Die massgebliche Vergleichstabelle der bundesstaatlichen Datenschutzgesetze für 2025
Über 20 bundesstaatliche Datenschutzgesetze. Hunderte sich überschneidende Anforderungen. Eine klare Nebeneinander-Übersicht, damit Sie nie wieder eine Compliance-Pflicht übersehen.
Die US-Datenschutzlandschaft der Bundesstaaten ist von einem durchsetzbaren Gesetz im Jahr 2020 auf 20 umfassende bundesstaatliche Datenschutzgesetze per 2026 angewachsen. Jedes hat unterschiedliche Schwellenwerte für den Geltungsbereich, Verbraucherrechte, Opt-out-Mechanismen, Nachbesserungsfristen und Durchsetzungsstrukturen. Ob Sie als Datenschutzbeauftragter Pflichten über mehrere Tochtergesellschaften hinweg abbilden oder als Rechtsteam zu Geschäftstätigkeiten in mehreren Bundesstaaten beraten: Diese Vergleichstabelle verschafft Ihnen die nötige Klarheit in Minuten statt in Tagen.
Keine Kreditkarte. Kein Verkaufsgespräch. Geben Sie unten Ihre geschäftliche E-Mail-Adresse ein, und wir senden Ihnen die Tabelle zu.
20
umfassende bundesstaatliche Datenschutzgesetze erlassen
IAPP und ArentFox Schiff, Stand Mitte 2025
1,55 Mio. USD
grösster CCPA-Vergleich durch den Attorney General von Kalifornien
Smith Anderson, Durchsetzungsmassnahme Juli 2025
8
Bundesstaaten haben 2025 ihre Datenschutzgesetze geändert
IAPP US State Privacy Laws Report, Oktober 2025
Entwickelt für die Realität der Datenschutz-Compliance über mehrere Bundesstaaten
Zwanzig Bundesstaaten haben seit Kaliforniens Verabschiedung des CCPA im Jahr 2018 umfassende Datenschutzgesetze erlassen, und neun davon haben ihre Gesetze allein 2025 geändert. Damit Schritt zu halten erfordert mehr als Tabellen und Browser-Tabs. Diese Funktionen helfen Datenschutzteams, einer Landschaft voraus zu sein, die sich jedes Quartal verändert.
Verarbeitungsverzeichnis-Management über mehrere Einheiten
Wenn Sie in mehreren Bundesstaaten tätig sind, jeder mit eigenen Schwellenwerten für den Geltungsbereich und eigenen Verbraucherrechten, muss Ihr Verzeichnis von Verarbeitungstätigkeiten jede Jurisdiktion widerspiegeln. Priverion automatisiert die Rezertifizierung des Verarbeitungsverzeichnisses über alle Konzerneinheiten hinweg, sodass Aktualisierungen mit Gesetzesänderungen kaskadieren, nicht erst Wochen später, wenn sich jemand daran erinnert, die Tabelle zu öffnen.
Ein Schweizer Versicherer erreichte mit vollständig automatisierten Workflows eine Rezertifizierungsquote des Verarbeitungsverzeichnisses von 100 %.
Ein Schweizer Versicherer, Priverion Kundenbeleg
KI-gestützte DSFA und Risikobewertung
Bundesstaaten wie Colorado und New Jersey verlangen mittlerweile Datenschutz-Folgenabschätzungen, bevor eine risikoreiche Verarbeitung überhaupt beginnen kann. Marylands Gesetz von 2025 fügt einige der strengsten Datenminimierungsstandards des Landes hinzu. Die KI-gestützte Erstellung von Priverion hilft Ihnen, die Bewertungsdokumentation schneller zu erstellen, mit einer Risikobewertung, die auf die spezifischen Anforderungen jedes Bundesstaates abgestimmt ist. Die KI unterstützt; Menschen entscheiden. Es werden keine Kundendaten für das Modelltraining verwendet.
Ein Medizintechnikunternehmen sparte mit den Bewertungstools von Priverion über 200 Stunden bei der ISO 27001-Vorbereitung.
Ein Medizintechnikunternehmen, Priverion Kundenbeleg
Verfolgung regulatorischer Änderungen
2025 traten acht neue bundesstaatliche Datenschutzgesetze in Kraft, während neun bestehende Gesetze wesentliche Änderungen erfuhren. Connecticut verschärfte den Schutz von Minderjährigen. Colorado fügte Pflichten zu biometrischen Daten hinzu. Kalifornien finalisierte neue Vorschriften zur Risikobewertung. Die Verfolgung regulatorischer Änderungen von Priverion hält Ihr Compliance-Programm aktuell, während sich die Anforderungen weiterentwickeln, sodass Sie sich nicht auf veraltete Blogbeiträge von Anwaltskanzleien oder eine Tabelle verlassen müssen, die Ihr Vorgänger begonnen und nie fertiggestellt hat.
2025 wurden acht bundesstaatliche Datenschutzgesetze wirksam, was die Zahl der Bundesstaaten mit geltenden Gesetzen nahezu verdoppelte.
Perkins Coie, Privacy Law Recap 2025 (Januar 2026)
Incident-Management und Breach-Workflows
Kaliforniens CCPA bleibt eines der wenigen bundesstaatlichen Gesetze mit einem privaten Klagerecht bei Datenschutzverletzungen. Texas erzielte mit Meta einen Vergleich über 1,4 Milliarden USD wegen der Erhebung biometrischer Daten. Wenn eine Verletzung eintritt, unterscheiden sich Reaktionsfristen und Meldepflichten je nach Bundesstaat. Die Incident-Management-Workflows von Priverion führen Ihr Team durch die jurisdiktionsspezifischen Meldepflichten bei Datenschutzverletzungen und erstellen prüfungsfertige Nachweispakete in Minuten statt in Wochen.
Kaliforniens CCPA-Vergleich vom Juli 2025 erreichte 1,55 Mio. USD, der bislang grösste unter diesem Gesetz.
Smith Anderson, Data Privacy in 2026 (Januar 2026)
Lieferanten-Risikobewertungen
Texas reichte seine erste TDPSA-Klage gegen Allstate und die Tochtergesellschaft Arity ein, weil diese angeblich Tracking-Software in Apps Dritter eingebettet hätten, um personenbezogene Daten zu erheben und zu verkaufen. Ihr Lieferanten-Ökosystem ist Ihre Angriffsfläche. Das Drittparteien-Management von Priverion verschafft Ihnen volle Transparenz darüber, wie Lieferanten Daten verarbeiten, mit Bewertungen, die auf die spezifischen Pflichten jedes bundesstaatlichen Gesetzes abgebildet sind, das Ihre Organisation einhalten muss.
Ein Gesundheitsdienstleister erreichte mit Priverion eine 100-prozentige Abdeckung der Lieferanten-Risikobewertung.
Ein Gesundheitsdienstleister, Priverion Kundenbeleg
Vorstandsreife Compliance-Dashboards
Die Attorneys General der Bundesstaaten koordinieren ihre Durchsetzung zunehmend über ein überparteiliches Consortium of Privacy Regulators. Wenn Ihr CEO fragt «Sind wir überall konform?», brauchen Sie eine Antwort, die klar, aktuell und belastbar ist. Die Dashboards von Priverion geben CISOs und Datenschutzbeauftragten Echtzeit-Transparenz über jede Einheit und Jurisdiktion und verwandeln operative Compliance-Daten in vorstandsreife Berichte ohne manuelle Konsolidierung.
Ein Flugzeughersteller reduzierte den Compliance-Verwaltungsaufwand in den ersten 6 Monaten um 60 %.
Flugzeughersteller, Priverion Kundenbeleg (erste 6 Monate)
Sehen Sie, wie Priverion Compliance-Pflichten über 50+ Einheiten und mehrere Jurisdiktionen hinweg abbildet.
Die Zahlen, die Datenschutzbeauftragte zum Lächeln bringen
200+
Stunden bei der ISO 27001-Vorbereitung eingespart
Ein Medizintechnikunternehmen sparte mit Priverion über 200 Stunden bei der Vorbereitung auf die ISO 27001-Zertifizierung. Der typische Zertifizierungsprozess dauert 6 bis 12 Monate; Priverion-Kunden sind Monate vor dem Zeitplan prüfungsbereit.
Ein Medizintechnikunternehmen, verifiziertes Kundenergebnis
60 %
weniger Compliance-Verwaltungsaufwand
Ein Flugzeughersteller senkte den Compliance-Verwaltungsaufwand in den ersten 6 Monaten um 60 %. Mit vorhersehbaren Preisen auf Basis der Anzahl Unternehmen statt Gebühren pro Nutzer vermeiden Teams die Kosteneskalation, die bei Enterprise-Plattformen üblich ist.
Flugzeughersteller, erste 6 Monate mit Priverion
3 Mt.
dem Zeitplan bei ISO 27001 voraus
Während eine ISO 27001-Zertifizierung typischerweise 6 bis 12 Monate dauert, helfen die prüfungsfertigen Nachweispakete und die automatisierte Dokumentation von Priverion den Teams, die Zeitpläne erheblich zu verkürzen.
Ein Medizintechnikunternehmen, im Vergleich zu branchenüblichen Zeitplänen
Für den Mittelstand entwickelt. Nicht aus dem Enterprise-Bereich abgespeckt.
Da sich die DSGVO-Bussgelder kumuliert mittlerweile auf über 7,1 Milliarden Euro belaufen und sich die Durchsetzung weit über Big Tech hinaus ausweitet, ist Ihre Compliance-Plattform wichtiger denn je. Hier ist, warum wachsende Organisationen sich für Priverion entscheiden.
Quelle: DLA Piper GDPR Fines and Data Breach Survey, Januar 2026
Priverion
Speziell für das Datenschutzmanagement über mehrere Einheiten entwickelt
-
Garantierte Schweizer Datensouveränität
In der Schweiz entwickelt und in der Schweiz gehostet. Die gesamte Datenverarbeitung bleibt innerhalb der Schweizer Infrastruktur, ausserhalb der Reichweite extraterritorialer Gesetze wie dem US CLOUD Act und FISA Section 702. In einem regulatorischen Klima, in dem selbst US-Hyperscaler einräumen, die EU-Datensouveränität nicht garantieren zu können, ist dies kein Marketingversprechen: Es ist ein rechtliches Unterscheidungsmerkmal.
Der GM von Microsoft Frankreich sagte unter Eid aus, dass ein US-Datenzugriff nicht ausgeschlossen werden kann (französischer Senat, Sommer 2025)
-
Einsatzbereit in Wochen, nicht in Monaten
Saubere, intuitive Oberfläche, die für Datenschutzbeauftragte konzipiert ist, nicht für Enterprise-IT-Teams. Keine wochenlange Konfiguration oder dediziertes Implementierungspersonal. Ein Flugzeughersteller verzeichnete innerhalb der ersten 6 Monate eine Reduktion des Compliance-Verwaltungsaufwands um 60 %.
Flugzeughersteller, erste 6 Monate mit Priverion
-
Vorhersehbare, transparente Preise
Basierend auf der Anzahl der Unternehmen und der Organisationsgrösse. Keine Gebühren pro Nutzer, keine Erweiterungsfallen pro Modul, keine intransparenten individuellen Angebote. Sie wissen, was Sie bezahlen werden, bevor Sie unterschreiben.
-
All-in-One-Datenschutzplattform
Verarbeitungsverzeichnis, DSFA/TIA, Lieferantenrisiko, Incident-Management, Bearbeitung von Betroffenenanfragen, Datenmapping, KI-Register und Compliance-Dashboards in einer einzigen Plattform. Keine Modul-Upsells, um freizuschalten, was Sie brauchen.
-
KI-gestützt, menschlich kontrolliert
Die KI hilft, Datenschutz-Folgenabschätzungen zu entwerfen, Risiken zu bewerten und Vorschriften abzubilden. Alle Ergebnisse werden von Menschen geprüft, bevor sie zu Compliance-Aufzeichnungen werden. Es werden niemals Kundendaten für das Modelltraining verwendet.
-
Tiefgehende, fokussierte Integrationen
Integrationen mit HR-, Beschaffungs- und IT-Asset-Management-Systemen, die für Datenschutz-Workflows relevant sind. Weniger Konnektoren, aber jeder einzelne funktioniert zuverlässig ohne fortlaufenden Wartungsaufwand.
OneTrust
Enterprise-Niveau mit Enterprise-Komplexität
-
Hauptsitz in den USA, in den USA gehostet
Unterliegt dem US CLOUD Act und FISA Section 702. Optionen für europäische Datenhaltung existieren, doch die juristische Einheit bleibt unter US-Jurisdiktion. Die im November 2025 angenommene Berliner Erklärung der EU zur digitalen Souveränität unterstreicht, warum dies von Bedeutung ist.
Erklärung für europäische digitale Souveränität, unterzeichnet von allen EU-Mitgliedstaaten, November 2025
-
Steile Lernkurve
Nutzer berichten durchgängig von komplexen Einrichtungsprozessen, die wochenlange Konfiguration und dedizierte technische Ressourcen erfordern. Kleinere Teams empfinden die Pflege der Plattform als besonders herausfordernd.
Capterra-Nutzerbewertungen, 2025/2026
-
Intransparente, eskalierende Preise
Keine veröffentlichten Preise. Individuelle Angebote, die je nach Modulen, Domains, Nutzern und Datenmengen variieren. OneTrust veröffentlicht keine Listenpreise. Gemäss aggregierten, von Käufern gemeldeten Preisdaten bewegen sich Mittelstands-Implementierungen häufig vom mittleren fünfstelligen bis in den niedrigen sechsstelligen Bereich pro Jahr, wobei Implementierungsdienstleistungen separat abgerechnet werden. Quelle: aggregierte, von Käufern gemeldete Preisdaten von Vendr und Enzuzo, abgerufen am 18.05.2026.
Enzuzo Preisanalyse, März 2026; Vendr Beschaffungsdaten, Februar 2026
-
Modulares Modell mit Bezahlung pro Funktion
Fünf separate Produktlinien, jede nach eigener Kennzahl abgerechnet. Jedes Modul, das Sie hinzufügen, erhöht Ihre Gesamtkosten, und die Rechnung kann in Richtungen wachsen, die Sie nicht vorhergesehen haben, wenn sich Ihr Team oder Ihr Datenbestand ausweitet.
Sprinto OneTrust Review, März 2026
-
Umfassende KI-Funktionen
Starke Fähigkeiten im Bereich KI-Governance und regulatorische Intelligenz über mehr als 300 Jurisdiktionen. Ein leistungsstarker Funktionsumfang, der jedoch zur Gesamtkomplexität und zu den Kosten der Plattform beiträgt.
-
Umfangreiches Integrations-Ökosystem
Breite Konnektor-Bibliothek über IT-, Sicherheits-, Marketing-, HR- und Cloud-Plattformen. Leistungsstark, sobald sie vollständig konfiguriert ist, doch die Pflege dieser Integrationen erfordert eine erhebliche fortlaufende technische Aufsicht.
Die Durchsetzung beschleunigt sich. Allein 2024 verhängten europäische Datenschutzbehörden rund 1,2 Milliarden Euro an DSGVO-Bussgeldern, wobei Meldungen von Datenschutzverletzungen mittlerweile durchschnittlich 443 pro Tag betragen. Das EU-KI-Gesetz erreicht im August 2026 die volle Durchsetzung für Hochrisikosysteme und fügt eine weitere Sanktionsebene hinzu. Die Frage ist nicht, ob in Compliance-Werkzeuge investiert werden soll, sondern ob Ihre Lösung passend für Ihre Organisation dimensioniert ist.
Quellen: DLA Piper GDPR Fines Survey, Januar 2025; Durchsetzungszeitplan des EU-KI-Gesetzes
Ehrlicher Hinweis: OneTrust ist ein starkes Produkt für grosse Unternehmen mit dedizierten Compliance-Teams und komplexen GRC-Anforderungen. Priverion ist kein Ersatz dafür. Wir sind für mittelständische und Multi-Entity-Organisationen gebaut, die ein Datenschutzmanagement auf Enterprise-Niveau ohne Enterprise-Komplexität oder -Kosten benötigen. Wir decken weder ESG noch Ethik-Hotlines oder Cookie-Einwilligung ab.
Was darin steckt: Ein Auszug aus dem vollständigen Vergleich
Das vollständige PDF deckt alle 20 erlassenen bundesstaatlichen Datenschutzgesetze über 12 Vergleichskategorien hinweg ab. Hier ist ein Auszug, wie die Tabelle strukturiert ist, mit 6 repräsentativen Bundesstaaten.
Dies ist eine Vorschau von 6 Bundesstaaten und 8 Kategorien. Das vollständige PDF umfasst alle 20 Bundesstaaten und 12 Vergleichskategorien.
Quellen: erlassener Gesetzestext, IAPP US State Privacy Legislation Tracker (April 2026), ArentFox Schiff Analyse
Vergleichstabelle der bundesstaatlichen Datenschutzgesetze: Alle 20 Gesetze, nebeneinander
Zwanzig US-Bundesstaaten haben nun umfassende Datenschutzgesetze in Kraft, und die Unterschiede zwischen ihnen schaffen echte Compliance-Lücken. Dieses kostenlose PDF bietet Ihnen einen strukturierten Vergleich auf einen Blick, sodass Sie nicht mehr manuell Gesetze querverweisen müssen.
Was Sie erhalten:
- + Verbraucherrechte abgebildet über alle 20 erlassenen bundesstaatlichen Gesetze: Auskunft, Berichtigung, Löschung, Widerspruch und Übertragbarkeit
- + Geschäftspflichten im Vergleich: Einwilligung bei sensiblen Daten, Datenschutz-Folgenabschätzungen, universelle Opt-out-Mechanismen und Nachbesserungsfristen (einschliesslich der No-Cure-Anforderung von Rhode Island)
- + Anwendbarkeitsschwellen auf einen Blick: von Kaliforniens umsatzbasierten Auslösern bis zu Rhode Islands niedrigerer Schwelle von 35'000 Verbrauchern
- + Wichtige Inkrafttretensdaten und Änderungszeitpläne für 2026, einschliesslich Indiana, Kentucky und Rhode Island sowie Kaliforniens neue ADMT- und Risikobewertungsvorschriften
Zu den Quellen zählen der IAPP US State Privacy Legislation Tracker (aktualisiert im April 2026) und der erlassene Gesetzestext für alle 20 Bundesstaaten.
Laden Sie die kostenlose Tabelle herunter
Geben Sie Ihre geschäftliche E-Mail-Adresse ein, und wir senden das PDF direkt an Ihren Posteingang.
Kostenloses PDF. Keine Demo erforderlich. Wir senden es an Ihren Posteingang.
20
US-Bundesstaaten mit geltenden umfassenden Datenschutzgesetzen per 2026
MultiState, Februar 2026; IAPP Tracker, April 2026
Vom Tabellenchaos zur strategischen Sicherheit
Dies sind die Ergebnisse, die zählen: weniger Zeit für Verwaltung, mehr Zeit für die Arbeit, die Ihre Organisation tatsächlich schützt.
«Wir verbrachten zuvor den Grossteil unserer Compliance-Zeit damit, Geschäftsbereichen über mehrere Tochtergesellschaften hinweg hinterherzulaufen, um Aktualisierungen des Verarbeitungsverzeichnisses zu erhalten, und kamen zu einer vollständig automatisierten Rezertifizierung. Unser Datenschutzbeauftragter konzentriert sich jetzt auf strategische Datenschutzarbeit statt auf die Pflege von Tabellen.»
Flugzeughersteller — 60 % weniger Compliance-Verwaltungsaufwand, erste 6 Monate
«Eine Rezertifizierungsquote des Verarbeitungsverzeichnisses von 100 % zu erreichen, war etwas, das wir uns mit manuellen Prozessen nicht vorstellen konnten. Die Automatisierung von Priverion machte es über alle unsere Einheiten hinweg möglich, ohne Personal aufzustocken.»
Ein Schweizer Versicherer — 100 % Rezertifizierungsquote des Verarbeitungsverzeichnisses, vollständig automatisiert
«Die Abdeckung der Lieferanten-Risikobewertung verschaffte uns eine Transparenz, die wir zuvor nie hatten. Wir können unserem Vorstand nun genau zeigen, wo wir bei jedem Dritten stehen, der personenbezogene Daten verarbeitet.»
Ein Gesundheitsdienstleister — 100 % Abdeckung der Lieferanten-Risikobewertung
Häufige Fragen zu den US-Datenschutzgesetzen der Bundesstaaten
Wie viele US-Bundesstaaten haben per 2025 umfassende Datenschutzgesetze?
Per Mitte 2025 haben 20 US-Bundesstaaten umfassende Verbraucher-Datenschutzgesetze erlassen. Allein 2025 traten acht neue Gesetze in Kraft (Delaware, Iowa, Nebraska, New Hampshire, New Jersey, Tennessee, Minnesota und Maryland), was die Zahl der Bundesstaaten mit durchsetzbaren Datenschutzgesetzen nahezu verdoppelte. Weitere Bundesstaaten, darunter Indiana, Kentucky und Rhode Island, haben Gesetze, die 2026 in Kraft treten. Quelle: IAPP US State Privacy Legislation Tracker; ArentFox Schiff, 2025.
Was ist der Unterschied zwischen bundesstaatlichen Datenschutzgesetzen und der DSGVO?
Die DSGVO ist eine einzige Verordnung, die alle EU-/EWR-Mitgliedstaaten mit einem einheitlichen Anforderungskatalog abdeckt. Die US-Datenschutzgesetze der Bundesstaaten werden von jedem Bundesstaat unabhängig erlassen und schaffen einen Flickenteppich aus unterschiedlichen Schwellenwerten für den Geltungsbereich, Verbraucherrechten, Durchsetzungsmechanismen und Nachbesserungsfristen. Für Organisationen, die in mehreren Bundesstaaten tätig sind, bedeutet dies, Pflichten Gesetz für Gesetz abzubilden, statt einem einzigen Rahmenwerk zu folgen. Die DSGVO gilt zudem direkt für Auftragsverarbeiter, während sich die meisten bundesstaatlichen Gesetze auf Verantwortliche mit separaten Pflichten für Auftragsverarbeiter konzentrieren.


