US-Datenschutzgesetze der Bundesstaaten: 2026 Roadmap für KMU
US-Datenschutz ist nicht mehr nur ein Kalifornien-Thema und auch kein Zukunftsprojekt für große Konzerne. Im Mai 2026 sind viele Gesetze, die 2025 noch wie "demnächst" klangen, im laufenden Betrieb angekommen. Delaware, Iowa, Nebraska, New Hampshire, New Jersey, Tennessee, Minnesota und Maryland wurden 2025 praktisch relevant. Indiana, Kentucky und Rhode Island kamen mit Stichtagen am 1. Januar 2026 hinzu. Dazu stehen bereits Kalifornien, Virginia, Colorado, Connecticut, Utah, Texas, Oregon, Montana und Florida im weiteren Datenschutz-Patchwork.
Für ein kleines oder mittleres Unternehmen besteht die Schwierigkeit nicht darin, jedes Gesetz auswendig zu kennen. Die Schwierigkeit besteht darin zu wissen, ob ein Gesetz gilt, welche personenbezogenen Daten tatsächlich verarbeitet werden, welche Dienstleister diese Daten erhalten, was der Datenschutzhinweis verspricht, wie Verbraucherrechte erfüllt werden, wie Opt-outs für Werbung funktionieren, welche sensiblen Daten gesammelt werden und welche Nachweise im Ernstfall vorhanden sind.
Dieser Artikel behält die ältere 2025-URL, wurde aber inhaltlich für 2026 aktualisiert. Für allgemeine Unternehmensunterlagen, die oft mit Datenschutz zusammenhängen, siehe auch: Post-Formation Checklist 2026 und Vorbereitung auf Unternehmensprüfungen.
Inhaltsverzeichnis
- Was sich seit der Datenschutzwelle 2025 geändert hat
- Welche Bundesstaaten-Gesetze 2026 wichtig sind
- Anwendbarkeit: Schwellenwerte, Ausnahmen und Datenumfang
- Verbraucherrechte, die dein Team erfüllen können muss
- Dateninventar: Die Grundlage des Programms
- Datenschutzhinweise, Einwilligung, Cookies und Opt-outs
- Sensible Daten, Kinder, Gesundheitsdaten und genaue Standortdaten
- Dienstleister, Processor, Bewertungen und Sicherheit
- Enforcement-Bereitschaft und 90-Tage-Plan
- FAQ, Fazit und Hinweis
1. Was sich seit der Datenschutzwelle 2025 geändert hat
Ältere Leitfäden beschrieben 2025 als Jahr kommender Datenschutzgesetze. 2026 reicht diese Sicht nicht mehr. Mehrere Gesetze sind bereits aktiv, Behörden haben Informationsseiten veröffentlicht, Verbraucher können Beschwerden einreichen, und Unternehmen, die auf später gewartet haben, befinden sich schon im Compliance-Zeitraum. Es geht jetzt weniger um Schlagzeilen und mehr um tägliche Abläufe.
Ein Datenschutzgesetz ist nicht nur eine Seite im Footer. Es betrifft Checkout, Kontaktformulare, Analytics, Werbepixel, E-Mail-Marketing, Kundensupport, CRM, Loyalty-Programme, App-Berechtigungen, Betrugsschutz, Cloud-Dienstleister, Datenexporte und Incident Response. Eine gut formulierte Datenschutzerklärung hilft wenig, wenn die tatsächlichen Datenflüsse etwas anderes zeigen.
Viele Bundesstaaten verwenden ähnliche Bausteine: Controller und Processor, personenbezogene Daten, Verbraucherrechte, Datenschutzhinweise, Opt-outs für Verkauf oder zielgerichtete Werbung, sensible Daten, Processor-Verträge, angemessene Sicherheit und Durchsetzung durch Attorney General oder Verbraucherschutzstellen. Trotzdem unterscheiden sich Schwellenwerte, Ausnahmen, Cure Periods, Minderjährigenregeln, Universal-Opt-out-Signale und Sanktionen.
Ein KMU sollte daher keine generische Datenschutzerklärung kopieren und das Thema abhaken. Besser ist ein Kernprogramm mit Anpassungen pro Staat. Dieses Programm beantwortet wiederkehrende Fragen: Welche Daten sammeln wir, warum, von wem, wohin gehen sie, wer hat Zugriff, wie lange speichern wir sie, wie üben Verbraucher Rechte aus und was passiert, wenn ein neues Tool hinzukommt?
2. Welche Bundesstaaten-Gesetze 2026 wichtig sind
Nach Prüfung im Mai 2026 umfasst die 2025-Welle unter anderem Delaware, Iowa, Nebraska, New Hampshire, New Jersey, Tennessee, Minnesota und Maryland. Das Delaware Department of Justice sagt, dass sein Personal Data Privacy Act seit dem 1. Januar 2025 durchgesetzt wird und bei erfülltem Anwendungsbereich sowohl for-profit als auch nonprofit Unternehmen betreffen kann. Der Tennessee Attorney General beschrieb TIPA als ab dem 1. Juli 2025 wirksam. Minnesota kündigte das Inkrafttreten der MCDPA zum 31. Juli 2025 an. Maryland sagt, MODPA sei am 1. Oktober 2025 in Kraft getreten.
Die 2026-Welle ergänzte weitere aktive Pflichten. Der Indiana Attorney General sagt, die Durchsetzung des Consumer Data Protection Act beginne am 1. Januar 2026. Kentucky erklärt, dass die KCDPA am 1. Januar 2026 in Kraft trat und der Attorney General die alleinige Durchsetzungsbefugnis hat. Rhode Island listet seinen Data Transparency and Privacy Protection Act ebenfalls als ab 1. Januar 2026 wirksam.
Diese Gesetze stehen neben älteren oder bereits aktiven Rahmenwerken: CCPA/CPRA in Kalifornien, VCDPA in Virginia, CPA in Colorado, CTDPA in Connecticut, UCPA in Utah, außerdem Texas, Oregon, Montana und Floridas Gesetz mit höheren Schwellen. Zusätzlich können HIPAA, GLBA, FCRA, COPPA, Breach-Notification-Gesetze, Finanzregeln, Beschäftigtendatenschutz oder Kundenverträge relevant sein.
Praktisch hilft eine einfache State-Matrix. Trage für jeden relevanten Staat ein, ob Kunden dort wohnen, wie viele Datensätze ungefähr betroffen sind, ob Daten verkauft oder für zielgerichtete Werbung genutzt werden, ob sensible Daten verarbeitet werden, welche Ausnahme geprüft wurde und wer die Entscheidung bestätigt hat. Die Matrix muss keine Rechtsabhandlung sein. Sie soll verhindern, dass jede neue Frage wieder bei null beginnt.
Nicht jedes KMU ist in jedem Staat erfasst. Aber Datenschutzrisiken folgen Kunden, Datenvolumen, Datenverkauf, zielgerichteter Werbung, sensiblen Daten und Dienstleistern. Ein Unternehmen ohne Büro außerhalb seines Heimatstaats kann durch E-Commerce, SaaS, Newsletter, Werbekampagnen, Marktplätze oder mobile Apps viele andere Staaten erreichen.
3. Anwendbarkeit: Schwellenwerte, Ausnahmen und Datenumfang
Die meisten umfassenden Bundesstaatengesetze gelten nicht für jedes Kleinstunternehmen. Sie betreffen meist Unternehmen, die im Staat Geschäfte machen oder dessen Einwohner ansprechen und dann Schwellenwerte erreichen: Anzahl betroffener Einwohner, Umsatzanteil aus Datenverkauf oder in manchen Fällen Gesamtumsatz. Maryland nennt zum Beispiel 35.000 Einwohner oder 10.000 Einwohner plus mehr als 20 Prozent Bruttoumsatz aus Datenverkauf. Rhode Island nutzt ebenfalls einen Schwellenwert von 35.000 Kunden und zählt Daten, die nur zur Zahlungsabwicklung verarbeitet werden, dort nicht mit.
Ausnahmen sind genauso wichtig. Finanzinstitute oder Daten unter GLBA, Gesundheitsinformationen unter HIPAA, Kreditdaten unter FCRA, Behörden, bestimmte Nonprofits, Hochschulen, Versicherer oder Beschäftigtendaten können je nach Staat anders behandelt werden. Delaware weist auf Ausnahmen für bestimmte Finanz- und Gesundheitsdaten hin, während Maryland klarstellt, dass Nonprofits grundsätzlich nicht pauschal befreit sind.
Außerdem muss die Rolle geklärt werden. Ein Controller entscheidet über Zweck und Mittel der Verarbeitung. Ein Processor verarbeitet Daten nach Weisung des Controllers. Viele KMU sind beides: Controller für eigene Kundenlisten und Processor für Kundendaten eines Auftraggebers. Diese Rolle beeinflusst Datenschutzhinweise, Verträge, Verbraucherrechte, Audits und Haftung.
Personenbezogene Daten sind mehr als Name und E-Mail. Dazu können Device IDs, Cookies, IP-Adressen, genauer Standort, Kaufhistorie, Zugangsdaten, Analytics-IDs, Supporttickets, Chats, biometrische Daten, Gesundheitsdaten und Inferenzen gehören. Öffentliche, de-identifizierte, aggregierte, Beschäftigten- oder Geschäftskontaktdaten können je nach Gesetz anders behandelt werden.
4. Verbraucherrechte, die dein Team erfüllen können muss
Das typische Rechtepaket umfasst Bestätigung, Auskunft, Berichtigung, Löschung, Portabilität, Opt-out und Beschwerde oder Appeal. Ein erfasstes Unternehmen muss möglicherweise bestätigen, ob es Daten verarbeitet, Zugang oder Kopien bereitstellen, Fehler korrigieren, Daten löschen, portable Daten liefern und Opt-outs für Verkauf, zielgerichtete Werbung oder bestimmtes Profiling ermöglichen.
Das operative Risiko ist die Nichtbearbeitung. Wenn der Datenschutzhinweis Rechte verspricht, muss der Support wissen, wie eine Anfrage angenommen, die Identität geprüft, intern weitergeleitet, Daten gefunden, Ausnahmen angewendet, fristgerecht geantwortet und das Ergebnis dokumentiert wird. Ein Datenschutz-Postfach, das niemand prüft, beweist eher ein Problem als Compliance.
Appeals werden leicht vergessen. Mehrere Gesetze verlangen ein Verfahren, um eine Ablehnung anzufechten. Kentucky erklärt, dass der Appeal-Prozess sichtbar und ähnlich wie der Anfrageprozess sein muss und dass ein Controller grundsätzlich innerhalb von 60 Tagen antworten muss. Wird der Appeal abgelehnt, muss der Verbraucher erfahren, wie er den Attorney General kontaktieren kann.
Ein KMU sollte einen einheitlichen Prozess für mehrere Staaten bauen. Das Log sollte Datum, Identitätsprüfung, Wohnsitz, gesuchte Systeme, Entscheidung, Antwortdatum, Ablehnungsgrund, Appeal-Status und finale Antwort speichern. Dieses Log ist Nachweis, wenn später eine Beschwerde kommt.
5. Dateninventar: Die Grundlage des Programms
Das Dateninventar ist der Mittelpunkt eines echten Datenschutzprogramms. Ohne Inventar kann das Unternehmen nicht genau sagen, was es sammelt, warum, wo es gespeichert wird, ob es verkauft oder geteilt wird, welche Dienstleister es erhalten, wie lange es bleibt oder wie es gelöscht wird. Es muss am Anfang nicht teuer sein, aber konkret genug für Entscheidungen.
Beginne mit Sammelpunkten: Website-Formulare, Checkout, Kontoerstellung, Supportchat, E-Mail-Marketing, SMS, Analytics, Werbepixel, App-Berechtigungen, Zahlungen, CRM-Importe, Webinare, Lead-Magneten, Umfragen, Empfehlungen, Customer-Success-Tools und Offline-Erfassung. Für jeden Punkt dokumentierst du Datenkategorien, Zweck, Geschäftsbedarf, internen Owner, Dienstleister, Aufbewahrung und sensible Daten.
Dann werden Datenweitergaben kartiert. Viele KMU teilen Daten routinemäßig mit Zahlungsdienstleistern, E-Mail-Plattformen, Versand, Supportsoftware, Analytics, Werbenetzwerken, Fraud-Tools, Hosting, Buchhaltung, Payroll, Datenanreicherung und externen Entwicklern. Der Anbietername reicht nicht; entscheidend ist, welche Daten er erhält und warum.
Ergänze außerdem Aufbewahrung und Löschung. Viele Datenschutzprobleme entstehen nicht, weil Daten ursprünglich ohne Zweck gesammelt wurden, sondern weil sie unbegrenzt liegen bleiben. Alte Leads, abgelaufene Testkonten, Support-Anhänge, exportierte CSV-Dateien, frühere Werbeaudiences und nicht mehr genutzte Backups sollten eigene Regeln haben. Wenn ein Verbraucher Löschung verlangt, muss das Team wissen, welche Systeme sofort bereinigt werden und welche Daten wegen Steuer, Betrugsschutz, Vertrag oder Streitbeilegung länger bleiben dürfen.
Das Inventar muss leben. Aktualisiere es bei neuen Pixeln, mobilen Apps, Loyalty-Programmen, CRM-Feldern, Zahlungsdienstleistern, Data Warehouses, Retargeting, KI-Tools oder sensiblen Daten. Ein veraltetes Inventar wird schnell zur Risikoquelle.
6. Datenschutzhinweise, Einwilligung, Cookies und Opt-outs
Ein Datenschutzhinweis sollte echte Praktiken klar beschreiben. Er sollte Datenkategorien, Quellen, Zwecke, Offenlegungen an Dritte, Rechte, Appeal-Prozess, Kontaktweg, Gültigkeitsdatum, Verkauf oder zielgerichtete Werbung, sensible Daten, Aufbewahrung und wesentliche Änderungen erklären. New Jersey verlangt beispielsweise einen zugänglichen, klaren und aussagekräftigen Hinweis mit Kategorien, Zwecken, Dritten, Rechte-Anleitung, Appeal-Information und Kontaktmechanismus.
Cookies und Ad Tech brauchen eine eigene Prüfung. Viele Gesetze definieren Verkauf oder zielgerichtete Werbung so breit, dass Analytics, Retargeting oder Werbeaudiences Opt-out-Pflichten auslösen können. Das Unternehmen sollte Analytics-Cookies, Pixel, Session Replay, Heatmaps, Affiliate-Tracker, Lead Enrichment und verhaltensbasierte Werbung erfassen und entscheiden, was notwendig ist und was ein Opt-out braucht.
Universal-Opt-out-Signale werden praktisch wichtiger. Wenn Browser oder Geräte eine Opt-out-Präferenz senden und ein anwendbarer Staat deren Beachtung verlangt, muss das Unternehmen sie technisch erkennen und umsetzen können. Das kann Änderungen an Consent-Plattform, Tag Manager, Analytics-Konfiguration und Werbeaudiences erfordern.
Einwilligung muss dort, wo sie nötig ist, spezifisch und dokumentiert sein, besonders bei sensiblen Daten. Speichere Text, Zeitpunkt, Version, Zweck, Quellseite, Nutzerkennung, Widerrufsweg und betroffene Systeme. Wird Einwilligung widerrufen, muss die abhängige Verarbeitung tatsächlich stoppen.
7. Sensible Daten, Kinder, Gesundheitsdaten und genaue Standortdaten
Sensible Daten werden in vielen Staaten strenger behandelt. Dazu können ethnische Herkunft, Religion, Gesundheitsinformationen, Sexualleben oder sexuelle Orientierung, Staatsangehörigkeit oder Einwanderungsstatus, Biometrie, präzise Standortdaten, genetische Informationen, Kinder-Daten und ähnliche Kategorien gehören. Delaware nennt Beispiele wie Gesundheit, präzisen Standort, Religion, Staatsangehörigkeit und Einwanderungsstatus sowie transgender oder nonbinary Status.
Daten von Kindern und Jugendlichen verlangen besondere Vorsicht. COPPA bleibt für Kinder unter 13 relevant, und Bundesstaaten können zusätzliche Regeln für known children, Minderjährige, zielgerichtete Werbung, Profiling oder sensible Daten einführen. Rhode Island sagt, dass sensible Daten nicht ohne Einwilligung verarbeitet werden dürfen und sensible Daten eines bekannten Kindes nur mit Einwilligung und COPPA-konform verarbeitet werden dürfen.
Gesundheits-, biometrische, Standort- und Einwanderungsdaten können auch bei Unternehmen auftauchen, die keine Krankenhäuser oder Banken sind. Eine Fitness-App, Terminsoftware, Onboarding-Formular, Liefertracking, Fraud-System, Zutrittskontrolle oder KI-Funktion kann Daten sammeln, die Verbraucher als hochsensibel ansehen.
Für KMU ist Minimierung die beste Strategie. Sammle sensible Daten nur mit klarem Grund. Wenn der Grund besteht, begrenze Felder, beschränke Zugriff, verschlüssele passend, verkürze Aufbewahrung, überwache Exporte, prüfe Dienstleister, dokumentiere Einwilligung und teste Löschung. Ein unnötiges Formularfeld kann echte Pflichten auslösen.
8. Dienstleister, Processor, Bewertungen und Sicherheit
Processor-Verträge sind ein wiederkehrendes Element. Sie sollten Weisungen, Vertraulichkeit, Sicherheit, Subprocessor, Hilfe bei Verbraucherrechten, Löschung oder Rückgabe, Auditmöglichkeiten und Verantwortlichkeiten festlegen. Wenn ein Dienstleister Daten für eigene Zwecke nutzt, kann sich die Datenschutzrolle ändern.
Datenschutz-Folgenabschätzungen oder ähnliche Assessments sind in Hochrisikosituationen erforderlich oder erwartet. Häufige Auslöser sind zielgerichtete Werbung, Verkauf personenbezogener Daten, Profiling mit erheblichen Auswirkungen, sensible Daten oder Verarbeitung mit erhöhtem Schadenrisiko. Maryland sagt, dass Assessments vor riskanten Verarbeitungen nötig sind, etwa zielgerichteter Werbung, Verkauf, sensiblen Daten und bestimmten Profiling-Aktivitäten.
Sicherheit ist Teil von Datenschutz. Administrative, technische und physische Kontrollen müssen zu Datenmenge und Sensibilität passen. Für KMU heißt das oft MFA, Least Privilege, Passwortmanager, verschlüsselte Backups, Dienstleister-Zugriffsreviews, Logging, Patching, sichere Löschung, Incident-Response-Plan, Schulung und eine kurze Liste von Personen, die Kundendaten exportieren dürfen.
Tennessee ist besonders, weil sein Gesetz eine affirmative defense kennt, wenn ein schriftliches Datenschutzprogramm angemessen am NIST Privacy Framework und weiteren Faktoren ausgerichtet ist. Auch außerhalb Tennessees hilft ein anerkannter Rahmen, verstreute Aufgaben in wiederholbare Kontrollen zu übersetzen.
9. Enforcement-Bereitschaft und 90-Tage-Plan
Viele State Privacy Laws werden von Attorney General oder Verbraucherschutzbehörden durchgesetzt und nicht über ein breites privates Klagerecht. Harmlos sind sie trotzdem nicht. Maryland nennt zivilrechtliche Strafen bis zu 10.000 Dollar pro Verstoß und bis zu 25.000 Dollar bei wiederholten Verstößen. Kentucky sagt, der Attorney General könne nach gescheiterter Heilung bis zu 7.500 Dollar pro Verstoß verlangen.
Ein 90-Tage-Plan beginnt mit Scope. In den ersten 30 Tagen identifizierst du Staaten mit Kunden, schätzt Datenvolumen, prüfst Einnahmen aus Datenverkauf, inventarisierst Systeme, stoppst unnötiges neues Tracking, benennst einen Privacy Owner und sammelst Dienstleisterverträge. Starte nicht nur mit einer neuen Policy.
In den Tagen 31 bis 60 baust du den Rechteprozess, aktualisierst den Datenschutzhinweis, klassifizierst sensible Daten, entfernst ungenutzte Felder, konfigurierst Cookies und Opt-outs, überprüfst zielgerichtete Werbung und passt die wichtigsten Processor-Verträge an. Dokumentiere Entscheidungen verständlich.
In den Tagen 61 bis 90 testest du alles. Stelle Probe-Anfragen für Auskunft, Löschung, Berichtigung, Opt-out und Appeal. Prüfe, ob das Team Daten in CRM, E-Mail, Support, Billing, Analytics, Produktdatenbank und Data Warehouse findet. Danach planst du Quartalsreviews für neue Tools, Staaten, Dienstleister, sensible Daten und Werbeänderungen.
Bewahre die Nachweise bewusst auf. Dazu gehören Versionen der Datenschutzhinweise, Screenshots der Opt-out-Einstellungen, Vendor-Liste, unterschriebene Processor-Verträge, Ergebnisse von Data Protection Assessments, Schulungsdaten, Löschlogs, Entscheidungen zu Ausnahmen und die Ergebnisse der Testanfragen. Enforcement-Vorbereitung bedeutet nicht, perfekte Akten zu bauen. Es bedeutet, zeigen zu können, dass die Firma systematisch geprüft, entschieden, umgesetzt und nachgebessert hat.
Wichtig ist auch ein Besitzerwechsel im Prozess. Wenn Marketing ein neues Pixel setzt, Produkt ein neues Formular baut oder Vertrieb ein neues Datenanreicherungs-Tool testet, sollte Datenschutz nicht erst nach dem Launch reagieren. Eine kurze Vorabfrage zu Datenkategorien, Staaten, Dienstleisterrolle, Retention und Opt-out-Pflicht spart später viel Reparaturarbeit.
Für kleine Teams ist diese Vorabfrage bewusst kurz: Welches Problem löst das Tool, welche Daten werden gesammelt, welche Staaten sind betroffen, welcher Anbieter verarbeitet sie, gibt es Werbung oder Verkauf, gibt es sensible Daten, wie lange bleiben die Daten, und wer genehmigt den Einsatz? Wenn eine Antwort unklar ist, wird nicht automatisch blockiert, aber der Start bekommt eine kleine Prüfung. So bleibt Datenschutz ein normaler Teil des Produkt- und Marketingprozesses statt einer hektischen Korrektur nach einer Beschwerde.
10. FAQ, Fazit und Hinweis
Muss jedes KMU jedes State Privacy Law erfüllen?
Nein. Es hängt vom Staat, den betroffenen Einwohnern, Datenvolumen, Datenverkauf, Entitätstyp, Ausnahmen und Datenkategorien ab. Aber Datenschutzgrundlagen sind auch unterhalb von Schwellen sinnvoll, weil Wachstum, Ad Tech, sensible Daten oder Kundenverträge die Analyse ändern können.
Reicht eine Datenschutzerklärung?
Nein. Sie ist nur die öffentliche Erklärung. Zusätzlich braucht es Inventar, Rechteprozess, Dienstleisterkontrollen, technische Opt-outs, Sicherheit, Aufbewahrung und Nachweis, dass die Erklärung zur Realität passt.
Gelten diese Gesetze für Beschäftigtendaten?
Viele Gesetze fokussieren Verbraucher im individuellen oder Haushaltskontext und schließen Beschäftigung aus, aber das variiert. Andere Beschäftigten-, Datenschutz- und Breach-Notification-Regeln können trotzdem gelten.
Was ist der schnellste sinnvolle erste Schritt?
Kartiere die zehn wichtigsten Erfassungspunkte für Kundendaten und die zehn wichtigsten Dienstleister, die sie erhalten. Daraus folgen Hinweise, Opt-outs, Verträge, Sicherheit und Löschprozesse.
Löst eine Consent-Plattform das Problem?
Sie hilft bei Analytics, Pixeln und Retargeting, muss aber echte Tags und Signale steuern. Ein Banner ohne technische Kontrolle ist keine Compliance.
Die Datenschutzaufgabe 2026 besteht darin, ein kompliziertes Staaten-Patchwork in ein handhabbares Betriebssystem zu verwandeln. Dafür braucht es keine achtundzwanzig Mikroabschnitte. Es braucht Scope-Analyse, lebendes Inventar, ehrliche Hinweise, funktionierende Anfragen, echte Opt-outs, Dienstleisterverträge, Disziplin bei sensiblen Daten, Sicherheitsgrundlagen und regelmäßige Reviews.
Dieser Artikel dient der Bildung und ist keine Rechts-, Datenschutz-, Cybersecurity-, Steuer- oder Finanzberatung. Gesetze ändern sich, Behördenhinweise entwickeln sich und Anwendbarkeit hängt von Fakten ab. Prüfe offizielle Quellen und qualifizierte Fachleute, bevor du entscheidest, ob ein Gesetz gilt oder ein Compliance-Programm ausreicht.
