Wann tritt der Vermont Data Privacy and Surveillance Act in Kraft?

Das Gesetz tritt am 1. Januar 2028 in Kraft, nachdem es am 16. Juni 2026 unterzeichnet wurde.

Was macht dieses Gesetz aus Vermont strenger als andere bundesstaatliche Datenschutzgesetze?

Es verlangt eine Opt-in-Zustimmung für die Verarbeitung sensibler Daten, gewährt Verbrauchern einen privaten Klagerechtsanspruch und beschränkt zielgerichtete Werbung sowie Verhaltensprofilierung ohne ausdrückliche Einwilligung.

Welche Unternehmen unterliegen dem Vermont Data Privacy and Surveillance Act?

Unternehmen, die die personenbezogenen Daten von jährlich 25.000 oder mehr Verbrauchern in Vermont kontrollieren oder verarbeiten, oder solche, die 25 % oder mehr ihres Bruttoumsatzes mit dem Verkauf personenbezogener Daten erzielen und die Daten von mindestens 12.500 Verbrauchern verarbeiten.

Welche Datenkategorien erfordern nach diesem Gesetz eine Opt-in-Zustimmung?

Präzise Geolokalisierung, Gesundheitsdaten, Finanzdaten und Daten von Minderjährigen erfordern allesamt eine Opt-in-Zustimmung vor der Verarbeitung.

Können einzelne Verbraucher bei Verstößen gegen dieses Gesetz klagen?

Ja, das Gesetz enthält einen privaten Klagerechtsanspruch, der einzelnen Verbrauchern die rechtliche Befugnis einräumt, bei bestimmten Verstößen zu klagen, anstatt die Durchsetzung allein den staatlichen Aufsichtsbehörden zu überlassen.

Vermont Data Privacy and Surveillance Act: Was er 2028 bedeutet

Vermonts Gouverneur unterzeichnete am 16. Juni 2026 das Gesetz S.71, den Vermont Data Privacy and Online Surveillance Act, und machte Vermont damit zu einem der strengsten Bundesstaaten im Bereich des Verbraucherdatenschutzes. Das Gesetz tritt zwar erst am 1. Januar 2028 in Kraft, aber der Countdown für Unternehmen, ihre Praktiken in Ordnung zu bringen, hat bereits begonnen. Für Verbraucher stellen die Überwachungsbestimmungen des Vermont-Datenschutzgesetzes einen der bislang ehrgeizigsten Versuche eines US-Bundesstaates dar, die Erhebung, Nutzung und Weitergabe personenbezogener Daten durch Unternehmen einzuschränken.

Was der Vermont Data Privacy and Online Surveillance Act tatsächlich vorschreibt

Im Kern gibt das Gesetz den Einwohnern Vermonts eine sinnvolle Kontrolle über ihre personenbezogenen Daten. Es verpflichtet Unternehmen, eine Opt-in-Zustimmung einzuholen, bevor sie sensible Datenkategorien verarbeiten, darunter präzise Geolokalisierung, Gesundheitsdaten, Finanzdaten und Daten von Minderjährigen. Dieser Opt-in-Standard ist deutlich strenger als die Opt-out-Regelungen, die in vielen anderen bundesstaatlichen Gesetzen zu finden sind.

Unternehmen müssen zudem klare, zugängliche Datenschutzhinweise bereitstellen, Datenschutz-Folgenabschätzungen für risikoreichere Verarbeitungstätigkeiten durchführen und Verbraucheranfragen auf Auskunft, Berichtigung, Löschung und Übertragung ihrer Daten nachkommen. Das Gesetz enthält einen privaten Klagerechtsanspruch für bestimmte Verstöße, der einzelnen Verbrauchern die rechtliche Befugnis einräumt, selbst zu klagen, und nicht nur den staatlichen Aufsichtsbehörden. Allein dieses Merkmal unterscheidet Vermont von der Mehrheit der US-amerikanischen Datenschutzrahmen, in denen die Durchsetzung ausschließlich den Generalstaatsanwälten überlassen wird.

Der Teil des Gesetzes zur „Online-Überwachung“ ist besonders bemerkenswert. Es enthält spezifische Beschränkungen für die Nutzung personenbezogener Daten für zielgerichtete Werbung an Verbraucher und schränkt ein, wie Unternehmen ohne ausdrückliche Zustimmung Verhaltensprofile erstellen können.

Wer unter das Gesetz fällt und das weite Netz, das mehr Unternehmen erfasst, als man denkt

Viele bundesstaatliche Datenschutzgesetze enthalten Umsatz- oder Datenvolumenschwellen, die kleinere Unternehmen außen vor lassen. Vermonts Schwellenwerte sind vergleichsweise niedrig. Das Gesetz gilt für Unternehmen, die die personenbezogenen Daten von jährlich 25.000 oder mehr Verbrauchern in Vermont kontrollieren oder verarbeiten, oder für solche, die 25 Prozent oder mehr ihres Bruttoumsatzes mit dem Verkauf personenbezogener Daten erzielen und die Daten von mindestens 12.500 Verbrauchern verarbeiten.

Vermont hat rund 650.000 Einwohner. Das bedeutet, dass die Schwelle von 25.000 Verbrauchern nur etwa vier Prozent der Einwohner des Bundesstaates entspricht. Unternehmen, die landesweit tätig sind und auch nur eine bescheidene Nutzerbasis in Vermont haben, könnten diese Grenze leicht überschreiten. Vor allem Datenhändler unterliegen nach dem Gesetz verschärften Pflichten, darunter strengere Beschränkungen für den Verkauf sensibler Daten und die Verpflichtung, sich beim Staat zu registrieren.

Die Formulierung „Online-Überwachung“ im Titel des Gesetzes signalisiert deutlich seine Ambitionen. Plattformen und Werbetechnologie-Unternehmen, die auf flächendeckendes Tracking angewiesen sind, um Verbraucherprofile zu erstellen, fallen eindeutig in den Anwendungsbereich.

Wie Vermonts Gesetz im Vergleich zu anderen US-Bundesdatenschutzgesetzen abschneidet

Vermont gehört nun zu den rund zwei Dutzend Bundesstaaten mit umfassender Verbraucherdatenschutzgesetzgebung, doch sein Gesetz steht am strengeren Ende des Spektrums. Kaliforniens CPRA wird oft als US-Goldstandard zitiert, aber Vermonts Opt-in-Pflicht für die Verarbeitung sensibler Daten und sein privater Klagerechtsanspruch gehen weiter als das, was Kalifornien derzeit vorschreibt.

Bundesstaaten wie Texas und Florida haben Gesetze mit breiteren Ausnahmen für Unternehmen und ohne privaten Klagerechtsanspruch erlassen, was die Durchsetzung in der Praxis weitgehend zahnlos macht. Vermonts Ansatz nähert sich eher den europäischen Datenschutzprinzipien an, ohne die DSGVO direkt zu kopieren. Die Kombination aus niedrigen Anwendungsschwellen, einem Opt-in-Grundsatz für sensible Daten und individuellen Klagerechten erzeugt einen echten Rechenschaftsdruck auf Unternehmen.

Das Gesetz zieht auch einen engeren Kreis um die Tätigkeit von Datenhändlern als die meisten bundesstaatlichen Rahmenwerke, was angesichts der Tatsache, dass ein großer Teil der kommerziellen Überwachungsökonomie über Datenhändler läuft und nicht über die Unternehmen, mit denen Verbraucher direkt interagieren, bedeutsam ist.

Was dies für Ihre Datenrechte bedeutet, auch wenn Sie nicht in Vermont leben

Es ist gut dokumentiert, dass bundesstaatliche Datenschutzgesetze tendenziell nationale Politikverschiebungen bewirken. Wenn Unternehmen ihre Datenpraktiken aktualisieren, um ein strenges bundesstaatliches Gesetz einzuhalten, wenden sie diese Änderungen oft breit an, anstatt separate Systeme für verschiedene Bundesstaaten zu unterhalten. Kaliforniens Datenschutzgesetz erzeugte genau diesen Effekt: Unternehmen führten für alle US-Nutzer neue Zustimmungsabläufe und Tools zur Datenlöschung ein, nicht nur für Kalifornier.

Das Gesetz von Vermont könnte eine ähnliche Dynamik auslösen, insbesondere in Bezug auf Datenhändler. Wenn Unternehmen den Einwohnern Vermonts das Recht einräumen müssen, dem Verkauf ihrer Daten zu widersprechen, werden es viele betrieblich einfacher finden, diese Option überall anzubieten. Für Verbraucher außerhalb Vermonts bedeutet dies einen bedeutenden Gewinn an Datenrechten, die sie sonst nicht hätten.

Auch die spezifischen Überwachungsbestimmungen sind in einem breiteren Kontext zu beobachten. Gesetzgebung, die auf Verhaltens-Tracking und Online-Überwachung abzielt, ist zunehmend auch auf Bundesebene Teil der politischen Debatte. Vermonts Ansatz könnte beeinflussen, wie Bundesgesetzgeber künftige Vorschläge gestalten.

Natürlich reichen rechtliche Schutzmaßnahmen allein nicht aus. Gesetze setzen Untergrenzen, keine Obergrenzen, und die Durchsetzung braucht Zeit. Der Einsatz technischer Datenschutz-Tools zusammen mit den gesetzlichen Rechten gibt Verbrauchern ein vollständigeres Bild. Ein VPN beispielsweise schränkt ein, was Dritte auf Netzwerkebene über Ihre Surfaktivitäten beobachten können, und ergänzt so die Rechte, die ein bundesstaatliches Gesetz auf der Seite der Datenspeicherung und -weitergabe gewährt.

Umsetzbare Handlungsempfehlungen

Wenn Sie ein Unternehmen führen: Beginnen Sie noch heute mit der Überprüfung Ihres Datenbestands. Der Januar 2028 mag weit weg erscheinen, aber der Aufbau konformer Zustimmungsabläufe, Bewertungsprozesse und Pipelines für Datenanfragen von Betroffenen braucht Zeit.
Wenn Sie in Vermont wohnen: Ihre Rechte aus diesem Gesetz sind ab dem 1. Januar 2028 durchsetzbar. Bewahren Sie Aufzeichnungen über gestellte Datenanfragen und erhaltene Antworten auf.
Wenn Sie außerhalb Vermonts leben: Achten Sie darauf, wie landesweit tätige Unternehmen auf dieses Gesetz reagieren. Neue Opt-out-Tools oder Zustimmungsoptionen, die für Nutzer in Vermont eingeführt werden, könnten auch für Sie verfügbar werden.
Für alle: Rechtlicher Schutz und technische Datenschutzpraktiken funktionieren am besten zusammen. Sich über bundesstaatliche und föderale Überwachungsgesetzgebung zu informieren, ist der erste Schritt, um zu verstehen, welche Rechte Sie tatsächlich besitzen.

Das Gesetz von Vermont ist ein bedeutender Meilenstein in den laufenden Bemühungen, die US-Datenschutzstandards dem anzunähern, was Verbraucher in anderen Teilen der Welt bereits erwarten. Ob es eine landesweite Sogwirkung entfaltet, wird davon abhängen, wie aggressiv es durchgesetzt wird und wie bereit Unternehmen sind, wirklich konforme Datenpraktiken aufzubauen, anstatt minimale Umgehungslösungen.