Die aktuelle Lage der Datenschutzgesetze in den USA ist komplex und gleicht einem Flickenteppich aus bundesstaatlichen Gesetzen. Während einige Bundesstaaten ihre eigenen Datenschutzgesetze erlassen haben, fehlt es auf nationaler Ebene weiterhin an einer einheitlichen Regulierung. In diesem Beitrag werfen wir einen kurzen Blick auf die aktuellen Datenschutzgesetze in den US-Bundesstaaten, vergleichen die auffälligsten Unterschiede zur DSGVO und werfen einen kurzen Blick auf den geplanten American Privacy Rights Act (APRA).
Der Inhalt im Überblick
Datenschutz- oder Verbraucherschutzgesetze in den USA?
Anders als bei uns in Europa gibt es in den USA aktuell kein einheitliches Datenschutzgesetz, welches auf Bundesebene gilt. Damit sind die USA nach wie vor eines der wenigen Länder auf dieser Welt, die noch kein umfassendes nationales Datenschutzgesetz erlassen haben. Die Gesetzgebungskompetenz liegt bei den einzelnen US-Bundestaaten. Von insgesamt 50 US-Bundestaaten haben aktuell 17 Staaten ihr eigenen Datenschutzgesetze verabschiedet; diese treten teilweise erst 2026 in Kraft. Sie haben unterschiedliche Anforderungen und sehen verschiedene Schutzmaßnahmen für Verbraucher vor. Schwerpunkt der Gesetze ist aber zumeist nicht der Datenschutz, sondern der Verbraucherschutz.
Überblick: Datenschutzgesetze der US-Bundesstaaten
- Colorado:
Der Colorado Privacy Act (CPA) trat im Juli 2023 in Kraft und unterscheidet als erstes US-Bundesstaatengesetz zwischen den für die Verarbeitung Verantwortlichen und Auftragsverarbeitern. Anders als der CCPA enthält der CPA außerdem keine Umsatzschwelle, mit dessen Erreichen ein Unternehmen erst unter das Gesetz fällt. - Connecticut:
Der Connecticut Personal Data Privacy and Online Monitoring Act, besser bekannt als Connecticut Data Privacy Act (CTDPA) trat ebenfalls im Juli 2023 in Kraft. Zwar sieht der CTDPA – als andere US-Datenschutzgesetze – für bestimmte Verarbeitungstätigkeiten eine Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung vor. Eine private Klagemöglichkeit für Betroffene (Verbraucher) sieht das Gesetz hingegen nicht vor. - Delaware:
Der Delaware Personal Data Privacy Act (DPDPA) wird am 1. Januar 2025 wirksam. Das Gesetz enthält – wie auch der TIPA – eine Fristenreglung zur Beantwortung von Verbraucheranfragen. Darüber hinaus müssen Unternehmen, die Daten von mind. 100.000 Verbrauchern verarbeiten, eine Datenschutz-Folgenabschätzung durchführen.
Florida:
Der Florida Digital Bill of Rights (FDBR) trat am 1. Juli 2024 in Kraft. In seinem Regelungsgehalt und -umfang unterscheidet sich das Gesetz von denen anderer US-Bundesstaaten. Es reguliert u.a. ein Verbot für Regierungsangestellte, ihre Position zur Moderation von Social Media-Inhalten zu nutzen. Verstöße können mit einer Geldbuße von bis zu 150.000 Dollar pro Verstoß geahndet werden – im Schnitt sahen bisherige US-Datenschutzgesetze eine überschaubare Geldbuße von ca. 7.500 Dollar vor. - Indiana:
Der Indiana Consumer Data Protection Act (INCDPA) tritt erst am 1. Januar 2026 in Kraft und wird ebenfalls kein privates Klagerecht für Betroffene (Verbraucher) vorsehen. Schon jetzt gilt das Datenschutzgesetz als unternehmensfreundlicheres Gesetz, da sich der gesetzlich regulierte „Verkauf“ von Daten nur auf den Austausch von Daten gegen Geld bezieht. - Iowa:
Der Iowa Consumer Data Protection Act wird am 1. Januar 2025 wirksam. Er sieht im Gegensatz zu seinen Vorgängern kein Recht auf Berichtigung vor. Für die Verarbeitung sensibler Daten bedürfen Unternehmen ebenfalls keine ausdrückliche Einwilligung, stattdessen sollen Verbrauchern eine Opt-out-Möglichkeit haben. - Kalifornien:
Der California Consumer Privacy Act of 2018 (CCPA) war eines der ersten umfassenden Datenschutzgesetze in den USA und trat am 01. Januar 2020 in Kraft. Er wurde im November 2020 durch den California Privacy Rights Act (CPRA) ergänzt, der Kalifornien eine eigene Durchsetzungsbefugnis des CCPA brachte. - Kentucky und Rhode Island:
Der Kentucky Consumer Data Protection Act (KCDPA) und der Rhode Island Data Transparency and Privacy Protection Act (RI-DTPPA) werden jeweils am 1. Januar 2026 wirksam. - Montana:
Der Montana Consumer Data Privacy Act wird am 1. Oktober 2024 wirksam und sieht für risikoreiche Verarbeitungen eine Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung vor. - Nebraska und New Hampshire:
Der Nebraska Data Privacy Act (NDPA), und der New Hampshire Privacy Act (NHPA) werden jeweils am 1. Januar 2025 wirksam. Anders, als die meisten anderen US-Datenschutzgesetze, sieht der NDPA keine Umsatz- oder Datenmengenschwelle für die Anwendbarkeit des Gesetzes vor. Der NHPA hingegen gilt nur für Unternehmen, die Daten von mind. 35.000 Verbrauchern in New Hampshire verarbeiten, oder von 10.000 Verbrauchern generell und dabei mind. 25% ihres Bruttoumsatzes aus dem Verkauf der personenbezogenen Daten erzielen. - Oregon:
Der Oregon Consumer Privacy Act (OCPA) trat ebenfalls erst kürzlich – am 1. Juli 2024 – in Kraft. Er gilt auch für gemeinnützige Organisationen, allerdings erst ab dem 1. Juli 2025. Für risikoreiche Verarbeitungen sieht das Gesetz ebenfalls eine Pflicht zur Durchführung einer DSFA vor. Außerdem können Verbraucher Auskunft von Unternehmen über die Empfänger ihrer Daten verlangen. - Tennessee:
Der Tennessee Information Protection Act (TIPA) wird am 1. Juli 2025 wirksam und regelt u.a. die Frist zur Beantwortung von Verbraucheranfragen („Betroffenenrechte“). Danach müssen Unternehmen diese künftig innerhalb von 45 Tagen beantworten, wobei eine Verlängerung um weitere 45 Tage möglich ist. - Texas:
Der Texas Data Privacy and Security Act (TDPSA) trat erst kürzlich – am 1. Juli 2024 – in Kraft. Auch dieses Gesetz sieht kein privates Klagerecht für Verbraucher vor und gilt nicht für Beschäftigtendaten und B2B-Daten von Personen. - Utah:
Der Utah Consumer Privacy Act (UCPA) trat am 31. Dezember 2023 in Kraft und gilt als vergleichsweise unternehmensfreundliches Datenschutzgesetz. Anders als bisherige Datenschutzgesetze sieht der UCPA keine ausdrückliche Einwilligung für die Verarbeitung sensibler Daten vor. - Virginia:
Der Virginia Consumer Data Protection Act (VCDPA) trat am 01. Januar 2023 in Kraft.
Gemeinsamkeiten und Unterschiede zur DSGVO
Sicherlich würde die Aufzählung aller Unterschiede und Gemeinsamkeiten der einzelnen US-Datenschutzgesetze zur DSGVO den Rahmen dieses Beitrages sprengen. Dennoch wird bereits bei der Sichtung der Auflistung aktueller US-Datenschutzgesetze deutlich, wie sich das Datenschutzverständnis generell zu dem innerhalb Europas unterscheidet.
Ein Nachteil der US-Datenschutzgesetzen und der DSGVO liegt wohl in der Fragmentierung an US-Gesetzen. Während die DSGVO ein weitgehend einheitliches Regelwerk für alle EU-Mitgliedstaaten schafft, variieren die Anforderungen der Datenschutzgesetze in den USA von Bundesstaat zu Bundesstaat. Dies führt zu unterschiedlichen Standards, was insbesondere auch für Unternehmen eine Herausforderung darstellt, die in mehreren Staaten tätig sind.
Erlaubnis mit Verbotsvorbehalt
Während die DSGVO auf dem Prinzip des Verbots mit Erlaubnisvorbehalt fußt, können in den USA weiterhin vereinfacht Daten durch Unternehmen verarbeitet werden. Werden durch Unternehmen nämlich keine sensiblen Daten der Bürger/innen verarbeitet, sieht der überwiegende Teil der US-Datenschutzgesetze für Verbraucher lediglich eine Opt-Out-Möglichkeit vor (Erlaubnis mit Verbotsvorbehalt). In den meisten Fällen genügt es, dass die Verbraucher über die bloße Verarbeitung informiert werden. Eine ausdrückliche Einwilligung in die Datenverarbeitung bedarf es in aller Regel nur bei sensiblen Daten – wobei selbst hierbei in einigen Bundestaaten auf eine Einwilligung verzichtet wird.
Datenpannen und Meldepflichten
Eine einheitliche Meldepflicht für Datenpannen kennen die US-Bundesstaaten aktuell nicht. Stattdessen reichen Fristen von „unverzüglich“, über 30 Tage bis hin zu 45 Tagen. Auch die Definition eines meldepflichtigen Datenschutzvorfalles variiert von Bundestaat zu Bundestaat, was letztlich mit dem unterschiedlichen Anwendungsbereich der einzelnen US-Datenschutzgesetze zusammenhängt.
Geringe bis keine Geldbußen
Während die DSGVO eine Geldbuße von bis zu 20 Mio. Euro oder 4% des weltweiten Jahresumsatzes eines Unternehmens vorsieht, enthalten die US-Datenschutzgesetze nur geringe bis keine Geldbußen. Regelungen, die eine Geldbuße von über 7.500 Dollar pro Verstoß vorsehen, sind selten.
Schließlich erfolgt die Durchsetzung des Datenschutzrechts in den USA durch verschiedene Regulierungsbehörden, abhängig von der Branche, vom Bundestaat und den einzelnen Regelungen. In aller Regel obliegt dem Attorney General (Generalstaatsanwalt) die Durchsetzung der US-Datenschutzgesetze seines Bundestaates. Eine zentrale Aufsichtsbehörde kennen die USA aktuell jedoch nicht. Das könnte sich künftig jedoch ändern.
APRA – Eine Lösung zur Beseitigung des Flickenteppichs?
Erst vor kurzem wurde wieder die Planung eines bundesweiten Datenschutzgesetzes, der American Privacy Rights Act (APRA), diskutiert. Dieser soll für alle Bundestaaten einheitliche Datenschutzregelungen schaffen. Der Entwurf zum APRA ist ein Ergebnis eines überparteilichen Vorschlages und zielt darauf ab, den Flickenteppich einzelner US-Datenschutzgesetze zu überwinden. Am 21.04.2024 wurde der Diskussionsentwurf veröffentlicht und vielfach begrüßt.
So sah der Entwurf bundeseinheitliche Rechte für Betroffenen vor, die datenverarbeitenden Unternehmen ein einheitliches Pflichtenwerk vorgaben, sowie besondere Befugnisse der Federal Trade Commission (FTC) zur Durchsetzung der Regeln, wobei auch ein Entschädigungsfonds für Betroffene bei Datenschutzverletzungen eingerichtet werden sollen. Außerdem müssten Social-Media Plattformen in den USA die Aktivitäten von Einzelpersonen als sensible Daten behandeln, auch wenn diese definitionsgemäß nicht darunter fielen. Sollte der APRA in Kraft treten, würde dieser als Bundesgesetz einige der bisher aufgeführten einzelstaatlichen US-Datenschutzgesetze ersetzen und gegenstandslos werden lassen.
Kontroverse Änderungen des Entwurfs
Auf Initiative der Republikaner durchlebte der Entwurf im Juni 2024 einige wesentliche und kontrovers diskutierte Änderungen. So wurde das Verbot der Diskriminierung bei der Nutzung personenbezogener Daten wieder gestrichen. Die zuvor im Entwurf enthaltene Regelung zur Opt-out-Möglichkeit von Verbrauchern bezüglich automatisierter Entscheidungsprozesse wurde ebenfalls wieder entfernt. Datenschutz- und zivilgesellschaftliche Organisationen zogen ihre Unterstützung für das Gesetz wieder zurück; Kritiker sehen hierin eine eklatante Abschwächung des ursprünglichen Entwurfs. Das United States House Committee on Energy and Commerce sagte am 27. Juni 2024 auf die wesentlichen Änderungen hin eine geplante formelle Prüfung des Gesetzesentwurfs wieder ab.
Ob es künftig zu einer Verabschiedung kommt, hängt von den weiteren politischen Verhandlungen und insbesondere den politischen Entwicklungen der USA ab. Da die Republikaner zuletzt signalisierten, dass sie den Gesetzentwurf zu Fall bringen wollten, wird die Zukunft und Anpassung des APRA ganz klar von den bevorstehenden Wahlen abhängen.
Ein Cheat Sheet (Stand: Juni 2024) zum APRA bietet die IAPP kostenlos an.
Dynamische Datenschutzlandschaft
Aktuell bleibt die Datenschutzlandschaft in den USA vorerst dynamisch. Die Einführung neuer bundesstaatlicher Gesetze im Jahr 2024 zeigt zwar den fortwährenden Drang der Bundestaaten zur Stärkung des Verbraucherschutzes; an einem einheitlichen Schutzniveau der US-amerikanischen Bürgerinnen und Bürger fehlt es jedoch noch immer. Ob sich dieses Problem durch den geplanten und schließlich deutlich abgeschwächten APRA ändern würde, bleibt abzuwarten.