Alle Themen

Der Indiana Consumer Data Protection Act (INCDPA) tritt 2026 in Kraft

von [Autor] am [Datum]

Der Indiana Consumer Data Protection Act (INCDPA): Was Unternehmen jetzt wissen müssen

Die Datenschutzlandschaft der USA bleibt für viele Unternehmen eine Herausforderung. Anders als in der EU gibt es kein einheitliches Bundesgesetz, das die Rechte von Verbrauchern umfassend regelt. Stattdessen entsteht ein Flickenteppich aus einzelstaatlichen Regelungen, dem sich Unternehmen stellen müssen. Ein weiterer wichtiger Teil dieses Mosaiks ist der Indiana Consumer Data Protection Act (INCDPA).

Der INCDPA wurde am 1. Mai 2023 verabschiedet und tritt nach einer großzügigen Vorbereitungszeit von zweieinhalb Jahren am 1. Januar 2026 in Kraft. Damit wird Indiana der siebte US-Bundesstaat mit einem umfassenden Datenschutzgesetz, das ohne übergeordnete Bundesrichtlinien auskommt.

Für Unternehmen, die bereits mit anderen US-Datenschutzgesetzen vertraut sind, bietet der INCDPA einen bekannten Rahmen. Er weist starke Ähnlichkeiten mit dem Virginia Consumer Data Privacy Act (VCDPA) auf und ist in Bezug auf Verbraucherrechte und Unternehmenspflichten auch mit dem Connecticut Data Privacy Act (CTDPA) und dem Colorado Privacy Act (CPA) vergleichbar.

Dennoch sollten die spezifischen Anforderungen des INCDPA nicht unterschätzt werden. Das Gesetz führt wichtige neue Pflichten für Organisationen ein, die die personenbezogenen Daten von Einwohnern Indianas verarbeiten. In diesem Beitrag erfahren Sie alles, was Sie wissen müssen, um sich rechtzeitig vorzubereiten. Den offiziellen Gesetzestext können Sie hier einsehen.

Was ist der Indiana Consumer Data Protection Act (INCDPA)?

Im Kern ist der Indiana Consumer Data Protection Act (INCDPA), oft auch als Indiana CDPA bezeichnet, ein umfassendes Datenschutzgesetz, das darauf abzielt, die persönlichen Daten der Einwohner und Verbraucher von Indiana zu schützen.

Das Gesetz definiert eine klare Datenschutzverantwortung für alle Unternehmen, die in Indiana geschäftlich tätig sind oder ihre Produkte und Dienstleistungen gezielt den Einwohnern des Bundesstaates anbieten. Wenn Ihr Unternehmen also auf den Markt in Indiana ausgerichtet ist, betrifft Sie dieses Gesetz direkt.

Ähnlich wie die meisten US-Datenschutzgesetze, die auf bundesstaatlicher Ebene verabschiedet wurden, legt der INCDPA grundlegende Pflichten für die sogenannten Datenverantwortlichen (Data Controller) fest. Zu den wichtigsten Verpflichtungen für Unternehmen gehören:

  • Bereitstellung von verständlichen Datenschutzhinweisen: Sie müssen transparent darüber informieren, welche Daten Sie sammeln und wie Sie diese verwenden.

  • Zeitnahe Reaktion auf Verbraucheranfragen: Das Gesetz gewährt Verbrauchern bestimmte Rechte, auf deren Anfragen Sie fristgerecht reagieren müssen.

  • Grundsatz der Datenminimierung: Die Erfassung und Verwendung persönlicher Daten muss auf das absolut notwendige Maß beschränkt werden.

Darüber hinaus verankert das Gesetz explizit die Verbraucherrechte in Bezug auf ihre Daten und sieht empfindliche Bußgelder bei Verstößen vor, um die Einhaltung der Vorschriften sicherzustellen.

Für wen gilt der Indiana Consumer Data Privacy Act (INCDPA)?

Wer ist vom INCDPA betroffen? (Anwendbarkeit)

Eine der dringendsten Fragen für Unternehmen ist: Sind wir vom INCDPA betroffen? Die Anwendbarkeit des Gesetzes hängt von spezifischen Schwellenwerten ab.

Grundsätzlich gilt der Indiana Consumer Data Privacy Act für Datenverantwortliche (Unternehmen), die Geschäfte in Indiana tätigen oder ihre Produkte und Dienstleistungen gezielt für Einwohner von Indiana anbieten und innerhalb eines Kalenderjahres eine der folgenden Bedingungen erfüllen:

  1. Sie kontrollieren oder verarbeiten personenbezogene Daten von mindestens 100.000 Einwohnern Indianas. Dies ist die primäre Schwelle, die vor allem Unternehmen mit einer größeren Reichweite im Bundesstaat betrifft.

    ODER

  2. Sie kontrollieren oder verarbeiten personenbezogene Daten von mindestens 25.000 Einwohnern Indianas UND erzielen gleichzeitig mehr als 50 % ihres Bruttoumsatzes aus dem Verkauf personenbezogener Daten. Diese zweite Schwelle zielt speziell auf Unternehmen ab, deren Geschäftsmodell stark auf dem Handel mit Daten basiert, sogenannte Datenbroker.

Es ist entscheidend zu verstehen, dass sich diese Zahlen ausschließlich auf die Einwohner von Indiana beziehen. Wenn Ihr Unternehmen also landesweit viele Kunden hat, aber nur eine geringe Anzahl davon in Indiana ansässig ist, könnten Sie möglicherweise nicht unter das Gesetz fallen – es sei denn, Ihr Geschäftsmodell erfüllt die zweite Bedingung durch den Verkauf personenbezogener Daten. Eine genaue Prüfung Ihrer Kundendaten ist daher unerlässlich.

Verbraucherrechte unter dem Indiana Consumer Data Protection Act

Einwilligung und Opt-out: Das duale System des INCDPA

Das Datenschutzgesetz von Indiana (INCDPA) verfolgt, ähnlich wie die Gesetze in Virginia oder Colorado, primär einen „Opt-out“-Ansatz. Das bedeutet, für die allgemeine Erhebung und Verarbeitung von personenbezogenen Daten ist zunächst keine ausdrückliche Einwilligung der Verbraucher erforderlich.

Die entscheidende Ausnahme von dieser Regel betrifft jedoch sensible personenbezogene Daten. Hier kehrt das Gesetz das Prinzip um und verlangt eine vorherige, ausdrückliche Einwilligung (Opt-in), bevor solche Daten verarbeitet werden dürfen.

Für Unternehmen bedeutet das: Während Sie allgemeine Daten auf Opt-out-Basis verarbeiten können, müssen Sie sicherstellen, dass Sie einen klaren Prozess zur Einholung einer Einwilligung für sensible Informationen etabliert haben. Verbraucher müssen zudem deutlich auf ihr Widerspruchsrecht (Opt-out) hingewiesen werden. Eine Besonderheit des INCDPA ist, dass es Unternehmen nicht explizit dazu verpflichtet, universelle Opt-out-Mechanismen (wie z. B. Global Privacy Control, GPC) anzuerkennen. Das Gesetz enthält zudem sehr spezifische Ausnahmen, etwa für den Einsatz von Gesichtserkennungstechnologie in den Riverboat-Casinos, die gesondert reguliert wird.

Welche Rechte haben Verbraucher unter dem INCDPA?

Ein zentraler Pfeiler des INCDPA ist die Gewährung spezifischer Verbraucherrechte. Diese Betroffenenrechte sind mittlerweile Standard in den meisten modernen Datenschutzgesetzen und bilden die Grundlage für die Bearbeitung von Anfragen (sogenannte DSARs). Das Gesetz ermöglicht es den Einwohnern von Indiana, die folgenden Rechte bei Datenverantwortlichen geltend zu machen:

  • Recht auf Auskunft: Verbraucher können eine Bestätigung darüber verlangen, ob ein Unternehmen ihre personenbezogenen Daten verarbeitet, und auf diese Daten zugreifen.

  • Recht auf Berichtigung: Sie können die Korrektur von unrichtigen Daten verlangen, die sie dem Unternehmen zuvor bereitgestellt haben.

  • Recht auf Löschung: Verbraucher haben das Recht, die Löschung ihrer personenbezogenen Daten zu fordern, die ein Unternehmen über sie erhoben hat.

  • Recht auf Widerspruch (Opt-out): Sie können der Nutzung ihrer Daten für gezielte Werbung, dem Verkauf personenbezogener Daten oder der Verwendung für bestimmte Arten von Profiling widersprechen.

Wer ist vom INCDPA ausgenommen? Wichtige Ausnahmen im Überblick

Nicht jede Organisation, die in Indiana tätig ist, fällt automatisch unter den Anwendungsbereich des INCDPA. Das Gesetz definiert eine Reihe von entity-level Ausnahmen, die bestimmte Organisationstypen von den Verpflichtungen befreien. Dies ist häufig der Fall, wenn diese bereits durch andere branchenspezifische Bundesgesetze reguliert sind.

Bevor Sie mit der Umsetzung der Compliance-Maßnahmen beginnen, ist es daher entscheidend zu prüfen, ob Ihr Unternehmen möglicherweise ausgenommen ist. Zu den wichtigsten Ausnahmen vom Datenschutzgesetz in Indiana gehören:

  • Staat und Regierung: Staatliche Einrichtungen, Behörden und alle kommunalen Organisationen sowie Dritte, die in deren Auftrag handeln.

  • Finanzinstitute: Banken und andere Finanzdienstleister, die bereits den strengen Vorgaben des Bundesgesetzes Gramm-Leach-Bliley Act (GLBA) unterliegen.

  • Gesundheitswesen: Organisationen und Einrichtungen, die dem US-Bundesgesetz zum Schutz von Gesundheitsdaten, dem Health Insurance Portability and Accountability Act (HIPAA), unterworfen sind.

  • Gemeinnützige Organisationen: Non-Profit-Organisationen sind explizit vom Geltungsbereich des INCDPA ausgenommen.

  • Hochschulen und Bildung: Institutionen der höheren Bildung.

  • Öffentliche Versorgungsunternehmen: Bestimmte öffentliche Versorger fallen ebenfalls nicht unter das Gesetz.

Für alle anderen Unternehmen ist es essenziell, die eigene Betroffenheit genau zu analysieren. Wenn keine dieser Ausnahmen zutrifft, sollten Sie die verbleibende Zeit bis zum Stichtag am 1. Januar 2026 nutzen, um Ihre Datenschutzprozesse an die Anforderungen des INCDPA anzupassen.

Die Kernpflichten für Unternehmen: Diese Anforderungen stellt der INCDPA

Das Datenschutzgesetz von Indiana legt eine Reihe klar definierter Pflichten für Verantwortliche (Data Controller) fest. Diese Anforderungen bilden das Herzstück der INCDPA Compliance. Viele dieser Grundsätze sind Unternehmen vertraut, die bereits mit anderen Datenschutzgesetzen wie der DSGVO oder den Gesetzen anderer US-Bundesstaaten arbeiten. Dennoch ist eine genaue Prüfung der Details unerlässlich.

Hier sind die zentralen Anforderungen des INCDPA im Überblick:

  • Grundsatz der Datenminimierung: Erheben Sie nur personenbezogene Daten, die für den von Ihnen festgelegten Zweck „angemessen, relevant und vernünftigerweise notwendig“ sind.

  • Robuste Datensicherheit: Implementieren Sie administrative, technische und physische Sicherheitsmaßnahmen, die dem Umfang und der Art der verarbeiteten Daten entsprechen, um diese vor unbefugtem Zugriff zu schützen.

  • Verbot der Diskriminierung: Die Verarbeitung personenbezogener Daten darf nicht gegen bestehende Antidiskriminierungsgesetze verstoßen.

  • Klare Datenschutzerklärung: Stellen Sie eine transparente, verständliche und leicht zugängliche Datenschutzerklärung bereit. Diese muss detailliert über die Kategorien der verarbeiteten Daten, die Zwecke, die Verbraucherrechte und die Weitergabe von Daten an Dritte informieren. Ein Hinweis auf das Widerspruchsrecht (Opt-out) ist zwingend erforderlich, falls Daten verkauft oder für gezielte Werbung genutzt werden.

  • Einwilligung für sensible Daten: Holen Sie eine ausdrückliche Opt-in-Einwilligung ein, bevor Sie sensible Daten verarbeiten. Der Schutz der Daten von Kindern muss im Einklang mit dem Bundesgesetz Children's Online Privacy Protection Act (COPPA) erfolgen.

  • Datenschutz-Folgenabschätzung (DPIA): Führen Sie eine DPIA für Verarbeitungstätigkeiten durch, die ein erhöhtes Risiko für Verbraucher darstellen. Dazu gehören beispielsweise der Verkauf von Daten, die Verarbeitung sensibler Daten oder gezielte Werbung.

  • Verträge zur Auftragsverarbeitung (AVV): Schließen Sie rechtsverbindliche Verträge mit allen Auftragsverarbeitern (Dienstleistern), die in Ihrem Namen Daten verarbeiten. Diese müssen klare Weisungen und die Rechte und Pflichten beider Parteien enthalten.

Die proaktive Umsetzung dieser Pflichten ist der Schlüssel, um bis zum Stichtag am 1. Januar 2026 rechtskonform zu sein und das Vertrauen der Verbraucher in Indiana zu gewinnen.

Wie unterscheidet sich der INCDPA von der DSGVO?

Für Unternehmen, die bereits DSGVO-konform sind, ist die Vorbereitung auf den INCDPA einfacher, aber es gibt entscheidende Unterschiede:

Merkmal
INCDPA (Indiana)
DSGVO (EU)
Rechtsgrundlage
Hauptsächlich Opt-out (Widerspruch)
Hauptsächlich Opt-in (Einwilligung)
"Verkauf von Daten"
Eng definiert: Nur Austausch gegen Geld
Breiter gefasst, fällt unter Datenweitergabe
Bußgelder
Bis zu 7.500 $ pro Verstoß
Bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes
Betroffenenrechte
Ähnlich, aber weniger umfangreich (z. B. kein Recht auf Datenübertragbarkeit)
Sehr umfassend, inkl. Recht auf Datenübertragbarkeit
Durchsetzung
Nur durch Generalstaatsanwalt
Durch Datenschutzbehörden und private Klagen

 

INCDPA Compliance: So bereiten sich Unternehmen optimal vor

Das Datenschutzgesetz von Indiana wird, ähnlich wie sein Vorbild in Virginia (VCDPA), oft als „unternehmensfreundlich“ bezeichnet. Ein wesentlicher Grund dafür ist die lange Vorbereitungszeit: Mit dem Inkrafttreten am 1. Januar 2026 hat der Gesetzgeber den Unternehmen eine großzügige Frist eingeräumt, um die notwendige INCDPA Compliance sicherzustellen.

Diese verlängerte Frist ist eine strategische Chance für Datenverantwortliche. Sie bietet ausreichend Zeit, um formelle Richtlinien und robuste Verfahren für die Datenerhebung und -verarbeitung zu etablieren. Unternehmen sollten diese Phase jetzt nutzen, um:

  • Sich mit den Vorschriften vertraut zu machen: Verstehen Sie die spezifischen Anforderungen des INCDPA und wie sie sich auf Ihr Geschäftsmodell auswirken.

  • Risikobewertungen durchzuführen: Führen Sie eine sogenannte Datenschutz-Folgenabschätzung (Data Protection Impact Assessment, DPIA) für alle Verarbeitungsaktivitäten mit hohem Risiko durch.

  • Prozesse für Betroffenenanfragen (DSARs) zu implementieren: Schaffen Sie einen klaren und effizienten Rahmen, um zeitnah auf Verbraucheranfragen wie Auskunfts- oder Löschungsforderungen zu reagieren.

 

Häufig gestellte Fragen (FAQs) zum Datenschutzgesetz von Indiana (INCDPA)

Wann tritt der INCDPA in Kraft?

Das Gesetz tritt am 1. Januar 2026 in Kraft. Angesichts des aktuellen Datums (Juli 2025) haben Unternehmen jetzt noch eine gute, aber begrenzte Zeit, um ihre Prozesse anzupassen und die Einhaltung der Vorschriften sicherzustellen. Die lange Vorbereitungszeit seit der Verabschiedung 2023 sollte als strategischer Vorteil genutzt werden.

Wer muss das Gesetz einhalten?

Die Anwendbarkeit des INCDPA ist an Schwellenwerte geknüpft. Ihr Unternehmen ist betroffen, wenn es in Indiana tätig ist oder auf Einwohner von Indiana abzielt UND eine der folgenden Bedingungen erfüllt:

  • Sie kontrollieren oder verarbeiten die personenbezogenen Daten von mindestens 100.000 Einwohnern Indianas.

    ODER

  • Sie kontrollieren oder verarbeiten die Daten von mindestens 25.000 Einwohnern Indianas UND erzielen mehr als 50 % Ihres Bruttoumsatzes aus dem Verkauf personenbezogener Daten.

Wie definiert der INCDPA den „Verkauf von Daten“?

Die Definition für den Verkauf von Daten ist beim INCDPA eng gefasst. Sie beschränkt sich auf den Austausch personenbezogener Daten gegen eine monetäre Gegenleistung. Damit unterscheidet sich das Gesetz von Regelungen in Kalifornien oder Colorado, wo auch andere „wertvolle Gegenleistungen“ als Verkauf gelten können.

Welche Verbraucherrechte gewährt der INCDPA?

Das Gesetz stattet Verbraucher in Indiana mit zentralen Betroffenenrechten aus. Dazu gehören:

  • Recht auf Auskunft: Zu erfahren, ob ihre Daten verarbeitet werden, und auf diese zuzugreifen.

  • Recht auf Berichtigung: Unrichtige persönliche Daten korrigieren zu lassen.

  • Recht auf Löschung: Die Löschung ihrer personenbezogenen Daten zu verlangen.

  • Recht auf Widerspruch (Opt-out): Der Nutzung ihrer Daten für gezielte Werbung, dem Verkauf oder bestimmten Arten von Profiling zu widersprechen.

Welche Organisationen sind vom INCDPA ausgenommen?

Bestimmte Organisationen fallen nicht unter das Gesetz. Zu den wichtigsten Ausnahmen vom INCDPA gehören:

  • Staatliche Einrichtungen und Behörden

  • Finanzinstitute, die dem Gramm-Leach-Bliley Act (GLBA) unterliegen

  • Einrichtungen im Gesundheitswesen, die unter den HIPAA fallen

  • Gemeinnützige Organisationen

  • Hochschulen und öffentliche Versorgungsunternehmen

Wann ist eine Datenschutz-Folgenabschätzung (DPIA) erforderlich?

Eine Datenschutz-Folgenabschätzung (DPIA), im Gesetzestext DSFA genannt, ist für Verarbeitungsaktivitäten mit hohem Risiko zwingend erforderlich. Dazu zählen insbesondere:

  • Der Verkauf personenbezogener Daten

  • Die Verarbeitung für gezielte Werbung

  • Die Verarbeitung sensibler Daten

  • Profiling, wenn es vorhersehbare Risiken birgt

  • Jede andere Aktivität, die ein erhöhtes Schadensrisiko für Verbraucher darstellt

Was ist mit "Global Privacy Control" (GPC)? Müssen wir das Signal anerkennen?

Nein. Der INCDPA verlangt zum jetzigen Zeitpunkt nicht die Anerkennung von universellen Opt-out-Mechanismen wie dem Global Privacy Control (GPC) Signal. Dies ist ein wichtiger Unterschied zu den Gesetzen in anderen Bundesstaaten wie Kalifornien oder Colorado, wo die Anerkennung von GPC verpflichtend ist.

Unternehmen müssen den Verbrauchern zwar eine klare und zugängliche Möglichkeit zum Opt-out bieten (z. B. über einen Link in der Datenschutzerklärung), sind aber nicht gezwungen, automatisierte Browsersignale zu verarbeiten.

 

 
Vorheriger Artikel
← Datenschutz in USA 2025 Vergleich: HIPAA, CCPA/CPRA, TDPSA & Co.
Umfassender und strenger Datenschutz: Das brasilianische LGPD
Umfassender und strenger Datenschutz: Das brasilianische LGPD

Umfassender und strenger Datenschutz: Das brasilianische LGPD

05.09.2024 08:32:18 20 min zu lesen
Datenschutzkonformes Tracking ohne Einwilligung (Cookies) für GA4

Datenschutzkonformes Tracking ohne Einwilligung (Cookies) für GA4

10.01.2025 08:56:43 17 min zu lesen
Was ist Consent Management?
Was ist Consent Management?

Was ist Consent Management?

19.12.2024 09:08:07 15 min zu lesen