Entdecken Sie den neuen Google Consent Mode v2! Jetzt mehr erfahren »

US-Privacy

IAB GPP: US-Datenschutzgesetze rechtskonform umsetzen

Machen Sie Ihre Webseite oder App konform mit den Rechtsanforderungen für die neuen US-Datenschutzgesetze.

  • Einfach zu integrieren
  • Unterstützt u.a. CCPA/CPRA (Kalifornien), VCDPA (Virginia), CPA (Colorado), UCPA (Utah), CAPDP (Connecticut), US National Privacy
  • Offizielle Unterstützung des neuen IAB GPP Standard
  • Inklusive „Do not sell“, GPC und anderen Funktionen
  • Opt-In oder Opt-Out
  • Anpassbares Design
  • Cookie Crawler bereits integriert
  • Umfangreiches Reporting
CMP Consent Management

Wir haben bereits mehr als 25.000 Websites bei der Einhaltung der DSGVO, TDDDG & ePrivacy geholfen

Zu unseren Kunden gehören einige der größten Webseiten und bekanntesten Marken weltweit.

… und viele mehr.

Wie mache ich meine Webseite oder App konform mit den neuen US-Datenschutzgesetzen?

Fällt ihr Unternehmen unter eines der zahlreichen Gesetze zum Thema Datenschutz (siehe Abschnitt zum Thema Gesetze), müssen die dort geltenden Regelungen erfüllt werden. In den meisten Bundesstaaten bedeutet dies:

  • Webseitenbesucher/App-Nutzer müssen über die Art, Zwecke und Inhalt der Datenverarbeitung in Kenntnis gesetzt werd
  • Webseitenbesucher/App-Nutzer müssen das Recht haben, der Datenverarbeitung zu widersprechen (Opt-out)
  • In bestimmten Fällen muss vor der Datenverarbeitung die Zustimmung eingeholt werden (Opt-In)
  • Es gelten diverse Grundregeln, wie Daten verarbeitet werden dürfen, etwa das Prinzip der Datenminimierung, Sicherheit, Transparenz oder den Umgang mit sensiblen Daten

Konkret bedeutet das in den meisten Fällen: Eine Opt-Out-Lösung muss in der Webseite oder App installiert werden, um den Benutzern die nötigen Informationen zukommen zu lassen und den Opt-Out zu ermöglichen.

Consent-Lösung TTDSG-, DSGVO-/ePrivacy und US-Privacy-konform werden können

NOTWENDIGKEIT US-PRIVACY-KONFORMITÄT

… aber ich verarbeite doch gar keine Daten!?

Eine Antwort, die wir von US-Kunden sehr häufig hören, ist, dass diese doch eigentlich gar keine Daten verarbeiten und daher die Datenschutzgesetze nicht auf sie zutreffen.

  • Wichtig hier ist zu beachten, dass Webseiten- und App-Betreiber dafür verantwortlich sind, was auf ihrer Webseite bzw. in ihrer App an Daten verarbeitet wird. Daher gelten die Datenschutzgesetze insbesondere auch dann für Unternehmen, wenn diese eine der folgenden Bedingungen erfüllen:

  • 1. Werden Daten für eigene Zwecke verarbeitet, etwa via Tracking-Tools wie Google Analytics, Matomo, Hotjar oder ähnlichem

  • 2. Das Teilen von Daten mit Dritten, ist ebenfalls ein Verarbeitungsschritt. Daten werden etwa dadurch geteilt, dass ein Plugin von Dritten in die Webseite oder App eingebunden ist. Das betrifft etwa YouTube-Videos, Facebook-Plugins, Google Maps, Chat-Programme oder auch Zahlungsanbieter wie PayPal

  • 3. Immer dann, wenn Werbung in die Webseite oder App eingebunden wird, werden dem Werbetreibenden automatisch Daten übermittelt. Die Übermittlung wird als ein Schritt der Datenverarbeitung verstanden.

  • Während sich die Bundesstaaten ein wenig darin unterscheiden, wann eine Zustimmung zur Datenverarbeitung gegeben werden muss, besteht quasi bei allen Datenschutzgesetzen eine Pflicht den Opt-Out zu ermöglichen. Im Fall von CCPA/CPRA muss dies u.a. explizit durch einen Link mit der Aufschrift „Do not sell or share my personal information“ umgesetzt werden.

In 5 Schritten konform werden

Mit consentmanager werden Sie ganz einfach konform mit den diversen US-Datenschutzgesetzen:

  • 1. Jetzt kostenlos anmelden und consentmanager-Account freischalten
  • 2. Den consentmanager Code mittels Copy&Paste in Ihre Webseite integrieren
  • 3. Anpassen des Opt-Out-Designs an Ihre Wünsche
  • 4. Erstellen & Einbinden des „Do not sell or share my personal information“-Link
  • 5. Konform bleiben, dank automatischer Updates
Illustration einer Frau die einem Mann den Cookie Banner übergibt

Von Anwälten und Datenschutzbeauftragten empfohlen

Der neue Standard IAB GPP

Mit neuen Standards die Webseite sicher machen: IAB GPP

Um den Opt-In bzw Opt-Out innerhalb der Webseite oder App transparent an alle eingebundenen Tools, Plugins und Werbeanbieter zu signalisieren, wurde vom IAB der sogenannte IAB GPP Standard entwickelt.

  • GPP steht für Global Privacy Platform und definiert diverse Methoden und Schnittstellen wie ein CMP (Consent Management Provider, auch bekannt als „Cookie Banner“ oder „Privacy Notice“) die Zustimmung/Opt-In bzw. die Ablehnung/Opt-Out erfassen und kommunizieren kann. Der Standard basiert zu großen Teilen auf dem IAB TCF Standard, der in Europa bereits seit Jahren erfolgreich eingesetzt wird und zum Muss für Publisher und Advertiser geworden ist.
  • Das Team von consentmanager wahr maßgeblich an der Entwicklung des GPP Standards beteiligt, und so ist es nicht verwunderlich, dass consentmanager als erster Anbieter den produktiven Einsatz von IAB GPP anbietet.
    Mehr zu GPP finden Sie auch in unserem Blog.
  • Wichtig: Die meisten Datenschutzgesetze erfordern zudem, dass Webseitenbetreiber und App-Betreiber auf „Browsersignale“ reagieren können. Eines dieser Signale ist etwa das in Kalifornien nötige GPC oder „Global Privacy Control“. Mit consentmanager brauchen sich Webseiten und Apps darüber um Glück keine Gedanken machen: Die consentmanager Lösung reagiert automatisch auf die Browsersignale und setzt den Opt-Out automatisch um.
  • Jetzt GPP und GPC einsetzen

Warum jetzt konform für US-Datenschutzgesetze werden?

Schutz für Ihr Unternehmen

CCPA, VCDPA, CAPAP usw. sind ab 2023 in Kraft und müssen umgesetzt werden. Die Bundesgeneralanwälte können ab sofort auf Basis Gesetze Bußgelder verhängen – in vielen Fällen ist dies bereits geschehen. Zögern Sie nicht länger und machen Sie Ihre Webseite oder App jetzt konform!

Schutz für Ihre Einnahmen

Werbeunternehmen werden in 2023 auf den neuen IAB GPP Standard setzen. In Europa wird bereits jetzt kaum noch Werbung ohne den Europäischen Standard verkauft – in den USA geht der Trend in dieselbe Richtung. Wer den IAB GPP Standard nicht unterstützt, dem entgehen Werbeeinnahmen!

Schutz für Ihre Kunden

Kunden werden kritischer und hinterfragen zunehmend, wie Unternehmen mit Daten umgehen. Unternehmen, die ihre Privatsphäre nicht respektieren verlieren an Glaubwürdigkeit, Kunden und Umsatz. Zeigen Sie Ihren Kunden, dass Sie sich wirklich um sie kümmern!

Zahlen Sie nur was Sie nutzen

Unser flexibles Preismodell

Das consentmanager CMP ist günstig und mit einem flexiblen Modell erhältlich: Sie zahlen nur für das, was Sie nutzen!

Basic

0
Dauerhaft kostenlos für
eine Website
  • 5.000 Aufrufe / Monat inkl.
  • DSGVO-konform
  • Vorgefertigte Designs
  • 1 Crawl / Woche
  • Support: Ticket
  • Zus. Aufrufe buchbar
  • IAB TCF kompatibles CMP
  • IAB GPP Standard
  • A/B-Testing & Optimierung
  • Zus. Benutzerkonten
  • Whitelabel

Beginner

19
Monatlich für
eine Website
  • 100.000 Aufrufe / Monat inkl.
  • Zus. Aufrufe: 0.1  / 1000
  • DSGVO-konform
  • Individualisierbare Designs
  • 3 Crawls / Tag
  • Support: Ticket
  • A/B-Testing & Optimierung
  • IAB TCF kompatibles CMP
  • IAB GPP Standard
  • Zus. Benutzerkonten
  • Whitelabel
Sehr beliebt

Standard

49
Monatlich für bis zu
3 Websites oder Apps
  • 1 Mio. Aufrufe / Monat inkl.
  • Zus. Aufrufe: 0.05  / 1000
  • DSGVO-konform
  • IAB TCF kompatibles CMP
  • IAB GPP Standard
  • Individualisierbare Designs
  • A/B-Testing & Optimierung
  • 10 Crawls / Tag
  • Support: Ticket & E-Mail
  • Zus. Benutzerkonten
  • Whitelabel

Agency

195
Monatlich für bis zu
20 Websites oder Apps
  • 10 Mio. Aufrufe / Monat inkl.
  • Zus. Aufrufe: 0.02  / 1000
  • DSGVO-konform
  • IAB TCF kompatibles CMP
  • IAB GPP Standard
  • Individualisierbare Designs
  • A/B-Testing & Optimierung
  • 100 Crawls / Tag
  • 10 zus. Benutzerkonten
  • Support: Ticket, E-Mail & Telefon
  • Persönlicher Account-Manager
  • Whitelabel

Enterprise

Auf Anfrage
Monatspreis nach individueller Vereinbarung
  • Beliebige Aufrufe / Monat
  • Zus. Aufrufe: 0.02  / 1000
  • DSGVO-konform
  • IAB TCF kompatibles CMP
  • IAB GPP Standard
  • Individualisierbare Designs
  • A/B-Testing & Optimierung
  • Beliebige Crawls / Tag
  • Beliebig zus. Benutzerkonten
  • Support: Ticket, E-Mail & Telefon
  • Persönlicher Account-Manager
  • Whitelabel

Überblick:

Wann wurden die Datenschutzgesetze in den USA in Kraft gesetzt?

Das Nevada Privacy of Information Collected on the Internet from Consumers Act (NPICICA) ist am 1. Oktober 2019 in Kraft getreten und wurde 2019 und 2021 durch die Senate Bills 220 und 260 weiter ergänzt
CCPA steht für California Consumer Privacy Act und im Jahr 2020 erlassen. Es gilt in Kalifornien bzw. in Bezug auf kalifornische Bürger
Das „Update“ zum CCPA ist der CPRA oder California Privacy Rights Act, der am 1.07.2021 eingeführt wurde. Unter CPRA werden einige Regelungen konkretisiert und verschärft
VCDPA steht für Virginia Consumer Data Protection Act und bezieht sich auf Firmen, die Geschäfte im Bundesstaat Virginia machen. Das VCDPA ist am 1. Januar 2023 in Kraft getreten
CPA oder Colorado Privacy Act ist das Datenschutzgesetz des Bundesstaates Colorado. Dieses Gesetz trat am 1. Juli 2023 in Kraft und muss von Unternehmen umgesetzt werden, die in Colorado ansässig sind
CTDPA steht für Connecticut Data Privacy Act und ist das Bundesgesetz zum Datenschutz im Bundesstaat Connecticut. Das Gesetz trat am 1. Juli 2023 in Kraft
UCPA oder Utah Consumer Privacy Act tritt erst am 31. Dezember 2023 in Kraft. Auch dieses Gesetz betrifft alle Unternehmen, die eine bestimmte Menge an Daten von Bürgern des Bundesstaates verarbeiten
Der My Health My Data Act (MHMD) des Bundesstaates Washington ist seit dem 31. März 2024 in Kraft und setzt strenge Anforderungen an Organisationen, die Gesundheitsdaten sammeln, weitergeben oder verarbeiten
Das Texas Data Privacy and Security Act (TDPSA), gültig ab dem 1. Juli 2024, gilt für Unternehmen, die in Texas tätig sind oder texanische Einwohner bedienen
Der Oregon Consumer Data Privacy Act (OCDPA), der am 1. Juli 2024 in Kraft tritt, etabliert Oregon als einen Staat, der umfassenden Schutz für Verbraucher bietet und gilt für Unternehmen, die im Bundesstaat tätig sind
Das Florida Digital Bill of Rights (FDBR) wurde am 6. Juni 2023 unterzeichnet und tritt am 1. Juli 2024 in Kraft. Dieses Gesetz führt eine Reihe von Maßnahmen zum Schutz der Privatsphäre der Verbraucher ein
Der Montana Consumer Data Privacy Act (MTCDPA), der am 1. Oktober 2024 in Kraft tritt, gilt für Unternehmen, die in Montana Geschäfte tätigen oder Montana-Bürger ansprechen
Das Iowa Consumer Data Protection Act, gültig ab dem 1. Januar 2025, richtet sich an Datenverantwortliche und Datenverarbeiter, die beträchtliche Mengen an persönlichen Informationen von Einwohnern Iowas verarbeiten oder erhebliche Einnahmen aus dem Verkauf solcher Informationen erzielen
Am 6. März 2024 wurde Senate Bill 255 vom Gouverneur von New Hampshire unterzeichnet und wird am 1. Januar 2025 in Kraft treten. Für die Durchsetzung des Gesetzes ist der Generalstaatsanwalt von New Hampshire zuständig
Am 17. April 2024 unterzeichnete der Gouverneur von Nebraska den Nebraska Data Privacy Act, der am 1. Januar 2025 in Kraft treten wird. Das Gesetz erlegt Unternehmen, die personenbezogene Daten in Nebraska verarbeiten, Pflichten auf und gewährt Verbrauchern Rechte wie Bestätigung, Berichtigung, Löschung und Widerruf von Datenverarbeitungsaktivitäten
Das Delaware Personal Data Privacy Act, gültig ab dem 1. Januar 2025, etabliert Delawares Position zum Schutz von Verbraucherdaten, im Einklang mit allgemeinen Trends in den USA
Am 16. Januar 2024 unterzeichnete der Gouverneur von New Jersey den New Jersey Privacy Act (NJPA), der am 15. Januar 2025 in Kraft treten wird. Das Gesetz legt Verpflichtungen mit Schwerpunkt auf Datensparsamkeit, Sicherheit und Persönlichkeitsrechte sowie besondere Schutzmaßnahmen für sensible Daten und Kinder fest
Das Tennessee Information Protection Act (TIPA), das am 1. Juli 2025 in Kraft tritt, legt strenge Kriterien fest, wie Unternehmen mit den persönlichen Informationen von Bewohnern Tennessees umgehen müssen
Der Maryland Online Data Privacy Act (MODPA) tritt am 1. Oktober 2025 in Kraft. Es verbietet den Verkauf sensibler Daten und verschärft die Anforderungen an die Datenminimierung. Verstöße können mit Geldstrafen von bis zu 10.000 Dollar pro Verstoß geahndet werden
Das Indiana Datenschutzgesetz, gültig ab dem 1. Januar 2026, richtet sich sowohl an „Datenverantwortliche“ als auch „Datenverarbeiter“, die in Indiana tätig sind oder Indiana-Bürger ansprechen
Kentucky hat am 4. April 2024 den Kentucky Consumer Data Privacy Act (KCDPA) verabschiedet, der am 1. Januar 2026 in Kraft treten wird. Das Gesetz regelt die Verarbeitung personenbezogener Daten und für Datenverantwortliche in Kentucky mit Ausnahmen für verschiedene Institutionen und Datenarten

Das sind die wichtigen US-Privacy-Normen

Welche Datenschutzgesetze gibt es in den USA?

Unternehmen, die in den USA ansässig sind, dort Geschäfte machen oder Dienstleistungen erbringen oder anderweitig mit US-Bürgern zu tun haben, fallen höchstwahrscheinlich unter eines der zahlreichen Gesetze zum Datenschutz.

  • Anders als in vielen anderen Ländern, sind in den USA die Datenschutzgesetze auf Bundesstaaten-Ebene geregelt – solange, bis es ein nationales Datenschutzgesetz gibt. Unternehmen sollten daher prüfen ob oder welche Bundesgesetze auf sie zutreffen. Im Einzelnen könnten diese sein:
  • CCPA / CPRA – Kalifornien

    CCPA steht für California Consumer Privacy Act und wurde bereits im Jahr 2019 erlassen. Es gilt insbesondere in Kalifornien bzw. in Bezug auf kalifornische Bürger. Das „Update“ zu CCPA ist CPRA oder California Privacy Rights Act. Unter CPRA werden einige Regelungen konkretisiert und verschärft.

  • Nevada – NPICICA

    Das Datenschutzgesetz von Nevada, der Nevada Privacy of Information Collected on the Internet from Consumers Act (NPICICA), trat am 1. Oktober 2019 in Kraft und unterstreicht die Rechte der Verbraucher, über ihre online erfassten persönlichen Daten zu bestimmen. Durch Ergänzungen wie Senate Bill 220 (SB-220) und Senate Bill 260 (SB-260) wurden diese Rechte erweitert, indem Websitebetreiber verpflichtet wurden, Mechanismen bereitzustellen, die es Verbrauchern ermöglichen, dem Verkauf ihrer Daten zu widersprechen. Die Datenschutzgesetze in Nevada sind zwar nicht so umfassend wie in anderen Bundesstaaten wie Kalifornien, sehen aber dennoch Strafen für Verstöße vor, die vom Generalstaatsanwalt von Nevada mit Geldstrafen von bis zu 5.000 Dollar pro Verstoß geahndet werden. Unternehmen müssen in ihren Datenschutzerklärungen bestimmte Informationen offen legen und Mechanismen vorsehen, die es den Verbrauchern ermöglichen, dem Verkauf von Daten zu widersprechen.

  • VCDPA – Virginia

    VCDPA steht für Virginia Consumer Data Protection Act und bezieht sich auf Firmen, die Geschäfte im Bundesstaat Virginia machen oder sich an Bürger aus diesem Bundesstaat wenden. Das VCDPA ist am 1. Januar 2023 in Kraft getreten.

  • CPA – Colorado

    CPA oder Colorado Privacy Act ist das Datenschutzgesetz des Bundesstaates Colorado. Dieses Gesetz trat am 1. Juli 2023 in Kraft und muss von Unternehmen umgesetzt werden, die in Colorado ansässig sind oder Daten von Einwohnern des Bundesstaates verarbeiten. Das Gesetz stellt eine Anforderung an Websites, den universellen Opt-Out-Mechanismus, der verlangt, dass Websites ihren Nutzern einen Single Opt-Out-Button für die von der Website genutzten Marketing- und Analytics-Dienste zur Verfügung stellen.

  • UCPA – Utah

    Das US-Datenschutzgesetz für den Bundesstaat Utah im Westen der USA heißt UCPA oder Utah Consumer Privacy Act. Im Gegensatz zu den beiden vorgenannten Gesetzen tritt der UCPA erst am 31. Dezember 2023 in Kraft. Auch dieses Gesetz betrifft alle Unternehmen, die eine bestimmte Menge an Daten (hier 100.000 pro Jahr) von Bürgern des Bundesstaates verarbeiten.

  • CAPDP – Connecticut

    CTDPA steht für Connecticut Data Privacy Act (auch bekannt als Connecticut Act Concerning Personal Data Privacy and Online Monitoring) und ist das Bundesgesetz zum Datenschutz im Bundesstaat Connecticut. Das Gesetz trat am 1. Juli 2023 in Kraft und betrifft Unternehmen, die ihren Sitz im Bundesstaat Connecticut haben, dort geschäftlich tätig sind oder Daten von Einwohnern des Staates verarbeiten.

  • TDPSA – Texas

    Der Texas Data Privacy and Security Act (TDPSA), der am 1. Juli 2024 in Kraft treten wird, gilt für Unternehmen, die in Texas tätig sind oder Dienstleistungen für Einwohner von Texas erbringen.

  • OCDPA – Oregon

    Der Oregon Consumer Data Privacy Act (OCDPA), der am 1. Juli 2024 in Kraft tritt, gilt für Unternehmen, die in diesem Bundesstaat tätig sind oder Dienstleistungen für dessen Einwohner erbringen. Sie enthält DSGVO-ähnliche Rollen für die für die Datenverarbeitung Verantwortlichen und die Auftragsverarbeiter, schreibt detaillierte Datenschutzhinweise vor und verlangt Datenschutzbewertungen für risikoreiche Aktivitäten.

  • MTCDPA – Montana

    Der Montana Consumer Data Privacy Act (MTCDPA), der am 1. Oktober 2024 in Kraft tritt, gilt für Unternehmen, die in Montana Geschäfte tätigen oder Montana-Bürger ansprechen und legt Schwellenwerte für die Anwendbarkeit fest, die auf der Menge der verarbeiteten personenbezogenen Daten und den mit dem Verkauf von personenbezogenen Daten erzielten Einnahmen basieren, wobei bestimmte Unternehmen und Datenarten ausgenommen sind.

  • CDPA – Iowa

    Das Iowa Consumer Data Protection Act, gültig ab dem 1. Januar 2025, richtet sich an Datenverantwortliche und Datenverarbeiter, die beträchtliche Mengen an persönlichen Informationen von Einwohnern Iowas verarbeiten oder erhebliche Einnahmen aus dem Verkauf solcher Informationen erzielen.

  • DPDPA – Delaware

    Das Delaware Personal Data Privacy Act, gültig ab dem 1. Januar 2025, etabliert Delawares Position zum Schutz von Verbraucherdaten, im Einklang mit allgemeinen Trends in den USA, zeichnet sich jedoch dadurch aus, dass die meisten gemeinnützigen Organisationen und Hochschulen nicht ausgenommen sind.

  • TIPA – Tennessee

    Das Tennessee Information Protection Act (TIPA), das am 1. Juli 2025 in Kraft tritt, legt strenge Kriterien fest, wie Unternehmen mit den persönlichen Informationen von Bewohnern Tennessees umgehen müssen. Das TIPA legt restriktive Schwellenwerte für die Anwendbarkeit fest, die auf dem Umsatz und dem Umfang der Datenverarbeitung basieren, und definiert detaillierte Verbraucherrechte, einschließlich Zugang, Berichtigung, Löschung, Datenübertragbarkeit und Widerspruch gegen bestimmte Datenverwendungen.

  • CDPA – Indiana

    Das Indiana Datenschutzgesetz, gültig ab dem 1. Januar 2026, richtet sich sowohl an „Datenverantwortliche“ als auch „Datenverarbeiter“, die in Indiana tätig sind oder Indiana-Bürger ansprechen. Das Gesetz legt bestimmte Schwellenwerte für die Anwendbarkeit fest und nimmt verschiedene Einrichtungen wie Regierungsbehörden und vom HIPAA abgedeckte Einrichtungen aus.

  • MHMD – Washington

    Der My Health My Data Act (MHMD) des Bundesstaates Washington, der am 31. März 2024 in Kraft trat, stellt strenge Anforderungen an Unternehmen, die Gesundheitsdaten sammeln, weitergeben oder verarbeiten. Der MHMD verlangt eine vorherige Einwilligung für die Erhebung von Gesundheitsdaten und eine zusätzliche Einwilligung für deren Weitergabe, um die Privatsphäre der Verbraucher im Gesundheitssektor zu schützen. Das Gesetz legt detaillierte Anforderungen an die Datensicherheit fest und schränkt das Geofencing in der Nähe von Gesundheitsdienstleistern ein.

  • MODPA – Maryland

    Die Gesetzgeber in Maryland haben den Maryland Online Data Privacy Act (MODPA) verabschiedet, ein Datenschutzgesetz, das nach seiner Verabschiedung am 1. Oktober 2025 in Kraft treten wird. Zu den wichtigsten Bestimmungen des MODPA gehören ein Verbot des Verkaufs sensibler Daten, strengere Anforderungen an die Datenminimierung, obligatorische Datenschutzbewertungen, einzigartige Anforderungen an zielgerichtete Werbung und Opt-out-Rechte mit aktualisierten Datenschutzhinweisen. Bei Nichteinhaltung können Bußgelder von bis zu 10.000 Dollar pro Verstoß verhängt werden.

  • FDBR – Florida

    Das Florida Digital Bill of Rights (FDBR) wurde am 6. Juni 2023 unterzeichnet und tritt am 1. Juli 2024 in Kraft. Dieses Gesetz führt eine Reihe von Maßnahmen zum Schutz der Privatsphäre der Verbraucher ein. Es gilt in erster Linie für große Unternehmen mit einem Bruttojahresumsatz von mehr als 1 Milliarde US-Dollar, wobei für Unternehmen, die stark in der digitalen Werbung tätig sind oder große digitale Plattformen betreiben, bestimmte Schwellenwerte gelten. Das FDBR sieht weitreichende Opt-Out-Rechte für die Datenerhebung durch Sprach- und Gesichtserkennungstechnologien vor, legt strenge Beschränkungen für die Erhebung von Überwachungsdaten ohne aktive Einwilligung des Nutzers fest und verlangt klare Hinweise für den Verkauf sensibler und biometrischer Daten. Darüber hinaus sieht das Gesetz einen besonderen Schutz der Daten von Kindern vor und verbietet staatlichen Stellen die Moderation von Inhalten in sozialen Medien, wobei einige Ausnahmen vorgesehen sind.

  • NDPA – Nebraska

    Der Gouverneur von Nebraska hat am 17. April 2024 den Nebraska Data Privacy Act unterzeichnet, der am 1. Januar 2025 in Kraft treten wird. Das Gesetz erlegt Unternehmen, die personenbezogene Daten in Nebraska verarbeiten, Pflichten auf und gewährt Verbrauchern Rechte wie die Bestätigung der Datenverarbeitung, die Berichtigung von Ungenauigkeiten, die Löschung personenbezogener Daten und die Abmeldung von bestimmten Datenverarbeitungsaktivitäten. Das Gesetz verpflichtet die für die Datenverarbeitung Verantwortlichen, klare Datenschutzhinweise zu geben, die Datenerhebung einzuschränken, Datensicherheitsverfahren einzuführen und Datenschutzbewertungen durchzuführen. Der Generalstaatsanwalt von Nebraska kann Verstöße mit Geldstrafen von bis zu $7.500 pro Verstoß sanktionieren.

  • SB 255 – New Hampshire

    Der Gouverneur von New Hampshire hat am 6. März 2024 die Senate Bill 255 unterzeichnet, die am 1. Januar 2025 in Kraft treten wird. Das Gesetz gilt für in New Hampshire tätige Unternehmen, die personenbezogene Daten verarbeiten, und legt Verpflichtungen zur Datenminimierung, zur Zweckbindung und zum Datenschutz sowie Verbraucherrechte wie Zugang, Berichtigung, Löschung, Übertragbarkeit und Opt-out fest. Die Durchsetzung des Gesetzes liegt in der ausschließlichen Verantwortung des Generalstaatsanwalts von New Hampshire, der 60 Tage Zeit hat, um Mängel zu beheben.

  • NJPA – New Jersey

    Am 16. Januar 2024 unterzeichnete der Gouverneur von New Jersey den New Jersey Privacy Act (NJPA), der am 15. Januar 2025 in Kraft treten wird. Das NJPA verpflichtet Unternehmen zu ähnlichen Maßnahmen wie andere staatliche Datenschutzgesetze, z. B. zur Datenminimierung, zur Datensicherheit und zu den Rechten des Betroffenen unter besonderer Berücksichtigung sensibler Daten und des Schutzes von Kindern. Für die Datenverarbeitung Verantwortliche und Auftragsverarbeiter müssen die Bestimmungen über Verbraucheranfragen, Datensicherheit und die Meldung von Datenschutzverletzungen einhalten. Das Gesetz wird ausschließlich durch den Generalstaatsanwalt von New Jersey durchgesetzt und enthält Bestimmungen zur Regulierung und zu Rechtsbehelfen für Verbraucher.

  • KCDPA – Kentucky

    Kentucky hat am 4. April 2024 den Kentucky Consumer Data Privacy Act (KCDPA) verabschiedet, der am 1. Januar 2026 in Kraft treten wird. Das Gesetz regelt die Verarbeitung personenbezogener Daten, führt Verbraucherrechte ein und autorisiert den Generalstaatsanwalt von Kentucky, das Gesetz durchzusetzen. Das Gesetz gilt für Verantwortliche, die Daten von Einwohnern Kentuckys verarbeiten, mit Ausnahmen für verschiedene Einrichtungen und Datenarten, einschließlich Finanz- und Gesundheitsdaten. Die für die Verarbeitung Verantwortlichen müssen klare Datenschutzhinweise geben, die Datenerfassung einschränken, die Sicherheit gewährleisten und die Rechte der Verbraucher respektieren, wobei der Schwerpunkt darauf liegt, sensible Daten nicht ohne ausdrückliche Einwilligung zu verarbeiten. Die Durchsetzung obliegt dem Generalstaatsanwalt von Kentucky, der eine 30-tägige Frist zur Behebung von Verstößen und mögliche zivilrechtliche Sanktionen vorsieht.

Häufig gestellte Fragen

Nicht sicher ob Sie ein CMP brauchen?

Um Ihnen mit Dingen wie DSGVO, CMP und Zustimmung zu helfen, haben wir hier die häufigsten Fragen zusammen getragen.

Das Gesetz trat am 1. Juli 2023 in Kraft.

CAPDP (teils auch CTPDP) steht für Connecticut Act Concerning Personal Data Privacy.

Das UCPA trat am 31. Dezember 2023 in Kraft.

Utah Consumer Privacy Act.

Das CPA trat am 1. Januar 2023 in Kraft.

Colorado Privacy Act.

Das VCDPA trat am 1. Januar 2023 in Kraft.

VCDPA steht für Virginia Consumer Data Protection Act.

Ja. Der Bundesanwalt verteilt bereits fleißig Bußgelder. Der bisher prominenteste Fall ist der von Sephora mit einem Bußgeld von 1.2 Mio USD.

Die Gesetze sind bereits in Kraft getreten.

California Privacy Rights Act

California Consumer Privacy Act

Bitte beachten Sie, dass wir keine Rechtsberatung erbringen können. Einige Punkte dieser FAQ können sich zudem im Laufe der Zeit ändern oder von Gerichten anders interpretiert werden. Deshalb sollten Sie immer Ihren Anwalt zu Rate ziehen!

CMP

Ihre Fragen zu CMP & Co.

Wenn Sie sich nicht sicher sind, ob Sie ein CMP brauchen oder nicht, treten Sie gern in Kontakt mit uns – wir werden Ihnen helfen die richtige Lösung für Ihr Unternehmen zu finden.