Im Jahr 2025 verhängten US-Bundesstaaten Rekordstrafen für Verstöße gegen den Datenschutz von Unternehmen in Höhe von insgesamt 3,45 Milliarden US-Dollar und übertrafen damit das Gesamtniveau der vorangegangenen fünf Jahre. Nach Angaben des Forschungs- und Beratungsunternehmens Gartner werden die Gesamtstrafen, die US-Bundesstaaten gegen Unternehmen wegen Verstößen gegen den Datenschutz verhängen, im Jahr 2025 3,45 Milliarden US-Dollar erreichen und damit die Gesamtsumme der in den letzten fünf Jahren verhängten Geldstrafen übertreffen. Dies zeigt, dass die Regulierungsbehörden auf Landesebene ihre Bemühungen zur Durchsetzung des Datenschutzes erheblich verstärkt haben.
Die Analyse wies darauf hin, dass diese Änderung nicht nur die Reifung der staatlichen Datenschutzgesetzgebungssysteme widerspiegelt, sondern auch die Haltung der Regulierungsbehörde zum Schutz personenbezogener Daten widerspiegelt, von „öffentlichen Erinnerungen“ bis hin zu „strikter Durchsetzung“ im Kontext der raschen Ausbreitung künstlicher Intelligenz und Automatisierung.
Der Bericht geht davon aus, dass es drei wesentliche Triebkräfte für den Anstieg der Bußgelder gibt: Erstens haben die wenigen Staaten, die die Führung übernommen haben, wie etwa Kalifornien, ihre Datenschutzgesetze weiter verbessert, strengere und detailliertere Compliance-Anforderungen in Gesetzestexte geschrieben und deren Umsetzung in typischen Fällen gefördert; Zweitens haben sich nach und nach neue Mechanismen der Zusammenarbeit im Bereich der staatenübergreifenden Strafverfolgung herausgebildet, und die Zusammenarbeit zwischen Staaten hat sich bei Ermittlungen und Beweiserhebungen, bei der Weitergabe von Hinweisen und bei der gemeinsamen Bestrafung deutlich ausgeweitet. Drittens haben die Regulierungsbehörden ein klares Verständnis von KI. Sie behalten ein hohes Maß an Wachsamkeit gegenüber der verstärkenden Wirkung der Automatisierungstechnologie auf Datenschutzrisiken bei und beginnen mit einer gezielteren Überprüfung und Bestrafung algorithmischer Entscheidungsfindung, Datenschulung und automatisierter Profilerstellung.
In Kalifornien werden die durch den California Privacy Rights Act (CPRA) gewährten Durchsetzungsbefugnisse voll ausgeschöpft, und die örtliche Datenschutzbehörde hat seit 2025 umfangreichere Ermittlungen gegen verschiedene Unternehmen eingeleitet. Zu diesen Strafverfolgungszielen zählen nicht nur große Technologieunternehmen im herkömmlichen Sinne, sondern erstrecken sich auch auf die Automobilindustrie, Konsumgüterunternehmen und sogar kleine und mittlere Unternehmen, die fertig verpackte Waren und Kleidung verkaufen, was den Trend widerspiegelt, dass sich die Strafverfolgung von „wenigen“ ausbreitet „Giganten“ bis hin zu „ganzen Branchen und Mehrebenenunternehmen“.
Gleichzeitig wird der Trend, dass mehrere Staaten ihre Kräfte bündeln, um gegen Datenschutzverletzungen vorzugehen, immer offensichtlicher. Im Jahr 2025 gründeten zehn Staaten gemeinsam das „Konsortium der Datenschutzregulierer“ (Consortium of Privacy Regulators) und verpflichteten sich, Untersuchungen und Durchsetzungsmaßnahmen zu gemeinsamen Regeln wie dem Zugriff auf personenbezogene Daten, Löschrechten und Verboten des Verkaufs personenbezogener Daten zu koordinieren. Die Entstehung dieser Allianz wird als wichtiger Versuch der Bundesstaaten angesehen, den Mangel an einheitlichen Datenschutzgesetzen auf Bundesebene auszugleichen und auf länderübergreifende Zusammenarbeit zu setzen, um die Effizienz der Strafverfolgung zu verbessern. Durch die gemeinsame Nutzung von Ressourcen und einheitliches Vorgehen können Allianzmitglieder größeren regulatorischen Druck ausüben und wirtschaftliche Strafen verhängen, wenn sie großen Unternehmen gegenüberstehen, die bundesstaatsübergreifend tätig sind und Daten grenzüberschreitend verarbeiten.
Für Unternehmen ist das Signal, das die Bußgelddaten aussenden, ganz klar: Die Einhaltung des Datenschutzes hat sich von einem „Imageprojekt“ zu einer harten Einschränkung im Zusammenhang mit tatsächlichen finanziellen Risiken und der Geschäftskontinuität entwickelt. Gartner wies darauf hin, dass Staaten im Vergleich zum Regulierungsstil der Vorjahre, der sich auf Bildung und Überzeugung konzentrierte, ihren Durchsetzungsschwerpunkt nun auf formelle Untersuchungen und hohe Geldstrafen verlagert haben, was bedeutet, dass Unternehmen während des gesamten Prozesses der Erhebung, Verarbeitung und Weitergabe personenbezogener Daten über überprüfbare und transparentere Compliance-Vorkehrungen verfügen müssen.
Die Studie prognostiziert auch, dass die Strafen für den Datenschutz in den nächsten Jahren weiter steigen werden und dass Regulierungsbehörden auf Landesebene wahrscheinlich weiterhin eine „vorderste“ Rolle spielen und als Hauptförderer bei der Ausarbeitung von Datenschutzregeln im Zeitalter der künstlichen Intelligenz fungieren werden. Vor dem Hintergrund der zunehmenden Besorgnis der Öffentlichkeit über die möglichen negativen Auswirkungen von KI werden staatliche Gesetzgebung und staatliche Regulierung als wichtige Möglichkeiten angesehen, diese gesellschaftliche Stimmung zu absorbieren und darauf zu reagieren. Die zuständigen Behörden werden durch die Formulierung strengerer Anforderungen an die Datennutzung und Algorithmentransparenz einen stärkeren Schutz der Rechte und Erleichterungsmöglichkeiten für normale Benutzer bieten.
Gartner warnt davor, dass, wenn Unternehmen beim Datenschutzmanagement reaktiv bleiben, zukünftige Risiken nicht nur häufigere und höhere finanzielle Strafen umfassen, sondern auch die langfristigen Auswirkungen des Verlusts des Markenvertrauens, des Benutzerverlusts und des Ausschlusses von wichtigen Märkten in bestimmten Schlüsselbranchen. In dieser neuen Phase der Regulierung wird Unternehmen empfohlen, die Bedeutung der Einhaltung des Datenschutzes auf höchster Governance-Ebene neu zu bewerten und Prinzipien wie Datenminimierung, Zweckbindung, grenzüberschreitende Übertragungssicherheit und Algorithmenverantwortung in den zentralen Governance-Rahmen zu integrieren, um sich an das eskalierende regulatorische Umfeld für den Datenschutz in den US-Bundesstaaten anzupassen.