Virginia Consumer Data Protection Act in Kraft getreten

13. Januar 2023

Jenseits des Atlantiks ist das Thema Datenschutz in Bewegung geraten. Da es nach wie vor kein umfassendes Bundesgesetz gibt, haben die Staaten weiterhin die Führung übernommen – in diesem Jahr mehr denn je. Nach Kalifornien beginnen vier weitere Bundesstaaten – Colorado, Connecticut, Utah und Virginia – im Jahr 2023 mit der Durchsetzung neuer, von der DSGVO inspirierter Gesetze. Weitere Staaten werden sicherlich folgen.

Der Virginia Consumer Data Protection Act (VCDPA) ist ein neues Gesetz des Staates Virginia, das am 1. Januar 2023 in Kraft getreten ist und das Recht der Verbraucher auf Datenschutz und Datensicherheit in Virginia stärkt. Viele der VCDPA-Rechte, die Virginia-Verbrauchern gewährt werden, ähneln den Rechten, die die DSGVO bietet, einschließlich der Verbraucherrechte wie die Rechte auf Zugriff, Löschung und Portabilität personenbezogener Daten.

Welche Auswirkungen hat das VCDPA auf die Verantwortlichen?

Das Gesetz fordert von Unternehmen, die personenbezogene Daten von Bürgern von Virginia verarbeiten, dass sie bestimmte Maßnahmen zum Schutz dieser Daten ergreifen. Dazu gehört unter anderem die Einhaltung von Datensicherheitsstandards, die Durchführung von Datenschutz-Audits, sowie die Benachrichtigung von Verbrauchern im Falle eines Datenverlusts oder eines Datenschutzverstoßes.

Ein wichtiger Bestandteil des VCDPA ist die Möglichkeit für Verbraucher, ihre personenbezogenen Daten einzusehen, zu ändern oder zu löschen. Unternehmen müssen diese Anfragen innerhalb von 45 Tagen bearbeiten und dürfen hierfür keine Gebühren erheben.

Des Weiteren müssen Unternehmen, die dem Gesetz unterliegen, vor der Erhebung und Verarbeitung bestimmter Kategorien sensibler personenbezogener Daten eine Einwilligung einholen. Wie der kalifornische CCPA (California Consumer Privacy Act) schreibt auch der VCDPA vor, dass ein Unternehmen, das Dienstleister mit der Verarbeitung von Daten im Namen des Unternehmens beauftragt, mit diesen Dienstleistern einen speziellen Vertrag abschließen muss, der die Anforderungen des Gesetzes umsetzt.

Weitere Vorgaben umfassen (nicht abschließend):

  • Zweckbindung
  • Datenschutz-Risikobewertungen
  • Schaffung technischer und organisatorischer Sicherheitsmaßnahmen
  • Dokumentationspflichten
  • Widerspruchsverfahren für Verbraucheranträge
  • Schutz vor Diskriminierung
  • Datenschutzerklärungen

Das VCDPA gilt für Unternehmen, die:

  • Geschäfte in Virginia tätigen oder ihre Waren und Dienstleistungen an Einwohner von Virginia vermarkten; und
  • Entweder: die personenbezogenen Daten von mindestens 100.000 Einwohnern Virginias kontrollieren oder verarbeiten; oder die personenbezogenen Daten von mindestens 25.000 Einwohnern Virginias kontrollieren oder verarbeiten und mehr als 50 % ihrer Bruttoeinnahmen aus dem Verkauf von personenbezogenen Daten erzielen.

Bestimmte Organisationen sind vom VCDPA ausgenommen, einschließlich:

  • Behörden des Bundesstaats Virginia
  • Finanzinstitute, die dem Gramm-Leach-Bliley Act unterliegen
  • Erfasste Unternehmen oder Geschäftspartner, die den Datenschutz-, Sicherheits- und Verletzungsbenachrichtigungsregeln unterliegen, die gemäß dem Health Insurance Portability and Accountability Act festgelegt wurden
  • Gemeinnützige Organisationen; und Hochschuleinrichtungen

Was schützt das Gesetz?

  • Das Recht auf Kenntnis, Zugang und Bestätigung der personenbezogenen Daten
  • Das Recht auf Löschung personenbezogener Daten
  • Das Recht auf Berichtigung unrichtiger personenbezogener Daten
  • Das Recht auf Datenübertragbarkeit (d.h. einfacher, übertragbarer Zugang zu allen personenbezogenen Daten, die sich im Besitz eines Unternehmens befinden)
  • Das Recht, der Verarbeitung personenbezogener Daten für gezielte Werbezwecke zu widersprechen
  • Das Recht, dem Verkauf von personenbezogenen Daten zu widersprechen
  • Das Recht, der Erstellung von Profilen auf der Grundlage personenbezogener Daten zu widersprechen
  • Das Recht, wegen der Ausübung eines der vorgenannten Rechte nicht diskriminiert zu werden

Ein weiteres wichtiges Element des VCDPA ist die Schaffung einer Datenschutzbehörde, die für die Überwachung der Einhaltung des Gesetzes zuständig ist und Strafen für Verstöße verhängen kann.

Das VCDPA wird vom Generalstaatsanwalt von Virginia durchgesetzt und sieht eine 30-tägige Nachbesserungsfrist vor. Bei Nichteinhaltung kann jedoch eine zivilrechtliche Strafe von bis zu 7.500 US-Dollar pro Verstoß verhängt werden.

„Breaking The Mould“

Insgesamt ist der Virginia Consumer Data Protection Act ein wichtiger Schritt in Richtung stärkerer Datenschutzrechte für Verbraucher in Virginia. Unternehmen, die personenbezogene Daten von Bürgern aus Virginia sammeln, sollten sich mit dem Gesetz vertraut machen und sicherstellen, dass sie alle Anforderungen erfüllen, um Strafen zu vermeiden.

Der parteiübergreifende Vorschlag für ein amerikanisches Datenschutzgesetz (American Data Privacy Protection Act – ADPPA) wurde zwar vom Energie- und Handelsausschuss des Repräsentantenhauses angenommen, doch wurde seine Verabschiedung im Plenum des Repräsentantenhauses blockiert, da die Befürchtung bestand, dass das Gesetz bestehenden und neu erlassenen bundesstaatlichen Datenschutzgesetzen mit höherem Verbraucherschutzniveau zuvorkommen könnte. Einiges deutet darauf hin, dass die Kürze und Klarheit des VCDPA dazu führen könnte, dass das Gesetz ein Modell für künftige Datenschutzgesetze werden könnte, denn mit nur acht Seiten ist das VCDPA wesentlich knapper als der California Consumer Privacy Act.  Die Auswirkungen dieses grundlegenden Wandels im Hinblick auf den Rahmen des Datenschutzes werden in den kommenden Jahren und Jahrzehnten tiefgreifend sein. Das Jahr 2023 könnte somit in den Vereinigten Staaten den Wechsel markieren.