genauer mit den verschiedenen Datenschutzgesetzen befassen, die sich nun möglicherweise auf Ihren täglichen Betrieb auswirken. BigID ist die branchenführende DSPM-Plattform für Datenschutz, Sicherheit, Compliance und KI-Datenmanagement. Erhalten Sie mehr Transparenz über Ihre Unternehmensdaten und erreichen Sie einfache Compliance mit umfassenden Datenschutzgesetzen wie MODPA, TIPA, NJDPA und mehr.
Mit BigID können Organisationen:
- Entdecken Sie Ihre Daten: Entdecken und katalogisieren Sie Ihre sensiblen Daten, einschließlich strukturierter, halbstrukturierter und unstrukturierter Daten – in lokalen Umgebungen und in der gesamten Cloud.
- Ihre Daten kennen: Automatisches Klassifizieren, Kategorisieren, Markieren und Etikett sensible, persönliche Daten mit Genauigkeit, Granularität und Umfang.
- Ordnen Sie Ihre Daten zu: Ordnen Sie PII und PI automatisch Identitäten, Entitäten und Wohnsitzen zu, um Daten systemübergreifend zu visualisieren.
- Durchsetzung von Datenschutzrichtlinien: Sicherstellung der Anpassung und Durchsetzung von Datenrichtlinien in Übereinstimmung mit den Datenschutzrichtlinien, um die gesetzlichen Anforderungen zu erfüllen.
- Allgemeine Zustimmung und Verwaltung von Präferenzen: Verwalten und passen Sie die Einwilligungen und Präferenzen der Verbraucher universell und zentral über verschiedene Kanäle hinweg an.
- Datenschutzrisiken umfassend bewerten: Initiieren, verwalten, dokumentieren und vervollständigen Sie verschiedene Bewertungen, einschließlich PIA, DPIA, Anbieter, KI, TIA, LIA und mehr für Compliance und Risikominderung.
- Optimieren Sie das Datenlebenszyklusmanagement: Wenden Sie einen richtlinienbasierten Ansatz an, um das Datenlebenszyklusmanagement über die Erfassung, Aufbewahrung und Löschung hinweg zu automatisieren.
Warten Sie nicht, bis Sie von Compliance-Fristen eingeholt werden – Profitieren Sie noch heute von einer 1:1-Demo der Datenschutzexperten von BigID.
Autor
