Startseite  ›  Artikel  ›  Gesetz zum Schutz personenbezogener Daten in Michigan: Erster Blick und Zusammenfassung

Michigan Personal Data Privacy Act: Erster Blick & Zusammenfassung

Verfasst von: Natasha Piirainen Natasha Piirainen | Aktualisiert am: 2. März 2026

Rezensiert von: Ali Talip Pınarbaşı, CIPP/E, & LLMAli Talip Pınarbaşı, CIPP/E, & LLM

Michigan-Gesetz über den Schutz personenbezogener Daten-01

Der Michigan Personal Data Privacy Act ist ein toter Gesetzentwurf, der 2023 durch den Senat von Michigan ging und darauf abzielte, Datenschutzrechte für Verbraucher und Pflichten für Unternehmen in Bezug auf den Verkauf und die Verarbeitung personenbezogener Daten zu schaffen.

Obwohl dieses Gesetz nicht verabschiedet wurde, habe ich zusammengefasst, wie dieser Gesetzentwurf aussah und wie er sich auf die Unternehmen ausgewirkt hätte, wenn er zu einem Gesetz geworden wäre.

UPDATE: Das MPDPA ist nicht in Kraft getreten, und Michigan hat derzeit immer noch kein Gesetz zum Schutz von Verbraucherdaten in Kraft. 

Inhaltsübersicht
  1. Was ist das Michigan Personal Data Privacy Act?
  2. Was umfasst das Michigan Personal Data Privacy Act?
  3. Anforderungen des Michigan Personal Data Privacy Act
  4. Wie würde sich das PDPA auf die Unternehmen auswirken?
  5. Wie würde sich das PDPA auf die Verbraucher auswirken?
  6. Wer muss sich an das Michigan Data Privacy Act halten?
  7. Wie würde das PDPA durchgesetzt werden?
  8. Geldbußen und Strafen gemäß dem Michigan Data Privacy Act
  9. Zusammenfassung

Was ist das Michigan Personal Data Privacy Act?

Der Michigan Personal Data Privacy Act war ein Gesetzentwurf, mit dem die Datenschutzrechte der Verbraucher in Michigan festgeschrieben werden sollten und der Anforderungen enthielt, die Unternehmen bei der Verarbeitung und dem Verkauf personenbezogener Daten zu beachten hatten. 

Die demokratische Senatorin Rosemary Bayer brachte im September 2022 zunächst den Gesetzentwurf 1182 ein, der später als Michigan Personal Data Privacy Act bezeichnet wurde. 

Er wurde dann an den Senatsausschuss für Energie und Technologie verwiesen, wo er schließlich auf dem Tisch liegen blieb. 

Was umfasst das Michigan Personal Data Privacy Act?

Nach dem Gesetzestext hätte der Michigan Personal Data Privacy Act, wenn er Gesetz geworden wäre, die Verbraucher erfasst, wie in der nachstehenden Abbildung für Sie definiert:

Michigan-Personal-Data-Privacy-Act-Verbraucherdefiniert

 

Die darin enthaltenen Anforderungen an den Schutz der Privatsphäre hätten für jede Person - d. h. eine Einzelperson, eine Personengesellschaft, ein Unternehmen, eine Gesellschaft mit beschränkter Haftung, eine Vereinigung, eine staatliche Einrichtung oder eine andere juristische Person - gegolten, die in Michigan geschäftlich tätig ist oder Produkte oder Dienstleistungen herstellt, die sich an Einwohner Michigans richten, und die eine der folgenden Bedingungen erfüllt:

  • kontrolliert oder verarbeitet personenbezogene Daten von mindestens 100.000 Verbrauchern
  • personenbezogene Daten von mindestens 25.000 Verbrauchern kontrolliert oder verarbeitet und mehr als 50 % der jährlichen Bruttoeinnahmen aus dem Verkauf personenbezogener Daten erzielt

    Anforderungen des Michigan Personal Data Privacy Act

    Das Michigan Personal Data Privacy Act (Gesetz zum Schutz personenbezogener Daten) enthält die folgenden Anforderungen an Unternehmen:

    • Veröffentlichung einer klaren und leicht zugänglichen Datenschutzrichtlinie für Verbraucher
    • Bereitstellung von Opt-in-Einwilligungsoptionen für die Verarbeitung aller personenbezogenen Daten
    • Durchführung von Datenschutz-Folgenabschätzungen für die Verarbeitung sensibler personenbezogener Daten
    • Vertragliche Verpflichtungen gegenüber dritten Datenverarbeitern  
    • Registrierungsanforderungen für Datenmakler

    Datenschutzhinweise für Verbraucher

    Nach dem Michigan PDPA wären die Unternehmen verpflichtet gewesen, eine umfassende Datenschutzerklärung zu veröffentlichen, die den Verbrauchern alle folgenden Informationen erläutert, wie in Abschnitt 7(3) des Gesetzentwurfs dargelegt:

    • Der Zweck der Verarbeitung personenbezogener Daten
    • Wie ein Verbraucher seine Rechte wahrnehmen kann und wie er gegen die Entscheidung eines für die Verarbeitung Verantwortlichen über Verbraucheranfragen vorgehen kann
    • Kategorien von personenbezogenen Daten, die der für die Verarbeitung Verantwortliche an Dritte weitergibt
    • Kategorien von Dritten, mit denen der für die Verarbeitung Verantwortliche personenbezogene Daten austauscht
    • dass ein für die Verarbeitung Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten zur Durchführung interner Forschungsarbeiten zur Entwicklung, Verbesserung oder Reparatur von Produkten, Dienstleistungen oder Technologien verwenden darf, wenn der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter, der diese Forschungsarbeiten in Anspruch nimmt, die Zustimmung des Verbrauchers einholt und die gleichen Sicherheitsmaßnahmen ergreift, die auch sonst erforderlich sind

    Außerdem müssen die Unternehmen einen oder mehrere sichere und zuverlässige Wege einrichten und beschreiben, über die die Verbraucher einen Antrag auf Ausübung ihrer Rechte stellen können.

    Einverständniserklärung zur Verarbeitung aller personenbezogenen Daten

    Wäre das Gesetz in Kraft getreten, hätte das Michigan Data Privacy Act den Verbrauchern das Recht auf Zustimmung zur Verarbeitung personenbezogener Daten eingeräumt.

    Konkret heißt es in Abschnitt 7(1)(a) des Michigan PDPA::

    "Ein für die Verarbeitung Verantwortlicher darf ... personenbezogene Daten oder sensible personenbezogene Daten, die einen Verbraucher betreffen, nicht verarbeiten, ohne die Einwilligung des Verbrauchers einzuholen ..." 

    Die nachstehende Abbildung zeigt, wie das Michigan PDPA die Zustimmung definiert:

    Michigan-Personal-Data-Privacy-Act-Zustimmung-Definition

    Dem Gesetzentwurf zufolge hätten die Unternehmen die Erhebung personenbezogener Daten auf das beschränken müssen, was für die Verarbeitung der dem Verbraucher mitgeteilten Informationen angemessen, relevant und vernünftigerweise erforderlich ist. 

    Datenschutz-Folgenabschätzungen

    Wäre der PDPA ein Gesetz geworden, hätten Einrichtungen, die bestimmte Arten von Daten sammeln und verarbeiten, eine Datenschutz-Folgenabschätzung durchführen müssen, wie in Abschnitt 11(2) des Gesetzentwurfs beschrieben.

    Einrichtungen, die personenbezogene Daten im Sinne der folgenden fünf Punkte des Gesetzentwurfs erhoben und verarbeitet haben, wären verpflichtet gewesen, eine Datenschutz-Folgenabschätzung durchzuführen:

    Michigan-Personal-Data-Privacy-Act-sammeln-und-verarbeiten-personal-data


    Bei der Datenschutz-Folgenabschätzung hätten die Vorteile gegenüber den mit der Verarbeitung sensibler Daten verbundenen Risiken für die Rechte des Verbrauchers ermittelt und abgewogen werden müssen, die durch die von dem für die Verarbeitung Verantwortlichen zur Verringerung dieser Risiken eingesetzten Garantien gemindert werden.

    Es hätte das bereits bestehende Michigan Data Breach Notification Law (Gesetz zur Benachrichtigung über Datenschutzverletzungen) erweitert, das derzeit besagt, dass Unternehmen Verbraucher ohne unangemessene Verzögerung über Datenschutzverletzungen oder Lecks von Vor- und Nachnamen in Kombination mit Daten informieren müssen:

    • Sozialversicherungsnummern
    • Führerschein oder staatliche Identifikationsnummern
    • Nummern von Finanzkonten oder Zahlungskarten in Verbindung mit Codes oder Passwörtern, die den Zugang zum Konto ermöglichen

    Vertragliche Verpflichtungen 

    Wäre dieses Gesetz in Kraft getreten, müssten die Unternehmen mit allen Drittverarbeitern von Daten Verträge abschließen, die Folgendes gewährleisten: 

    • Sicherstellen, dass jede Person, die Daten verarbeitet, zur Vertraulichkeit im Hinblick auf die Daten verpflichtet ist
    • Löschung oder Rückgabe aller Daten an den für die Verarbeitung Verantwortlichen nach dessen Ermessen, sofern die Aufbewahrung nicht gesetzlich vorgeschrieben ist
    • dem für die Verarbeitung Verantwortlichen alle in seinem Besitz befindlichen Informationen zur Verfügung zu stellen, die erforderlich sind, um nachzuweisen, dass der Auftragsverarbeiter seinen Verpflichtungen aus dem Rechtsakt nachkommt
    • den Auftragsverarbeiter aufzufordern, alle personenbezogenen Daten zu löschen oder an Sie als den für die Datenverarbeitung Verantwortlichen zurückzugeben , wie dies nach Beendigung der Erbringung der Dienstleistungen gemäß Ihren Anweisungen verlangt wird
    • Der Auftragsverarbeiter muss verpflichtet werden, "einen Unterauftragsverarbeiter auf der Grundlage eines schriftlichen Vertrags gemäß Absatz 3 zu beauftragen, der den Unterauftragsverarbeiter verpflichtet, die Pflichten des Auftragsverarbeiters in Bezug auf die personenbezogenen Daten zu erfüllen" ( § 11 Absatz 2 Buchstabe e).

    Register für Datenmakler 

    Eine weitere interessante potenzielle Anforderung des Michigan PDPA hätte sich auf Datenmakler ausgewirkt, da dieser Gesetzentwurf von allen Maklern verlangt hätte, sich bei der Generalstaatsanwaltschaft zu registrieren, da sonst Geldstrafen von bis zu 100 Dollar pro Tag verhängt werden könnten.

    Die folgende Abbildung zeigt, wie der im Gesetzentwurf definierte Datenmakler arbeitet:

     

    Michigan-Personal-Data-Privacy-Act-data-broker-definition

    Michigans Datenschutzgesetz im Vergleich zu anderen Gesetzesentwürfen

    Zwei weitere Bundesstaaten, Ohio und Pennsylvania, haben derzeit ähnliche Datenschutzgesetze wie das Michigan PDPA in ihren Ausschüssen.

    Gehen wir näher auf die einzelnen Punkte ein.

    Ohio Personal Privacy Act 

    In Ohio wurde der Ohio Personal Privacy Act, oder House Bill 376, von 10 republikanischen Gesetzgebern eingebracht und liegt derzeit im Rules and Reference Committee.

    Dieses Gesetz würde für alle gewinnorientierten Unternehmen gelten, die in Ohio tätig sind oder sich an Verbraucher in Ohio wenden und eine der folgenden Bedingungen erfüllen:

    • einen Jahresumsatz von mehr als 25 Millionen Dollar in Ohio erwirtschaftet haben
    • die persönlichen Daten von 100.000 oder mehr Verbrauchern in einem Kalenderjahr kontrolliert oder verarbeitet
    • 50 % der Einnahmen aus dem Verkauf personenbezogener Daten erzielt und personenbezogene Daten von 25.000 oder mehr Verbrauchern verarbeitet oder kontrolliert

    Im Falle einer Verabschiedung würde es den Verbrauchern das Recht auf:

    • Zugang zu persönlichen Daten
    • Antrag auf Löschung personenbezogener Daten
    • Widerspruch gegen die Verarbeitung oder Weitergabe von personenbezogenen Daten
    • eine tragbare Kopie ihrer persönlichen Daten anfordern
    • Widerspruch gegen den Verkauf von personenbezogenen Daten  

    Pennsylvania Haus Rechnungen

    In Pennsylvania gibt es derzeit drei Gesetzesentwürfe zum Datenschutz, die dem Gesetzentwurf von Michigan ähneln: zwei mit dem Titel Consumer Data Privacy Act - House Bills 2202 und 1126 - und einer mit dem Namen Consumer Data Protection Act oder House Bill 2257.

    In der nachstehenden Tabelle werden alle drei aktuellen Gesetzentwürfe aus Pennsylvania miteinander verglichen.

    Wie würde sich das PDPA auf die Unternehmen auswirken?

    Das Michigan Personal Data Privacy Act hätte, wenn es als Gesetz verabschiedet worden wäre, Auswirkungen auf die Unternehmen gehabt, indem es sie zu allen folgenden Maßnahmen verpflichtet hätte:

    • Veröffentlichung eines ordnungsgemäßen Datenschutzhinweises für Verbraucher
    • Festlegung, Verfolgung und Einhaltung der Opt-out- und Opt-in-Einwilligungsentscheidungen der Verbraucher
    • Durchführung von Datenschutz-Folgenabschätzungen 
    • Einhaltung der vertraglichen Verpflichtungen in Bezug auf dritte Datenverarbeiter

    Wie würde sich das PDPA auf die Verbraucher auswirken?

    Nach dem Michigan PDPA hätten die Verbraucher verschiedene Datenschutzrechte erhalten, darunter die folgenden:

    • Rechte aus dem Datenschutzhinweis
    • Opt-out-Rechte
    • Opt-in-Rechte

    Wer muss sich an das Michigan Data Privacy Act halten?

    Das Michigan Personal Data Privacy Act hätte für alle Personen gegolten, die in Michigan geschäftlich tätig sind oder Produkte oder Dienstleistungen herstellen, die sich an Einwohner Michigans richten. 

    Der folgende Screenshot zeigt, wie der Gesetzentwurf die Person rechtlich definiert:

     

    Michigan-Personal-Data-Privacy-Act-Personendefinition


    Sie hätten auch eine der folgenden Schwellenwerte erfüllen müssen:

    • kontrolliert oder verarbeitet personenbezogene Daten von mindestens 100.000 Verbrauchern
    • personenbezogene Daten von mindestens 25.000 Verbrauchern kontrolliert oder verarbeitet und mehr als 50 % der jährlichen Bruttoeinnahmen aus dem Verkauf personenbezogener Daten erzielt

    Das bedeutet, dass dieses Gesetz, wie viele andere Datenschutzgesetze auf der ganzen Welt, einen extraterritorialen Geltungsbereich gehabt hätte und für Unternehmen außerhalb des Staatsgebiets von Michigan gelten würde.  

    Wer ist von dem Michigan Personal Data Privacy Act ausgenommen?

    Alle folgenden Einrichtungen wurden vom Michigan Personal Data Privacy Act ausgenommen: 

    • Finanzinstitute, die dem Gramm-Leach-Bliley Act unterliegen
    • Einrichtungen, die unter den Health Insurance Portability and Accountability Act (HIPAA) fallen und diesem unterliegen
    • Genehmigte und regulierte Daten, die unter den Fair Credit Reporting Act fallen

    Was die Verbraucher betrifft, so wären alle Personen in Michigan, die in einem Arbeits- oder Geschäftsverhältnis stehen, nicht durch das Michigan PDPA abgedeckt. 

    Wie würde das PDPA durchgesetzt werden?

    Das Büro des Generalstaatsanwalts von Michigan hätte das PDPA durchgesetzt und den Unternehmen eine schriftliche Frist von 30 Tagen eingeräumt, um Verstöße zu beseitigen oder zu korrigieren.

    Im Gegensatz zum CCPA/CPRA gibt das Michigan PDPA den Nutzern jedoch nicht das Recht auf eine Privatklage.  

    Geldbußen und Strafen gemäß dem Michigan Data Privacy Act

    Die Strafen für das PDPA umfassten Geldstrafen von bis zu 7.500 Dollar für jeden Verstoß, der nicht innerhalb von 30 Tagen nach der Aufforderung abgestellt wurde.  

    Wenn der Verstoß darin bestand, dass sich ein Datenmakler nicht ordnungsgemäß beim Generalstaatsanwalt registrieren ließ, hätte die Geldstrafe bis zu 100 Dollar pro Tag betragen können. 

    Zusammenfassung

    Das Datenschutzgesetz von Michigan ist inzwischen gescheitert, aber es hatte einen ähnlichen Anwendungsbereich wie andere Datenschutzgesetze der US-Bundesstaaten, die bereits verabschiedet wurden und in Kraft getreten sind, z. B. das CDPA von Virginia und die CPRA-Änderungen des CCPA.

    Die gute Nachricht ist, dass wir bei Termly immer auf dem Laufenden sind. Deshalb verfolgen wir die Gesetze und Gesetzesentwürfe zum Michigan Personal Data Protection Act für Sie, während sie die Regierungen der Bundesstaaten durchlaufen. 

    Natasha Piirainen

    Geschrieben von Natasha Piirainen

    Natasha Piirainen ist Autorin zum Thema Datenschutz. Sie hat einen Bachelor-Abschluss in Englisch und Philosophie vom Wheaton College und verfügt über mehr als 10 Jahre Berufserfahrung in der forschungsorientierten Entwicklung von Inhalten.

    Alle Beiträge von Natasha Piirainen lesen
    Ali Talip Pınarbaşı, CIPP/E, & LLM

    Überprüft von Ali Talip Pınarbaşı, CIPP/E, & LLM

    Ali ist ein in London ansässiger Anwalt für Datenschutzrecht mit einem Master of Laws-Abschluss in EU-Datenschutzrecht am King's College London. Er hat sechs Jahre Erfahrung in der Beratung von Unternehmen bei der Einhaltung von Datenschutzgesetzen.

    Alle Beiträge lesen, die von Ali Talip Pınarbaşı, CIPP/E, & LLM geprüft wurden
    termly-dashboard-add-privacy-policy-screenshot-with-green-checkmark

    Erstellen Sie Ihre KOSTENLOSE Datenschutzrichtlinie

    Erstellen Sie eine kostenlose und umfassende Datenschutzrichtlinie in wenigen Minuten!
    Build My Free Datenschutzbestimmungen

    Verwandte Artikel

    1. Cookie-Einwilligung-für-KI-Startups-und-Unternehmen-01
      Cookie Consent KI-Startups und -Unternehmen
      Artikel

      20. Februar 2026
      Natasha Piirainen
    2. Die 8 häufigsten Dienste von Drittanbietern auf Websites und ihre Datenschutzrisiken – 01
      Die 8 häufigsten Dienste von Drittanbietern auf Websites und ihre Datenschutzrisiken
      Artikel

      20. Februar 2026
      Hanna De La Garza
    3. Datenschutzerklärung für Autohändler 01
      Datenschutzerklärung für Autohäuser: So erstellen Sie eine
      Artikel

      20. Februar 2026
      Natasha Piirainen
    4. Termly zwei Funktionen zur Verwaltung großer Websites ein – 01
      Termly zwei neue Funktionen für die Verwaltung großer Websites ein
      Artikel

      11. Februar 2026
      Natasha Piirainen
    5. Die besten WordPress-Plugins für Einwilligungen im Vergleich – 2026-01
      Die 5 besten WordPress-Plugins für Einwilligungen im Vergleich 2026
      Vergleiche

      6. Februar 2026
      Ali Talip Pınarbaşı, CIPP/E, & LLM
    6. Datenschutzerklärung für KI-Startups und -Unternehmen 01
      Datenschutzerklärung für KI-Startups und -Unternehmen
      Artikel

      6. Februar 2026
      Natasha Piirainen
    7. Cookie-Zustimmung-für-WordPress-01
      Cookie Consent WordPress
      Ressourcen

      27. Januar 2026
      Hanna De La Garza
    8. Leitfaden zu Datenschutzgesetzen und -vorschriften für 2026-01
      Leitfaden zu Datenschutzgesetzen und -vorschriften für 2026
      Artikel

      27. Januar 2026
      Natasha Piirainen
    9. Datenschutzerklärung für Facebook-Anzeigen 01
      Datenschutzerklärung für Facebook-Anzeigen: So erstellen Sie eine
      Artikel

      19. Dezember 2025
      Natasha Piirainen

    Weitere Artikel ansehen

    Geben Sie Ihre Website-URL ein

    Um Ihnen bei der Erstellung einer Cookie-Lösung helfen zu können, die DSGVO und dem Cookie-Gesetz entspricht, müssen wir zunächst Ihre Website auf Cookies untersuchen.