USA-Update Teil 2: Datenschutz in den einzelnen Bundesstaaten

13. August 2024

In diesem Teil unserer Beitragsreihe werfen wir einen Blick auf den Datenschutz in den einzelnen Bundesstaaten, genauer gesagt auf das (nord-) amerikanische Datenschutzsystem, das sich durch eine Vielzahl von föderalen und bundesstaatlichen Gesetzen auszeichnet. Während einige Länder, wie Kanada, bereits umfassende Datenschutzgesetze etabliert haben, präsentiert sich die Situation in den USA als deutlich fragmentierter. Diese Uneinheitlichkeit bringt  Herausforderungen mit sich, die in den folgenden Abschnitten genauer beleuchten werden.

Kalifornien

Ein herausragendes Beispiel für den amerikanischen Datenschutz ist der California Consumer Privacy Act (CCPA), der als eines der strengsten Datenschutzgesetze in den USA angesehen wird. Der CCPA räumt den Verbrauchern umfassende Rechte in Bezug auf ihre persönlichen Daten ein, darunter das Recht auf Zugriff, Löschung und Widerspruch gegen die Weitergabe ihrer Daten an Dritte. Darüber hinaus verpflichtet der CCPA Unternehmen dazu, ihre Datenschutzpraktiken offen darzulegen und angemessene Sicherheitsvorkehrungen zum Schutz personenbezogener Daten zu treffen.

Virginia

Der Virginia Consumer Data Protection Act (VCDPA) trat am 1. Januar 2023 in Kraft und stärkt den Datenschutz in Virginia erheblich. Das Gesetz gewährt Rechte ähnlich der DSGVO, wie Zugang, Löschung und Übertragbarkeit persönlicher Daten. Es gilt für Unternehmen, die in Virginia tätig sind oder dort Dienstleistungen anbieten und entweder die Daten von mindestens 100.000 Einwohnern oder 25.000 Einwohnern verarbeiten und über 50 % ihrer Einnahmen aus dem Verkauf dieser Daten erzielen. Ausnahmen gelten für staatliche Behörden, Finanzinstitute, gemeinnützige Organisationen und Hochschulen.

Unternehmen müssen klare Datenschutzhinweise geben, Sicherheitsmaßnahmen einführen und Verbraucherrechte gewährleisten. Diese beinhalten das Recht auf Einsicht, Änderung und Löschung personenbezogener Daten. Die Durchsetzung erfolgt durch den Generalstaatsanwalt von Virginia, mit möglichen Strafen bis zu 7.500 US-Dollar pro Verstoß und einer 30-tägigen Nachbesserungsfrist.

Iowa

Nach Connecticut, Utah, Virginia, Colorado und Kalifornien hat Iowa am 28. März 2023 als sechster US-Bundesstaat ein umfassendes Datenschutzgesetz verabschiedet. Dieses Gesetz, der Iowa Data Privacy Act (IDPA), tritt am 1. Januar 2025 in Kraft und gibt den Unternehmen 21 Monate Zeit, um die neuen Anforderungen zu erfüllen. Während das Gesetz in einigen Aspekten Ähnlichkeiten mit den Datenschutzgesetzen anderer Bundesstaaten aufweist, sollten Unternehmen auf die spezifischen Unterschiede achten, um ihre Compliance-Bemühungen entsprechend anzupassen.

Der IDPA gilt für Unternehmen, die in Iowa tätig sind oder ihre Produkte und Dienstleistungen an Verbraucher in Iowa richten und entweder die personenbezogenen Daten von mindestens 100.000 Verbrauchern in Iowa verarbeiten oder kontrollieren oder die Daten von mindestens 25.000 Verbrauchern verarbeiten und gleichzeitig mehr als 50 % ihrer Bruttoeinnahmen aus dem Verkauf dieser Daten erzielen. Der Begriff „Verbraucher“ im IDPA bezieht sich auf natürliche Personen mit Wohnsitz in Iowa, die im persönlichen, nicht-kommerziellen Kontext agieren, und schließt Mitarbeiter sowie “B2B-Kontakte” aus.

Das Gesetz verpflichtet Unternehmen zu verschiedenen Maßnahmen, darunter die Zweckbindung der Datenverarbeitung, die Implementierung angemessener Sicherheitsmaßnahmen, das Verbot von Diskriminierung, die Bereitstellung transparenter Datenschutzhinweise und die vertragliche Regelung der Beziehungen zu Auftragsverarbeitern. Darüber hinaus gewährt der IDPA Verbrauchern in Iowa Rechte wie das Recht auf Widerspruch, Löschung, Zugang und Datenübertragbarkeit.

Zu den besonderen personenbezogenen Daten, die unter den IDPA fallen, gehören unter anderem Angaben zur ethnischen Herkunft, religiösen Überzeugungen und Geolokalisierung. Unternehmen müssen deutlich auf die Verarbeitung solcher Daten hinweisen und Verbrauchern die Möglichkeit geben, der Verarbeitung zu widersprechen. Die Durchsetzung des Gesetzes liegt ausschließlich beim Generalstaatsanwalt von Iowa, und der IDPA sieht kein privates Klagerecht vor.

Indiana

Mit der Unterzeichnung der Senate Bill No. 5 durch Gouverneur Eric Holcomb im Jahr 2023 ist Indiana der siebte Staat, der ein umfassendes Datenschutzgesetz verabschiedet hat. Das Gesetz tritt am 1. Januar 2026 in Kraft und weist Ähnlichkeiten mit anderen staatlichen Datenschutzgesetzen wie dem Virginia Consumer Data Protection Act auf.

Das Datenschutzgesetz von Indiana gilt für Organisationen, die personenbezogene Daten von mindestens 100.000 Einwohnern Indianas verarbeiten oder die Daten von mindestens 25.000 Einwohnern verarbeiten und gleichzeitig mehr als 50 % ihrer Bruttoeinnahmen aus dem Verkauf dieser Daten erzielen. Bestimmte Einrichtungen und Datenkategorien sind von den Regelungen des Gesetzes ausgenommen.

Das Gesetz verpflichtet Unternehmen, den Verbrauchern klare und verständliche Datenschutzhinweise bereitzustellen und gewährt Verbrauchern das Recht, ihre personenbezogenen Daten zu bestätigen, darauf zuzugreifen, sie zu korrigieren, zu löschen und zu übertragen. Darüber hinaus haben Verbraucher das Recht, der Verarbeitung ihrer personenbezogenen Daten für gezielte Werbung, den Verkauf ihrer Daten oder die Profilerstellung mit erheblichen Auswirkungen zu widersprechen.

Das Gesetz sieht kein privates Klagerecht vor und Unternehmen erhalten eine 30-tägige Frist zur Behebung mutmaßlicher Verstöße.

Montana

Der Montana Consumer Data Privacy Act (MCDPA), der bereits die Legislative passiert hat und nur noch die Unterschrift des Gouverneurs benötigt, orientiert sich an den Datenschutzgesetzen von Connecticut und Virginia. Das Gesetz gilt für Unternehmen, die in Montana tätig sind und personenbezogene Daten von mindestens 50.000 Verbrauchern oder 25.000 Verbrauchern verarbeiten, wenn sie mehr als 25 % ihrer Einnahmen aus dem Verkauf dieser Daten erzielen.

Es definiert „Verbraucher“ als natürliche Personen mit Wohnsitz in Montana und schützt sensible Daten wie Rasse, Religion und Gesundheitsinformationen. Unternehmen müssen Verbraucherrechte wie Widerspruch, Löschung, Zugang und Berichtigung einhalten und Transparenz in ihren Datenschutzhinweisen gewährleisten. Sensible Daten dürfen nur mit ausdrücklicher Zustimmung verarbeitet werden. Die Durchsetzung obliegt dem Generalstaatsanwalt von Montana, allerdings ohne privates Klagerecht.

Tennessee

Sobald Gouverneur Bill Lee seine Zustimmung gibt, wird Tennessee mit der Einführung des Tennessee Information Privacy Act (TIPA) zu den Staaten mit umfassenden Datenschutzgesetzen gehören. Das TIPA orientiert sich weitgehend am kalifornischen CCPA, weist jedoch eine wichtige Ausnahme auf.

Das Gesetz gilt für Unternehmen, die in Tennessee tätig sind oder Produkte und Dienstleistungen für Einwohner von Tennessee anbieten und entweder die personenbezogenen Daten von mindestens 100.000 Verbrauchern verarbeiten oder die Daten von mindestens 25.000 Verbrauchern verarbeiten und dabei mehr als 50 % ihrer Bruttoeinnahmen aus dem Verkauf dieser Daten erzielen.

Vermont 

Am 10. Mai 2024 verabschiedete der Gesetzgeber in Vermont eine umfassende Datenschutzgesetzgebung, die nur noch die Unterschrift des Gouverneurs benötigt. Diese umfasst den Vermont Data Privacy Act (VDPA), den Vermont Data Broker Security Breach Notice Act und den Vermont Age-Appropriate Design Code. Verbraucher können bei bestimmten Datenschutzverletzungen Klage erheben.

Das Gesetz gilt für Unternehmen in Vermont oder solche, die dort Produkte oder Dienstleistungen anbieten. Es tritt schrittweise in Kraft, beginnend am 1. Juli 2024 für Unternehmen, die Daten von mindestens 25.000 Verbrauchern verarbeiten oder 12.500 Verbraucherdaten verarbeiten und über 25 % ihres Umsatzes aus dem Verkauf dieser Daten erzielen.

Der VDPA verlangt von Datenverarbeitern, Sicherheitsstandards einzuhalten, Datenschutz-Folgenabschätzungen durchzuführen, Einwilligungen für sensible Daten einzuholen und detaillierte Datenschutzhinweise bereitzustellen. Der Verkauf sensibler Daten ist untersagt, und Gesundheitsdaten unterliegen besonderen Schutzmaßnahmen. Der Age-Appropriate Design Code stellt sicher, dass für Minderjährige spezielle Sicherheitsvorkehrungen getroffen werden.

Verbraucher haben das Recht auf Auskunft über die Weitergabe ihrer Daten und können Anfragen an Unternehmen stellen, die innerhalb von 45 Tagen beantwortet werden müssen. Die Durchsetzung liegt beim Generalstaatsanwalt von Vermont. Von 2027 bis 2029 können Verbraucher in bestimmten Fällen Klage erheben.

Fazit zu den einzelnen Bundesstaaten

Die Datenschutzsituation in den einzelnen US-Bundesstaaten weist eine Fragmentierung auf, da die Staaten eigene, umfassende Datenschutzgesetze erlassen haben. Diese Gesetze ähneln sich oft, variieren jedoch auch in ihren spezifischen Anforderungen, was zu einem komplexen Regelungsumfeld führt.

Ausblick auf kommende Teile der Reihe

In Teil 3 der Beitragsreihe über den Status Quo des Datenschutzes in den USA wird das Privacy Framework und dessen Auswirkungen auf das hier Geschilderte behandelt. Teil 4 wird sich mit Gesetzesinitiativen auseinandersetzen und ein ausführliches Fazit ziehen – es lohnt sich dran zu bleiben. Wenn ein neuer Beitrag auf unserem Blog erscheint, erfahren sie dies stets auf X.

Die Einhaltung internationaler Datenschutzstandards stellt Unternehmen vor große Herausforderungen. Wir helfen Ihnen bei der Einhaltung von Compliance-Regeln – Fordern Sie noch heute Ihr Angebot bei uns an.