Vermonts genehmigtes Datenschutzgesetz macht modulare Compliance besser als Checklisten der Bundesstaaten

Das Entscheidende ist nicht die Unterzeichnungszeremonie. Es ist die Produktmanagerin oder der Produktmanager, der fragt, ob Vermont einen eigenen Schalter, eine eigene Löschwarteschlange, einen eigenen Zusatzvertrag für Anbieter und einen eigenen Hinweistext braucht. Vermont hat nun ein weiteres umfassendes Datenschutzgesetz auf die US-Landkarte gesetzt, und die praktische Lektion ist nicht, dass alle eine neue Checkliste brauchen. Die Lektion ist, dass die Einhaltung bundesstaatlicher Datenschutzregeln zu einem Problem des Kontrollsystems geworden ist.

Das neue Datum im Compliance-Kalender

Hunton Andrews Kurth berichtet, dass Vermonts Gouverneur Phil Scott am 16. Juni 2026 Senate Bill S.71, den Vermont Data Privacy and Online Surveillance Act, unterzeichnet hat. Hunton beschreibt Vermont als den 23. Bundesstaat mit einem umfassenden Verbraucherdatenschutzgesetz, während Koley Jessen ihn als den 24. Bundesstaat beschreibt, der ein solches Gesetz verabschiedet hat. Diese Abweichung ist eine nützliche Erinnerung daran, dass das Zählen von Datenschutzgesetzen nicht der Ort ist, an dem Entwickler ihre begrenzte Compliance-Zeit verbringen sollten. Das Datum, auf das es ankommt, ist weniger strittig: Hunton und Koley Jessen berichten beide, dass das Gesetz am 1. Januar 2028 in Kraft tritt. Koley Jessen ergänzt eine politisch relevante Fußnote: Gouverneur Scott hatte im Juni 2024 zuvor eine strengere Fassung per Veto gestoppt. Troutman Pepper sagt, dass die verabschiedete Fassung außerdem von einer früheren gestuften Anwendbarkeitsstruktur abwich und sie durch einen einzigen, einheitlichen Schwellenwert ersetzte. Übersetzt: Das endgültige Gesetz ist nicht einfach eine Wiederholung des früheren Vorschlags mit einer neuen Unterschriftenseite. Wenn auf Ihrer Datenschutz-Roadmap noch „Vermont beobachten“ steht, kann dieser Punkt jetzt in die Umsetzungsplanung verschoben werden.

Wer in den Anwendungsbereich fällt, und

wer sich nicht zu sehr entspannen sollte Pearl Cohen fasst die zentrale Anwendungsbereichsprüfung so zusammen: Das Gesetz gilt für eine Person, die in Vermont geschäftlich tätig ist oder Produkte oder Dienstleistungen herstellt, die sich an Einwohnerinnen und Einwohner Vermonts richten, und die einen von drei Schwellenwerten im vorangegangenen Kalenderjahr erfüllt hat. Diese Schwellenwerte sind: Kontrolle oder Verarbeitung personenbezogener Daten von mindestens 35.000 Verbraucherinnen und Verbrauchern, Kontrolle oder Verarbeitung sensibler Daten von mindestens 3.000 Verbraucherinnen und Verbrauchern oder Anbieten personenbezogener Daten von mindestens 3.000 Verbraucherinnen und Verbrauchern zum Verkauf, wobei Daten, die ausschließlich zur Abwicklung einer Zahlungstransaktion verarbeitet werden, jeweils ausgeschlossen sind. Das ist der Teil, den Ihr Dateninventar beantworten muss, nicht Ihr Brand-Team. Pearl Cohen weist außerdem auf die wichtige Ausnahme vom vermeintlichen Sicherheitsgefühl hin: Vorschriften zu Verbrauchergesundheitsdaten gelten unabhängig von diesen Schwellenwerten. Covingtons Global Policy Watch berichtet separat, dass Vermont zwei Datenschutzgesetze zur Regulierung gesundheitsbezogener Informationen verabschiedet hat, darunter H.639, ein Gesetz zum Schutz genetischer Daten, das Direct-to-Consumer-Unternehmen für Gentests reguliert. Für Entwickler bedeutet das: produktbezogene Oberflächen mit Gesundheitsbezug verdienen eine eigene Prüfung, selbst wenn die allgemeine Zahl der Verbraucherinnen und Verbraucher klein aussieht. Eine Wellness-Funktion, ein Symptomfragebogen, eine Integration eines Fruchtbarkeitstrackers oder ein Workflow für genetische Daten sollte nicht warten, bis jemand erklärt, das Unternehmen sei groß genug, um sich darum kümmern zu müssen.

Die Pflichten wirken vertraut, bis sie es nicht mehr tun

Hunton sagt, VDPOSA folge dem vertrauten Rahmen aus Verantwortlichen, Auftragsverarbeitern und Verbraucherrechten, der in vielen umfassenden Verbraucherdatenschutzgesetzen der Bundesstaaten zu sehen ist, mit bestimmten Unterschieden. In einfachem Deutsch heißt das: Die wiederverwendbaren Teile Ihres Datenschutzprogramms bleiben wichtig. Wissen Sie, welche Daten Sie erheben, warum Sie sie erheben, wer sie erhält, weisen Sie Rollen als Verantwortlicher und Auftragsverarbeiter zu, und leiten Sie Anfragen zu Verbraucherrechten weiter, ohne jedes Postfach von Hand zu sortieren. Wenn das langweilig klingt: Glückwunsch, das ist der Teil, der den Kontakt mit Prüfern meist übersteht. Die Unterschiede sind der Punkt, an dem sich modulares Design bezahlt macht. Pearl Cohen sagt, personenbezogene Daten seien weit gefasst und umfassten abgeleitete Daten sowie eindeutige Kennungen, die vernünftigerweise mit einer identifizierten oder identifizierbaren Person oder mit einem Gerät verknüpft werden können. Pearl Cohen sagt außerdem, sensible Daten umfassten Verbrauchergesundheitsdaten, genetische und biometrische Daten, präzise Geolokalisierung, neuronale Daten sowie Daten, die Rückschlüsse auf Rasse oder ethnische Herkunft, religiöse Überzeugungen und andere Kategorien zulassen. Koley Jessen hebt besondere Merkmale hervor, darunter weit gefasste Vorschriften zu Verbrauchergesundheitsdaten, eine Pflicht zu einem Hinweis zur KI-Trainingsnutzung und eine erweiterte Definition sensibler personenbezogener Informationen. Das ist nicht Artikel 52, aber die Vertrags- und Produktarbeit fühlt sich ähnlich an: Hinweise, Datenklassifizierung, Anbieteranweisungen und Ausnahmebehandlung müssen konfigurierbar sein.

Die Checklisten-Falle

Troutman Peppers Darstellung der aufgegebenen gestuften Struktur ist der Teil, den Compliance-Teams sich an den Monitor kleben sollten. Wenn ein Bundesstaat die Architektur des Anwendungsbereichs zwischen Entwurf und Verabschiedung ändern kann, ist eine statische Vermont-Checkliste bereits das falsche Artefakt. Das bessere Artefakt ist eine Regelschicht über gemeinsamen Kontrollen: Anwendbarkeitsschwellen, Umgang mit sensiblen Daten, Eingang von Verbraucherrechtsanfragen, Verkaufs- oder Weitergabekennzeichen, Gesundheitsdatenkennzeichen, Auftragsverarbeiterbedingungen und Offenlegungsmodule. Dieser Ansatz bewältigt auch die Abweichung zwischen dem 23. und 24. Bundesstaat ohne Drama. Ob Vermont von Hunton und Troutman Pepper auf die eine Weise gezählt wird oder von Koley Jessen auf eine andere, die operative Realität ist dieselbe: US-Datenschutzrecht ist kumulativ. Jeder neue Bundesstaat fügt Varianten hinzu, aber kein völlig neues Datenschutzuniversum. Die Unternehmen, die am besten damit umgehen, werden nicht diejenigen mit dem dicksten Ordner für Vermont sein. Es werden diejenigen sein, die einen Schwellenwert ändern, einen Hinweis hinzufügen, eine Datenkategorie kennzeichnen und einen Anbieter-Workflow aktualisieren können, ohne das Programm neu aufzubauen. Der nächste sinnvolle Schritt ist keine Panik, und es ist auch kein feierlicher Beitrag darüber, wie viel Rechtssicherheit nun angekommen sei. Es ist eine Lückenanalyse mit Blick auf den 1. Januar 2028, mit besonderem Augenmerk auf Verbrauchergesundheitsdaten, Definitionen sensibler Daten, Offenlegungen zum KI-Training und die Frage, ob Ihr Rechte-Workflow eine weitere Jurisdiktion aufnehmen kann. Vermont ist ein weiteres bundesstaatliches Gesetz. Behandeln Sie es als weiteres Modul, nicht als weiteres Denkmal.