Compliance mit dem Texas Data Privacy and Security Act: Was Ihre Organisation wissen muss
Der TDPSA trat am 1. Juli 2024 in Kraft und machte Texas zu einem der bedeutendsten Datenschutzgesetze auf Bundesstaatsebene in den USA. Wenn Ihre Organisation personenbezogene Daten von in Texas ansässigen Personen verarbeitet, benötigen Sie einen klaren Compliance-Fahrplan – insbesondere, wenn Sie Pflichten über mehrere Einheiten oder Rechtsordnungen hinweg steuern.
Dieser Leitfaden erläutert, für wen der TDPSA gilt, welche Anforderungen er stellt, wie er sich mit anderen Datenschutzgesetzen auf Bundesstaatsebene vergleicht und welche praktischen Schritte Sie zur Operationalisierung der Compliance unternehmen müssen. Egal, ob Sie bei null beginnen oder ein bestehendes Datenschutzprogramm auf Texas ausweiten – Sie werden genau verstehen, wo Sie stehen.
Zentrale Anforderungen des Texas Data Privacy and Security Act
Der TDPSA schafft Pflichten in sechs kritischen Bereichen. Hier erfahren Sie, was Ihr Datenschutzprogramm abdecken muss – aufgeschlüsselt, sodass Sie dies direkt mit Ihrem Team teilen können.
Breiter Anwendungsbereich
Für wen gilt der TDPSA?
Für jede Person, die in Texas Geschäfte tätigt oder Produkte und Dienstleistungen herstellt, die von in Texas ansässigen Personen genutzt werden, und die personenbezogene Daten verarbeitet oder verkauft. Anders als viele Datenschutzgesetze auf Bundesstaatsebene legt der TDPSA keine Umsatzschwelle und kein Mindestvolumen der Datenverarbeitung fest.
Das bedeutet, dass der Anwendungsbereich deutlich breiter ist als bei CCPA/CPRA oder dem Virginia VCDPA. Wenn Ihre Organisation in nennenswerter Weise mit Verbraucherdaten aus Texas in Berührung kommt, gehen Sie davon aus, dass Sie in den Anwendungsbereich fallen.
Wichtige Ausnahmen umfassen:
- Von der SBA definierte Kleinunternehmen (mit Einschränkungen beim Verkauf sensibler Daten)
- GLBA-regulierte Finanzinstitute
- HIPAA-erfasste Einrichtungen (nur für PHI)
- Gemeinnützige Organisationen und Hochschuleinrichtungen
Quelle: Texas Business & Commerce Code, Chapter 541, in Kraft seit 1. Juli 2024
Verbraucherrechte
Sechs Rechte, die Ihre Organisation wahren muss
In Texas ansässige Personen erhalten ein umfassendes Bündel an Datenrechten, das Ihre Organisation mit dokumentierten Workflows und einem 45-tägigen Antwortfenster operationalisieren muss.
- Recht auf Kenntnis und Zugang zu personenbezogenen Daten
- Recht auf Berichtigung unrichtiger Daten
- Recht auf Löschung personenbezogener Daten
- Recht auf Datenübertragbarkeit
- Recht auf Widerspruch gegen Datenverkäufe, gezielte Werbung und Profiling
- Anerkennung universeller Opt-out-Mechanismen (erforderlich seit 1. Januar 2025)
Das 45-tägige Antwortfenster ist mit Mitteilung an die betroffene Person um weitere 45 Tage verlängerbar – aber Ihr Team benötigt ein System, um jede Anfrage konsistent nachzuverfolgen und zu dokumentieren.
Antwortfrist gemäss TDPSA §541.101–.105
Pflichten des Verantwortlichen
Was Verantwortliche tun müssen – über eine Aktualisierung der Datenschutzerklärung hinaus
Der TDPSA stellt erhebliche operative Anforderungen an Verantwortliche, die weit über die Aktualisierung Ihrer Datenschutzerklärung hinausgehen.
- Datenminimierung – erheben Sie nur, was angemessen, relevant und vernünftigerweise erforderlich ist
- Zweckbindung und angemessene Sicherheitspraktiken
- Ausdrückliche Einwilligung vor der Verarbeitung sensibler Daten (Biometrie, Standortdaten, Daten von Kindern, Gesundheit, ethnische Herkunft, Religion)
- Datenschutz-Folgenabschätzungen für gezielte Werbung, Datenverkäufe, Profiling und die Verarbeitung sensibler Daten
Für Organisationen mit mehreren Einheiten benötigt jede Tochtergesellschaft, die Daten von in Texas ansässigen Personen verarbeitet, ihre eigenen dokumentierten Beurteilungen – hier wird gruppenweite Koordination unverzichtbar.
Beurteilungsanforderungen gemäss TDPSA §541.151–.153
Anforderungen an Auftragsverarbeiter
Pflichten und vertragliche Anforderungen von Auftragsverarbeitern
Wenn Ihre Organisation Auftragsverarbeiter Dritter einsetzt, verlangt der TDPSA formelle vertragliche Vereinbarungen, die der Struktur von DSGVO Artikel 28 entsprechen, die viele europäische Datenschutzteams bereits kennen.
- Auftragsverarbeiter müssen Verantwortliche bei der Erfüllung ihrer TDPSA-Pflichten unterstützen
- Vertragliche Vertraulichkeitsanforderungen
- Löschung oder Rückgabe der Daten bei Vertragsende
- Mitwirkung bei Audits und Compliance-Überprüfungen
Organisationen, die Dutzende von Lieferantenbeziehungen steuern, benötigen einen systematischen Weg, um die Compliance von Auftragsverarbeitern zu beurteilen, zu dokumentieren und zu rezertifizieren – Tabellenkalkulationen versagen bei Skalierung schnell.
Vertragsanforderungen für Auftragsverarbeiter gemäss TDPSA §541.201
Durchsetzung
Durchsetzung durch den Attorney General mit echten Konsequenzen
Der Texas Attorney General besitzt die ausschliessliche Durchsetzungsbefugnis – es gibt kein privates Klagerecht. Aber lassen Sie sich davon nicht in falscher Sicherheit wiegen. Texas hat seine Bereitschaft bereits unter Beweis gestellt, Datenschutzverstösse aggressiv zu verfolgen.
1,4 Milliarden USD
Vergleich von Texas mit Meta wegen Verstössen gegen biometrische Daten, 2024
- 30-tägige Nachbesserungsfrist nach Mitteilung des Attorney General
- Zivilrechtliche Bussgelder von bis zu 7'500 USD pro Verstoss
- Unterlassungsanordnungen und Erstattung der Ermittlungskosten
Die 30-tägige Nachbesserungsfrist hilft nur Organisationen, die ein bestehendes, funktionierendes Compliance-Programm nachweisen können. Wenn Sie eine Beschwerde erhalten und nichts dokumentiert haben, beginnen Sie aus einer grundlegend schwächeren Position.
Durchsetzungsbestimmungen gemäss TDPSA §541.251; Meta-Vergleich gemäss Texas OAG, Juli 2024
Sensible Daten
Für sensible Daten gelten eigene Regeln
Der TDPSA definiert sensible Daten breit und verlangt vor der Verarbeitung eine ausdrückliche Opt-in-Einwilligung. Dies ist keine «Mitteilen und weitermachen»-Situation – Ihre Organisation benötigt Mechanismen für eine bejahende Einwilligung.
Zu den sensiblen Datenkategorien des TDPSA gehören:
- Rassische oder ethnische Herkunft
- Religiöse Überzeugungen
- Gesundheitsdiagnose- oder Sexualleben-Daten
- Biometrische Daten zur Identifizierung
- Präzise Standortdaten
- Daten eines bekanntermassen minderjährigen Kindes
- Staatsbürgerschafts- oder Einwanderungsstatus
Selbst von der SBA definierte Kleinunternehmen – ansonsten von den meisten TDPSA-Anforderungen befreit – dürfen sensible Daten nicht ohne ausdrückliche Einwilligung verkaufen. Das Gesetz zieht hier eine klare Grenze.
Sensible Daten definiert gemäss TDPSA §541.001(29); Ausnahme für Kleinunternehmen gemäss §541.002
Müssen Sie diese Anforderungen über mehrere Einheiten und Rechtsordnungen hinweg abbilden?
Sehen Sie, wie Priverion Multi-Framework-Compliance handhabt200+
Eingesparte Stunden bei der Verwaltung des Verarbeitungsverzeichnisses
Medtec verlagerte über 200 Stunden von manuellen Aktualisierungen des Verarbeitungsverzeichnisses auf die Vorbereitung der ISO 27001 – und schloss die Zertifizierung drei Monate vor dem Zeitplan ab.
60%
Geringere Kosten im Vergleich zu etablierten Enterprise-Plattformen
Ein Flugzeughersteller erreichte vollständige gruppenweite Compliance zu einem Bruchteil der Preise von OneTrust – mit vorhersehbaren Kosten auf Basis von Einheiten und ohne Pro-Nutzer-Erweiterungsfallen.
3 Mt.
Vor dem Zeitplan bei der ISO 27001
Medtec nutzte die auditfertigen Nachweispakete von Priverion, um die Vorbereitung der ISO 27001 zu verkürzen – und beendete sie ein ganzes Quartal früher als ursprünglich geplant.
Sieben Schritte zur Operationalisierung der TDPSA-Compliance
Die Anforderungen zu kennen, ist eine Sache. Compliance-konforme Workflows in Ihrer gesamten Organisation aufzubauen, ist eine andere. So verwandeln Datenschutzteams TDPSA-Pflichten in wiederholbare, auditierbare Prozesse.
Schritt 1
Erfassen Sie Ihren Texas-Datenbestand
Identifizieren Sie jede Einheit, jeden Geschäftsbereich und jedes Produkt, das personenbezogene Daten von in Texas ansässigen Personen erhebt oder verarbeitet. Für Organisationen mit mehreren Einheiten bedeutet dies, Datenflüsse über Tochtergesellschaften hinweg abzubilden – nicht nur auf Ebene der Muttergesellschaft.
Die einheitsübergreifende Datenkartierung von Priverion bietet gruppenweite Transparenz darüber, welche Einheiten in den Anwendungsbereich fallen, und beseitigt das Rätselraten, das zu Compliance-Lücken führt.
Schritt 2
Aktualisieren Sie Ihre Datenschutzerklärungen
Der TDPSA verlangt eine klare Offenlegung der erhobenen Datenkategorien, der Verarbeitungszwecke, der Verbraucherrechte und der Art und Weise, wie diese ausgeübt werden können. Wenn Sie bereits CCPA oder VCDPA einhalten, benötigen Ihre Erklärungen wahrscheinlich Texas-spezifische Ergänzungen statt einer vollständigen Neufassung.
Prüfen Sie die Anforderungen an die Datenschutzerklärung anhand von §541.051, um sicherzustellen, dass Sie alle vorgeschriebenen Offenlegungen abdecken, einschliesslich Opt-out-Mechanismen für Datenverkäufe und gezielte Werbung.
Schritt 3
Bauen Sie Workflows für Anfragen betroffener Personen auf
Operationalisieren Sie Erfassung, Identitätsprüfung, Weiterleitung, Erledigung und Antwortverfolgung für alle sechs Verbraucherrechte. Die 45-Tage-Uhr beginnt beim Eingang zu laufen – nicht, wenn jemand in Ihrem Team die E-Mail bemerkt.
Das DSR-Bearbeitungsmodul von Priverion verfolgt jede Anfrage über Einheiten hinweg mit automatisierter Eskalation, sodass während der gesetzlichen Antwortfrist nichts durch die Maschen fällt.
Schritt 4
Führen Sie Datenschutz-Folgenabschätzungen durch
Der TDPSA schreibt Beurteilungen für gezielte Werbung, Datenverkäufe, Profiling und die Verarbeitung sensibler Daten vor. Jede Beurteilung muss den Nutzen gegen mögliche Risiken für die Rechte der Verbraucher abwägen – und muss für eine mögliche Überprüfung durch den Attorney General dokumentiert werden.
Die KI-gestützte DSFA/TIA-Automatisierung von Priverion entwirft Beurteilungen mit Risikobewertung, während menschliche Prüfer die endgültige Freigabe behalten. Jede Beurteilung wird als auditfertiges Nachweispaket gespeichert.
Schritt 5
Prüfen Sie Ihre Lieferantenverträge
Jede Beziehung zu einem Auftragsverarbeiter benötigt vertragliche Bestimmungen zu Verarbeitungsanweisungen, Vertraulichkeit, Löschpflichten und Auditmitwirkung. Bestehende Auftragsverarbeitungsverträge (AVV) nach DSGVO-Art decken die meisten Anforderungen möglicherweise ab, prüfen Sie jedoch auf Texas-spezifische Lücken.
Das Modul zur Lieferantenrisikobewertung von Priverion bewertet systematisch jeden Auftragsverarbeiter, kennzeichnet Vertragslücken und verfolgt die Rezertifizierung über Ihr gesamtes Lieferantenportfolio hinweg.
Schritt 6
Implementieren Sie Einwilligungsmechanismen für sensible Daten
Wenn eine Einheit in Ihrer Gruppe sensible Datenkategorien verarbeitet – Biometrie, Gesundheitsdaten, präzise Standortdaten, Daten von Kindern – benötigen Sie Mechanismen für eine bejahende Opt-in-Einwilligung. Dies wird nicht durch eine allgemeine Bestätigung der Datenschutzerklärung erfüllt.
Bilden Sie sensible Datenkategorien über alle Einheiten hinweg mit der einheitsübergreifenden Datenkartierung von Priverion ab, um zu erkennen, wo Einwilligungs-Workflows erforderlich sind, bevor eine Durchsetzungsmassnahme die Lücke zuerst findet.
Schritt 7
Erkennen Sie universelle Opt-out-Mechanismen an
Seit dem 1. Januar 2025 verlangt der TDPSA von Verantwortlichen, browserbasierte universelle Opt-out-Signale (wie Global Privacy Control) anzuerkennen. Das bedeutet, dass Ihr Technologie-Stack – nicht nur Ihre Richtlinien – auf diese Signale reagieren muss.
Hinweis: Priverion bietet keine Cookie-Einwilligungsverwaltung. Wenn Sie die Erkennung universeller Opt-out-Signale auf Browserebene benötigen, kombinieren Sie Priverion mit einer dedizierten Consent-Management-Plattform.
Steuern Sie diese Schritte über mehrere Tochtergesellschaften und Rechtsordnungen hinweg?
Sehen Sie, wie ein Flugzeughersteller gruppenweite Compliance operationalisierteWie sich der TDPSA mit anderen US-Datenschutzgesetzen auf Bundesstaatsebene vergleicht
Wenn Ihre Organisation bereits CCPA-, VCDPA- oder CPA-Compliance steuert, hilft Ihnen das Verständnis, wo der TDPSA übereinstimmt – und wo er abweicht –, Doppelarbeit zu vermeiden und gleichzeitig Texas-spezifische Lücken zu schliessen.
| Anforderung | TDPSA (Texas) | CCPA/CPRA (Kalifornien) | VCDPA (Virginia) | CPA (Colorado) |
|---|---|---|---|---|
| Umsatz-/Datenschwelle | Keine – jedes Unternehmen, das Daten von in TX ansässigen Personen verarbeitet | 25 Mio. USD Umsatz, 50'000+ Verbraucher oder 50%+ Umsatz aus Datenverkäufen | 100'000 Verbraucher oder 25'000 Verbraucher + 50% Umsatz aus Datenverkäufen | 100'000 Verbraucher oder 25'000 Verbraucher + Umsatz aus Datenverkäufen |
| Einwilligung für sensible Daten | Opt-in erforderlich | Opt-out (mit Opt-in für Minderjährige) | Opt-in erforderlich | Opt-in erforderlich |
| Universelles Opt-out-Signal | Erforderlich (seit 1. Januar 2025) | Erforderlich | Nicht erforderlich | Erforderlich (seit 1. Juli 2024) |
| Datenschutz-Folgenabschätzungen | Erforderlich für gezielte Werbung, Datenverkäufe, Profiling, sensible Daten | Erforderlich (CPRA-Risikobeurteilungen) | Erforderlich | Erforderlich |
| Nachbesserungsfrist | 30 Tage | Keine (unter CPRA entfernt) | 60 Tage (läuft 2026 aus) | 60 Tage (ausgelaufen im Januar 2025) |
| Durchsetzung | Nur Attorney General – kein privates Klagerecht | Attorney General + begrenztes privates Klagerecht (Datenschutzverletzungen) | Nur Attorney General | Nur Attorney General |
| Höchstbussgeld pro Verstoss | 7'500 USD | 7'500 USD | 7'500 USD | 20'000 USD |
Quellen: Texas Business & Commerce Code Ch. 541; California Civil Code §1798.100 ff.; Virginia Code §59.1-575 ff.; Colorado Rev. Stat. §6-1-1301 ff.
Steuern Sie Compliance über mehrere Gesetze auf Bundesstaatsebene hinweg? Mit dem Multi-Framework-Ansatz von Priverion bilden Sie überlappende Anforderungen einmal ab – nicht separat für jede Rechtsordnung.
Sehen Sie Multi-Framework-Compliance in AktionCompliance auf Enterprise-Niveau ohne Enterprise-Komplexität
Mittelständische Unternehmen brauchen keine 200 Module und keine sechsmonatige Implementierung. Sie brauchen eine Plattform, die ab der ersten Woche funktioniert – mit einer Preisgestaltung, die Wachstum nicht bestraft.
Priverion
Schweizer Datensouveränität, garantiert
Vollständig in der Schweiz entwickelt und gehostet. Die gesamte Datenverarbeitung bleibt innerhalb der Schweizer Infrastruktur – nicht nur in einer europäischen Verfügbarkeitszone, die Sie erst anfordern müssen. In einer Welt nach Schrems II ist das keine Präferenz. Es ist eine rechtliche Absicherung.
Einsatzbereit in Wochen, nicht in Quartalen
Keine Implementierungsberater. Kein sechsmonatiges Onboarding. Ein Flugzeughersteller ging vom Kick-off bis zur vollständig automatisierten Rezertifizierung des Verarbeitungsverzeichnisses in den ersten sechs Monaten – und der grösste Teil dieser Zeit floss in die Anpassung, nicht in die Konfiguration.
Basierend auf dem Onboarding-Zeitplan eines Flugzeugherstellers
Preisgestaltung, die Sinn ergibt
Basierend auf der Anzahl der Unternehmen und der Organisationsgrösse – nicht auf Pro-Nutzer-Lizenzen oder Pro-Modul-Zusätzen. Fügen Sie Teammitglieder hinzu, erweitern Sie auf neue Tochtergesellschaften, und Ihre Rechnung bleibt vorhersehbar. Kein Beschaffungsschock bei der Verlängerung.
All-in-one-Datenschutzplattform
Verarbeitungsverzeichnis, DSFA/TIA, Lieferantenrisiko, Vorfallmanagement, DSR-Bearbeitung, Datenkartierung, KI-Register – alles in einer Plattform. Kein Zusammenschrauben von fünf verschiedenen Produkten desselben Anbieters.
KI, die unterstützt, aber nie entscheidet
KI-gestützter DSFA-Entwurf, Risikobewertung und regulatorische Abbildung – alles innerhalb der Schweizer Infrastruktur verarbeitet. Jede KI-Ausgabe wird von einem Menschen geprüft, bevor sie zu einem Compliance-Nachweis wird. Es werden keine Kundendaten für das Modelltraining verwendet.
Typische Enterprise-Plattformen
Datenresidenz als Zusatzoption
Die meisten Enterprise-Plattformen haben ihren Hauptsitz in den USA und hosten standardmässig in den USA. Europäische Datenresidenz – sofern verfügbar – ist ein Upgrade, ein separater Vertrag oder ein Bemühungsversprechen. Ihr Rechtsteam darf dann den Unterschied zwischen «in der EU gehostet» und «in der EU verarbeitet» auslegen.
Monate, bevor Sie einen Mehrwert sehen
Enterprise-Plattformen erfordern oft dedizierte Implementierungsteams, kostenpflichtige Beratungsleistungen und Zeitpläne von 3 bis 6 Monaten, bevor Ihr erster Workflow live geht. Das ist Zeit, die Ihr Datenschutzbeauftragter in Projektsitzungen verbringt, statt Datenschutzarbeit zu leisten.
Preisgestaltung auf Expansion ausgelegt
Pro-Nutzer-Lizenzen, Pro-Modul-Lizenzierung und jährliche Nachverrechnungen bedeuten, dass Ihre Kosten unvorhersehbar steigen. Fügen Sie fünf Nutzer für eine neue Tochtergesellschaft hinzu, und Ihr CFO erhält eine überraschende Rechnung. Das Preismodell belohnt die Anbieterbindung, nicht den Kundenerfolg.
Module separat verkauft
Brauchen Sie Lieferantenrisiko und DSFA zusammen? Das sind zwei Module. Möchten Sie Vorfallmanagement? Noch ein Modul. Cookie-Einwilligung? Noch eines. Was als Datenschutz-Tool beginnt, wird zu einer ausufernden Plattform, die ESG, Ethik und GRC abdeckt – mit entsprechender Komplexität.
KI als Blackbox
Viele Plattformen vermarkten «KI-gestützte» Compliance, ohne Klarheit darüber, wo Daten verarbeitet werden, ob Ausgaben vor dem Eintrag in den Nachweis bearbeitbar sind oder wie Modelle trainiert werden. Wenn Ihre Aufsichtsbehörde fragt, wie eine Risikobewertung zustande kam, ist «die KI hat entschieden» keine Antwort.
Ehrlicher Hinweis: Wir decken kein ESG, keine Ethik-Hotlines und keine Cookie-Einwilligung ab. Wenn Sie das benötigen, sind wir nicht der richtige Partner. Aber wenn Sie eine gruppenweite Verwaltung von Datenschutzprogrammen benötigen, die funktioniert – dann sollten wir sprechen.
Häufig gestellte Fragen zur TDPSA-Compliance
Gilt der TDPSA für Unternehmen ausserhalb von Texas?
Ja. Der TDPSA gilt für jede Person, die in Texas Geschäfte tätigt oder Produkte und Dienstleistungen herstellt, die von in Texas ansässigen Personen genutzt werden. Es ist nicht erforderlich, physisch in Texas ansässig zu sein.


