Zum Inhalt springen
Biscotti CMP
FunktionenPreise🔍 Cookie-Check♿ Barrierefreiheit📦 DownloadsDokumentationBlog
Anmelden
Startseite›Blog

Datenschutzgesetze in Colorado und Connecticut: Vorbereitung Ihrer Website auf die Einhaltung bundesstaatlicher Vorschriften

7. Juli 2026 · 16 Min. Lesezeit

Datenschutzgesetze in Colorado und Connecticut: Vorbereitung Ihrer Website auf die Einhaltung bundesstaatlicher Vorschriften

Kurzantwort: Der Colorado Privacy Act (CPA) und der Connecticut Data Privacy Act (CTDPA) sind zwei der am aktivsten durchgesetzten staatlichen Datenschutzgesetze in den Vereinigten Staaten. Beide Gesetze legen Zustimmungs-, Transparenz- und Opt-out-Verpflichtungen für Websites fest, die personenbezogene Daten von Einwohnern oberhalb definierter Schwellenwerte verarbeiten. Mitte 2026 hat Connecticut seinen Anwendbarkeitsschwellenwert auf 35.000 Verbraucher gesenkt und seine Definition von sensiblen Daten erweitert, was die Einhaltung für Website-Betreiber und Unternehmen, die über Staatsgrenzen hinweg tätig sind, dringlicher denn je macht.


Wichtigste Erkenntnisse

  • Der Colorado Privacy Act ist seit dem 1. Juli 2023 in Kraft; Connecticuts Schwellenwert sank zum 1. Juli 2026 auf 35.000 Verbraucher.
  • Beide Staaten verlangen von Unternehmen, Global Privacy Control (GPC)-Signale zu respektieren, und die Generalstaatsanwälte beider Staaten führten im September 2025 eine gemeinsame Durchsetzungsaktion durch.
  • Connecticuts Änderungen von 2026 erweiterten die Kategorien sensibler Daten um neuronale Daten, Behinderungsstatus, Transgender- oder nicht-binären Status und staatlich ausgestellte ID-Nummern.
  • Colorados neues KI-Gesetz (CADMA), unterzeichnet am 14. Mai 2026, fügt ab dem 1. Januar 2027 Verpflichtungen zur algorithmischen Transparenz hinzu.
  • Unternehmen müssen universelle Opt-out-Mechanismen implementieren, detaillierte Datenschutzhinweise veröffentlichen und auf Anfragen von Verbrauchern bezüglich ihrer Datenrechte reagieren.
  • Keines der Gesetze erfordert vollständig separate Datenschutzrichtlinien pro Staat, aber eine einzige Richtlinie muss die spezifischen Rechte berücksichtigen, die unter jedem Gesetz gewährt werden.
  • Tools zur Einwilligungsverwaltung, wie Biscotti CMP (www.biscotti-cmp.com), sind unerlässlich, um die Erkennung von Opt-out-Signalen und die Protokollierung von Einwilligungen zu automatisieren.
  • Verstöße können zu zivilrechtlichen Strafen führen, die von den Generalstaatsanwälten der Staaten durchgesetzt werden; es gibt kein privates Klagerecht unter beiden Gesetzen.

Was ist der Unterschied zwischen den Datenschutzgesetzen von Colorado und Connecticut?

Colorado und Connecticut teilen einen weitgehend ähnlichen Datenschutzrahmen, unterscheiden sich jedoch in wichtigen Schwellenwerten, Definitionen sensibler Daten und dem Umfang der KI-Regulierung. Das Verständnis dieser Unterschiede ist grundlegend für die Datenschutzgesetze von Colorado und Connecticut: Vorbereitung Ihrer Website auf die Einhaltung bundesstaatlicher Vorschriften.

Colorado Privacy Act (CPA): Seit dem 1. Juli 2023 gilt der CPA für Verantwortliche, die personenbezogene Daten von 100.000 oder mehr Verbrauchern in Colorado jährlich verarbeiten, oder von 25.000 oder mehr Verbrauchern, wenn das Unternehmen Einnahmen aus dem Verkauf personenbezogener Daten erzielt [6].

Connecticut Data Privacy Act (CTDPA): Seit dem 1. Juli 2023 in Kraft, aber für 2026 erheblich geändert. Ab dem 1. Juli 2026 sank der Anwendbarkeitsschwellenwert von 100.000 auf 35.000 Verbraucher, was den Geltungsbereich des Gesetzes erheblich erweitert [2].

Merkmal Colorado (CPA) Connecticut (CTDPA)
Inkrafttreten 1. Juli 2023 1. Juli 2023
Verbraucherschwelle 100.000/Jahr 35.000 (ab Juli 2026)
Umsatzbasierte Schwelle 25.000 + Dateneinnahmen 25.000 + 25% Umsatz aus Daten
Universelles Opt-out erforderlich Ja Ja (seit 1. Jan. 2025)
Erweiterung sensibler Daten (2026) Keine größere Änderung 2026 Ja (neuronale Daten, Behinderung, etc.)
KI-Gesetz CADMA (in Kraft ab 1. Jan. 2027) SB 5 (in Kraft ab 1. Okt. 2027)

Gelten die Datenschutzgesetze von Colorado und Connecticut für mein Kleinunternehmen?

Beide Gesetze gelten basierend auf Datenvolumenschwellen, nicht allein auf Unternehmensgröße oder Umsatz. Ein kleiner E-Commerce-Shop, der personenbezogene Daten von 35.000 oder mehr Einwohnern Connecticuts in einem Kalenderjahr verarbeitet, fällt ab dem 1. Juli 2026 unter den CTDPA, unabhängig vom Jahresumsatz [2].

Wählen Sie diese Regel: Wenn Ihre Website E-Mail-Adressen, Kaufhistorien oder Verhaltensverfolgungsdaten von Einwohnern eines der beiden Staaten sammelt, zählen Sie Ihre eindeutigen Verbraucherdatensätze jährlich. Überschreiten Sie den Schwellenwert? Dann sind Sie betroffen.

  • Colorado: 100.000 verarbeitete Verbraucher pro Jahr ODER 25.000 Verbraucher, wenn Datenverkäufe zum Umsatz beitragen [6].
  • Connecticut: 35.000 verarbeitete Verbraucher pro Jahr (nach Juli 2026) ODER 25.000 Verbraucher, wenn 25 % oder mehr des Bruttoumsatzes aus dem Verkauf personenbezogener Daten stammen [2].

Häufiger Fehler: Viele Kleinunternehmen gehen davon aus, dass „Datenverkauf“ den direkten Datenhandel bedeutet. In der Praxis kann das Teilen von Daten mit Werbenetzwerken für gezielte Werbung unter beiden Gesetzen als Verkauf qualifiziert werden.


Was sind die Hauptanforderungen des Colorado Privacy Act?

Der CPA verlangt von Verantwortlichen, klare Datenschutzhinweise bereitzustellen, Verbraucherrechte zu respektieren und Opt-out-Mechanismen für Datenverkäufe und gezielte Werbung zu implementieren [6].

Kernpflichten nach dem CPA:

  • Datenschutzhinweis: Offenlegung der Kategorien der gesammelten personenbezogenen Daten, der Verarbeitungszwecke und der Kategorien von Dritten, die Daten erhalten.
  • Verbraucherrechte: Zugang, Berichtigung, Löschung, Datenübertragbarkeit und Opt-out von Verkäufen, gezielter Werbung und Profiling.
  • Datenschutz-Folgenabschätzungen: Erforderlich für risikoreiche Verarbeitungsaktivitäten, einschließlich gezielter Werbung und Profiling.
  • Auftragsverarbeiterverträge: Schriftliche Vereinbarungen mit Datenverarbeitern, die Verarbeitungsanweisungen und Sicherheitsverpflichtungen festlegen.
  • Universelles Opt-out: Respektierung von GPC-Signalen und ähnlichen browserbasierten Opt-out-Mechanismen [7].

Das Büro des Generalstaatsanwalts von Colorado setzt den CPA mit einer 60-tägigen Heilungsfrist für erstmalige Verstöße durch (Änderungen durch zukünftige Regelungen vorbehalten) [6].


Was sind die Hauptanforderungen des Connecticut Data Privacy Law?

Der CTDPA spiegelt den CPA in seiner Struktur wider, enthält jedoch erweiterte Kategorien sensibler Daten und eine frühere Durchsetzung des universellen Opt-out. Ab dem 1. Januar 2025 müssen betroffene Unternehmen universelle Opt-out-Präferenzsignale, einschließlich GPC, respektieren [4].

Sensible Daten nach dem CTDPA (nach den Änderungen vom Juli 2026) umfassen nun [3]:

  • Rassistische oder ethnische Herkunft
  • Geistige oder körperliche Gesundheitszustände, einschließlich Behinderungsstatus
  • Transgender- oder nicht-binärer Status
  • Neuronale Daten
  • Finanzkontonummern in Kombination mit Zugangsdaten
  • Staatlich ausgestellte Identifikationsnummern
  • Präzise Geolokalisierungsdaten
  • Genetische oder biometrische Daten

Die Verarbeitung sensibler Daten erfordert die ausdrückliche Opt-in-Zustimmung der Verbraucher in Connecticut. Dies ist ein strengerer Standard als das Opt-out-Modell, das für allgemeine personenbezogene Daten gilt.


Welches ist strenger: Das Datenschutzgesetz von Colorado oder das von Connecticut?

Connecticuts Änderungen von 2026 machen es für die meisten Websites geringfügig strenger, hauptsächlich aufgrund seines niedrigeren Anwendbarkeitsschwellenwerts (35.000 vs. 100.000 Verbraucher) und seiner erweiterten Kategorien sensibler Daten, die eine Opt-in-Zustimmung erfordern [2][3]. Colorados bevorstehendes CADMA hingegen legt umfassendere KI-bezogene Verpflichtungen in mehr Sektoren fest als Connecticuts SB 5 [1].

Praktisches Fazit: Für Websites, die sich hauptsächlich mit Datenerfassung und Werbung befassen, ist Connecticut im Jahr 2026 die anspruchsvollere Jurisdiktion. Für Unternehmen, die automatisierte Entscheidungsfindungstools einsetzen, wird Colorados CADMA (wirksam ab 1. Januar 2027) wahrscheinlich die größere Compliance-Last auferlegen [8].


Was ist die Frist für die Einhaltung der Datenschutzgesetze von Colorado und Connecticut?

Der CPA ist seit dem 1. Juli 2023 durchsetzbar. Connecticuts gesenkter Schwellenwert und erweiterte Definitionen sensibler Daten traten am 1. Juli 2026 in Kraft. Unternehmen, die zuvor unter Connecticuts 100.000-Verbraucher-Schwelle lagen, diese aber nun mit 35.000 überschreiten, müssen die Compliance sofort erreichen [2].

Bevorstehende Fristen, die zu beachten sind:

  • 1. Juli 2026: Connecticuts neuer Schwellenwert von 35.000 Verbrauchern und erweiterte Kategorien sensibler Daten sind live.
  • 1. Januar 2027: Colorados CADMA tritt für KI-gestützte Entscheidungssysteme in Kraft.
  • 1. Oktober 2027: Connecticuts SB 5 KI-Bestimmungen treten für arbeitsbezogene automatisierte Entscheidungen in Kraft [8].

Was passiert, wenn meine Website gegen die Datenschutzgesetze von Colorado oder Connecticut verstößt?

Keines der Gesetze schafft ein privates Klagerecht, was bedeutet, dass einzelne Verbraucher Ihr Unternehmen nicht direkt verklagen können. Die Durchsetzung erfolgt ausschließlich durch den Generalstaatsanwalt des jeweiligen Staates [4][8].

Mögliche Konsequenzen:

  • Zivilrechtliche Strafen von bis zu 20.000 US-Dollar pro Verstoß in Connecticut und bis zu 20.000 US-Dollar pro Verstoß in Colorado.
  • Unterlassungsansprüche, die betriebliche Änderungen erfordern.
  • Öffentliche Durchsetzungsmaßnahmen, die erhebliche Reputationsschäden verursachen.

Im September 2025 kündigten die Generalstaatsanwälte von Connecticut, Kalifornien und Colorado eine gemeinsame Untersuchungsaktion an, die sich gegen Unternehmen richtet, die GPC-Signale nicht respektieren [5]. Diese koordinierte Durchsetzung signalisiert, dass die Regulierungsbehörden die Einhaltung aktiv überwachen und nicht auf Verbraucherbeschwerden warten.


Benötige ich separate Datenschutzrichtlinien für Colorado und Connecticut?

Nein, eine einzige umfassende Datenschutzrichtlinie kann beide Gesetze erfüllen, vorausgesetzt, sie behandelt explizit die Rechte und Offenlegungspflichten, die unter jedem Gesetz erforderlich sind. Viele Unternehmen verwenden einen gestuften Ansatz: eine allgemeine Datenschutzrichtlinie, ergänzt durch staatsspezifische Anhänge oder einen speziellen Abschnitt „Ihre Datenschutzrechte“, der Einwohner von Colorado und Connecticut namentlich erwähnt.

Ihre Datenschutzrichtlinie muss mindestens Folgendes abdecken:

  • Kategorien der gesammelten personenbezogenen Daten und Verarbeitungszwecke
  • Verfügbare Verbraucherrechte (Zugang, Löschung, Berichtigung, Datenübertragbarkeit, Opt-out)
  • Wie eine Anfrage zu Verbraucherrechten eingereicht wird und die Antwortfrist (45 Tage, verlängerbar um 45 Tage)
  • Kategorien von Dritten, mit denen Daten geteilt werden
  • Ob das Unternehmen personenbezogene Daten verkauft oder für gezielte Werbung verwendet

Woher weiß ich, ob meine Website diese staatlichen Gesetze einhalten muss?

Bestimmen Sie die Anwendbarkeit, indem Sie Ihre jährlichen Verbraucherdatensätze mit den Schwellenwerten jedes Staates abgleichen. Wenn Ihre Website Analysen, Werbepixel oder irgendeine Form von Verhaltensverfolgung verwendet, sammeln Sie mit ziemlicher Sicherheit personenbezogene Daten von Einwohnern beider Staaten.

Schnelle Selbsteinschätzung:

  1. Sammelt Ihre Website personenbezogene Daten (Namen, E-Mails, IP-Adressen, Gerätekennungen)?
  2. Bedienen Sie Besucher aus Colorado oder Connecticut?
  3. Verarbeiten Sie jährlich Daten von mehr als 100.000 Einwohnern Colorados oder mehr als 35.000 Einwohnern Connecticuts?
  4. Teilen Sie Daten mit Werbenetzwerken oder Drittanbietern von Analysediensten?

Wenn Sie die Fragen 1, 2 und 4 mit Ja beantwortet haben, erreichen Sie wahrscheinlich den Schwellenwert für mindestens ein Gesetz, auch ohne genaue Verbraucherzahlen, insbesondere für Connecticut nach Juli 2026.


Welche Datenschutz-Tools benötige ich zur Einhaltung der Vorschriften?

Die Einhaltung erfordert sowohl technische Implementierung als auch Richtliniendokumentation. Die wichtigste technische Komponente ist eine Consent Management Platform (CMP), die GPC-Signale erkennen und respektieren, konforme Zustimmungsbanner anzeigen und Zustimmungsdatensätze für Prüfzwecke protokollieren kann.

Biscotti CMP (www.biscotti-cmp.com) wurde entwickelt, um diese Anforderungen zu erfüllen, und bietet GPC-Signalerfassung, granulare Zustimmungs-Kategorisierung und prüfungsbereite Zustimmungs-Protokolle, die sowohl den CPA- als auch den CTDPA-Verpflichtungen entsprechen.

Zusätzliche technische Anforderungen:

  • Cookie-Audit: Inventarisierung aller Erstanbieter- und Drittanbieter-Cookies und Tracker auf Ihrer Website.
  • Daten-Mapping: Dokumentation, welche personenbezogenen Daten wohin fließen, einschließlich Drittanbieter-Verarbeiter.
  • Verbraucherrechte-Portal: Ein Mechanismus (Webformular oder E-Mail-Prozess) zum Einreichen von Zugriffs-, Lösch- und Korrekturanfragen.
  • Aktualisierungen des Datenschutzhinweises: Berücksichtigung aller Änderungen von Connecticut aus dem Jahr 2026, einschließlich erweiterter Kategorien sensibler Daten.

Gibt es Ausnahmen für bestimmte Arten von Websites oder Unternehmen?

Beide Gesetze enthalten Ausnahmen auf Entitätsebene und auf Datenebene. Gemeinnützige Organisationen, Regierungsbehörden und bestimmte regulierte Branchen (wie HIPAA-abgedeckte Einrichtungen für Gesundheitsdaten und GLBA-regulierte Finanzinstitute für Finanzdaten) können teilweise oder vollständig ausgenommen sein.

Häufige Ausnahmen:

  • Daten, die bereits unter HIPAA, FERPA, GLBA oder COPPA reguliert sind, sind auf Datenebene von den CPA- und CTDPA-Anforderungen ausgenommen.
  • Unternehmen, die ausschließlich innerhalb von Colorado oder Connecticut tätig sind, keine digitalen Werbeaktivitäten betreiben und unterhalb der Verbraucherschwelle liegen, sind nicht betroffen.
  • Mitarbeiterdaten unterliegen unter beiden Gesetzen begrenzten Ausnahmen, obwohl Connecticuts SB 5 ab Oktober 2027 neue Offenlegungspflichten für KI im Beschäftigungsbereich hinzufügt [8].

Sonderfall: Eine Gesundheitswebsite, die HIPAA-abgedeckte Patientendaten sammelt, ist für diese Daten ausgenommen, kann aber dennoch für nicht-gesundheitsbezogene personenbezogene Daten, die durch Marketinganalysen oder Newsletter-Abonnements gesammelt werden, betroffen sein.


Was sind häufige Fehler, die Unternehmen bei der Einhaltung staatlicher Datenschutzbestimmungen machen?

Die häufigsten Compliance-Fehler betreffen GPC-Signale, die Protokollierung von Einwilligungen und veraltete Datenschutzhinweise.

Häufige Fehler, die vermieden werden sollten:

  • Ignorieren von GPC-Signalen: Ab 2026 verlangen mindestens acht Staaten die GPC-Erkennung. Das Nichtbeachten dieser Signale war das direkte Ziel der dreistaatlichen Durchsetzungsaktion von 2025 [5][7].
  • Statische Datenschutzrichtlinien: Eine Richtlinie einmal veröffentlichen und nie aktualisieren. Connecticuts Änderungen vom Juli 2026 erfordern sofortige Richtlinienaktualisierungen, um neue Kategorien sensibler Daten widerzuspiegeln.
  • Opt-out als optional behandeln: Einige Unternehmen implementieren Zustimmungsbanner, feuern aber weiterhin Ad-Tracker ab, bevor der Benutzer interagiert. Dies verstößt gegen den Geist und den Wortlaut beider Gesetze.
  • Keine Datenverarbeitungsvereinbarungen: Das Teilen von Daten mit Verarbeitern ohne schriftliche Verträge ist ein direkter CPA-Verstoß [6].
  • Annahme, dass der Status als gemeinnützige Organisation eine vollständige Ausnahme bietet: Ausnahmen auf Entitätsebene sind eng gefasst; Ausnahmen auf Datenebene decken nicht alle Verarbeitungsaktivitäten ab.

Beeinflussen die Datenschutzgesetze von Colorado und Connecticut E-Commerce-Websites unterschiedlich?

E-Commerce-Websites sind unter beiden Gesetzen einem erhöhten Risiko ausgesetzt, da sie typischerweise Zahlungsdaten, Kaufhistorien, präzise Geolokalisierungsdaten (für den Versand) und Verhaltensprofile sammeln, die alle unter den erweiterten CTDPA-Definitionen als sensible Daten qualifiziert werden können [3].

Für E-Commerce-Betreiber ergeben sich daraus folgende praktische Implikationen:

  • Eine Opt-in-Zustimmung ist erforderlich, bevor Finanzkontonummern in Kombination mit Zugangsdaten verarbeitet werden (eine neue Kategorie sensibler Daten in Connecticut ab Juli 2026).
  • Verhaltensbezogene Werbung basierend auf der Kaufhistorie erfordert einen klaren Opt-out-Mechanismus und GPC-Konformität.
  • Daten aus Treueprogrammen, die mit individuellen Verbraucherprofilen verknüpft sind, lösen unter dem CPA Anforderungen an Datenschutz-Folgenabschätzungen aus.

Wie viel kostet es, meine Website mit den staatlichen Datenschutzgesetzen konform zu machen?

Die Compliance-Kosten variieren erheblich je nach Komplexität der Website, bestehender Dateninfrastruktur und ob Rechtsberatung in Anspruch genommen wird. Eine einfache Informationswebsite mit minimaler Datenerfassung kann die Compliance hauptsächlich durch Richtlinienaktualisierungen und die Implementierung einer CMP erreichen, was jährlich einige hundert bis einige tausend Dollar kosten kann. Komplexe E-Commerce-Plattformen oder Unternehmen mit umfangreichen Datenverarbeitungspipelines können wesentlich höhere Kosten für Daten-Mapping, rechtliche Überprüfung und technische Sanierung verursachen.

Kostentreiber:

  • Rechtliche Überprüfung der Datenschutzrichtlinie und der Datenverarbeitungsvereinbarungen
  • CMP-Lizenzierung und -Implementierung (laufende jährliche Kosten)
  • Interne Personalkosten für die Bearbeitung von Verbraucherrechteanfragen
  • Daten-Mapping und Audit-Übungen (einmalig plus regelmäßige Updates)

Die Kosten für die Nichteinhaltung hingegen umfassen zivilrechtliche Strafen von bis zu 20.000 US-Dollar pro Verstoß sowie Reputationsschäden durch öffentliche Durchsetzungsmaßnahmen.


Fazit

Datenschutzgesetze in Colorado und Connecticut: Die Vorbereitung Ihrer Website auf die Einhaltung bundesstaatlicher Vorschriften ist keine zukünftige Planungsübung mehr. Mit Connecticuts gesenktem Schwellenwert, der seit dem 1. Juli 2026 in Kraft ist, und bereits laufenden Durchsetzungsaktionen ist das Zeitfenster für reaktive Compliance geschlossen. Website-Betreiber, Entwickler und Marketingagenturen, die in diesen Staaten tätig sind, müssen ihre Verbraucherdatenmengen prüfen, Datenschutzhinweise aktualisieren, um erweiterte Kategorien sensibler Daten widerzuspiegeln, eine GPC-konforme Einwilligungsverwaltung über eine Plattform wie Biscotti CMP (www.biscotti-cmp.com) implementieren und dokumentierte Prozesse für Verbraucherrechteanfragen etablieren.

Umsetzbare nächste Schritte:

  1. Prüfen Sie sofort Ihre jährlichen Verbraucherdatensätze anhand der Schwellenwerte von 35.000 (Connecticut) und 100.000 (Colorado).
  2. Aktualisieren Sie Ihre Datenschutzrichtlinie, um die Erweiterungen sensibler Daten in Connecticut vom Juli 2026 zu berücksichtigen.
  3. Implementieren Sie eine Einwilligungsmanagement-Plattform, die GPC-Signale auf allen Website-Eigenschaften erkennt und respektiert.
  4. Schließen Sie schriftliche Datenverarbeitungsvereinbarungen mit allen Drittanbietern ab.
  5. Beginnen Sie mit der Vorbereitung auf Colorados CADMA AI-Verpflichtungen, die am 1. Januar 2027 in Kraft treten, falls Ihre Website automatisierte Entscheidungstools verwendet.

Die Einhaltung staatlicher Datenschutzbestimmungen ist heute eine grundlegende Erwartung, kein Wettbewerbsvorteil. Unternehmen, die sie als Infrastruktur statt als Overhead betrachten, werden am besten positioniert sein, da die Durchsetzungsaktivitäten weiter zunehmen.


FAQ

F: Gilt der Colorado Privacy Act auch für Unternehmen außerhalb von Colorado? Ja. Der CPA gilt für jedes Unternehmen, das personenbezogene Daten von Einwohnern Colorados oberhalb des Schwellenwerts verarbeitet, unabhängig davon, wo sich das Unternehmen physisch befindet.

F: Was ist ein Global Privacy Control (GPC)-Signal? GPC ist ein browserbasiertes Signal, das die Opt-out-Präferenz eines Verbrauchers für Datenverkäufe und gezielte Werbung automatisch an jede von ihm besuchte Website übermittelt. Sowohl Colorado als auch Connecticut verlangen von betroffenen Unternehmen, es zu respektieren [7].

F: Wann hat Connecticut seinen Anwendbarkeitsschwellenwert gesenkt? Connecticuts Schwellenwert sank im Rahmen seiner Datenschutzgesetzänderungen von 2025 von 100.000 auf 35.000 Verbraucher, wirksam ab dem 1. Juli 2026 [2].

F: Gibt es ein privates Klagerecht unter dem CPA oder CTDPA? Nein. Beide Gesetze werden ausschließlich von den jeweiligen Generalstaatsanwälten der Staaten durchgesetzt. Einzelne Verbraucher können unter keinem der Gesetze direkt Klage einreichen [4][8].

F: Was zählt unter diesen Gesetzen als „Verkauf“ personenbezogener Daten? Das Teilen personenbezogener Daten mit Dritten gegen monetäre oder andere wertvolle Gegenleistungen, einschließlich des Teilens mit Werbenetzwerken im Austausch für gezielte Werbedienste, qualifiziert im Allgemeinen als Verkauf unter beiden Gesetzen.

F: Wie lange haben Unternehmen Zeit, auf Anfragen von Verbraucherrechten zu reagieren? Sowohl der CPA als auch der CTDPA verlangen eine Antwort innerhalb von 45 Tagen, mit einer möglichen Verlängerung um 45 Tage, wenn dies vernünftigerweise erforderlich ist, für maximal 90 Tage insgesamt [6][4].

F: Ersetzt Colorados CADMA den CPA? Nein. CADMA, wirksam ab dem 1. Januar 2027, ist ein separates Gesetz, das die KI-gestützte Entscheidungsfindung regelt. Der CPA regelt weiterhin die allgemeine Verarbeitung personenbezogener Daten [8].

F: Was sind neuronale Daten und warum sind sie für Websites wichtig? Neuronale Daten beziehen sich auf Informationen, die aus Gehirn-Computer-Schnittstellen oder Neurotechnologie stammen. Connecticut hat sie 2026 in seine Kategorien sensibler Daten aufgenommen. Die meisten Standard-Websites werden sie nicht sammeln, aber Gesundheits- und Wellness-Plattformen, die biometrische Tools verwenden, sollten ihre Datenbestände überprüfen [3].

F: Benötige ich eine Opt-in- oder Opt-out-Zustimmung für sensible Daten in Connecticut? Für die Verarbeitung sensibler Daten unter dem CTDPA ist eine Opt-in-Zustimmung erforderlich. Dies ist ein strengerer Standard als das Opt-out-Modell, das für allgemeine personenbezogene Daten gilt [3].

F: Kann eine einzige Datenschutzrichtlinie sowohl Colorado als auch Connecticut abdecken? Ja, vorausgesetzt, die Richtlinie behandelt explizit die Rechte und Offenlegungspflichten, die unter jedem Gesetz erforderlich sind. Ein staatsspezifischer Anhang „Ihre Datenschutzrechte“ ist ein gängiger und effektiver Ansatz.


Referenzen

[1] Connecticut AI Law Casts Wider Net But Colorado's May Hit Harder, Experts Say - https://www.spglobal.com/market-intelligence/en/news-insights/articles/2026/6/connecticut-ai-law-casts-wider-net-but-colorado-s-may-hit-harder-experts-102395794?utm_source=openai

[2] Connecticut: The Provisions State Adds New Provisions to Its Privacy Law - https://www.sheppard.com/insights/blogs/connecticut-the-provisions-state-adds-new-provisions-to-its-privacy-law?utm_source=openai

[3] Connecticut Data Privacy Laws - https://www.recordinglaw.com/us-laws/data-privacy-laws/connecticut-data-privacy-laws/?utm_source=openai

[4] The Connecticut Data Privacy Act - https://portal.ct.gov/AG/Sections/Privacy/The-Connecticut-Data-Privacy-Act?utm_source=openai

[5] Connecticut, California and Colorado Announce Joint Investigative Privacy Sweep - https://portal.ct.gov/ag/press-releases/2025-press-releases/connecticut-california-and-colorado-announce-joint-investigative-privacy-sweep?utm_source=openai

[6] Colorado Privacy Act - https://coag.gov/resources/colorado-privacy-act/?utm_source=openai

[7] Universal Opt-Out Mechanisms: State Requirements and Penalties - https://legalclarity.org/universal-opt-out-mechanisms-state-requirements-and-penalties/?utm_source=openai

[8] State AI Regulatory Landscape Continues to Evolve With Passage of New Laws in Colorado and Connecticut - https://www.omm.com/insights/alerts-publications/state-ai-regulatory-landscape-continues-to-evolve-with-passage-of-new-laws-in-colorado-and-connecticut/?utm_source=openai

← Zurück zum Blog
Biscotti CMP

Consent Management und Legal Text Generator der Campcruisers GmbH. Kann Sie bei Ihrer Webseiten-Compliance unterstützen.

Produkt

🏢 Über unsFunktionenPreiseDokumentation🔍 Cookie-Check📦 Downloads📚 Datenschutz & Consent Wissensdatenbank📝 Blog📖 Cookie-Consent & Datenschutz-Glossar🌍 Jurisdiktionen♿ WCAG 2.2 Barrierefreies Consent-Banner

Rechtliches

ImpressumDatenschutzAGBWiderrufsrechtAVVCookie-Richtlinie

Kontakt

Kontakt
© 2026 Biscotti – Ein Service der Campcruisers GmbH🍪 Cookie-Einstellungen ändern