Die digitale Verbraucherwende nimmt Fahrt auf: Maryland setzt heute mit seinem Online Data Privacy Act neue Maßstäbe für Datenschutz in den USA. Das Gesetz gilt als das bislang schärfste seiner Art und krönt ein Jahr beispielloser Regulierungswelle - acht Bundesstaaten haben 2025 umfassende Datenschutzgesetze eingeführt.

Die neue Gesetzesflut begann im Januar mit Gesetzen in Delaware, Iowa, Nebraska, New Hampshire und New Jersey, gefolgt von Tennessee und Minnesota im Sommer. Was bedeutet das für deutsche Unternehmen mit US-Geschäft? Sie müssen sich auf einen immer komplexeren Flickenteppich aus staatlichen Vorschriften einstellen.

Der Maryland-Standard: Datensparsamkeit wird Pflicht

Das Maryland Online Data Privacy Act (MODPA) tritt heute in Kraft und verschärft die Regeln drastisch. Betroffen sind Unternehmen, die in Maryland tätig sind und entweder die Daten von mindestens 35.000 Verbrauchern des Bundesstaats kontrollieren oder mit 10.000 Verbraucherdaten arbeiten, während sie über 20 Prozent ihres Umsatzes mit dem Verkauf persönlicher Daten erzielen.

Das Herzstück: strikte Datensparsamkeit. Unternehmen dürfen nur noch Informationen sammeln, die "angemessen notwendig und verhältnismäßig" für einen spezifischen, vom Verbraucher direkt angeforderten Service sind. Diese Regelung stellt bisherige Geschäftsmodelle infrage - selbst wenn Datennutzung in Datenschutzerklärungen offengelegt wird.

Besonders brisant: Der Verkauf sensibler Daten ist komplett verboten. Auch Daten von unter 18-Jährigen dürfen nicht für Werbe-Targeting verkauft werden. Maryland könnte damit zum Vorbild für andere Bundesstaaten werden.

Regulierungswelle 2025: Acht neue Gesetze, acht verschiedene Ansätze

Maryland beschließt ein Jahr dramatischer Expansion der Verbraucherrechte. Die neuen Gesetze teilen zwar gemeinsame Grundlagen - Zugang, Korrektur und Löschung persönlicher Daten sowie Opt-out-Rechte -, unterscheiden sich aber in entscheidenden Details.

Nebraska beispielsweise verzichtet auf Umsatzschwellen und erfasst alle Unternehmen, die nicht als Kleinbetrieb gelten. Iowa und New Hampshire setzen dagegen auf Verbraucherzahlen oder Datenverkaufs-Anteile am Gesamtumsatz.

Diese Unterschiede zwingen internationale Konzerne zu einer Einzelfallprüfung je Bundesstaat - ein logistischer Alptraum für Compliance-Abteilungen.

Der Flickenteppich-Effekt: Billionen-Belastung für Unternehmen

Experten sprechen vom "Patchwork-Problem": Die fragmentierte Gesetzeslandschaft treibt Compliance-Kosten in astronomische Höhen. Die Information Technology and Innovation Foundation schätzt die kumulierten Kosten auf über 850 Milliarden Euro in zehn Jahren.

Besonders kleine und mittlere Unternehmen ohne eigene Rechtsabteilungen stehen vor enormen Herausforderungen. Die Lösung? Proaktive Anpassung an die strengsten Standards - wie die von Maryland.

Unternehmen müssen jetzt handeln: Datenschutzerklärungen überarbeiten, alle Datensammlungs- und -verarbeitungsprozesse auditieren und interne Systeme für Verbraucheranfragen stärken. Viele Staaten verlangen auch die technische Umsetzung universeller Opt-out-Mechanismen wie der Global Privacy Control (GPC).

Druck auf Washington: Wann kommt das Bundesgesetz?

Die staatliche Regulierungswelle ist eine direkte Antwort auf das seit Jahren fehlende umfassende Bundesdatenschutzgesetz. Während der Kongress verschiedene Vorschläge diskutiert, schaffen die Bundesstaaten Fakten.

Das Ergebnis: ein verwirrendes Regel-Chaos für Unternehmen und Verbraucher gleichermaßen. Industrieexperten fordern eine einheitliche Bundesregelung - doch bei einer gespaltenen Regierung bleiben die Aussichten ungewiss.

Marylands strenge Regeln könnten jedoch den Druck auf Washington erhöhen. Die Bundesstaaten werden zu Testzentren für verschiedene Regulierungsansätze, die später ein nationales Gesetz prägen könnten.

Ausblick: 15 weitere Staaten in den Startlöchern

Die Dynamik hinter der staatlichen Datenschutzgesetzgebung zeigt keine Ermüdungserscheinungen. Mindestens 15 weitere Bundesstaaten erwägen ähnliche Gesetze für 2026 und darüber hinaus. Bereits beschlossene Gesetze in Kentucky, Rhode Island und Indiana treten am 1. Januar 2026 in Kraft.

Unternehmen sollten sich auf eine kontinuierliche Entwicklung einstellen. Trends, die es zu beobachten gilt: erweiterte Definitionen "sensibler Daten", verschärfte Datensparsamkeits-Regeln und verstärkter Schutz für Kinder und Jugendliche.

Nach einem Jahr dramatischer Regulierungsänderungen ist die Botschaft klar: Datenschutz ist kein Nischen-Compliance-Thema mehr, sondern zentraler Baustein von Geschäftsbetrieb und Verbrauchervertrauen. Wer vorne bleiben will, braucht kontinuierliches Monitoring, Investitionen in Compliance-Technologie und eine strategische Herangehensweise an Data Governance.