Die Republikaner im Repräsentantenhaus haben am 21. April 2026 den SECURE Data Act eingebracht – einen umfassenden föderalen Gesetzentwurf zum Datenschutz, der alle Verbraucherschutzgesetze auf Bundesstaatsebene in den Vereinigten Staaten durch weitreichenden föderalen Vorrang abschaffen würde. Bei Inkrafttreten würde das Gesetz sofort den CCPA/CPRA in Kalifornien, den CDPA in Virginia, den CPA in Colorado und die Datenschutzrahmen von rund 20 weiteren Bundesstaaten außer Kraft setzen und sie durch einen einzigen föderalen Standard ersetzen, der ausschließlich von der FTC und den Generalstaatsanwälten der Bundesstaaten durchgesetzt wird – ohne Klagerecht für den einzelnen Bürger.
Was ist der SECURE Data Act
Das „Securing and Establishing Consumer Uniform Rights and Enforcement over Data Act“ wurde vom Abgeordneten Joyce aus Pennsylvania im Namen der Republikaner im Repräsentantenhaus eingebracht. Auf dem Papier gewährt der Gesetzentwurf Verbrauchern fünf Grundrechte: Zugang zu ihren persönlichen Daten, Berichtigung ungenauer Datensätze, Löschung von Daten, Datenübertragbarkeit in einem nutzbaren Format und die Möglichkeit, gezielter Werbung und dem Datenverkauf zu widersprechen. Er schreibt außerdem Datenminimierung vor und verlangt die Zustimmung zur Verarbeitung sensibler Kategorien personenbezogener Daten. Ein neues, von der FTC verwaltetes Register für Datenbroker ist ebenfalls enthalten.
Der Gesetzentwurf gilt für Unternehmen, die jährlich Daten von 200.000 oder mehr Verbrauchern verarbeiten und einen Umsatz von 25 Millionen Dollar oder mehr haben, oder für kleinere Unternehmen, bei denen mindestens 25 % des Umsatzes aus dem Verkauf personenbezogener Daten stammen. Diese Schwelle von 25 Millionen Dollar ist deutlich niedriger als die im APRA vorgeschlagene Untergrenze von 40 Millionen Dollar, was bedeutet, dass der SECURE Data Act technisch gesehen mehr kleine Unternehmen abdecken würde – obwohl Kritiker argumentieren, dass in der Praxis seine schwächeren materiellen Schutzmaßnahmen diesen breiteren Anwendungsbereich zunichtemachen.
Das Präemptionsproblem: 20 Staaten verlieren ihre Datenschutzgesetze
Das folgenreichste und umstrittenste Element des SECURE Data Act ist seine Präemptionsklausel. Der Gesetzentwurf würde jedes staatliche Gesetz oder jede Bestimmung aufheben, die sich auf seinen Gegenstand „bezieht“. Dies ist eine absichtlich weit gefasste Formulierung – weit genug, um nicht nur spezielle Verbraucherschutzgesetze wie den CCPA aufzuheben, sondern potenziell auch staatliche Register für Datenbroker, Gesetze zum Schutz biometrischer Daten und bestimmte sektorale Vorschriften.
Der kalifornische CCPA und sein stärkerer Nachfolger CPRA stellen den Goldstandard des US-amerikanischen Verbraucherschutzes dar. Sie geben den Einwohnern Kaliforniens das Recht zu erfahren, welche Daten Unternehmen sammeln, das Recht, diese zu löschen, das Recht, dem Verkauf zu widersprechen, und vor allem ein privates Klagerecht für bestimmte Datenschutzverletzungen. Der SECURE Data Act würde all dies zunichtemachen, die Schutzmaßnahmen Kaliforniens durch ein schwächeres föderales Mindestmaß ersetzen und den Bürgern die Möglichkeit nehmen, ihre Rechte unabhängig vor Gericht durchzusetzen.
Für Datenschützer stellt ein föderaler Vorrang in dieser Form einen Rückschritt, keinen Fortschritt dar. Das Argument für einen föderalen Standard ist die Konsistenz für Unternehmen, die über Staatsgrenzen hinweg operieren – aber diese Logik gilt nur, wenn der föderale Standard mindestens so schützend ist wie die stärksten Gesetze der Bundesstaaten. Der SECURE Data Act ist das nicht. Er wurde entworfen, um die Compliance-Belastung für große Technologieunternehmen und Datenbroker zu verringern, nicht um die individuellen Datenschutzrechte zu stärken.
Kein privates Klagerecht: Die Durchsetzungslücke
Unter dem SECURE Data Act liegt die Durchsetzungsbefugnis ausschließlich bei der FTC und den Generalstaatsanwälten der Bundesstaaten. Es gibt kein privates Klagerecht – das bedeutet, ein US-Bürger, dessen Datenrechte verletzt werden, kann nicht gegen das verantwortliche Unternehmen klagen. Dies ist eine bewusste Entscheidung der republikanischen Verfasser und spiegelt den Ansatz wider, der in früheren föderalen Datenschutzvorschlägen wie APRA gewählt wurde.
Die praktische Auswirkung der Beseitigung privater Klagen als Durchsetzungsmechanismus ist erheblich. Die FTC ist im Verhältnis zur Größe der Datenökonomie, die sie überwachen soll, chronisch unterfinanziert. Die Generalstaatsanwälte der Bundesstaaten haben begrenzte Ressourcen und müssen den schwerwiegendsten Fällen Priorität einräumen. Ohne die Bedrohung durch Sammelklagen, die direkt von Bürgern eingereicht werden, tragen Unternehmen ein weitaus geringeres finanzielles Risiko für Datenschutzverletzungen – und die Anreizstruktur für die Einhaltung der Vorschriften wird entsprechend schwächer.
Was das für Ihren digitalen Datenschutz bedeutet
Wenn der SECURE Data Act in seiner jetzigen Form verabschiedet wird, hätten Amerikaner in Staaten, die derzeit über einen starken Datenschutz verfügen, weniger durchsetzbare Rechte und weniger rechtliche Mittel, wenn diese Rechte verletzt werden. Das Opt-out-Modell des Gesetzentwurfs für gezielte Werbung – bei dem Ihre Daten standardmäßig gesammelt werden und Sie aktiv einen Ausschluss beantragen müssen – ist schwächer als die Opt-in-Zustimmungssysteme, die einige Staaten zu prüfen begonnen haben.
Aus einer praktischen Datenschutzperspektive unterstreicht dieser legislative Vorstoß eine Realität, die VPN-Nutzer bereits verstehen: Rechtliche Rahmenbedingungen sind eine Ebene des Datenschutzes, aber sie sind nicht die einzige, und sie sind nicht dauerhaft. Ein VPN verschlüsselt Ihren Internetverkehr und verbirgt Ihre Browsing-Aktivitäten vor Ihrem ISP, wodurch die Datensammlung auf Netzwerkebene verhindert wird, die Datenschutzgesetze nachträglich zu regulieren versuchen. Da die föderale Datenschutzgesetzgebung unter dem Druck der Industrie zu schwächeren Standards tendiert, werden Datenschutz-Tools auf Netzwerkebene als Basisverteidigung immer wichtiger.
Der Gesetzentwurf muss noch den Ausschuss und beide Kammern des Kongresses passieren. Er stößt auf Widerstand von Organisationen für digitale Rechte und Bundesstaaten, die stark in ihre eigenen Datenschutzrahmen investiert haben. Insbesondere Kalifornien wird einen föderalen Vorrang gegenüber dem CCPA wahrscheinlich nicht ohne einen erheblichen politischen Kampf akzeptieren.
