Kostenlose Ressource für Datenschutzfachleute

Die massgebliche Vergleichstabelle der bundesstaatlichen Datenschutzgesetze für 2025

Über 20 bundesstaatliche Datenschutzgesetze. Hunderte sich überschneidende Anforderungen. Eine klare Nebeneinander-Übersicht, damit Sie nie wieder eine Compliance-Pflicht übersehen.

Die US-Datenschutzlandschaft der Bundesstaaten ist von einem durchsetzbaren Gesetz im Jahr 2020 auf 20 umfassende bundesstaatliche Datenschutzgesetze per 2026 angewachsen. Jedes hat unterschiedliche Schwellenwerte für den Geltungsbereich, Verbraucherrechte, Opt-out-Mechanismen, Nachbesserungsfristen und Durchsetzungsstrukturen. Ob Sie als Datenschutzbeauftragter Pflichten über mehrere Tochtergesellschaften hinweg abbilden oder als Rechtsteam zu Geschäftstätigkeiten in mehreren Bundesstaaten beraten: Diese Vergleichstabelle verschafft Ihnen die nötige Klarheit in Minuten statt in Tagen.

Keine Kreditkarte. Kein Verkaufsgespräch. Geben Sie unten Ihre geschäftliche E-Mail-Adresse ein, und wir senden Ihnen die Tabelle zu.

In der Schweiz gehostete Plattform

Europäische Datenhaltung

ISO 27001-konform

Openmedical: 200+ Stunden in der Vorbereitung eingespart

20 bundesstaatliche Gesetze verfolgt

IAPP US State Privacy Legislation Tracker

Von Datenschutzteams geschätzt

Verwaltung von 50+ Einheiten weltweit

DSGVO-konforme Verarbeitung

Lesen Sie unsere Datenschutzerklärung

20

umfassende bundesstaatliche Datenschutzgesetze erlassen

IAPP und ArentFox Schiff, Stand Mitte 2025

1,55 Mio. USD

grösster CCPA-Vergleich durch den Attorney General von Kalifornien

Smith Anderson, Durchsetzungsmassnahme Juli 2025

8

Bundesstaaten haben 2025 ihre Datenschutzgesetze geändert

IAPP US State Privacy Laws Report, Oktober 2025

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Zentrale Produktfunktionen

Entwickelt für die Realität der Datenschutz-Compliance über mehrere Bundesstaaten

Zwanzig Bundesstaaten haben seit Kaliforniens Verabschiedung des CCPA im Jahr 2018 umfassende Datenschutzgesetze erlassen, und neun davon haben ihre Gesetze allein 2025 geändert. Damit Schritt zu halten erfordert mehr als Tabellen und Browser-Tabs. Diese Funktionen helfen Datenschutzteams, einer Landschaft voraus zu sein, die sich jedes Quartal verändert.

Verarbeitungsverzeichnis-Management über mehrere Einheiten

Wenn Sie in mehreren Bundesstaaten tätig sind, jeder mit eigenen Schwellenwerten für den Geltungsbereich und eigenen Verbraucherrechten, muss Ihr Verzeichnis von Verarbeitungstätigkeiten jede Jurisdiktion widerspiegeln. Priverion automatisiert die Rezertifizierung des Verarbeitungsverzeichnisses über alle Konzerneinheiten hinweg, sodass Aktualisierungen mit Gesetzesänderungen kaskadieren, nicht erst Wochen später, wenn sich jemand daran erinnert, die Tabelle zu öffnen.

Ein Schweizer Versicherer erreichte mit vollständig automatisierten Workflows eine Rezertifizierungsquote des Verarbeitungsverzeichnisses von 100 %.

Ein Schweizer Versicherer, Priverion Kundenbeleg

KI-gestützte DSFA und Risikobewertung

Bundesstaaten wie Colorado und New Jersey verlangen mittlerweile Datenschutz-Folgenabschätzungen, bevor eine risikoreiche Verarbeitung überhaupt beginnen kann. Marylands Gesetz von 2025 fügt einige der strengsten Datenminimierungsstandards des Landes hinzu. Die KI-gestützte Erstellung von Priverion hilft Ihnen, die Bewertungsdokumentation schneller zu erstellen, mit einer Risikobewertung, die auf die spezifischen Anforderungen jedes Bundesstaates abgestimmt ist. Die KI unterstützt; Menschen entscheiden. Es werden keine Kundendaten für das Modelltraining verwendet.

Ein Medizintechnikunternehmen sparte mit den Bewertungstools von Priverion über 200 Stunden bei der ISO 27001-Vorbereitung.

Ein Medizintechnikunternehmen, Priverion Kundenbeleg

Verfolgung regulatorischer Änderungen

2025 traten acht neue bundesstaatliche Datenschutzgesetze in Kraft, während neun bestehende Gesetze wesentliche Änderungen erfuhren. Connecticut verschärfte den Schutz von Minderjährigen. Colorado fügte Pflichten zu biometrischen Daten hinzu. Kalifornien finalisierte neue Vorschriften zur Risikobewertung. Die Verfolgung regulatorischer Änderungen von Priverion hält Ihr Compliance-Programm aktuell, während sich die Anforderungen weiterentwickeln, sodass Sie sich nicht auf veraltete Blogbeiträge von Anwaltskanzleien oder eine Tabelle verlassen müssen, die Ihr Vorgänger begonnen und nie fertiggestellt hat.

2025 wurden acht bundesstaatliche Datenschutzgesetze wirksam, was die Zahl der Bundesstaaten mit geltenden Gesetzen nahezu verdoppelte.

Perkins Coie, Privacy Law Recap 2025 (Januar 2026)

Incident-Management und Breach-Workflows

Kaliforniens CCPA bleibt eines der wenigen bundesstaatlichen Gesetze mit einem privaten Klagerecht bei Datenschutzverletzungen. Texas erzielte mit Meta einen Vergleich über 1,4 Milliarden USD wegen der Erhebung biometrischer Daten. Wenn eine Verletzung eintritt, unterscheiden sich Reaktionsfristen und Meldepflichten je nach Bundesstaat. Die Incident-Management-Workflows von Priverion führen Ihr Team durch die jurisdiktionsspezifischen Meldepflichten bei Datenschutzverletzungen und erstellen prüfungsfertige Nachweispakete in Minuten statt in Wochen.

Kaliforniens CCPA-Vergleich vom Juli 2025 erreichte 1,55 Mio. USD, der bislang grösste unter diesem Gesetz.

Smith Anderson, Data Privacy in 2026 (Januar 2026)

Lieferanten-Risikobewertungen

Texas reichte seine erste TDPSA-Klage gegen Allstate und die Tochtergesellschaft Arity ein, weil diese angeblich Tracking-Software in Apps Dritter eingebettet hätten, um personenbezogene Daten zu erheben und zu verkaufen. Ihr Lieferanten-Ökosystem ist Ihre Angriffsfläche. Das Drittparteien-Management von Priverion verschafft Ihnen volle Transparenz darüber, wie Lieferanten Daten verarbeiten, mit Bewertungen, die auf die spezifischen Pflichten jedes bundesstaatlichen Gesetzes abgebildet sind, das Ihre Organisation einhalten muss.

Ein Gesundheitsdienstleister erreichte mit Priverion eine 100-prozentige Abdeckung der Lieferanten-Risikobewertung.

Ein Gesundheitsdienstleister, Priverion Kundenbeleg

Vorstandsreife Compliance-Dashboards

Die Attorneys General der Bundesstaaten koordinieren ihre Durchsetzung zunehmend über ein überparteiliches Consortium of Privacy Regulators. Wenn Ihr CEO fragt «Sind wir überall konform?», brauchen Sie eine Antwort, die klar, aktuell und belastbar ist. Die Dashboards von Priverion geben CISOs und Datenschutzbeauftragten Echtzeit-Transparenz über jede Einheit und Jurisdiktion und verwandeln operative Compliance-Daten in vorstandsreife Berichte ohne manuelle Konsolidierung.

Ein Flugzeughersteller reduzierte den Compliance-Verwaltungsaufwand in den ersten 6 Monaten um 60 %.

Flugzeughersteller, Priverion Kundenbeleg (erste 6 Monate)

Entdecken Sie die vollständige Plattform

Sehen Sie, wie Priverion Compliance-Pflichten über 50+ Einheiten und mehrere Jurisdiktionen hinweg abbildet.

Messbare Ergebnisse von echten Kunden

Die Zahlen, die Datenschutzbeauftragte zum Lächeln bringen

200+

Stunden bei der ISO 27001-Vorbereitung eingespart

Ein Medizintechnikunternehmen sparte mit Priverion über 200 Stunden bei der Vorbereitung auf die ISO 27001-Zertifizierung. Der typische Zertifizierungsprozess dauert 6 bis 12 Monate; Priverion-Kunden sind Monate vor dem Zeitplan prüfungsbereit.

Ein Medizintechnikunternehmen, verifiziertes Kundenergebnis

60 %

weniger Compliance-Verwaltungsaufwand

Ein Flugzeughersteller senkte den Compliance-Verwaltungsaufwand in den ersten 6 Monaten um 60 %. Mit vorhersehbaren Preisen auf Basis der Anzahl Unternehmen statt Gebühren pro Nutzer vermeiden Teams die Kosteneskalation, die bei Enterprise-Plattformen üblich ist.

Flugzeughersteller, erste 6 Monate mit Priverion

3 Mt.

dem Zeitplan bei ISO 27001 voraus

Während eine ISO 27001-Zertifizierung typischerweise 6 bis 12 Monate dauert, helfen die prüfungsfertigen Nachweispakete und die automatisierte Dokumentation von Priverion den Teams, die Zeitpläne erheblich zu verkürzen.

Ein Medizintechnikunternehmen, im Vergleich zu branchenüblichen Zeitplänen

Priverion vs. OneTrust

Für den Mittelstand entwickelt. Nicht aus dem Enterprise-Bereich abgespeckt.

Da sich die DSGVO-Bussgelder kumuliert mittlerweile auf über 7,1 Milliarden Euro belaufen und sich die Durchsetzung weit über Big Tech hinaus ausweitet, ist Ihre Compliance-Plattform wichtiger denn je. Hier ist, warum wachsende Organisationen sich für Priverion entscheiden.

Quelle: DLA Piper GDPR Fines and Data Breach Survey, Januar 2026

Priverion

Speziell für das Datenschutzmanagement über mehrere Einheiten entwickelt

  • Garantierte Schweizer Datensouveränität

    In der Schweiz entwickelt und in der Schweiz gehostet. Die gesamte Datenverarbeitung bleibt innerhalb der Schweizer Infrastruktur, ausserhalb der Reichweite extraterritorialer Gesetze wie dem US CLOUD Act und FISA Section 702. In einem regulatorischen Klima, in dem selbst US-Hyperscaler einräumen, die EU-Datensouveränität nicht garantieren zu können, ist dies kein Marketingversprechen: Es ist ein rechtliches Unterscheidungsmerkmal.

    Der GM von Microsoft Frankreich sagte unter Eid aus, dass ein US-Datenzugriff nicht ausgeschlossen werden kann (französischer Senat, Sommer 2025)

  • Einsatzbereit in Wochen, nicht in Monaten

    Saubere, intuitive Oberfläche, die für Datenschutzbeauftragte konzipiert ist, nicht für Enterprise-IT-Teams. Keine wochenlange Konfiguration oder dediziertes Implementierungspersonal. Ein Flugzeughersteller verzeichnete innerhalb der ersten 6 Monate eine Reduktion des Compliance-Verwaltungsaufwands um 60 %.

    Flugzeughersteller, erste 6 Monate mit Priverion

  • Vorhersehbare, transparente Preise

    Basierend auf der Anzahl der Unternehmen und der Organisationsgrösse. Keine Gebühren pro Nutzer, keine Erweiterungsfallen pro Modul, keine intransparenten individuellen Angebote. Sie wissen, was Sie bezahlen werden, bevor Sie unterschreiben.

  • All-in-One-Datenschutzplattform

    Verarbeitungsverzeichnis, DSFA/TIA, Lieferantenrisiko, Incident-Management, Bearbeitung von Betroffenenanfragen, Datenmapping, KI-Register und Compliance-Dashboards in einer einzigen Plattform. Keine Modul-Upsells, um freizuschalten, was Sie brauchen.

  • KI-gestützt, menschlich kontrolliert

    Die KI hilft, Datenschutz-Folgenabschätzungen zu entwerfen, Risiken zu bewerten und Vorschriften abzubilden. Alle Ergebnisse werden von Menschen geprüft, bevor sie zu Compliance-Aufzeichnungen werden. Es werden niemals Kundendaten für das Modelltraining verwendet.

  • Tiefgehende, fokussierte Integrationen

    Integrationen mit HR-, Beschaffungs- und IT-Asset-Management-Systemen, die für Datenschutz-Workflows relevant sind. Weniger Konnektoren, aber jeder einzelne funktioniert zuverlässig ohne fortlaufenden Wartungsaufwand.

OneTrust

Enterprise-Niveau mit Enterprise-Komplexität

  • Hauptsitz in den USA, in den USA gehostet

    Unterliegt dem US CLOUD Act und FISA Section 702. Optionen für europäische Datenhaltung existieren, doch die juristische Einheit bleibt unter US-Jurisdiktion. Die im November 2025 angenommene Berliner Erklärung der EU zur digitalen Souveränität unterstreicht, warum dies von Bedeutung ist.

    Erklärung für europäische digitale Souveränität, unterzeichnet von allen EU-Mitgliedstaaten, November 2025

  • Steile Lernkurve

    Nutzer berichten durchgängig von komplexen Einrichtungsprozessen, die wochenlange Konfiguration und dedizierte technische Ressourcen erfordern. Kleinere Teams empfinden die Pflege der Plattform als besonders herausfordernd.

    Capterra-Nutzerbewertungen, 2025/2026

  • Intransparente, eskalierende Preise

    Keine veröffentlichten Preise. Individuelle Angebote, die je nach Modulen, Domains, Nutzern und Datenmengen variieren. OneTrust veröffentlicht keine Listenpreise. Gemäss aggregierten, von Käufern gemeldeten Preisdaten bewegen sich Mittelstands-Implementierungen häufig vom mittleren fünfstelligen bis in den niedrigen sechsstelligen Bereich pro Jahr, wobei Implementierungsdienstleistungen separat abgerechnet werden. Quelle: aggregierte, von Käufern gemeldete Preisdaten von Vendr und Enzuzo, abgerufen am 18.05.2026.

    Enzuzo Preisanalyse, März 2026; Vendr Beschaffungsdaten, Februar 2026

  • Modulares Modell mit Bezahlung pro Funktion

    Fünf separate Produktlinien, jede nach eigener Kennzahl abgerechnet. Jedes Modul, das Sie hinzufügen, erhöht Ihre Gesamtkosten, und die Rechnung kann in Richtungen wachsen, die Sie nicht vorhergesehen haben, wenn sich Ihr Team oder Ihr Datenbestand ausweitet.

    Sprinto OneTrust Review, März 2026

  • Umfassende KI-Funktionen

    Starke Fähigkeiten im Bereich KI-Governance und regulatorische Intelligenz über mehr als 300 Jurisdiktionen. Ein leistungsstarker Funktionsumfang, der jedoch zur Gesamtkomplexität und zu den Kosten der Plattform beiträgt.

  • Umfangreiches Integrations-Ökosystem

    Breite Konnektor-Bibliothek über IT-, Sicherheits-, Marketing-, HR- und Cloud-Plattformen. Leistungsstark, sobald sie vollständig konfiguriert ist, doch die Pflege dieser Integrationen erfordert eine erhebliche fortlaufende technische Aufsicht.

Die Durchsetzung beschleunigt sich. Allein 2024 verhängten europäische Datenschutzbehörden rund 1,2 Milliarden Euro an DSGVO-Bussgeldern, wobei Meldungen von Datenschutzverletzungen mittlerweile durchschnittlich 443 pro Tag betragen. Das EU-KI-Gesetz erreicht im August 2026 die volle Durchsetzung für Hochrisikosysteme und fügt eine weitere Sanktionsebene hinzu. Die Frage ist nicht, ob in Compliance-Werkzeuge investiert werden soll, sondern ob Ihre Lösung passend für Ihre Organisation dimensioniert ist.

Quellen: DLA Piper GDPR Fines Survey, Januar 2025; Durchsetzungszeitplan des EU-KI-Gesetzes

Ehrlicher Hinweis: OneTrust ist ein starkes Produkt für grosse Unternehmen mit dedizierten Compliance-Teams und komplexen GRC-Anforderungen. Priverion ist kein Ersatz dafür. Wir sind für mittelständische und Multi-Entity-Organisationen gebaut, die ein Datenschutzmanagement auf Enterprise-Niveau ohne Enterprise-Komplexität oder -Kosten benötigen. Wir decken weder ESG noch Ethik-Hotlines oder Cookie-Einwilligung ab.

Tabellenvorschau

Was darin steckt: Ein Auszug aus dem vollständigen Vergleich

Das vollständige PDF deckt alle 20 erlassenen bundesstaatlichen Datenschutzgesetze über 12 Vergleichskategorien hinweg ab. Hier ist ein Auszug, wie die Tabelle strukturiert ist, mit 6 repräsentativen Bundesstaaten.

Kategorie Kalifornien (CCPA/CPRA) Colorado (CPA) Connecticut (CTDPA) Texas (TDPSA) Maryland (MODPA) Rhode Island
Datum des Inkrafttretens 1. Jan. 2020 / 1. Jan. 2023 1. Juli 2023 1. Juli 2023 1. Juli 2024 1. Okt. 2025 1. Jan. 2026
Anwendbarkeitsschwelle 25 Mio. USD Umsatz, 100'000 Verbraucher oder 50 % Umsatz aus Datenverkäufen 100'000 Verbraucher oder 25'000 Verbraucher + Umsatz aus Datenverkäufen 100'000 Verbraucher oder 25'000 Verbraucher + Umsatz aus Datenverkäufen Geschäftstätigkeit in TX oder Ausrichtung auf TX-Einwohner (keine Umsatzschwelle) 100'000 Verbraucher oder 25'000 Verbraucher + Umsatz aus Datenverkäufen 35'000 Verbraucher oder 10'000 Verbraucher + Umsatz aus Datenverkäufen
Recht auf Löschung Ja Ja Ja Ja Ja Ja
Recht auf Widerspruch gegen Verkauf Ja Ja Ja Ja Ja (+ zielgerichtete Werbung) Ja
DSFA erforderlich Ja (CPRA-Vorschriften, 2025) Ja Ja Ja Ja (strenge Datenminimierung) Ja
Nachbesserungsfrist Keine (ausgelaufen Juli 2023) 60 Tage (ausgelaufen Jan. 2025) 60 Tage (ausgelaufen Dez. 2024) 30 Tage 60 Tage (erste 2 Jahre) Keine
Durchsetzung AG + CPPA + privates Klagerecht (Verletzungen) Nur AG Nur AG Nur AG Nur AG Nur AG
Höchstbusse pro Verstoss 7'500 USD (vorsätzlich) 20'000 USD 5'000 USD 7'500 USD 10'000 USD 10'000 USD

Dies ist eine Vorschau von 6 Bundesstaaten und 8 Kategorien. Das vollständige PDF umfasst alle 20 Bundesstaaten und 12 Vergleichskategorien.

Quellen: erlassener Gesetzestext, IAPP US State Privacy Legislation Tracker (April 2026), ArentFox Schiff Analyse

Kostenlose Vorlage

Vergleichstabelle der bundesstaatlichen Datenschutzgesetze: Alle 20 Gesetze, nebeneinander

Zwanzig US-Bundesstaaten haben nun umfassende Datenschutzgesetze in Kraft, und die Unterschiede zwischen ihnen schaffen echte Compliance-Lücken. Dieses kostenlose PDF bietet Ihnen einen strukturierten Vergleich auf einen Blick, sodass Sie nicht mehr manuell Gesetze querverweisen müssen.

Was Sie erhalten:

  • + Verbraucherrechte abgebildet über alle 20 erlassenen bundesstaatlichen Gesetze: Auskunft, Berichtigung, Löschung, Widerspruch und Übertragbarkeit
  • + Geschäftspflichten im Vergleich: Einwilligung bei sensiblen Daten, Datenschutz-Folgenabschätzungen, universelle Opt-out-Mechanismen und Nachbesserungsfristen (einschliesslich der No-Cure-Anforderung von Rhode Island)
  • + Anwendbarkeitsschwellen auf einen Blick: von Kaliforniens umsatzbasierten Auslösern bis zu Rhode Islands niedrigerer Schwelle von 35'000 Verbrauchern
  • + Wichtige Inkrafttretensdaten und Änderungszeitpläne für 2026, einschliesslich Indiana, Kentucky und Rhode Island sowie Kaliforniens neue ADMT- und Risikobewertungsvorschriften

Zu den Quellen zählen der IAPP US State Privacy Legislation Tracker (aktualisiert im April 2026) und der erlassene Gesetzestext für alle 20 Bundesstaaten.

Laden Sie die kostenlose Tabelle herunter

Geben Sie Ihre geschäftliche E-Mail-Adresse ein, und wir senden das PDF direkt an Ihren Posteingang.

Kostenloses PDF. Keine Demo erforderlich. Wir senden es an Ihren Posteingang.

20

US-Bundesstaaten mit geltenden umfassenden Datenschutzgesetzen per 2026

MultiState, Februar 2026; IAPP Tracker, April 2026

Was Datenschutzteams sagen

Vom Tabellenchaos zur strategischen Sicherheit

Dies sind die Ergebnisse, die zählen: weniger Zeit für Verwaltung, mehr Zeit für die Arbeit, die Ihre Organisation tatsächlich schützt.

«Wir verbrachten zuvor den Grossteil unserer Compliance-Zeit damit, Geschäftsbereichen über mehrere Tochtergesellschaften hinweg hinterherzulaufen, um Aktualisierungen des Verarbeitungsverzeichnisses zu erhalten, und kamen zu einer vollständig automatisierten Rezertifizierung. Unser Datenschutzbeauftragter konzentriert sich jetzt auf strategische Datenschutzarbeit statt auf die Pflege von Tabellen.»

Datenschutzteam

Flugzeughersteller — 60 % weniger Compliance-Verwaltungsaufwand, erste 6 Monate

«Eine Rezertifizierungsquote des Verarbeitungsverzeichnisses von 100 % zu erreichen, war etwas, das wir uns mit manuellen Prozessen nicht vorstellen konnten. Die Automatisierung von Priverion machte es über alle unsere Einheiten hinweg möglich, ohne Personal aufzustocken.»

Compliance-Team

Ein Schweizer Versicherer — 100 % Rezertifizierungsquote des Verarbeitungsverzeichnisses, vollständig automatisiert

«Die Abdeckung der Lieferanten-Risikobewertung verschaffte uns eine Transparenz, die wir zuvor nie hatten. Wir können unserem Vorstand nun genau zeigen, wo wir bei jedem Dritten stehen, der personenbezogene Daten verarbeitet.»

Datenschutzteam

Ein Gesundheitsdienstleister — 100 % Abdeckung der Lieferanten-Risikobewertung

Häufig gestellte Fragen

Häufige Fragen zu den US-Datenschutzgesetzen der Bundesstaaten

Wie viele US-Bundesstaaten haben per 2025 umfassende Datenschutzgesetze?

Per Mitte 2025 haben 20 US-Bundesstaaten umfassende Verbraucher-Datenschutzgesetze erlassen. Allein 2025 traten acht neue Gesetze in Kraft (Delaware, Iowa, Nebraska, New Hampshire, New Jersey, Tennessee, Minnesota und Maryland), was die Zahl der Bundesstaaten mit durchsetzbaren Datenschutzgesetzen nahezu verdoppelte. Weitere Bundesstaaten, darunter Indiana, Kentucky und Rhode Island, haben Gesetze, die 2026 in Kraft treten. Quelle: IAPP US State Privacy Legislation Tracker; ArentFox Schiff, 2025.

Was ist der Unterschied zwischen bundesstaatlichen Datenschutzgesetzen und der DSGVO?

Die DSGVO ist eine einzige Verordnung, die alle EU-/EWR-Mitgliedstaaten mit einem einheitlichen Anforderungskatalog abdeckt. Die US-Datenschutzgesetze der Bundesstaaten werden von jedem Bundesstaat unabhängig erlassen und schaffen einen Flickenteppich aus unterschiedlichen Schwellenwerten für den Geltungsbereich, Verbraucherrechten, Durchsetzungsmechanismen und Nachbesserungsfristen. Für Organisationen, die in mehreren Bundesstaaten tätig sind, bedeutet dies, Pflichten Gesetz für Gesetz abzubilden, statt einem einzigen Rahmenwerk zu folgen. Die DSGVO gilt zudem direkt für Auftragsverarbeiter, während sich die meisten bundesstaatlichen Gesetze auf Verantwortliche mit separaten Pflichten für Auftragsverarbeiter konzentrieren.

Welches bundesstaatliche Datenschutzgesetz hat die strengsten Anforderungen?