Maryland Online Data Privacy Act (MODPA)

Der Maryland Online Data Privacy Act (MODPA) wurde am 9. Mai 2024 unterzeichnet und trat am 1. Oktober 2025 in Kraft. Die Durchsetzung durch den Generalstaatsanwalt begann am 1. April 2026. Marylands Gesetz ist eines der strengsten Datenschutzgesetze der US-Bundesstaaten und verfolgt einen Datenminimierungsansatz sowie ein Opt-in-Modell als Standard für sensible Daten.

Was ist der MODPA?

Der MODPA gewährt Einwohnern von Maryland Rechte an ihren personenbezogenen Daten und verpflichtet Unternehmen, die diese Daten erheben oder verarbeiten. Im Gegensatz zu den meisten anderen bundesstaatlichen Datenschutzgesetzen, die einem Opt-out-Modell folgen, verbietet der MODPA Verantwortlichen die Verarbeitung personenbezogener Daten über das hinaus, was für den angegebenen Zweck unbedingt erforderlich ist, und entspricht damit eher den Grundsätzen der DSGVO.

Für wen gilt der MODPA?

Der MODPA gilt für Unternehmen, die in Maryland Geschäfte tätigen oder Produkte oder Dienstleistungen anbieten, die auf Einwohner von Maryland ausgerichtet sind, und im vorangegangenen Kalenderjahr entweder:

• Die personenbezogenen Daten von mindestens 35.000 Verbrauchern kontrolliert oder verarbeitet haben; oder
• Die personenbezogenen Daten von mindestens 10.000 Verbrauchern kontrolliert oder verarbeitet haben und mehr als 20 % des Bruttoumsatzes aus dem Verkauf personenbezogener Daten erzielt haben.

Verbraucherrechte gemäß dem MODPA

Einwohner von Maryland haben folgende Rechte:

• Recht auf Auskunft: Bestätigung, ob ein Unternehmen ihre personenbezogenen Daten verarbeitet, und Anforderung einer Kopie
• Recht auf Berichtigung: Berichtigung unrichtiger personenbezogener Daten verlangen
• Recht auf Löschung: Löschung ihrer personenbezogenen Daten verlangen
• Recht auf Datenübertragbarkeit: Erhalt einer portablen Kopie ihrer personenbezogenen Daten
• Recht auf Widerspruch: Widerspruch gegen zielgerichtete Werbung, Verkauf personenbezogener Daten und Profiling für bedeutsame Entscheidungen
• Recht auf Berufung: Berufung gegen die Ablehnung eines Rechtsantrags durch ein Unternehmen

Unternehmen müssen auf verifizierte Verbraucheranfragen innerhalb von 45 Tagen antworten, mit einer Verlängerungsmöglichkeit um weitere 45 Tage, wenn dies vernünftigerweise erforderlich ist.

Datenminimierung

Ein wesentliches Unterscheidungsmerkmal des MODPA ist die Pflicht zur Datenminimierung. Verantwortliche dürfen personenbezogene Daten nur erheben und verarbeiten, wenn dies für den offengelegten Zweck in angemessenem Verhältnis steht und vernünftigerweise erforderlich ist. Die Verarbeitung personenbezogener Daten für Zwecke, die mit dem ursprünglichen Zweck nicht vereinbar sind, erfordert die Einholung der Einwilligung des Verbrauchers.

Sensible Daten

Die Verarbeitung sensibler Daten erfordert eine Opt-in-Einwilligung der Verbraucher. Der MODPA definiert sensible Daten als rassische oder ethnische Herkunft, religiöse Überzeugungen, psychische oder physische Gesundheitszustände oder Diagnosen, sexuelle Orientierung, Transgender- oder nichtbinären Status, Staatsangehörigkeits- oder Einwanderungsstatus, genetische oder biometrische Daten zur eindeutigen Identifizierung einer Person, präzise Geolokalisierungsdaten und personenbezogene Daten bekannter Kinder unter 18 Jahren. Die Schutzmaßnahmen des MODPA für sensible Daten von Minderjährigen unter 18 Jahren sind umfassender als die meisten anderen bundesstaatlichen Gesetze.

Verantwortlichen ist es untersagt, personenbezogene Daten von Verbrauchern unter 18 Jahren für zielgerichtete Werbung zu verarbeiten oder solche Daten zu verkaufen.

Durchsetzung

Der Generalstaatsanwalt von Maryland setzt den MODPA durch. Es gibt kein privates Klagerecht. Eine quasi-obligatorische Heilungsfrist von 60 Tagen gilt bis zum 31. März 2027; danach liegt die Gewährung einer Heilungsmöglichkeit im Ermessen des Generalstaatsanwalts. Bußgelder können bis zu 10.000 US-Dollar pro Verstoß und bis zu 25.000 US-Dollar pro Verstoß bei Wiederholungsverstößen betragen.

Wie UniConsent die MODPA-Compliance unterstützt

UniConsent bietet die Werkzeuge, die Unternehmen zur Erfüllung der MODPA-Anforderungen benötigen:

• Opt-out- und Opt-in-Einwilligungsbanner, konfigurierbar nach Bundesstaat
• Unterstützung für Datenminimierung und Zweckbindung
• Verwaltung von Verbraucherrechtsanfragen
• Einwilligungs-Workflows für sensible Daten und Kinderdaten
• Integration mit Websites, mobilen Apps und Tag-Managern

Jetzt mit UniConsent starten oder unsere Funktionen entdecken.

Weitere US-Datenschutzgesetze der Bundesstaaten

• CCPA: California Consumer Privacy Act, mehr erfahren unter CCPA
• CPRA: California Privacy Rights Act, mehr erfahren unter CPRA
• CPA: Colorado Privacy Act, mehr erfahren unter CPA
• VCDPA: Virginia Consumer Data Protection Act, mehr erfahren unter VCDPA
• UCPA: Utah Consumer Privacy Act, mehr erfahren unter UCPA
• CTDPA: Connecticut Data Protection Act, mehr erfahren unter CTDPA
• TDPSA: Texas Data Privacy and Security Act, mehr erfahren unter TDPSA
• DPDPA: Delaware Personal Data Privacy Act, mehr erfahren unter DPDPA
• NHPA: New Hampshire Privacy Act, mehr erfahren unter NHPA
• MTCDPA: Montana Consumer Data Privacy Act, mehr erfahren unter MTCDPA
• FDBR: Florida Digital Bill of Rights, mehr erfahren unter FDBR
• NJDPA: New Jersey Data Protection Act, mehr erfahren unter NJDPA
• INCDPA: Indiana Consumer Data Protection Act, mehr erfahren unter INCDPA
• ICDPA: Iowa Consumer Data Protection Act, mehr erfahren unter ICDPA

Vergleichen Sie verschiedene US-Datenschutzgesetze der Bundesstaaten