Pryvii
Alle Beiträge
Regulatory Updates
21. Februar 2026

Connecticut senkt Schwellenwert für Datenschutzgesetz auf 35.000: Ihre Website ist jetzt betroffen

Ab Mitte 2026 erweitert das Datenschutzgesetz von Connecticut seinen Geltungsbereich dramatisch von 100.000 auf 35.000 Kunden, zusätzlich gibt es neue Beschränkungen für den Verkauf von Daten Minderjähriger. Kleinere Websites, die dachten, sie seien ausgenommen, müssen jetzt möglicherweise konform sein.

Teilen:

Connecticut senkt Schwellenwert für Datenschutzgesetz auf 35.000: Ihre Website ist jetzt betroffen

Stellen Sie sich vor, Sie betreiben eine kleine E-Commerce-Website, die ein Nischenpublikum in Neuengland bedient, und sind sicher, dass Ihre Nutzerbasis unter 100.000 Sie von staatlichen Datenschutzgesetzen befreit. Jetzt stellen Sie sich den 1. Juli 2026 vor: Dieselbe Website fällt plötzlich unter das überarbeitete Data Privacy Act (CDPA) von Connecticut, weil Sie 35.000 Einwohner von Connecticut erreicht haben – oder sogar ein einzelnes Stück sensibler Daten verarbeitet haben. Dies ist kein entferntes hypothetisches Szenario; es ist die neue Realität für Tausende von Unternehmen, da der Senatsbeschluss 1295 die Anwendungsschwellen senkt und die Regeln für die Daten Minderjähriger verschärft.1 2 3

Diese Änderungen, die am 24. Juni 2025 in Kraft getreten sind, erweitern den Geltungsbereich des CDPA dramatisch und ziehen kleinere Websites, Apps und Online-Dienste in ihren Bann, die zuvor unter dem Radar flogen.1 4 Wenn Ihre Operationen Connecticut-Verbraucher berühren – auch indirekt –, ist es Zeit, Ihre Compliance zu überprüfen. Dieser Beitrag erläutert die wichtigsten Änderungen, wer davon betroffen ist und praktische Schritte, um sich vor der Durchsetzung vorzubereiten.

Was hat sich geändert? Eine Aufschlüsselung der wichtigsten Aktualisierungen von SB 1295

Der Gesetzgeber von Connecticut hat den Senatsbeschluss 1295 verabschiedet, um Lücken im ursprünglichen CDPA zu schließen, der am 1. Juli 2026 in Kraft tritt (einige Profiling-Regeln beginnen am 1. August).1 2 Die störendste Änderung? Die Senkung der Schwelle für die Anwendung des Gesetzes.

Gesenkte Anwendungsschwellen

Zuvor richtete sich das CDPA an größere Akteure:

  • Unternehmen, die personenbezogene Daten von 100.000 oder mehr Connecticut-Verbrauchern verarbeiten (ohne Zahlungsdaten), oder
  • Unternehmen, die Daten von 25.000 oder mehr Verbrauchern verarbeiten und mehr als 25 % ihres Umsatzes aus dem Verkauf von Daten erzielen.2 5

Ab 1. Juli 2026:

  • Sinkt auf 35.000 Connecticut-Verbraucher – ohne Umsatzbindung.1 2 3 4 5 6
  • Null-Schwelle, wenn Sie irgendwelche sensiblen Daten verarbeiten (z. B. genaue Geolocation, Gesundheitsinformationen, Finanz-Logins).2 3 5
  • Null-Schwelle, wenn Sie irgendwelche personenbezogenen Daten von Connecticut-Einwohnern verkaufen.2 4 5

Zahlungstransaktionsdaten bleiben von den Zählungen ausgenommen, aber alles andere – wie Tracking-Cookies oder Benutzerprofile – zählt.5 6 Dies erfasst auch kleine Läden, lokale SaaS-Tools und Affiliate-Websites, die den alten Regeln entgangen sind.3

Erweiterte Kategorien sensibler Daten

Die Verarbeitung sensibler Daten löst nun die Compliance aus, unabhängig vom Volumen. Neue Ergänzungen umfassen:

  • Psychische Gesundheitsbehinderungen oder -behandlungen
  • Nichtbinäre oder transidente Status
  • Abgeleitete genetische/biometrische Daten
  • Neuronale Daten
  • Finanzkontonummern, Kartendetails oder Login-Daten (mit Zugangsinformationen)7

Die Verarbeitung sensibler Daten erfordert Zustimmung, und sie muss "angemessen notwendig und verhältnismäßig" zu den angegebenen Zwecken sein – strenger als der alte "angemessene, relevante" Standard.1 5 Der Verkauf sensibler Daten erfordert getrennte Zustimmung.4

Erhöhter Schutz für Minderjährige

Kein Spielraum mehr hier:

  • Vollständiges Verbot des Verkaufs personenbezogener Daten von Minderjährigen unter 18 (aufgestockt von 16; keine Ausnahmeregelung für 13-17-Jährigen).3 4 5
  • Verbotene zielgerichtete Werbung an Minderjährige, mit oder ohne Zustimmung.3 5
  • Verbote von Designmerkmalen, die Minderjährige "einfangen" (z. B. endlose Scrollen, die das Engagement steigern).5
  • Strengere Profiling-Regeln für Minderjährige, plus obligatorische Wirkungsabschätzungen.5

Diese Regelungen entsprechen den Datenschutzgesetzen für Kinder wie COPPA, sind aber direkt in die CDPA-Verpflichtungen integriert.

Andere wichtige Änderungen

  • Profiling-Rechte erweitern sich: Verbraucher können sich von jeglichem Profiling abmelden, das an automatisierte Entscheidungen mit "rechtlichen oder ähnlich bedeutsamen Auswirkungen" gebunden ist – einschließlich Entscheidungen Dritter.5
  • Datenschutzhinweise müssen offenlegen: Kategorien des Datenverkaufs, Verarbeitung zielgerichteter Werbung, Nutzung von LLM-Training, Käufer Dritter und Datum der letzten Aktualisierung. Wesentliche Änderungen erfordern die Möglichkeit, die Zustimmung zurückzuziehen.4
  • Universelle Opt-outs werden ab Januar 2026 anerkannt (z. B. Global Privacy Control).3
  • Keine Heilungsfrist für Verstöße nach den Änderungen – direkt zur Durchsetzung.2

Betrifft dies Ihre Website oder Ihr Unternehmen?

Wenn Sie "Geschäfte in Connecticut tätigen oder Produkte/Dienstleistungen anbieten, die auf dessen Einwohner ausgerichtet sind", sind Sie im Geltungsbereich.2 Ausrichtung umfasst lokalisiertes Marketing, staaten-spezifischen Versand oder IP-basierte Personalisierung – gängig für E-Commerce-Websites.

Schneller Selbstbewertungs-Check:

  • Verfolgen Sie >35.000 CT-Nutzer via Cookies, Logs oder Formulare? (Ja = konform sein.)
  • Verarbeiten Sie irgendwelche sensiblen Daten (z. B. Gesundheits-Tests, Standortdienste)? (Ja = konform sein.)
  • Verkaufen Sie Daten (z. B. an Werbenetzwerke)? Schon ein einziger CT-Datensatz löst dies aus.2 4
  • Bedienen Sie Minderjährige (wissentlich oder durch Altersgrenzen-Lücken)? Neue Verbote gelten universell.5

Kleine Websites mit 40.000 Nutzern landesweit könnten 5.000 aus CT allein verarbeiten – jetzt jenseits der Grenze. Non-Profit-Organisationen, B2B-Tools und Zahlungsprozessoren sind nicht automatisch ausgenommen; prüfen Sie die Schwellenwerte ohne Zahlungen.5 6

Vergleichen Sie mit Kollegen:

Staatliches GesetzAlte SchwelleNeue/Aktuelle SchwelleSensible Daten auslösend?
Connecticut (CDPA)100k Verbraucher35k Verbraucher (2026)Ja, jede Menge 1 2
Kalifornien (CCPA/CPRA)100k Verbraucher oder 50k GeräteKeine ÄnderungTeilweise (Opt-out für sensible)
Colorado (CPA)100k VerbraucherKeine ÄnderungJa, aber höhere Hürden
Virginia (VCDPA)100k VerbraucherKeine ÄnderungBegrenzt

CTs Senkung gehört zu den steilsten und ähnelt den Erweiterungen in Montana oder Oregon.3

Handlungsschritte: Konform sein vor dem 1. Juli 2026

Keine Panik – viele Aktualisierungen stimmen mit den Best Practices von GDPR/CCPA überein. Beginnen Sie jetzt für eine reibungslose Umsetzung.

1. Überprüfen Sie Ihre Datenflüsse (2-4 Wochen)

  • Kartieren Sie die Verarbeitung personenbezogener Daten: Wer, was, wo? Verwenden Sie Tools wie Datenflussdiagramme.
  • Zählen Sie CT-Verbraucher: Überprüfen Sie Analysen (GA4, Server-Logs) auf staaten-spezifischen Traffic. Schließen Sie reine Zahlungen aus.2
  • Kennzeichnen Sie sensible/Minderjährige-Daten: Durchsuchen Sie Formulare, Tracker nach Gesundheit, Standort oder kinderorientierten Inhalten.7

Pro-Tipp: Wenn unter 35k, aber Daten verkaufen, sind Sie drin – überprüfen Sie Ad-Pixel (z. B. Facebook Pixel verkauft oft durch Teilen).4

2. Aktualisieren Sie Richtlinien und Hinweise (1-2 Wochen)

  • Überarbeiten Sie die Datenschutzerklärung mit SB 1295-Offenlegungen: Verkaufskategorien, Ad-Verarbeitung, LLM-Nutzung, Aktualisierungsdaten.4
  • Fügen Sie Verbote für Minderjährige und die Möglichkeit, die Zustimmung bei Änderungen zurückzuziehen, hinzu.
  • Stellen Sie Cookie-Banner bereit, die GPC/universelle Opt-outs berücksichtigen.3

Beispiel-Offenlegungstext:

"Wir verkaufen personenbezogene Daten an Werbenetzwerke für zielgerichtete Werbung. Zuletzt aktualisiert: [Datum]."

3. Implementieren Sie Verbraucherrechte und -kontrollen

  • Bauen/Erweitern Sie Portale für Zugriff, Löschung, Opt-out (Profiling, Verkauf, zielgerichtete Werbung).
  • Für sensible Daten: Gate mit granularen Zustimmungs-Schaltern.
  • Minderjährige: Altersgrenzen + Design-Audits, um Engagement-Haken zu vermeiden.5

Nummerierter Umsetzungsplan:

  1. Integrieren Sie Opt-out-Buttons site-weit (z. B. "Nicht verkaufen/zielgerichtet bewerben").
  2. Testen Sie Profiling-Blockaden für automatisierte Entscheidungen.
  3. Schulen Sie Teams in "proportionierter" Sammlung – schneiden Sie unnötige Tracker.1

4. Durchführen Sie erforderliche Bewertungen

  • Datenschutzbewertungen für risikoreiche Verarbeitung (Verkauf, Profiling, sensible Daten).5
  • Wirkungsabschätzungen für Minderjährige/Profiling (ab August 2026).2 5
  • Dokumentieren Sie alles – Vollstrecker lieben Audit-Spuren.

5. Technik- und Lieferanten-Check

  • Überprüfen Sie Drittanbieter: Verkaufen sie CT-Daten? Aktualisieren Sie DPAs.
  • Cookie-Zustimmung: Stellen Sie sicher, dass sie neue sensible Kategorien abdeckt; Tools wie OneTrust helfen.
  • Überwachen Sie auf neuronale/genetische Daten (z. B. AI-Fitness-Apps).7

Budgetieren Sie 3-6 Monate, wenn Sie von vorne beginnen. Multi-Staaten-Betreiber: Harmonisieren Sie mit CCPA (ähnliche Rechte), aber beachten Sie CTs niedrigere Hürde.3

Mögliche Fallstricke und Durchsetzungsrisiken

Keine Heilungsfrist bedeutet Geldstrafen ab dem ersten Tag – bis zu 7.500 $ pro Verstoß durch den CT-AG.2 Frühe Umsetzer wie Utah sahen schnelle Vergleiche; erwarten Sie, dass CT folgt.

Achten Sie auf:

  • Unterzählte CT-Nutzer: IP-Geofencing verpasst VPNs; verwenden Sie probabilistische Übereinstimmung.
  • Ad-Tech-Fallen: "Verkaufen" umfasst Teilen für Werbung – häufiges Pixel-Problem.4
  • Globale Überlappungen: Wenn GDPR-konform (Art. 9 sensible Verarbeitung), sind Sie voraus; richten Sie Zustimmungen aus.5

Wichtige Erkenntnisse

  • Schwellen-Crash: 100k → 35k CT-Verbraucher; null für sensible/Verkäufe.1 2
  • Minderjährige gesperrt: Keine Verkäufe/Werbung an unter 18-Jährige, jemals.3 4
  • Jetzt handeln: Überprüfen Sie Daten, aktualisieren Sie Hinweise, bauen Sie Opt-outs – 1. Juli rückt näher.
  • Kleinere Websites: Dies ist Ihr Weckruf. Compliance ist besser als Geldstrafen.

Mit proaktiven Schritten machen Sie dies zu einem Vertrauensbildner. Bleiben Sie wachsam – Datenschutzgesetze entwickeln sich schnell.3

Sources

Footnotes

  1. shb.com

  2. measuredcollective.com

  3. bakerdonelson.com

  4. mwe.com

  5. hunton.com

  6. cga.ct.gov

  7. mvalaw.com

Teilen:

Ähnliche Beiträge

Regulatory Updates

Frist für HIPAA Teil 2 verpasst: Was passiert jetzt mit Ihren SUD-Aufzeichnungen?

Die Frist für die Einhaltung von HIPAA Teil 2 am 16. Februar 2026 ist verstrichen. Dieser Beitrag behandelt, was Gesundheits-Websites und betroffene Einrichtungen sofort tun sollten, wenn sie ihre Datenschutzerklärung für Aufzeichnungen über Substanzgebrauchsstörungen nicht aktualisiert haben, einschließlich Sanierungsschritten und Strafbarkeitsrisiken.

Regulatory Updates

Kaliforniens DROP‑Gesetz startet am 1. August: Automatisierung von Löschanfragen

Das neue kalifornische Gesetz zur Löschung von Datenbroker‑Informationen verlangt ab August 2026 die automatisierte Bearbeitung von Verbraucher‑Löschanfragen alle 45 Tage, bei Verstößen $200 pro Tag und Anfrage. Webseiten‑Betreiber, die kalifornischen Traffic erhalten, müssen jetzt die Anforderungen zur Weitergabe an Dienstleister verstehen.

Regulatory Updates

EU-US-Datentransferrahmen: Wie Compliance 2026 aussieht

Mit dem neuesten EU-US-Datentransferabkommen unter Prüfung und möglicher Invalidierung erklären wir, wie Website-Betreiber sich auf Unsicherheit vorbereiten und rechtmäßige grenzüberschreitende Datenflüsse gewährleisten können.

Bleiben Sie konform mit Pryvii

Scannen Sie Ihre Website auf Datenschutz-Compliance-Probleme gemäß 17 Vorschriften einschließlich DSGVO, CCPA und UK GDPR.