US-Datenschutzgesetz auf Bundesstaatsebene

Compliance mit dem Texas Data Privacy and Security Act: Was Ihre Organisation wissen muss

Aktualisiert 2026-06-22
Das Wichtigste auf einen Blick: Priverion ist eine in der Schweiz gehostete GRC-Plattform, die Organisationen mit mehreren Einheiten dabei unterstützt, die TDPSA-Compliance zu operationalisieren – mit einheitsübergreifender Datenkartierung, automatisierten DSFA-Workflows und Lieferantenmanagement.

Der TDPSA trat am 1. Juli 2024 in Kraft und machte Texas zu einem der bedeutendsten Datenschutzgesetze auf Bundesstaatsebene in den USA. Wenn Ihre Organisation personenbezogene Daten von in Texas ansässigen Personen verarbeitet, benötigen Sie einen klaren Compliance-Fahrplan – insbesondere, wenn Sie Pflichten über mehrere Einheiten oder Rechtsordnungen hinweg steuern.

Dieser Leitfaden erläutert, für wen der TDPSA gilt, welche Anforderungen er stellt, wie er sich mit anderen Datenschutzgesetzen auf Bundesstaatsebene vergleicht und welche praktischen Schritte Sie zur Operationalisierung der Compliance unternehmen müssen. Egal, ob Sie bei null beginnen oder ein bestehendes Datenschutzprogramm auf Texas ausweiten – Sie werden genau verstehen, wo Sie stehen.

Vertrauen von Datenschutzteams, die Compliance über mehr als 50 Rechtsordnungen steuern

Globaler Luft- und Raumfahrthersteller Europäischer Gesundheitsdienstleister Schweizer MedTech-Gruppe Transportbetreiber mit mehreren Einheiten Regionales Pflegenetzwerk
Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Zentrale Anforderungen

Zentrale Anforderungen des Texas Data Privacy and Security Act

Der TDPSA schafft Pflichten in sechs kritischen Bereichen. Hier erfahren Sie, was Ihr Datenschutzprogramm abdecken muss – aufgeschlüsselt, sodass Sie dies direkt mit Ihrem Team teilen können.

Breiter Anwendungsbereich

Für wen gilt der TDPSA?

Für jede Person, die in Texas Geschäfte tätigt oder Produkte und Dienstleistungen herstellt, die von in Texas ansässigen Personen genutzt werden, und die personenbezogene Daten verarbeitet oder verkauft. Anders als viele Datenschutzgesetze auf Bundesstaatsebene legt der TDPSA keine Umsatzschwelle und kein Mindestvolumen der Datenverarbeitung fest.

Das bedeutet, dass der Anwendungsbereich deutlich breiter ist als bei CCPA/CPRA oder dem Virginia VCDPA. Wenn Ihre Organisation in nennenswerter Weise mit Verbraucherdaten aus Texas in Berührung kommt, gehen Sie davon aus, dass Sie in den Anwendungsbereich fallen.

Wichtige Ausnahmen umfassen:

  • Von der SBA definierte Kleinunternehmen (mit Einschränkungen beim Verkauf sensibler Daten)
  • GLBA-regulierte Finanzinstitute
  • HIPAA-erfasste Einrichtungen (nur für PHI)
  • Gemeinnützige Organisationen und Hochschuleinrichtungen

Quelle: Texas Business & Commerce Code, Chapter 541, in Kraft seit 1. Juli 2024

Verbraucherrechte

Sechs Rechte, die Ihre Organisation wahren muss

In Texas ansässige Personen erhalten ein umfassendes Bündel an Datenrechten, das Ihre Organisation mit dokumentierten Workflows und einem 45-tägigen Antwortfenster operationalisieren muss.

  • Recht auf Kenntnis und Zugang zu personenbezogenen Daten
  • Recht auf Berichtigung unrichtiger Daten
  • Recht auf Löschung personenbezogener Daten
  • Recht auf Datenübertragbarkeit
  • Recht auf Widerspruch gegen Datenverkäufe, gezielte Werbung und Profiling
  • Anerkennung universeller Opt-out-Mechanismen (erforderlich seit 1. Januar 2025)

Das 45-tägige Antwortfenster ist mit Mitteilung an die betroffene Person um weitere 45 Tage verlängerbar – aber Ihr Team benötigt ein System, um jede Anfrage konsistent nachzuverfolgen und zu dokumentieren.

Antwortfrist gemäss TDPSA §541.101–.105

Pflichten des Verantwortlichen

Was Verantwortliche tun müssen – über eine Aktualisierung der Datenschutzerklärung hinaus

Der TDPSA stellt erhebliche operative Anforderungen an Verantwortliche, die weit über die Aktualisierung Ihrer Datenschutzerklärung hinausgehen.

  • Datenminimierung – erheben Sie nur, was angemessen, relevant und vernünftigerweise erforderlich ist
  • Zweckbindung und angemessene Sicherheitspraktiken
  • Ausdrückliche Einwilligung vor der Verarbeitung sensibler Daten (Biometrie, Standortdaten, Daten von Kindern, Gesundheit, ethnische Herkunft, Religion)
  • Datenschutz-Folgenabschätzungen für gezielte Werbung, Datenverkäufe, Profiling und die Verarbeitung sensibler Daten

Für Organisationen mit mehreren Einheiten benötigt jede Tochtergesellschaft, die Daten von in Texas ansässigen Personen verarbeitet, ihre eigenen dokumentierten Beurteilungen – hier wird gruppenweite Koordination unverzichtbar.

Beurteilungsanforderungen gemäss TDPSA §541.151–.153

Anforderungen an Auftragsverarbeiter

Pflichten und vertragliche Anforderungen von Auftragsverarbeitern

Wenn Ihre Organisation Auftragsverarbeiter Dritter einsetzt, verlangt der TDPSA formelle vertragliche Vereinbarungen, die der Struktur von DSGVO Artikel 28 entsprechen, die viele europäische Datenschutzteams bereits kennen.

  • Auftragsverarbeiter müssen Verantwortliche bei der Erfüllung ihrer TDPSA-Pflichten unterstützen
  • Vertragliche Vertraulichkeitsanforderungen
  • Löschung oder Rückgabe der Daten bei Vertragsende
  • Mitwirkung bei Audits und Compliance-Überprüfungen

Organisationen, die Dutzende von Lieferantenbeziehungen steuern, benötigen einen systematischen Weg, um die Compliance von Auftragsverarbeitern zu beurteilen, zu dokumentieren und zu rezertifizieren – Tabellenkalkulationen versagen bei Skalierung schnell.

Vertragsanforderungen für Auftragsverarbeiter gemäss TDPSA §541.201

Durchsetzung

Durchsetzung durch den Attorney General mit echten Konsequenzen

Der Texas Attorney General besitzt die ausschliessliche Durchsetzungsbefugnis – es gibt kein privates Klagerecht. Aber lassen Sie sich davon nicht in falscher Sicherheit wiegen. Texas hat seine Bereitschaft bereits unter Beweis gestellt, Datenschutzverstösse aggressiv zu verfolgen.

1,4 Milliarden USD

Vergleich von Texas mit Meta wegen Verstössen gegen biometrische Daten, 2024

  • 30-tägige Nachbesserungsfrist nach Mitteilung des Attorney General
  • Zivilrechtliche Bussgelder von bis zu 7'500 USD pro Verstoss
  • Unterlassungsanordnungen und Erstattung der Ermittlungskosten

Die 30-tägige Nachbesserungsfrist hilft nur Organisationen, die ein bestehendes, funktionierendes Compliance-Programm nachweisen können. Wenn Sie eine Beschwerde erhalten und nichts dokumentiert haben, beginnen Sie aus einer grundlegend schwächeren Position.

Durchsetzungsbestimmungen gemäss TDPSA §541.251; Meta-Vergleich gemäss Texas OAG, Juli 2024

Sensible Daten

Für sensible Daten gelten eigene Regeln

Der TDPSA definiert sensible Daten breit und verlangt vor der Verarbeitung eine ausdrückliche Opt-in-Einwilligung. Dies ist keine «Mitteilen und weitermachen»-Situation – Ihre Organisation benötigt Mechanismen für eine bejahende Einwilligung.

Zu den sensiblen Datenkategorien des TDPSA gehören:

  • Rassische oder ethnische Herkunft
  • Religiöse Überzeugungen
  • Gesundheitsdiagnose- oder Sexualleben-Daten
  • Biometrische Daten zur Identifizierung
  • Präzise Standortdaten
  • Daten eines bekanntermassen minderjährigen Kindes
  • Staatsbürgerschafts- oder Einwanderungsstatus

Selbst von der SBA definierte Kleinunternehmen – ansonsten von den meisten TDPSA-Anforderungen befreit – dürfen sensible Daten nicht ohne ausdrückliche Einwilligung verkaufen. Das Gesetz zieht hier eine klare Grenze.

Sensible Daten definiert gemäss TDPSA §541.001(29); Ausnahme für Kleinunternehmen gemäss §541.002

Müssen Sie diese Anforderungen über mehrere Einheiten und Rechtsordnungen hinweg abbilden?

Sehen Sie, wie Priverion Multi-Framework-Compliance handhabt

200+

Eingesparte Stunden bei der Verwaltung des Verarbeitungsverzeichnisses

Medtec verlagerte über 200 Stunden von manuellen Aktualisierungen des Verarbeitungsverzeichnisses auf die Vorbereitung der ISO 27001 – und schloss die Zertifizierung drei Monate vor dem Zeitplan ab.

60%

Geringere Kosten im Vergleich zu etablierten Enterprise-Plattformen

Ein Flugzeughersteller erreichte vollständige gruppenweite Compliance zu einem Bruchteil der Preise von OneTrust – mit vorhersehbaren Kosten auf Basis von Einheiten und ohne Pro-Nutzer-Erweiterungsfallen.

3 Mt.

Vor dem Zeitplan bei der ISO 27001

Medtec nutzte die auditfertigen Nachweispakete von Priverion, um die Vorbereitung der ISO 27001 zu verkürzen – und beendete sie ein ganzes Quartal früher als ursprünglich geplant.

Compliance operationalisieren

Sieben Schritte zur Operationalisierung der TDPSA-Compliance

Die Anforderungen zu kennen, ist eine Sache. Compliance-konforme Workflows in Ihrer gesamten Organisation aufzubauen, ist eine andere. So verwandeln Datenschutzteams TDPSA-Pflichten in wiederholbare, auditierbare Prozesse.

Schritt 1

Erfassen Sie Ihren Texas-Datenbestand

Identifizieren Sie jede Einheit, jeden Geschäftsbereich und jedes Produkt, das personenbezogene Daten von in Texas ansässigen Personen erhebt oder verarbeitet. Für Organisationen mit mehreren Einheiten bedeutet dies, Datenflüsse über Tochtergesellschaften hinweg abzubilden – nicht nur auf Ebene der Muttergesellschaft.

Die einheitsübergreifende Datenkartierung von Priverion bietet gruppenweite Transparenz darüber, welche Einheiten in den Anwendungsbereich fallen, und beseitigt das Rätselraten, das zu Compliance-Lücken führt.

Schritt 2

Aktualisieren Sie Ihre Datenschutzerklärungen

Der TDPSA verlangt eine klare Offenlegung der erhobenen Datenkategorien, der Verarbeitungszwecke, der Verbraucherrechte und der Art und Weise, wie diese ausgeübt werden können. Wenn Sie bereits CCPA oder VCDPA einhalten, benötigen Ihre Erklärungen wahrscheinlich Texas-spezifische Ergänzungen statt einer vollständigen Neufassung.

Prüfen Sie die Anforderungen an die Datenschutzerklärung anhand von §541.051, um sicherzustellen, dass Sie alle vorgeschriebenen Offenlegungen abdecken, einschliesslich Opt-out-Mechanismen für Datenverkäufe und gezielte Werbung.

Schritt 3

Bauen Sie Workflows für Anfragen betroffener Personen auf

Operationalisieren Sie Erfassung, Identitätsprüfung, Weiterleitung, Erledigung und Antwortverfolgung für alle sechs Verbraucherrechte. Die 45-Tage-Uhr beginnt beim Eingang zu laufen – nicht, wenn jemand in Ihrem Team die E-Mail bemerkt.

Das DSR-Bearbeitungsmodul von Priverion verfolgt jede Anfrage über Einheiten hinweg mit automatisierter Eskalation, sodass während der gesetzlichen Antwortfrist nichts durch die Maschen fällt.

Schritt 4

Führen Sie Datenschutz-Folgenabschätzungen durch

Der TDPSA schreibt Beurteilungen für gezielte Werbung, Datenverkäufe, Profiling und die Verarbeitung sensibler Daten vor. Jede Beurteilung muss den Nutzen gegen mögliche Risiken für die Rechte der Verbraucher abwägen – und muss für eine mögliche Überprüfung durch den Attorney General dokumentiert werden.

Die KI-gestützte DSFA/TIA-Automatisierung von Priverion entwirft Beurteilungen mit Risikobewertung, während menschliche Prüfer die endgültige Freigabe behalten. Jede Beurteilung wird als auditfertiges Nachweispaket gespeichert.

Schritt 5

Prüfen Sie Ihre Lieferantenverträge

Jede Beziehung zu einem Auftragsverarbeiter benötigt vertragliche Bestimmungen zu Verarbeitungsanweisungen, Vertraulichkeit, Löschpflichten und Auditmitwirkung. Bestehende Auftragsverarbeitungsverträge (AVV) nach DSGVO-Art decken die meisten Anforderungen möglicherweise ab, prüfen Sie jedoch auf Texas-spezifische Lücken.

Das Modul zur Lieferantenrisikobewertung von Priverion bewertet systematisch jeden Auftragsverarbeiter, kennzeichnet Vertragslücken und verfolgt die Rezertifizierung über Ihr gesamtes Lieferantenportfolio hinweg.

Schritt 6

Implementieren Sie Einwilligungsmechanismen für sensible Daten

Wenn eine Einheit in Ihrer Gruppe sensible Datenkategorien verarbeitet – Biometrie, Gesundheitsdaten, präzise Standortdaten, Daten von Kindern – benötigen Sie Mechanismen für eine bejahende Opt-in-Einwilligung. Dies wird nicht durch eine allgemeine Bestätigung der Datenschutzerklärung erfüllt.

Bilden Sie sensible Datenkategorien über alle Einheiten hinweg mit der einheitsübergreifenden Datenkartierung von Priverion ab, um zu erkennen, wo Einwilligungs-Workflows erforderlich sind, bevor eine Durchsetzungsmassnahme die Lücke zuerst findet.

Schritt 7

Erkennen Sie universelle Opt-out-Mechanismen an

Seit dem 1. Januar 2025 verlangt der TDPSA von Verantwortlichen, browserbasierte universelle Opt-out-Signale (wie Global Privacy Control) anzuerkennen. Das bedeutet, dass Ihr Technologie-Stack – nicht nur Ihre Richtlinien – auf diese Signale reagieren muss.

Hinweis: Priverion bietet keine Cookie-Einwilligungsverwaltung. Wenn Sie die Erkennung universeller Opt-out-Signale auf Browserebene benötigen, kombinieren Sie Priverion mit einer dedizierten Consent-Management-Plattform.

Steuern Sie diese Schritte über mehrere Tochtergesellschaften und Rechtsordnungen hinweg?

Sehen Sie, wie ein Flugzeughersteller gruppenweite Compliance operationalisierte
Vergleich der Gesetze auf Bundesstaatsebene

Wie sich der TDPSA mit anderen US-Datenschutzgesetzen auf Bundesstaatsebene vergleicht

Wenn Ihre Organisation bereits CCPA-, VCDPA- oder CPA-Compliance steuert, hilft Ihnen das Verständnis, wo der TDPSA übereinstimmt – und wo er abweicht –, Doppelarbeit zu vermeiden und gleichzeitig Texas-spezifische Lücken zu schliessen.

Anforderung TDPSA (Texas) CCPA/CPRA (Kalifornien) VCDPA (Virginia) CPA (Colorado)
Umsatz-/Datenschwelle Keine – jedes Unternehmen, das Daten von in TX ansässigen Personen verarbeitet 25 Mio. USD Umsatz, 50'000+ Verbraucher oder 50%+ Umsatz aus Datenverkäufen 100'000 Verbraucher oder 25'000 Verbraucher + 50% Umsatz aus Datenverkäufen 100'000 Verbraucher oder 25'000 Verbraucher + Umsatz aus Datenverkäufen
Einwilligung für sensible Daten Opt-in erforderlich Opt-out (mit Opt-in für Minderjährige) Opt-in erforderlich Opt-in erforderlich
Universelles Opt-out-Signal Erforderlich (seit 1. Januar 2025) Erforderlich Nicht erforderlich Erforderlich (seit 1. Juli 2024)
Datenschutz-Folgenabschätzungen Erforderlich für gezielte Werbung, Datenverkäufe, Profiling, sensible Daten Erforderlich (CPRA-Risikobeurteilungen) Erforderlich Erforderlich
Nachbesserungsfrist 30 Tage Keine (unter CPRA entfernt) 60 Tage (läuft 2026 aus) 60 Tage (ausgelaufen im Januar 2025)
Durchsetzung Nur Attorney General – kein privates Klagerecht Attorney General + begrenztes privates Klagerecht (Datenschutzverletzungen) Nur Attorney General Nur Attorney General
Höchstbussgeld pro Verstoss 7'500 USD 7'500 USD 7'500 USD 20'000 USD

Quellen: Texas Business & Commerce Code Ch. 541; California Civil Code §1798.100 ff.; Virginia Code §59.1-575 ff.; Colorado Rev. Stat. §6-1-1301 ff.

Steuern Sie Compliance über mehrere Gesetze auf Bundesstaatsebene hinweg? Mit dem Multi-Framework-Ansatz von Priverion bilden Sie überlappende Anforderungen einmal ab – nicht separat für jede Rechtsordnung.

Sehen Sie Multi-Framework-Compliance in Aktion
Priverion vs. OneTrust

Compliance auf Enterprise-Niveau ohne Enterprise-Komplexität

Mittelständische Unternehmen brauchen keine 200 Module und keine sechsmonatige Implementierung. Sie brauchen eine Plattform, die ab der ersten Woche funktioniert – mit einer Preisgestaltung, die Wachstum nicht bestraft.

Priverion

Schweizer Datensouveränität, garantiert

Vollständig in der Schweiz entwickelt und gehostet. Die gesamte Datenverarbeitung bleibt innerhalb der Schweizer Infrastruktur – nicht nur in einer europäischen Verfügbarkeitszone, die Sie erst anfordern müssen. In einer Welt nach Schrems II ist das keine Präferenz. Es ist eine rechtliche Absicherung.

Einsatzbereit in Wochen, nicht in Quartalen

Keine Implementierungsberater. Kein sechsmonatiges Onboarding. Ein Flugzeughersteller ging vom Kick-off bis zur vollständig automatisierten Rezertifizierung des Verarbeitungsverzeichnisses in den ersten sechs Monaten – und der grösste Teil dieser Zeit floss in die Anpassung, nicht in die Konfiguration.

Basierend auf dem Onboarding-Zeitplan eines Flugzeugherstellers

Preisgestaltung, die Sinn ergibt

Basierend auf der Anzahl der Unternehmen und der Organisationsgrösse – nicht auf Pro-Nutzer-Lizenzen oder Pro-Modul-Zusätzen. Fügen Sie Teammitglieder hinzu, erweitern Sie auf neue Tochtergesellschaften, und Ihre Rechnung bleibt vorhersehbar. Kein Beschaffungsschock bei der Verlängerung.

All-in-one-Datenschutzplattform

Verarbeitungsverzeichnis, DSFA/TIA, Lieferantenrisiko, Vorfallmanagement, DSR-Bearbeitung, Datenkartierung, KI-Register – alles in einer Plattform. Kein Zusammenschrauben von fünf verschiedenen Produkten desselben Anbieters.

KI, die unterstützt, aber nie entscheidet

KI-gestützter DSFA-Entwurf, Risikobewertung und regulatorische Abbildung – alles innerhalb der Schweizer Infrastruktur verarbeitet. Jede KI-Ausgabe wird von einem Menschen geprüft, bevor sie zu einem Compliance-Nachweis wird. Es werden keine Kundendaten für das Modelltraining verwendet.

Typische Enterprise-Plattformen

Datenresidenz als Zusatzoption

Die meisten Enterprise-Plattformen haben ihren Hauptsitz in den USA und hosten standardmässig in den USA. Europäische Datenresidenz – sofern verfügbar – ist ein Upgrade, ein separater Vertrag oder ein Bemühungsversprechen. Ihr Rechtsteam darf dann den Unterschied zwischen «in der EU gehostet» und «in der EU verarbeitet» auslegen.

Monate, bevor Sie einen Mehrwert sehen

Enterprise-Plattformen erfordern oft dedizierte Implementierungsteams, kostenpflichtige Beratungsleistungen und Zeitpläne von 3 bis 6 Monaten, bevor Ihr erster Workflow live geht. Das ist Zeit, die Ihr Datenschutzbeauftragter in Projektsitzungen verbringt, statt Datenschutzarbeit zu leisten.

Preisgestaltung auf Expansion ausgelegt

Pro-Nutzer-Lizenzen, Pro-Modul-Lizenzierung und jährliche Nachverrechnungen bedeuten, dass Ihre Kosten unvorhersehbar steigen. Fügen Sie fünf Nutzer für eine neue Tochtergesellschaft hinzu, und Ihr CFO erhält eine überraschende Rechnung. Das Preismodell belohnt die Anbieterbindung, nicht den Kundenerfolg.

Module separat verkauft

Brauchen Sie Lieferantenrisiko und DSFA zusammen? Das sind zwei Module. Möchten Sie Vorfallmanagement? Noch ein Modul. Cookie-Einwilligung? Noch eines. Was als Datenschutz-Tool beginnt, wird zu einer ausufernden Plattform, die ESG, Ethik und GRC abdeckt – mit entsprechender Komplexität.

KI als Blackbox

Viele Plattformen vermarkten «KI-gestützte» Compliance, ohne Klarheit darüber, wo Daten verarbeitet werden, ob Ausgaben vor dem Eintrag in den Nachweis bearbeitbar sind oder wie Modelle trainiert werden. Wenn Ihre Aufsichtsbehörde fragt, wie eine Risikobewertung zustande kam, ist «die KI hat entschieden» keine Antwort.

Ehrlicher Hinweis: Wir decken kein ESG, keine Ethik-Hotlines und keine Cookie-Einwilligung ab. Wenn Sie das benötigen, sind wir nicht der richtige Partner. Aber wenn Sie eine gruppenweite Verwaltung von Datenschutzprogrammen benötigen, die funktioniert – dann sollten wir sprechen.

FAQ

Häufig gestellte Fragen zur TDPSA-Compliance

Gilt der TDPSA für Unternehmen ausserhalb von Texas?

Ja. Der TDPSA gilt für jede Person, die in Texas Geschäfte tätigt oder Produkte und Dienstleistungen herstellt, die von in Texas ansässigen Personen genutzt werden. Es ist nicht erforderlich, physisch in Texas ansässig zu sein.