Alle Themen

Kentucky KCDPA: Neues Datenschutzgesetz ab 2026 – Sind Sie bereit?

von [Autor] am [Datum]

Die US-Datenschutzlandschaft wächst weiter: Am 4. April 2024 unterzeichnete Gouverneur Andy Beshear den Kentucky Consumer Data Protection Act (KCDPA), womit Kentucky der fünfzehnte Bundesstaat mit einem umfassenden Datenschutzgesetz wurde. Das Gesetz, das am 1. Januar 2026 in Kraft tritt, gibt Unternehmen eine großzügige Frist zur Vorbereitung. In seiner Struktur orientiert sich der KCDPA stark am Virginia Consumer Data Protection Act (VCDPA), was ihn von den einzigartigen Regelungen des kalifornischen CCPA unterscheidet. 

Dieser Artikel gibt Ihnen einen klaren Überblick über die wichtigsten Pflichten des KCDPA und zeigt Ihnen, wie Sie Ihr Unternehmen optimal auf die neuen Regelungen vorbereiten.

Was ist das Kentucky Consumer Data Protection Act (KCDPA)?

Der Kentucky Consumer Data Protection Act (KCDPA) zielt darauf ab, die personenbezogenen Daten der 4,5 Millionen Einwohner Kentuckys zu schützen. Für Unternehmen bedeutet das neue Pflichten bei der Datenverarbeitung. Wir geben Ihnen einen klaren Überblick über die wichtigsten Regelungen.

Das Kernprinzip: Opt-out statt Opt-in

Wie die meisten US-Datenschutzgesetze (z.B. in Virginia oder Colorado) folgt der KCDPA einem Opt-out-Modell. Das bedeutet:

  • Eine vorherige, aktive Einwilligung (Consent) der Nutzer ist für die meisten Datenverarbeitungen nichterforderlich.

  • Unternehmen müssen Verbrauchern aber zwingend eine einfache Möglichkeit zum Widerspruch (Opt-out)bieten, insbesondere für den Verkauf von Daten oder für gezielte Werbung.

Transparenz ist Pflicht: Was müssen Sie offenlegen?

Auch ohne eine generelle Opt-in-Pflicht verlangt der KCDPA umfassende Transparenz. Unternehmen müssen ihren Nutzern – den sogenannten "Verbrauchern" – klar und verständlich erklären:

  • Welche Kategorien personenbezogener Daten erfasst werden.

  • Warum diese Daten erfasst werden (der Verarbeitungszweck).

  • An welche Drittanbieter die Daten möglicherweise weitergegeben werden.

  • Wie Verbraucher von ihrem Widerspruchsrecht (Opt-out) Gebrauch machen können.

Diese Informationen sind typischerweise Teil einer Datenschutzerklärung und entscheidend für die Compliance nach dem KCDPA.

Wen schützt das Gesetz? Die Definition des "Verbrauchers"

Der Schutz des KCDPA gilt für Einwohner Kentuckys, die in einem privaten oder Haushaltskontext handeln. Interaktionen im rein geschäftlichen oder beruflichen Kontext (B2B) fallen nicht unter das Gesetz.

Gilt der KCDPA für Ihr Unternehmen? Schwellenwerte und Ausnahmen im Detail

Mit dem Kentucky Consumer Data Protection Act (KCDPA) stellt sich für viele Unternehmen die Frage nach der eigenen Betroffenheit. Das Gesetz definiert klare Schwellenwerte, die darüber entscheiden, ob Ihr Unternehmen ab dem 1. Januar 2026 die neuen Pflichten erfüllen muss.

Wann ist der KCDPA anwendbar? Die Schwellenwerte

Das Gesetz gilt für jedes Unternehmen, das in Kentucky tätig ist oder Produkte für dessen Einwohner anbietet und eine der folgenden Bedingungen pro Kalenderjahr erfüllt:

  • Bedingung 1: Es kontrolliert oder verarbeitet die personenbezogenen Daten von mindestens 100.000 Verbrauchern.

  • Bedingung 2: Es kontrolliert oder verarbeitet die Daten von mindestens 25.000 Verbrauchern UND erzielt mehr als 50 % seines Bruttoumsatzes aus dem Verkauf dieser Daten.

Ein wichtiger Unterschied zu Gesetzen wie dem CCPA in Kalifornien ist, dass es keine reine Umsatzschwelle gibt. Die Anwendbarkeit hängt also primär vom Datenvolumen ab. Die Pflichten gelten dabei sowohl für den Controller(Datenverantwortlichen) als auch für den Processor (Auftragsverarbeiter).

Wer ist ausgenommen? Wichtige Ausnahmen im Überblick

Um Konflikte mit bestehenden Regelungen zu vermeiden, sieht der KCDPA eine Reihe von Ausnahmen vor. Diese gelten sowohl für bestimmte Organisationen als auch für spezifische Datenkategorien.

Ausgenommene Organisationen:

  • Staatliche und behördliche Einrichtungen

  • Gemeinnützige Organisationen (Non-Profits)

  • Hochschuleinrichtungen

  • Finanzinstitute, die unter den Gramm-Leach-Bliley Act (GLBA) fallen

  • Gesundheitsorganisationen, die dem Health Insurance Portability and Accountability Act (HIPAA)unterliegen

Ausgenommene Daten: Neben ganzen Organisationen sind auch Daten ausgenommen, die bereits durch andere Bundesgesetze streng reguliert sind. Dazu gehören insbesondere Gesundheitsdaten (gemäß HIPAA), Finanzdaten (gemäß Fair Credit Reporting Act) und Bildungsdaten (gemäß FERPA). Zudem sind Unternehmen, die bereits die Anforderungen des Children's Online Privacy Protection Act (COPPA) erfüllen, in Bezug auf die elterliche Zustimmung automatisch KCDPA-konform.

Die wichtigsten Definitionen des KCDPA: Welche Begriffe Sie kennen müssen

Um die Anforderungen des Kentucky Consumer Data Protection Act (KCDPA) zu erfüllen, ist das Verständnis der zentralen Begriffe unerlässlich. Wir haben die wichtigsten Definitionen für Sie aufbereitet.

Personenbezogene und Sensible Daten gemäß KCDPA

  • Personenbezogene Daten: Definiert als „alle Informationen, die mit einer identifizierten oder identifizierbaren Person verknüpft sind“. Dies umfasst gängige Beispiele wie Namen, E-Mail-Adressen oder IP-Adressen. Ausgenommen sind anonymisierte oder öffentlich zugängliche Daten.

  • Sensible Daten: Eine besonders geschützte Unterkategorie von Daten, die bei Missbrauch Schaden anrichten können. Dazu gehören:

    • Rassische oder ethnische Herkunft

    • Religiöse Überzeugungen & Sexuelle Orientierung

    • Gesundheitsdiagnosen

    • Biometrische und genetische Daten zur Identifizierung

    • Daten von Kindern unter 13 Jahren

    • Präzise Geolokalisierungsdaten

Die Akteure: Controller und Processor unter dem KCDPA

  • Controller (Verantwortlicher): Das Unternehmen oder die Person, die über den Zweck und die Mittel der Datenverarbeitung entscheidet.

  • Processor (Auftragsverarbeiter): Das Unternehmen oder die Person, die Daten im Auftrag eines Controllers verarbeitet.

 

Verkauf personenbezogener Daten im Rahmen der KCDPA
  • Verkauf personenbezogener Daten: Hier liegt ein entscheidender Unterschied zu anderen Gesetzen! Der KCDPA definiert einen „Verkauf“ sehr eng als den Austausch von Daten ausschließlich gegen eine finanzielle Gegenleistung. Der Austausch gegen andere wertvolle Güter, wie es der CCPA in Kalifornien definiert, gilt hier nicht als Verkauf.
Gezielte Werbung im Rahmen der RIDTPPA
  • Gezielte Werbung (Targeted Advertising): Bezieht sich auf Werbung, die auf Basis von Nutzerdaten ausgewählt wird, die über verschiedene, nicht verbundene Webseiten hinweg gesammelt wurden.
  • Ausgenommen sind hier kontextbezogene Anzeigen, First-Party-Werbung oder reine Reichweitenmessungen.
Einwilligung nach dem RIDTPPA

Einwilligung (Consent): Muss eine „klare, bejahende Handlung“ sein – also eine freiwillige, spezifische, informierte und unmissverständliche Zustimmung zur Datenverarbeitung.

 

KCDPA-Verbraucherrechte: Diese 5 Rechte müssen Unternehmen umsetzen

Der Kentucky Consumer Data Protection Act (KCDPA) stärkt die Datenschutzrechte der Verbraucher und erlegt Unternehmen damit klare Pflichten auf. Im Zentrum stehen fünf Betroffenenrechte, für deren Bearbeitung jedes betroffene Unternehmen einen Prozess implementieren muss.

Die 5 zentralen Verbraucherrechte im Überblick:

  • Recht auf Auskunft: Verbraucher können von Ihnen bestätigen lassen, ob Sie ihre Daten verarbeiten, und haben das Recht auf Zugang zu diesen Daten. (Eine Ausnahme besteht, wenn dies die Offenlegung von Geschäftsgeheimnissen erfordern würde.)

  • Recht auf Berichtigung: Ihre Kunden haben das Recht, unrichtige personenbezogene Daten korrigieren zu lassen.

  • Recht auf Löschung: Verbraucher können die Löschung ihrer personenbezogenen Daten verlangen (mit gesetzlichen Ausnahmen).

  • Recht auf Datenübertragbarkeit: Kunden können eine Kopie ihrer Daten in einem gängigen, maschinenlesbaren und leicht übertragbaren Format anfordern.

  • Recht auf Widerspruch (Opt-out): Dies ist ein zentrales Recht. Verbraucher können der Verarbeitung ihrer Daten für folgende Zwecke jederzeit widersprechen:

    • Verkauf personenbezogener Daten

    • Gezielte Werbung (Targeted Advertising)

    • Profiling, das rechtliche oder ähnlich bedeutsame Auswirkungen hat

Wichtige Einschränkung: Kein privates Klagerecht

Ein entscheidender Punkt für die Risikobewertung von Unternehmen: Der KCDPA sieht kein privates Klagerecht vor. Das bedeutet, Verbraucher können Unternehmen nicht direkt wegen eines Verstoßes verklagen. Die Durchsetzung obliegt allein dem Generalstaatsanwalt von Kentucky.

Einwilligung nach KCDPA: Das müssen Unternehmen über das Opt-out-Modell wissen

Das Einwilligungsmanagement (Consent Management) nach dem Kentucky Consumer Data Protection Act (KCDPA) orientiert sich stark an anderen US-Datenschutzgesetzen und setzt primär auf ein Opt-out-Modell. Für Unternehmen bedeutet das jedoch nicht, dass eine Einwilligung nie erforderlich ist.

Die Grundregel: Das Opt-out-Prinzip

Für die allgemeine Verarbeitung personenbezogener Daten verlangt der KCDPA keine vorherige aktive Zustimmung. Stattdessen müssen Unternehmen den Verbrauchern ein klares und leicht zugängliches Recht auf Widerspruch (Opt-out) einräumen. Dieses Opt-out-Recht muss insbesondere für folgende Zwecke angeboten werden:

  • Den Verkauf personenbezogener Daten

  • Gezielte Werbung (Targeted Advertising)

  • Profiling, das rechtliche oder ähnlich bedeutsame Auswirkungen hat

Die Ausnahme: Wann eine aktive Einwilligung (Opt-in) Pflicht ist

Eine vorherige, aktive Zustimmung ist zwingend erforderlich bei der Verarbeitung von:

  • Sensiblen personenbezogenen Daten

  • Personenbezogenen Daten von Kindern (gemäß COPPA)

Die praktische Umsetzung mit einer Consent Management Platform (CMP)

Für die technische Umsetzung des Opt-out-Rechts nutzen die meisten Unternehmen eine Consent Management Platform (CMP). Sie sorgt dafür, dass:

  • Verbraucher transparent über die Datenverarbeitung informiert werden.

  • Tracking-Technologien blockiert werden, sobald ein Nutzer sein Opt-out-Recht ausübt.

  • Die Einhaltung der Compliance über verschiedene Gesetze hinweg erleichtert wird.

Da es in den USA kein einheitliches Bundesgesetz gibt, ist eine flexible Lösung entscheidend. Eine CMP kann das Cookie-Banner je nach Standort des Nutzers anpassen und so helfen, die unterschiedlichen Anforderungen von KCDPA, CCPA und der europäischen DSGVO zu erfüllen.

KCDPA-Pflichten: Ein Leitfaden für Unternehmen zu Datenschutz & Compliance

Der Kentucky Consumer Data Protection Act (KCDPA) erlegt Unternehmen ("Controllern") und ihren Dienstleistern ("Processors") eine Reihe spezifischer Verpflichtungen auf. Um die Compliance bis zum 1. Januar 2026 zu gewährleisten, müssen die folgenden Bereiche abgedeckt werden.

1. Interne Governance: Strategie, Sicherheit & Bewertungen

  • Zweckbindung & Datensparsamkeit: Die Erhebung von Daten muss auf das beschränkt sein, was für den offengelegten Zweck „angemessen, relevant und vernünftigerweise notwendig“ ist.

  • Datensicherheit: Unternehmen müssen angemessene administrative, technische und physische Sicherheitsmaßnahmen implementieren, um die Vertraulichkeit und Integrität der Daten zu schützen.

  • Datenschutz-Folgenabschätzung (DPIA): Vor Beginn von Aktivitäten mit hohem Risiko ist eine Bewertung zwingend erforderlich. Dazu gehören der Verkauf personenbezogener Daten, gezielte Werbung, risikoreiches Profiling und die Verarbeitung sensibler Daten.

2. Transparenz & Interaktion mit Verbrauchern

  • Die Datenschutzerklärung: Jedes Unternehmen muss eine klare und zugängliche Datenschutzerklärung bereitstellen, die über folgende Punkte informiert:

    • Kategorien und Zwecke der verarbeiteten Daten.

    • Weitergabe von Daten an Dritte.

    • Eine Anleitung zur Ausübung der Verbraucherrechte inklusive des Beschwerdeverfahrens.

  • Einwilligungsmanagement (Consent): Das Gesetz folgt einem Opt-out-Modell. Eine aktive Einwilligung (Opt-in) ist jedoch für sensible Daten und Daten von Kindern (gemäß COPPA) erforderlich. Wichtig: Ein universeller Opt-out-Mechanismus wie die Global Privacy Control (GPC) muss nicht anerkannt werden.

  • Bearbeitung von Betroffenenrechten: Anfragen von Kunden müssen innerhalb von 45 Tagen beantwortet werden (mit einer einmaligen Verlängerungsoption). Auch für das Beschwerdeverfahren bei Ablehnung gibt es klare Fristen.

  • Das Recht auf Nichtdiskriminierung: Unternehmen dürfen Kunden nicht benachteiligen, wenn diese ihre Datenschutzrechte ausüben. Freiwillige Anreiz- und Bonusprogramme bleiben jedoch ausdrücklich erlaubt.

3. Zusammenarbeit mit Dienstleistern

  • Datenverarbeitungsverträge (DPA): Die Zusammenarbeit zwischen Controllern und Processors muss durch Verträge geregelt sein, die klare Anweisungen zur Datenverarbeitung, deren Zweck, Dauer und die Pflicht zur Vertraulichkeit enthalten.

  • Besondere Haftungsregelung: Ähnlich wie einige andere US-Gesetze sieht der KCDPA eine Haftungsausnahme vor. Eine Partei haftet nicht für Verstöße der anderen, wenn zum Zeitpunkt der Datenweitergabe keine Kenntnis von einer Verletzungsabsicht bestand.

KCDPA-Durchsetzung: Welche Strafen drohen bei Verstößen?

Die Durchsetzung des Kentucky Consumer Data Protection Act (KCDPA) ist klar geregelt und enthält eine wichtige, unternehmensfreundliche Komponente: eine 30-tägige Heilungsfrist. Hier erfahren Sie, wer das Gesetz durchsetzt und welche Strafen bei Verstößen drohen.

Wer setzt das Gesetz durch?

Die alleinige Befugnis zur Durchsetzung liegt beim Generalstaatsanwalt von Kentucky. Verbraucher haben kein privates Klagerecht, können also nicht selbst klagen. Sie können jedoch Beschwerden über mögliche Verstöße direkt bei der Generalstaatsanwaltschaft einreichen, was oft der Auslöser für eine Untersuchung ist.

Der entscheidende Faktor: Die 30-tägige Heilungsfrist ("Cure Period")

Bevor der Generalstaatsanwalt rechtliche Schritte einleitet, muss er dem betroffenen Unternehmen eine schriftliche Mitteilung über den mutmaßlichen Verstoß zusenden. Das Unternehmen hat dann 30 Tage Zeit, den Mangel zu beheben (sog. "Cure Period").

  • Wird der Verstoß innerhalb der Frist behoben, muss das Unternehmen dies dem Generalstaatsanwalt schriftlich bestätigen. In diesem Fall werden keine Strafen verhängt.

  • Diese Heilungsfrist ist ein permanenter Bestandteil des Gesetzes und bietet Unternehmen eine faire Chance, Fehler zu korrigieren.

Wann drohen Bußgelder nach dem KCDPA?

Strafen werden nur dann verhängt, wenn ein Unternehmen:

  • den Verstoß nicht innerhalb der 30-tägigen Frist behebt,

  • oder gegen seine eigene schriftliche Bestätigung verstößt und den Fehler wiederholt.

In diesen Fällen können zivilrechtliche Bußgelder von bis zu 7.500 US-Dollar pro Verstoß verhängt werden.

KCDPA-Update: Kentucky passt Datenschutzgesetz noch vor Inkrafttreten an

Noch bevor der Kentucky Consumer Data Protection Act (KCDPA) am 1. Januar 2026 in Kraft tritt, hat der Gesetzgeber mit dem Gesetz HB 473 am 15. März 2025 bereits wichtige Anpassungen vorgenommen. Diese Änderungen betreffen vor allem die Bereiche Gesundheit (HIPAA) und die Anforderungen an Datenschutz-Folgenabschätzungen (DPIAs).

Update 1: Erweiterte Ausnahmen für Gesundheitsdaten (HIPAA)

Das Update schafft mehr Klarheit für Unternehmen im Gesundheitssektor. Es werden zwei zentrale Ausnahmen von den KCDPA-Anforderungen präzisiert:

  • Geschützte Gesundheitsinformationen: Daten, die von Organisationen, die dem HIPAA unterliegen, bereits als geschützte Gesundheitsinformationen (PHI) gepflegt werden, sind nun explizit ausgenommen.

  • Begrenzte Datensätze ("Limited Data Sets"): Auch Informationen, die von HIPAA-konformen Unternehmen in sogenannten "Limited Data Sets" gehalten werden, fallen nicht unter den Geltungsbereich des KCDPA.

Update 2: Angepasste Regeln für die Datenschutz-Folgenabschätzung (DPIA)

Die Pflicht zur Durchführung einer DPIA bei der Erstellung von Profilen (Profiling) wurde eingeschränkt. Eine solche Bewertung ist nun nur noch dann erforderlich, wenn das Profiling ein Risiko für "rechtswidrige unterschiedliche Auswirkungen" birgt. Das bedeutet, eine DPIA ist vor allem dann notwendig, wenn die Gefahr besteht, dass Mitglieder einer geschützten Gruppe unverhältnismäßig benachteiligt werden.

Diese Änderungen des KCDPA treten gemeinsam mit dem Hauptgesetz am 1. Januar 2026 in Kraft und sind für die Vorbereitung Ihrer Compliance-Strategie von entscheidender Bedeutung.

KCDPA-Compliance: So bereiten Sie Ihr Unternehmen auf 2026 vor

Unternehmen haben bis zum 1. Januar 2026 Zeit, um die Anforderungen des Kentucky Consumer Data Protection Act (KCDPA) umzusetzen. Wenn Sie bereits andere US-Datenschutzgesetze einhalten, haben Sie einen klaren Startvorteil, da viele Anforderungen, wie das Opt-out-Recht, deckungsgleich sind. Dennoch ist eine gezielte Vorbereitung unerlässlich.

Ihr Fahrplan zur KCDPA-Compliance:

  1. Bestehende Prozesse nutzen: Analysieren Sie Ihre bisherigen Compliance-Maßnahmen. Prozesse für das Einwilligungsmanagement oder die Datenschutzerklärung, die Sie für andere Gesetze etabliert haben, bilden eine hervorragende Grundlage.

  2. „Privacy by Design“ als Grundprinzip: Verankern Sie den Datenschutz von Beginn an in Ihren Prozessen und Technologien. Dieser Ansatz hilft nicht nur bei der Einhaltung des KCDPA, sondern verbessert auch das Vertrauen Ihrer Kunden und die Effizienz Ihrer gesamten Datenverarbeitung.

  3. Setzen Sie auf die richtigen Tools: Eine professionelle Consent Management Platform (CMP) ist ein zentrales Werkzeug. Sie hilft Ihnen, die Einwilligung für Cookies und Tracker rechtssicher zu managen, das Opt-out-Recht technisch umzusetzen und die geforderten Transparenzpflichten zu erfüllen.

  4. Holen Sie sich Expertenrat: Die Datenschutzlandschaft entwickelt sich ständig weiter. Um langfristig konform zu bleiben, ist die Zusammenarbeit mit qualifizierten Rechtsexperten oder einem externen Datenschutzbeauftragten (DSB) dringend zu empfehlen. Sie stellen sicher, dass Ihre Maßnahmen nicht nur heute, sondern auch in Zukunft den gesetzlichen Anforderungen entsprechen.

Beginnen Sie frühzeitig mit der Vorbereitung, um die Frist am 1. Januar 2026 sicher einzuhalten und kostspielige Risiken zu vermeiden.

Fazit: Handeln Sie jetzt, um für 2026 gerüstet zu sein

Der Kentucky Consumer Data Protection Act (KCDPA) reiht sich in die wachsende Liste der US-Datenschutzgesetze ein und erfordert eine gezielte Vorbereitung. Die unternehmensfreundliche 30-tägige Heilungsfrist bietet zwar eine gewisse Sicherheit, doch die Grundlage dafür ist eine solide und proaktive Compliance-Strategie, die bis zum 1. Januar 2026 etabliert sein muss.

Doch Sie müssen diese Herausforderung nicht allein meistern. Unser Team aus Datenschutz-Experten steht bereit, um Ihre spezifische Situation zu analysieren und einen klaren Fahrplan für Ihre KCDPA-Compliance zu entwickeln.

 
Vorheriger Artikel
← Der Indiana Consumer Data Protection Act (INCDPA) tritt 2026 in Kraft
Der Indiana Consumer Data Protection Act (INCDPA) tritt 2026 in Kraft
Indiana Consumer Data Protection Act

Der Indiana Consumer Data Protection Act (INCDPA) tritt 2026 in Kraft

26.08.2025 12:15:22 8 min zu lesen
Was ist Server Side Tracking? Eine einfache Erklärung
Server Side Tracking einfach erklärt

Was ist Server Side Tracking? Eine einfache Erklärung

30.10.2024 14:37:24 11 min zu lesen
Datenschutzkonformes Tracking ohne Einwilligung (Cookies) für GA4

Datenschutzkonformes Tracking ohne Einwilligung (Cookies) für GA4

10.01.2025 08:56:43 17 min zu lesen