Unübersichtliches Mosaik: Die US-Datenschutzgesetze der Bundesstaaten
Mit Beginn des Jahres 2026 stehen Unternehmen in den USA vor einer immer komplexeren Landschaft an Datenschutzgesetzen. Während auf Bundesebene weiterhin keine einheitliche Regelung existiert, treiben die Bundesstaaten die Entwicklung des Datenschutzrechts maßgeblich voran. Insgesamt haben 19 Staaten eigene umfassende Datenschutzgesetze verabschiedet, die sowohl Transparenzpflichten als auch spezielle Rechte für Verbraucher und Anforderungen an Unternehmen enthalten. Dabei unterscheiden sich die Gesetze der einzelnen Staaten teilweise deutlich in Details wie Ausnahmen für bestimmte Branchen und im Umgang mit sensiblen Daten.
Diese Gesetzesvielfalt stellt Unternehmen, die in mehreren Bundesstaaten tätig sind, vor erhebliche Herausforderungen. So berichtete ein Special Report jüngst, dass sich zum Beispiel Ausnahmen für Finanzinstitute in Delaware und Virginia auf Unternehmensebene, in Kalifornien und Minnesota jedoch nur auf bestimmte Datentypen beziehen. Das bedeutet, dass ein Unternehmen je nach Bundesstaat unterschiedlich reguliert wird. Auch die Anforderungen an die Verarbeitung sensibler Daten variieren: Während viele Staaten eine Opt-In-Einwilligung verlangen, verbietet Maryland etwa den Verkauf solcher Daten grundsätzlich und schreibt vor, dass immer nur das „Minimum an erforderlichen Daten“ erhoben werden darf (Financier Worldwide).
Starke Durchsetzung durch Staatsanwaltschaften und neue Schwerpunkte
In Ermangelung eines umfassenden föderalen Datenschutzgesetzes haben sich die Generalstaatsanwälte der Bundesstaaten als zentrale Akteure etabliert. Besonders Kalifornien und Texas sind in den letzten Jahren mit strengen Durchsetzungsmaßnahmen und hohen Bußgeldern aufgefallen. Beispielsweise stellte Kaliforniens Generalstaatsanwalt Rob Bonta im Juli 2025 sicher, dass das Unternehmen Healthline Media LLC wegen unzureichender Umsetzung von Opt-out-Anfragen und anderer Datenschutzverstöße eine Strafe von 1,55 Millionen US-Dollar zahlt. Weitere bekannte Vergleiche aus Kalifornien betreffen Unternehmen wie Jam City, Inc. und Door Dash, die jeweils Hunderttausende Dollar aufgrund von Datenschutzverletzungen bezahlen mussten.
Texas setzt im Gegensatz zu Kalifornien stärker auf gerichtliche Verfahren und hat mit der Klage gegen ein Kfz-Versicherungsunternehmen wegen der unerlaubten Sammlung von Standortdaten einen Präzedenzfall geschaffen. Die Auseinandersetzungen führten zu einem der größten Datenschutz-Vergleiche auf Bundesstaatenebene überhaupt: 1,4 Milliarden US-Dollar im Zusammenhang mit Verstößen gegen das Biometriegesetz des Bundesstaats.
Bemerkenswert ist auch der Fokus vieler Staaten auf den Schutz von Kindern und Jugendlichen im Internet. Fünf Bundesstaaten, darunter Kalifornien und Maryland, haben sogenannte „Age-Appropriate Design Codes“ eingeführt. Diese Gesetze verpflichten Plattformen, durch datensparsame Voreinstellungen und sichere Designentscheidungen speziell Minderjährige zu schützen. Manche dieser Regelungen wurden allerdings gerichtlich angefochten.
Keine Einigung auf Bundesebene, weitere Entwicklung offen
Auf bundesstaatlicher Ebene bleibt ein umfassendes Datenschutzgesetz weiterhin aus. Zwar wurde in den letzten Jahren mehrfach über entsprechende Gesetzesentwürfe beraten, etwa über den American Data Privacy and Protection Act und zuletzt 2024 über den American Privacy Rights Act. Beide Vorhaben scheiterten jedoch an politischen Differenzen, besonders an der Frage, ob bundesstaatliche Regelungen zugunsten eines Bundesgesetzes aufgehoben werden sollten. Auch 2025 gab es keine nennenswerten Fortschritte.
Dafür ist auf Bundesebene im vergangenen Jahr eine andere wichtige Entwicklung zu beobachten: Am 8. Januar 2025 hat das Justizministerium die finale Version des Data Security Program (DSP) veröffentlicht. Dieses Regelwerk betrifft vor allem den internationalen Transfer sensibler persönlicher Daten in bestimmte Länder, darunter China, Russland und Iran. Die Anforderungen sind umfassend, etwa hinsichtlich Vertragsgestaltung, Audit-Pflichten und Dokumentation. Verstöße gegen das DSP können zu erheblichen Geldbußen und sogar strafrechtlicher Verfolgung führen (WilmerHale).
Fazit und Ausblick
Die fortschreitende Verrechtlichung des Datenschutzes auf Ebene der Bundesstaaten wird auch 2026 das tägliche Geschäft vieler Unternehmen prägen. Jedes bundesstaatliche Gesetz bringt spezifische Pflichten mit sich, etwa hinsichtlich Einwilligung, Auskunfts- und Löschrechten sowie dem Schutz von Minderjährigen. Da weiterhin kein umfassendes Bundesgesetz in Sicht ist, bleibt Unternehmen vorerst nur, sich mit den Details der jeweiligen lokalen Gesetze auseinanderzusetzen und ihre Datenschutzprogramme entsprechend flexibel und vorausschauend zu gestalten. Die nächsten Entwicklungen werden zeigen, ob das föderale Regelungsmosaik fortbesteht — oder ob ein erneuter Anlauf für ein US-weit einheitliches Datenschutzrecht gelingt. Bis dahin bleibt der stete Blick auf neue Gesetze und Durchsetzungsmaßnahmen durch die Bundesstaaten unerlässlich (IAPP).
