Kiteworks

Secure File Sharing and Governance Platfform

Kostenlos testen KITEWORKS ERKUNDEN
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Bundesweite Datenschutzregelung wird Realität: Was der SECURE Act bedeutet

Bundesweite Datenschutzregelung wird Realität: Was der SECURE Act bedeutet

von Danielle Barbour updated Mai 26, 2026 Regulatorische Compliance
Lesezeit: 9 Minuten

Wichtige Erkenntnisse

  1. Koordinierte bundesweite Vorstoß zur Verdrängung von Landesgesetzen. Der SECURE Data Act, der GUARD Financial Data Act und das White House AI Framework ersetzen das Flickwerk einzelner Bundesstaaten durch einen einheitlichen nationalen Standard.
  2. 21 Datenschutzgesetze der Bundesstaaten bedroht. Umfassende Gesetze wie CCPA, CDPA und CPA könnten durch einen „Ceiling, not Floor“-Ansatz verdrängt werden, wodurch die Durchsetzung auf die FTC und die Generalstaatsanwälte der Bundesstaaten übergeht.
  3. Compliance wird neu ausgerichtet. Anforderungen wie Datenminimierung, Opt-in-Einwilligung und Verbraucherrechte bleiben bestehen, müssen aber künftig auf bundesweite Rahmenwerke statt auf Landesgesetze abgebildet werden.
  4. Eine Plattform für mehrere Rahmenwerke. Architektonische Kontrollen wie ABAC, Verschlüsselung und Audit-Trails ermöglichen es Unternehmen, sich an bundesweite, landesspezifische und branchenspezifische Vorgaben anzupassen, ohne alles neu aufzubauen.

Sieben Jahre lang verlief der US-Datenschutz auf zwei parallelen Gleisen. Die Parlamente der Bundesstaaten verabschiedeten umfassende Datenschutzgesetze — Kalifornien zuerst im Jahr 2018, gefolgt von 20 weiteren —, während der Kongress wiederholt daran scheiterte, ein Bundesgesetz zu verabschieden. Jeder frühere Versuch scheiterte an denselben Streitpunkten: Verdrängung von Landesrecht, privates Klagerecht und parteipolitische Uneinigkeit über den Umfang der Durchsetzung.

Diese Pattsituation wurde am 22. April 2026 aufgebrochen. Republikaner im Repräsentantenhaus brachten zwei aufeinander abgestimmte Gesetzentwürfe ein: den SECURE Data Act (HR 8413) und den GUARD Financial Data Act (HR 8398). Gemeinsam würden sie einen nationalen Standard schaffen und das Flickwerk einzelner Bundesstaaten durch eine umfassende bundesweite Verdrängung ersetzen. Dies geschieht vor dem Hintergrund des White House National Policy Framework for AI (20. März 2026), das eine parallele Verdrängung von Landesgesetzen zu KI vorsieht — explizit wird das Colorado AI Act als Ziel genannt. Der bundesweite Vorstoß zur Verdrängung ist nun eine koordinierte, dreigleisige Strategie, auf die sich Unternehmen jetzt einstellen müssen.

5 Wichtige Erkenntnisse

1. Der bundesweite Vorstoß zur Verdrängung ist jetzt eine koordinierte, dreigleisige Strategie.

Der SECURE Data Act, der GUARD Financial Data Act und das White House AI Framework würden gemeinsam einen einheitlichen nationalen Standard schaffen und das Flickwerk der US-Datenschutz- und KI-Regulierung der letzten sieben Jahre ablösen. Dies ist die bedeutendste Veränderung im US-Datenschutz seit dem CCPA. Die Entscheidungen zur Compliance-Architektur in den nächsten 12 Monaten bestimmen, ob Unternehmen ihre Kontrollen neu abbilden oder komplett neu aufbauen müssen.

2. Einundzwanzig Datenschutzgesetze der Bundesstaaten stehen auf dem Spiel.

Kaliforniens CCPA, Virginias CDPA, Colorados CPA und 18 weitere umfassende Datenschutzgesetze der Bundesstaaten — sowie Register für Datenhändler und das California Delete Act — würden nach dem „Ceiling, not Floor“-Prinzip verdrängt. Die Durchsetzung würde auf die FTC und die Generalstaatsanwälte der Bundesstaaten übergehen, die nach Bundesrecht agieren. Das Flickwerk der Datenschutzgesetze, das Compliance-Investitionen über sieben Jahre geprägt hat, ist nun strukturell gefährdet.

3. Compliance wird nicht einfacher — sie wird neu ausgerichtet.

Der SECURE Data Act schreibt weiterhin Datenminimierung, Verbraucherrechte-Workflows, Opt-in-Einwilligung für sensible Daten, Controller-Processor-Governance und direkte Pflichten für Datenhändler vor. Der GUARD Act ergänzt KI-Offenlegungspflichten für Finanzinstitute. Unternehmen benötigen weiterhin dieselben architektonischen Kontrollen — sie müssen diese lediglich auf ein anderes Rahmenwerk abbilden. Die Kiteworks Prognose 2026 zeigt: 33 % verfügen überhaupt nicht über ABAC-Funktionen.

4. Die KI-Verdrängung erhöht die Anforderungen an die Architektur.

Das White House Framework verdrängt explizit Landesgesetze zur Regulierung der KI-Modellentwicklung, einschließlich des Colorado AI Act. Für Unternehmen, die KI-Agents auf regulierten Daten einsetzen, konsolidiert dies die Compliance-Oberfläche, verringert aber nicht die Durchsetzungsanforderungen. Die bundesweite Kontrolle der KI-Datengovernance nimmt zu, nicht ab — FTC, HHS, SEC und DoD behalten und erweitern ihre eigenen KI-bezogenen Erwartungen.

5. Die architektonische Antwort ist: eine Plattform, mehrere Rahmenwerke.

Unabhängig davon, welches Gesetz verabschiedet wird, sind die zugrundeliegenden Kontrollanforderungen — authentifizierte Identität, attributbasierte Zugriffskontrollen, validierte Verschlüsselung, manipulationssichere Audit-Trails — in jedem Rahmenwerk enthalten. Unternehmen, die Compliance auf Basis architektonischer Kontrollen aufgebaut haben, werden umstellen. Unternehmen, die sich auf konkrete Gesetzestexte einzelner Bundesstaaten stützen, müssen neu aufbauen.

Welche Data Compliance Standards sind entscheidend?

Jetzt lesen

Was der SECURE Data Act tatsächlich bewirkt

Der SECURE Data Act ist das umfassendste bundesweite Datenschutzgesetz für Verbraucher, das seit dem CCPA ernsthafte gesetzgeberische Dynamik erfährt. Die Bestimmungen orientieren sich am Virginia-Modell: Opt-out-Rechte für Verkauf, gezielte Werbung und Profiling; Zugriffs-, Berichtigungs-, Löschungs- und Übertragbarkeitsrechte; Opt-in-Einwilligung für sensible Daten; Controller-Processor-Pflichten und direkte Pflichten für Datenhändler.

Das zentrale Merkmal des Gesetzes ist die Verdrängung. Abschnitt 15 verbietet es den Bundesstaaten, Gesetze zu erlassen oder durchzusetzen, die die Bestimmungen des Gesetzes betreffen. Die California Privacy Protection Agency bezeichnet dies als vollständige Verdrängung — nicht als bundesweiten Mindeststandard, sondern als Obergrenze, die die Regelungen der Bundesstaaten vollständig ersetzt. In ihrem Schreiben an den Kongress weist die CPPA darauf hin, dass 40 Millionen Kalifornier den Zugang zur Delete Request und Opt-out Platform des Staates verlieren würden, falls das Gesetz wie vorgeschlagen verabschiedet wird.

Die Durchsetzung obliegt der FTC und den Generalstaatsanwälten der Bundesstaaten. Ein privates Klagerecht ist nicht vorgesehen. Die Inkrafttretensdaten sind gestaffelt: Ein Jahr (Verbraucherrechte, Datensicherheit, Datenhändler) und zwei Jahre (die meisten anderen Bestimmungen) nach Inkrafttreten. Das Gesetz gilt für Unternehmen, die personenbezogene Daten von mehr als 200.000 US-Bürgern verarbeiten oder mehr als 50 % ihres Umsatzes mit dem Verkauf personenbezogener Daten erzielen — Schwellenwerte, die jedes mittelgroße und große Unternehmen erfassen.

Auffällig fehlt: explizite KI-Bestimmungen. Die KI-Regulierung wird parallel über das White House Framework vorangetrieben. Wer den SECURE Data Act isoliert betrachtet, übersieht die koordinierte Architektur der gesamten Verdrängungsstrategie.

Was der GUARD Financial Data Act ergänzt

Der GUARD Financial Data Act modernisiert den Gramm-Leach-Bliley Act — das seit 1999 geltende Gesetz zum Datenschutz im Finanzsektor. Die beiden Gesetze sind so strukturiert, dass sie sich nicht überschneiden: Der SECURE Data Act schließt GLBA-regulierte Unternehmen aus, der GUARD Act regelt diese.

Der GUARD Act ergänzt Datenminimierung, die Erhebung und Offenlegung auf das „Erforderliche, Relevante und Angemessene“ beschränkt; ein fortlaufendes Opt-out-Recht für Verbraucher; Einschränkungen bei der Nutzung von Zugangsdaten; erweiterte Datenschutzhinweise; Rechte für Kunden und ehemalige Kunden; Löschungsrechte mit Ausnahmen für FCRA und gesetzliche Aufbewahrungspflichten; 45-tägige Antwortfristen; und Opt-in-Einwilligung für sensible, nicht-öffentliche personenbezogene Informationen.

Zwei Bestimmungen verdienen besondere Aufmerksamkeit. Erstens: Verpflichtende Offenlegung, wie Finanzinstitute KI bei der Erhebung, Verarbeitung und Nutzung nicht-öffentlicher personenbezogener Informationen einsetzen — einschließlich der Frage, ob Verbraucherdaten in einem „Covered Nation“ verarbeitet oder offengelegt werden. Zweitens: Der GUARD Act verdrängt ausdrücklich Landesgesetze, die Datenschutz- oder Sicherheitsanforderungen für GLBA-regulierte Finanzinstitute vorsehen — und adressiert damit einen der umstrittensten Punkte im Datenschutz für Finanzdienstleister.

Beide Gesetze zusammen erleichtern Compliance nicht — sie richten sie neu aus. Jeder Workflow zu Verbraucherrechten, jede Datenminimierung, jede Opt-in-Einwilligung und jede Datenhändler-Pflicht, die für Landesgesetze entwickelt wurde, muss auf Bundesanforderungen übertragen werden.

Die KI-Verdrängung erhöht die Anforderungen an die Architektur

Das White House AI Framework empfiehlt dem Kongress, Landesgesetze zur Regulierung der KI-Modellentwicklung zu verdrängen, und weist FTC und FCC an, Regelungen zur bundesweiten Verdrängung auf Basis bestehender Gesetze zu erarbeiten. Das Colorado AI Act wird explizit als Ziel genannt.

Für Unternehmen, die KI-Agents auf regulierten Daten einsetzen, konsolidiert dies die Compliance-Oberfläche, verringert aber nicht die Durchsetzungsanforderungen. Die bundesweite Kontrolle von KI nimmt zu: Die Befugnisse der FTC zur Bekämpfung irreführender Praktiken nach Abschnitt 5 werden ausdrücklich auf das Verhalten von KI-Modellen ausgeweitet. Branchenspezifische Aufsichtsbehörden — HHS für HIPAA, SEC für Finanzberichterstattung, DoD für CMMC — behalten ihre eigenen KI-bezogenen Erwartungen unabhängig von der Verdrängung durch Bundesrecht.

Die Kiteworks Prognose 2026 verdeutlicht die Lücke: 51 % der Unternehmen setzen bereits KI-Agents produktiv ein, aber 41 %–44 % verfügen nicht über grundlegende Governance-Kontrollen wie Human-in-the-Loop-Überwachung, Monitoring und Datenminimierung. Die Eindämmung ist noch schlechter: 55 %–63 % haben weder Purpose Binding, Kill Switches noch Netzwerktrennung. Die bundesweite KI-Verdrängung verlagert die Durchsetzung von fragmentierten Landesbehörden auf die FTC und Branchenaufsichten — beide werden Nachweise für den operativen Betrieb verlangen, nicht nur Richtlinien.

Warum die Compliance-Arbeitslast nicht sinkt

Die Verdrängung ersetzt 21 Datenschutzgesetze der Bundesstaaten durch ein Bundesgesetz sowie weiterhin geltende branchenspezifische Regelungen (HIPAA, GLBA, FERPA, COPPA) und internationale Verpflichtungen (DSGVO, UK GDPR, LGPD, PIPEDA). Ein multinationales Unternehmen muss weiterhin die Anforderungen der DSGVO an die Rechtsgrundlage, die Zweckbindung des SECURE Data Act, das Mindestmaß an Zugriff nach HIPAA, die CMMC-Zugriffskontrollen und die KI-Offenlegungspflichten des GUARD Act gleichzeitig erfüllen.

Die Kiteworks Prognose 2026 quantifiziert den Status der meisten Unternehmen bei den zugrundeliegenden Kontrollen: 33 % fehlt ein Audit-Trail in Beweisqualität, 87 % haben keine gemeinsamen Incident-Response-Pläne mit Partnern, 89 % haben nie Incident Response mit Drittanbietern geübt, 33 % verfügen überhaupt nicht über ABAC-Funktionen.

Diese Kontrollen sind in jedem Rahmenwerk — landesweit, bundesweit, branchenspezifisch, international — grundsätzlich gefordert, nur unter verschiedenen Bezeichnungen. Die zugrundeliegenden Pflichten konvergieren: authentifizierte Identität, attributbasierte Zugriffspolitik, validierte Verschlüsselung, manipulationssichere Audit-Trails, Datenminimierung, Zweckbindung. Diese Elemente finden sich in CCPA, DSGVO, CMMC, HIPAA, PCI DSS, SOX, dem SECURE Data Act und dem GUARD Act — mit unterschiedlichen Begriffen, aber gleichem Kern.

Wie Kiteworks „Eine Plattform, mehrere Rahmenwerke“ umsetzt

Das Kiteworks Private Data Network konsolidiert die Kanäle für den Datenaustausch — E-Mail, Filesharing, SFTP, Managed File Transfer, Web-Formulare, APIs, KI-Integrationen — die im Zentrum jeder Datenschutz- und Compliance-Regulierung stehen, und wendet einheitliche architektonische Kontrollen auf alle an.

Authentifizierte Identität wird durch OAuth 2.0 und SAML/SSO mit kryptografischer Verifikation bei jeder Zugriffsanfrage durchgesetzt. Die Kiteworks Data Policy Engine prüft jede Anfrage anhand attributbasierter Zugriffskontrollen, kombiniert Benutzeridentität (oder KI-Agent), Datenklassifizierung und Anfragekontext in Echtzeit. FIPS 140-3-validierte Verschlüsselung schützt Daten im ruhenden Zustand und während der Übertragung. Der Audit-Trail ist manipulationssicher, kanalübergreifend normalisiert und wird in Echtzeit an SIEM gestreamt.

Vorkonfigurierte Compliance-Dashboards ordnen diese Kontrollen spezifischen Anforderungen zu: DSGVO Artikel 5, 25 und 32; HIPAA §164.312; CMMC 2.0 Zugriffskontrollen; PCI DSS Anforderungen 7 und 10; SOX IT-General Controls; Datenminimierung des SECURE Data Act; KI-Offenlegungspflichten des GUARD Act. Wenn sich das regulatorische Umfeld ändert, bleiben die zugrundeliegenden Kontrollen gleich — nur die Zuordnung ändert sich. Kontrollen einmal aufbauen, für jede neue Regulierung zuordnen.

Was Unternehmen tun sollten, bevor die Gesetze verabschiedet werden

Erstens: Inventarisieren Sie die Kanäle für den Datenaustausch und die darin fließenden regulierten Daten. Die Kiteworks Prognose 2026 zeigt: Nur 33 % der Unternehmen wissen genau, wo ihre sensiblen Daten gespeichert sind — eine Lücke, die unter jedem neuen Rahmenwerk zum Problem wird.

Zweitens: Konsolidieren Sie auf architektonische Kontrollen, die mehrere Rahmenwerke gleichzeitig erfüllen. ABAC, FIPS 140-3-Verschlüsselung, manipulationssichere Audit-Logs und authentifizierte Identität erfüllen CCPA, DSGVO, HIPAA, CMMC, PCI, SOX und die diskutierten Bundesgesetze. 33 % der Unternehmen verfügen überhaupt nicht über ABAC-Funktionen — diese Lücke zu schließen ist der größte Hebel.

Drittens: Bauen Sie die KI-Governance-Schicht jetzt auf, nicht erst nach der Verabschiedung der KI-Verdrängung. 51 % der Unternehmen haben KI-Agents produktiv im Einsatz, aber 55 %–63 % fehlen Containment-Kontrollen. Das AI Data Gateway und der Secure MCP Server liefern die Data-Layer-Governance — authentifizierte Agentenidentität, ABAC, Audit-Logs —, die jedes KI-Rahmenwerk verlangen wird.

Viertens: Schließen Sie die Lücke bei der Drittparteien-Bereitschaft. Beide Gesetze verpflichten zu Kontrollen bei Datenflüssen zu Drittparteien. 87 % der Unternehmen haben keine gemeinsamen IR-Playbooks mit Partnern, 89 % haben nie Incident Response mit Drittanbietern geübt. Die Umstellung auf Bundesrahmenwerke löst diese Koordinationslücke nicht.

Fünftens: Behandeln Sie die Qualität des Audit-Trails als architektonische Grundanforderung. Jedes Rahmenwerk verlangt Nachweise für die Durchsetzung. Die gleiche Lücke, die ein DSGVO-Audit scheitern lässt, führt auch beim CCPA-, HIPAA-, CMMC- und SECURE Data Act-Audit zum Misserfolg. Bauen Sie Audit-Trails in Beweisqualität, bevor eines dieser Rahmenwerke sie fordert.

Die Gesetzgebung ist ungewiss. Die architektonischen Anforderungen sind es nicht.

Erfahren Sie mehr über KI-Datengovernance und regulatorische Compliance und vereinbaren Sie noch heute eine individuelle Demo.

Häufig gestellte Fragen

Diese Landesgesetze würden verdrängt und die Compliance richtet sich nach dem bundesweiten Rahmenwerk. Die materiellen Pflichten sind ähnlich — Opt-out-Rechte, Datenminimierung, Verbraucherrechte-Workflows —, aber die Durchsetzung liegt bei FTC und den Generalstaatsanwälten der Bundesstaaten, ohne privates Klagerecht. Unternehmen, die auf architektonische Kontrollen setzen, können umstellen; wer sich auf konkrete Gesetzestexte stützt, muss neu aufbauen. Die Kiteworks Prognose 2026 zeigt: 33 % fehlt ABAC-Zugriffskontrolle — eine Grundanforderung aller Rahmenwerke.

Der GUARD Act modernisiert GLBA mit neuen Standards zur Datenminimierung, erweiterten Verbraucherrechten (Zugriff, Löschung, Opt-in-Einwilligung für sensible Daten) und verpflichtenden KI-Offenlegungen. Er verdrängt zudem landesspezifische Datenschutzpflichten für GLBA-regulierte Institute. Die Kiteworks Prognose 2026 zeigt: 87 % der Unternehmen fehlt ein gemeinsamer Incident-Response-Plan mit Partnern — eine Lücke, die auch nach der GLBA-Modernisierung unter den Drittparteienpflichten des GUARD Act weiterbesteht.

HIPAA bleibt unverändert — es bleibt das maßgebliche Bundesgesetz für PHI. Das White House AI Framework zielt auf Landesgesetze zu KI, nicht auf branchenspezifische Bundesregulierung. Die Anforderung, dass nur autorisiertes Personal Zugriff auf PHI hat, gilt auch für KI-Agents. FIPS 140-3-Verschlüsselung, ABAC und manipulationssichere Audit-Trails erfüllen HIPAA, unabhängig davon, ob Landesgesetze zu KI verdrängt werden.

CMMC 2.0 bleibt von der bundesweiten Datenschutzverdrängung unberührt — es unterliegt der DoD-Autorität und ist unabhängig vom SECURE Data Act und dem KI-Verdrängungsrahmen. Die Kiteworks Prognose 2026 zeigt: Nur 46 % der DIB-Organisationen halten sich für CMMC-bereit. Data-Layer-Governance mit authentifizierter Agentenidentität, ABAC, FIPS 140-3-Verschlüsselung und manipulationssicheren Logs erfüllt die CMMC-Kontrollfamilien AC, AU und IA, unabhängig davon, wie die Datenschutzverdrängung ausgeht.

Planen Sie auf Basis architektonischer Kontrollen, die alle Rahmenwerke erfüllen: authentifizierte Identität, ABAC, validierte Verschlüsselung, manipulationssichere Audit-Trails. Die Kiteworks Prognose 2026 zeigt: 33 % der Unternehmen fehlt ein Audit-Trail in Beweisqualität — eine Lücke, die CCPA-, DSGVO-, HIPAA-, CMMC-, PCI- und SECURE Data Act-Prüfungen gleichermaßen scheitern lässt. Die Gesetzgebung ist ungewiss, die zugrundeliegenden Kontrollanforderungen sind es nicht.

Weitere Ressourcen

  • Blogbeitrag Das Tauziehen um Ihre Daten: Wie CLOUD und SHIELD Acts Sicherheit und Datenschutz gegeneinander ausspielen
  • Blogbeitrag Sensible Daten schützen: So bringen Sie DSPM mit Ihren Compliance-Zielen in Einklang
  • Kurzbericht Die 3 häufigsten FERPA-Verstöße und wie Sie sie vermeiden
  • Blogbeitrag Executive Order 14117: Schutz sensibler Massendaten von US-Bürgern
  • Blogbeitrag NIS2-Compliance erforderlich? Starten Sie mit ISO 27001

Häufig gestellte Fragen

Der SECURE Data Act soll einen einheitlichen nationalen Datenschutzstandard schaffen, der bestehende Gesetze der Bundesstaaten verdrängt und das Flickwerk aus 21 Datenschutzregelungen durch bundesweit einheitliche Vorgaben zu Verbraucherrechten, Datenminimierung und Pflichten für Datenhändler ersetzt, die von FTC und Generalstaatsanwälten der Bundesstaaten durchgesetzt werden.

Der GUARD Act modernisiert GLBA durch zusätzliche Anforderungen an Datenminimierung, erweiterte Verbraucherrechte wie Löschung und Opt-in-Einwilligung für sensible Daten, KI-Offenlegungspflichten und explizite Verdrängung landesspezifischer Datenschutzgesetze für GLBA-regulierte Finanzinstitute, während der SECURE Data Act diese Unternehmen ausnimmt, um Überschneidungen zu vermeiden.

Das White House National Policy Framework for AI schlägt eine bundesweite Verdrängung von KI-Regulierungen der Bundesstaaten vor und nimmt Gesetze wie das Colorado AI Act explizit ins Visier. Die Durchsetzung verlagert sich auf Bundesbehörden wie die FTC, während branchenspezifische Regelungen wie HIPAA und CMMC bestehen bleiben.

Die Verdrängung ersetzt Landesgesetze durch einen Bundesstandard, aber Unternehmen müssen weiterhin branchenspezifische Vorgaben wie HIPAA und GLBA, internationale Verpflichtungen wie DSGVO und neue Anforderungen wie KI-Offenlegung erfüllen — alle basierend auf denselben architektonischen Kontrollen wie Zugriffsmanagement und Audit-Trails.

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks