Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen KITEWORKS ERKUNDEN
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > 20 Bundesstaaten, kein Bundesgesetz und 40 % höhere Kosten

20 Bundesstaaten, kein Bundesgesetz und 40 % höhere Kosten

von Danielle Barbour updated März 26, 2026 DSGVO-Compliance
Lesezeit: 9 Minuten

Die USA verfügen inzwischen über mehr als 20 umfassende Datenschutzgesetze auf Bundesstaatsebene. Das jüngste, Oklahomas SB 546, tritt 2027 in Kraft. Währenddessen bleibt der American Privacy Rights Act (APRA) im Kongress blockiert. Unternehmen müssen daher unterschiedliche Geltungsbereiche, Verbraucherrechte, Durchsetzungsmechanismen und Heilungsfristen in jedem Bundesstaat, in dem sie tätig sind, berücksichtigen.

Wichtige Erkenntnisse

  1. Das Flickwerk der US-Datenschutzgesetze umfasst jetzt über 20 Gesetze – eine bundesweite Lösung ist nicht in Sicht. Unternehmen geben 30–40 % mehr für Datenschutz-Compliance aus als 2023, und die Kosten steigen weiter.
  2. Die DSGVO-Vollstreckung hat sich auf 7,1 Milliarden € an Gesamtbußgeldern summiert, davon 1,2 Milliarden € allein im Jahr 2025. Behörden melden täglich 443 Datenschutzverstöße – ein Anstieg von 22 % gegenüber dem Vorjahr.
  3. Der EU AI Act führt eine Daten-Governance-Pflicht ein, auf die die meisten Unternehmen nicht vorbereitet sind. Herkunftsnachweis von Trainingsdaten, Bias-Monitoring und Zweckbindung für Hochrisikosysteme sind jetzt gesetzliche Pflichten, keine Best Practices mehr.
  4. Grenzüberschreitende Datenübertragungen unterliegen den strengsten Beschränkungen seit einem Jahrzehnt. Neue US-Regeln ahnden vermittelte Transfers in „Länder von besonderem Interesse“ mit Bußgeldern bis zu 368.136 $ pro Verstoß – oder bis zu 20 Jahren Haft bei vorsätzlichen Verstößen.
  5. Unternehmen, die Datenschutz nur als Compliance-Checkliste behandeln, geraten gegenüber denen ins Hintertreffen, die ihn als architektonische Disziplin begreifen. Die Überschneidung von DSGVO, DORA, EU AI Act und immer mehr Bundesstaatengesetzen erfordert einheitliche Governance – kein weiteres Policy-Handbuch.

Die finanziellen Auswirkungen sind real. Laut VantagePoints Analyse „Data Privacy in 2026″ geben Unternehmen heute schätzungsweise 30–40 % mehr für Datenschutz-Compliance aus als noch 2023. Die Kostentreiber sind strukturell: Analyse der Gesetze je Bundesstaat, individuelle Einwilligungslösungen je Rechtsraum und DSAR-Workflows, die je nach Wohnort der betroffenen Person unterschiedliche Fristen und Anforderungen erfüllen müssen.

Mehr Juristen lösen dieses Problem nicht. Es ist ein Architekturproblem. Unternehmen, die Datenschutz weiterhin als Policy-Übung je Rechtsraum betrachten, schaffen eine Kostenstruktur, die mit jedem neuen Gesetz linear wächst. Wer hingegen eine einheitliche Governance-Plattform aufbaut – mit einer Policy-Engine, einem Audit-Trail und einem Einwilligungs-Framework, das sich an verschiedene Rechtsräume anpasst – wandelt diese Kosten in einen Wettbewerbsvorteil um.

Der ISACA State of Privacy 2026 Report unterstreicht den Druck: Datenschutz-Teams schrumpfen (Median von acht auf fünf Mitarbeitende im Jahresvergleich), technische Rollen sind schwer zu besetzen und 54 % der Datenschutzexperten sehen das Verständnis der geltenden Gesetze als größte Kompetenzlücke. Weniger Personal, mehr Gesetze, steigende Kosten – diese Gleichung geht nur in eine Richtung auf.

DSGVO-Vollstreckung erreicht 7,1 Milliarden € – und das Tempo steigt

Seit 2018 haben sich die DSGVO-Bußgelder auf 7,1 Milliarden € summiert, davon 1,2 Milliarden € allein im Jahr 2025. Die Zahl der gemeldeten Datenschutzverstöße lag 2025 bei 443 pro Tag – ein Anstieg um 22 % gegenüber dem Vorjahr. Das ist keine abflachende, sondern eine beschleunigende Entwicklung.

Auch die regionale Verteilung ist aufschlussreich. Irland führt mit 4,04 Milliarden € an Gesamtbußgeldern, maßgeblich durch Metas 1,2-Milliarden-Transferstrafe – die bislang höchste Einzelstrafe unter der DSGVO. TikTok erhielt 530 Millionen € Strafe für Datenübertragungen nach China. Frankreichs CNIL verhängte 2025 Bußgelder in Höhe von 486,8 Millionen €, häufig wegen Cookies, Mitarbeitendenüberwachung und Mängeln bei der Datensicherheit.

Neu ist nicht nur die Höhe der Strafen, sondern auch, was sie auslöst. Die VantagePoint-Analyse zeigt einen entscheidenden Wandel: Behörden ahnden zunehmend strukturelle Kontrollmängel – schwaches Vendor Management, fehlende Verschlüsselung, unzureichende Protokollierung – statt auf einen Vorfall zu warten. Auch der Kiteworks 2026 Data Security and Compliance Risk Forecast Report dokumentiert dieses Muster: Die Vollstreckung verschiebt sich von „was ist passiert“ zu „welche Kontrollen fehlten, als es passierte“.

Die VantagePoint-Analyse benennt zudem sieben typische Datenschutzfehler, die regelmäßig zu Sanktionen führen: Übermäßige Datenerhebung, unklare oder gebündelte Einwilligungen, schwaches Vendor Management, Vernachlässigung des Mitarbeitendendatenschutzes, mangelhafte grenzüberschreitende Schutzmaßnahmen, Datenschutz als Einmalprojekt und fehlende Industrialisierung der DSAR-Bearbeitung. Jeder dieser Punkte ist ein struktureller Mangel, unabhängig von einem konkreten Vorfall – und steht nun im Fokus der Behörden.

Für Unternehmen, die EU-weit tätig sind, ist die Konsequenz klar: Compliance-Nachweise – exportierbare Audit-Trails, kontinuierliche Monitoring-Daten und nachweisbare Kontrollumsetzung – sind die neue regulatorische Währung. Eine Datenschutzrichtlinie, die gut klingt, aber nicht durch operative Daten belegt werden kann, ist ein Risiko, kein Schutz.

Der EU AI Act macht Daten-Governance zur gesetzlichen Pflicht

Der EU AI Act wird bis 2026 schrittweise eingeführt. Seine Anforderungen an Daten-Governance gehören zu den wichtigsten Neuerungen für Security-Teams in Unternehmen. Hochrisiko-AI-Systeme – etwa für Recruiting, Kreditvergabe, Versicherungsprüfung oder Gesundheitswesen – unterliegen nun verbindlichen Vorgaben für Daten-Governance, Bias-Monitoring und Transparenzdokumentation.

Drei Anforderungen stechen hervor. Zweckbindung bedeutet, dass eine Einwilligung für einen bestimmten Zweck – etwa die Bereitstellung einer Dienstleistung – nicht automatisch für das Training eines AI-Modells mit denselben Daten gilt. Unternehmen müssen separate Rechtsgrundlagen schaffen oder explizit informieren. Recht auf Löschung versus trainierte Modelle stellt viele Unternehmen vor Probleme: Sobald personenbezogene Daten Modellparameter beeinflussen, wird die Umsetzung von Löschanfragen nach DSGVO Art. 17 oder CCPA technisch und rechtlich komplex. Der Kiteworks Forecast zeigt: 78 % der Unternehmen können Daten vor dem Training nicht validieren, 53 % können Trainingsdaten nach einem Vorfall nicht wiederherstellen. Bias- und Fairness-Dokumentation verlangt die Erfassung der Zusammensetzung und Qualität der Trainingsdaten sowie explizites Monitoring bei Hochrisiko-Anwendungen.

Der branchenspezifische Druck verschärft sich zusätzlich. Finanzdienstleister müssen AI-basierte Beratung und Entscheidungen mit GLBA-Vorgaben und SEC-Offenlegungspflichten in Einklang bringen. Gesundheitsorganisationen, die AI für klinische Entscheidungen einsetzen, müssen HIPAA-Vorgaben und bundesstaatliche Gesundheitsdatenschutzgesetze beachten. Versicherungen sehen sich neuen Fairness-Regeln für Algorithmen gegenüber, die Erklärbarkeit und Diskriminierungstests verlangen.

Auch Unternehmen, die nicht direkt unter den EU AI Act fallen, sollten ihn nicht ignorieren. Der Kiteworks Forecast zeigt: Organisationen außerhalb des Geltungsbereichs liegen bei allen wichtigen AI-Governance-Kontrollen 22–33 Prozentpunkte zurück. Der Act ist nicht nur eine europäische Regulierung – er wird zum globalen Maßstab für kompetente AI-Governance.

Grenzüberschreitende Datenübertragungen: Dreifacher Druck

Grenzüberschreitende Datenübertragungen stehen 2026 stärker unter Druck als je zuvor. Das EU-U.S. Data Privacy Framework gilt zwar noch, steht aber rechtlich auf dem Prüfstand. Neue US-Regeln ab 2025/2026 beschränken vermittelte Datenübertragungen in bestimmte „Länder von besonderem Interesse“ und drohen mit Bußgeldern bis zu 368.136 $ pro Verstoß sowie bis zu 20 Jahren Haft bei Vorsatz. Das National Defense Authorization Act für das Haushaltsjahr 2026 bringt zusätzliche Vorgaben für Auslandsinvestitionen und Datensicherheit, die grenzüberschreitende Datenaustausch-Arrangements weiter erschweren.

Die VantagePoint-Analyse spricht von einem „dreifachen Druck“: Europäische Behörden verschärfen die Übertragungsmechanismen, US-Behörden beschränken Ausfuhren in gegnerische Staaten und weltweit verlangen Regierungen zunehmend Datenlokalisierung. Der Kiteworks 2026 Data Sovereignty Report quantifiziert die Folgen: Ein Drittel der Unternehmen meldete im letzten Jahr einen Vorfall mit Bezug auf Datensouveränität, davon rund 17 % mit Datenschutzverletzungen und 12 % mit unautorisierten grenzüberschreitenden Transfers.

Für global agierende Unternehmen sind Transfer-Impact-Assessments, Standardvertragsklauseln und Datenresidenz-Kontrollen keine optionalen Compliance-Aufgaben mehr, sondern operative Anforderungen, die architektonisch umgesetzt werden müssen. Wer nicht nachweisen kann, wo Daten gespeichert sind, wie Zugriffe geregelt werden und wie grenzüberschreitende Bewegungen verhindert oder dokumentiert werden, riskiert Sanktionen aus mehreren Rechtsräumen gleichzeitig. Der Kiteworks Data Sovereignty Report zeigt: Rund 72 % der US- und 66 % der kanadischen Befragten sehen Datensouveränität als geschäftskritisch – aber die meisten verfügen noch nicht über die nötige Infrastruktur, um dies auf Plattformebene durchzusetzen.

DORA, DSGVO und die Konvergenz von Security und Datenschutz

Der Digital Operational Resilience Act (DORA) gilt seit Januar 2025 und verpflichtet Finanzinstitute sowie deren kritische ICT-Dienstleister zu umfassendem ICT-Risikomanagement, Incident Reporting, Resilienztests und Drittparteien-Risikomanagement. Zusammen mit der DSGVO entsteht so ein regulatorisches Umfeld, in dem Security und Datenschutz nicht mehr als getrennte Silos funktionieren können.

VantagePoint bezeichnet dies als „Security-Privacy-Konvergenz“ – einen strukturellen Wandel, bei dem ICT-Resilienzplanung, Incident Detection und Benachrichtigung explizit den Schutz personenbezogener Daten berücksichtigen müssen. Datenschutz durch Technikgestaltung ist keine bloße Empfehlung mehr. Nach DSGVO Art. 25, dem EU AI Act und mehreren US-Bundesstaatengesetzen ist es eine gesetzliche Pflicht. Das bedeutet: Datenschutz-Folgenabschätzungen müssen in Architektur-Reviews integriert, datenschutzfreundliche Voreinstellungen in Systemkonfigurationen gesetzt und technische Kontrollen – Verschlüsselung, Zugriffsgovernance, Pseudonymisierung – in die Plattform eingebaut werden, nicht nachträglich ergänzt.

Die VantagePoint-Analyse nennt typische Fehler an der Schnittstelle von Security und Datenschutz: Übermäßige Datenerhebung, unklare oder gebündelte Einwilligungen, schwaches Vendor Management, Vernachlässigung des Mitarbeitendendatenschutzes und unzureichende grenzüberschreitende Schutzmaßnahmen. Jeder dieser Punkte ist zugleich ein Datenschutz-Compliance-Fehler und eine Schwäche der Sicherheitsarchitektur – und Behörden bewerten sie entsprechend.

Automatisierung ist in diesem Umfeld unverzichtbar. Die VantagePoint-Analyse argumentiert klar: Manuelle Datenschutzprogramme sind nicht skalierbar. Empfohlen werden automatisiertes Einwilligungsmanagement, DSAR-Bearbeitung, Datenaufbewahrungs- und Lösch-Workflows, Benachrichtigungsprozesse und Vendor Assessments. Steigende Verbraucheraufmerksamkeit erhöht das DSAR-Volumen, und Unternehmen ohne orchestrierte Workflows riskieren Fristversäumnisse und regulatorische Risiken. Der Kiteworks 2025 Data Forms Survey Report dokumentiert diesen Druck branchenübergreifend: 92 % der befragten Unternehmen müssen die DSGVO einhalten, 58 % PCI DSS, 41 % HIPAA und 37 % CCPA/CPRA – oft gleichzeitig und über dieselben Datenbewegungskanäle.

Wie Kiteworks die Herausforderung der Datenschutz-Konvergenz adressiert

Das regulatorische Umfeld, das VantagePoint, ISACA und die proprietäre Forschung von Kiteworks beschreiben, führt zu einer klaren architektonischen Anforderung: Unternehmen benötigen eine einheitliche Governance-Schicht, die Datenschutzkontrollen, Sicherheitsrichtlinien und Compliance-Nachweise über alle Kanäle hinweg durchsetzt, in denen sensible Daten bewegt werden.

Kiteworks bietet diese Schicht als Kontrollinstanz für sichere Datenbewegungen. Statt Datenschutz mit isolierten Tools zu verwalten – eines für E-Mail-Verschlüsselung, eines für Dateitransfer, ein weiteres für Web-Formulare, ein viertes für AI-Integrationen – konsolidiert Kiteworks die Governance in einer Policy-Engine, einem Audit-Log und einer Sicherheitsarchitektur für sichere E-Mail, Filesharing, SFTP, Managed File Transfer, APIs, Web-Formulare und AI-Datenzugriffe über den Secure MCP Server.

Für DSGVO- und DORA-Compliance liefert Kiteworks vollständige, lückenlose Audit-Trails in Echtzeit – ohne Drosselung, Ausfälle oder Verzögerungen – und damit die Nachweise, die Behörden heute verlangen. Vorgefertigte Compliance-Dashboards sind direkt auf DSGVO, HIPAA, CMMC und andere Frameworks abgestimmt und verkürzen die Audit-Vorbereitung von Monaten auf Stunden.

Für AI Data Governance erzwingt Kiteworks Attribut-basierte Zugriffskontrolle (ABAC) auf Datenebene, sodass AI-Agents – unabhängig vom Modell oder Framework – nur auf Daten zugreifen können, für die sie explizit autorisiert sind. Zweckbindung, zeitlich begrenzter Zugriff und manipulationssichere Protokollierung schließen die Lücken, die der Kiteworks Forecast bei 63 % der Unternehmen identifiziert hat.

Für grenzüberschreitende Transferkontrollen unterstützt Kiteworks Single-Tenant-Private-Cloud-Bereitstellung, geografische Zugriffsbeschränkungen und Verschlüsselungsschlüssel-Verwahrung innerhalb der jeweiligen Rechtsordnung – das architektonische Fundament für nachweisbare Datensouveränität. Das ist kein bloßer Compliance-Anspruch, sondern eine überprüfbare Kontrolle.

Was Datenschutz- und Security-Verantwortliche jetzt tun müssen

Erstens: Kartieren Sie alle Datenflüsse über Rechtsraumgrenzen hinweg und ordnen Sie ihnen eine Rechtsgrundlage zu. Der Kiteworks Data Sovereignty Report zeigt: Ein Drittel der Unternehmen hatte im letzten Jahr einen Souveränitätsvorfall – meist, weil ihnen die Transparenz über die tatsächliche Datenverarbeitung fehlte.

Zweitens: Vereinheitlichen Sie Ihre Audit-Trail-Infrastruktur. Fragmentierte Protokolle über E-Mail, Filesharing, Managed File Transfer und AI-Tools hinweg schaffen genau die Evidenzlücken, die Behörden ausnutzen. Der Kiteworks Forecast fand heraus, dass 33 % der Unternehmen gar keine Audit-Trails haben und 61 % nur fragmentierte, nicht nutzbare Protokolle.

Drittens: Etablieren Sie ein separates Governance-Framework für AI-Trainingsdaten – inklusive Zweckbindung, Herkunftsnachweis und Löschmechanismen. Da 78 % der Unternehmen keine Validierung der Trainingsdaten vornehmen können, ist dies die Compliance-Lücke, die 2026 am ehesten zu Sanktionen führen wird.

Viertens: Operationalisieren Sie Datenschutz durch Technikgestaltung als Architektur-Anforderung, nicht als Policy-Statement. Integrieren Sie Datenschutz-Folgenabschätzungen in Systemdesign-Reviews und setzen Sie Verschlüsselung, Zugriffskontrollen und Pseudonymisierung als Standardkonfigurationen voraus.

Fünftens: Konsolidieren Sie Ihre Tools für Datenbewegungen auf einer einheitlichen Plattform. Die VantagePoint-Analyse, der ISACA State of Privacy Report und der Kiteworks Forecast kommen alle zum gleichen Schluss: Unternehmen, die fünf bis zehn isolierte Tools für sensible Datenbewegungen einsetzen, können Datenschutz, Security und Compliance in einem Umfeld mit 20 Bundesstaatengesetzen, grenzüberschreitenden Anforderungen und AI-Regulierung nicht skalieren.

Die Unternehmen, die 2026 als das Jahr der einheitlichen Data Governance – über Datenschutz, Security, AI und Compliance hinweg – begreifen, werden regulatorischen Druck in operative Resilienz verwandeln. Alle anderen werden weiter Juristen einstellen.

Häufig gestellte Fragen

Anfang 2026 haben über 20 US-Bundesstaaten umfassende Datenschutzgesetze erlassen, jeweils mit eigenem Geltungsbereich, Rechten und Durchsetzungsmechanismen. Der American Privacy Rights Act (APRA) ist weiterhin im Kongress blockiert. Unternehmen, die in mehreren Bundesstaaten tätig sind, müssen unterschiedliche Anforderungen an Einwilligung, DSARs und Heilungsfristen technisch umsetzen – laut VantagePoint-Analyse sind die Compliance-Kosten seit 2023 um 30–40 % gestiegen.

Hochrisiko-AI-Systeme nach EU AI Act – darunter solche für Kreditvergabe und Versicherungsprüfung – erfordern dokumentierte Trainingsdaten-Zusammensetzung, Bias-Monitoring und Durchsetzung der Zweckbindung. Finanzdienstleister müssen diese Vorgaben zudem mit GLBA-Schutzmaßnahmen und SEC-Offenlegungspflichten in Einklang bringen. Der Kiteworks Forecast zeigt: 78 % der Unternehmen können Daten vor dem Training nicht validieren.

Die DSGVO-Vollstreckung konzentriert sich zunehmend auf strukturelle Kontrollmängel – fehlende Verschlüsselung, schwaches Vendor Management, unzureichende Protokollierung – unabhängig davon, ob ein Verstoß vorliegt. Die Gesamtbußgelder betragen seit 2018 7,1 Milliarden €, davon 1,2 Milliarden € allein 2025. Behörden melden inzwischen 443 Datenschutzverstöße pro Tag, und die Durchsetzung zielt immer stärker auf Governance-Mängel statt auf Vorfallsergebnisse.

Das Risiko grenzüberschreitender Datenübertragungen steigt 2026 aus mehreren Richtungen. Das EU-U.S. Data Privacy Framework steht unter rechtlicher Beobachtung, während neue US-Regeln Transfers in „Länder von besonderem Interesse“ mit Bußgeldern bis zu 368.136 $ pro Verstoß beschränken. Der Kiteworks Data Sovereignty Report zeigt: Ein Drittel der Unternehmen meldete im letzten Jahr einen Souveränitätsvorfall, darunter unautorisierte grenzüberschreitende Transfers.

Ja. DORA und DSGVO verlangen ICT-Resilienzplanung, Incident Detection und Benachrichtigungs-Workflows, die den Schutz personenbezogener Daten explizit berücksichtigen. Datenschutz und Security als getrennte Silos führen zu Compliance-Lücken an deren Schnittstelle – etwa Übererhebung, schwaches Vendor Management und fragmentierte Audit-Trails. Die Kiteworks-Plattform vereint diese Funktionen mit einer Policy-Engine und einem Audit-Log über alle Kanäle der Datenbewegung hinweg.

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks