USA-Update Teil 2: Datenschutz in den einzelnen Bundesstaaten
In diesem Teil unserer Beitragsreihe werfen wir einen Blick auf den Datenschutz in den einzelnen Bundesstaaten, genauer gesagt auf das (nord-) amerikanische Datenschutzsystem, das sich durch eine Vielzahl von föderalen und bundesstaatlichen Gesetzen auszeichnet. Während einige Länder, wie Kanada, bereits umfassende Datenschutzgesetze etabliert haben, präsentiert sich die Situation in den USA als deutlich fragmentierter. Diese Uneinheitlichkeit bringt Herausforderungen mit sich, die in den folgenden Abschnitten genauer beleuchten werden.
Kalifornien
Ein herausragendes Beispiel für den amerikanischen Datenschutz ist der California Consumer Privacy Act (CCPA), der als eines der strengsten Datenschutzgesetze in den USA angesehen wird. Der CCPA räumt den Verbrauchern umfassende Rechte in Bezug auf ihre persönlichen Daten ein, darunter das Recht auf Zugriff, Löschung und Widerspruch gegen die Weitergabe ihrer Daten an Dritte. Darüber hinaus verpflichtet der CCPA Unternehmen dazu, ihre Datenschutzpraktiken offen darzulegen und angemessene Sicherheitsvorkehrungen zum Schutz personenbezogener Daten zu treffen.
Virginia
Der Virginia Consumer Data Protection Act (VCDPA) trat am 1. Januar 2023 in Kraft und stärkt den Datenschutz in Virginia erheblich. Das Gesetz gewährt Rechte ähnlich der DSGVO, wie Zugang, Löschung und Übertragbarkeit persönlicher Daten. Es gilt für Unternehmen, die in Virginia tätig sind oder dort Dienstleistungen anbieten und entweder die Daten von mindestens 100.000 Einwohnern oder 25.000 Einwohnern verarbeiten und über 50 % ihrer Einnahmen aus dem Verkauf dieser Daten erzielen. Ausnahmen gelten für staatliche Behörden, Finanzinstitute, gemeinnützige Organisationen und Hochschulen.
Unternehmen müssen klare Datenschutzhinweise geben, Sicherheitsmaßnahmen einführen und Verbraucherrechte gewährleisten. Diese beinhalten das Recht auf Einsicht, Änderung und Löschung personenbezogener Daten. Die Durchsetzung erfolgt durch den Generalstaatsanwalt von Virginia, mit möglichen Strafen bis zu 7.500 US-Dollar pro Verstoß und einer 30-tägigen Nachbesserungsfrist.
Iowa
Nach Connecticut, Utah, Virginia, Colorado und Kalifornien hat Iowa am 28. März 2023 als sechster US-Bundesstaat ein umfassendes Datenschutzgesetz verabschiedet. Dieses Gesetz, der Iowa Data Privacy Act (IDPA), tritt am 1. Januar 2025 in Kraft und gibt den Unternehmen 21 Monate Zeit, um die neuen Anforderungen zu erfüllen. Während das Gesetz in einigen Aspekten Ähnlichkeiten mit den Datenschutzgesetzen anderer Bundesstaaten aufweist, sollten Unternehmen auf die spezifischen Unterschiede achten, um ihre Compliance-Bemühungen entsprechend anzupassen.
Der IDPA gilt für Unternehmen, die in Iowa tätig sind oder ihre Produkte und Dienstleistungen an Verbraucher in Iowa richten und entweder die personenbezogenen Daten von mindestens 100.000 Verbrauchern in Iowa verarbeiten oder kontrollieren oder die Daten von mindestens 25.000 Verbrauchern verarbeiten und gleichzeitig mehr als 50 % ihrer Bruttoeinnahmen aus dem Verkauf dieser Daten erzielen. Der Begriff „Verbraucher“ im IDPA bezieht sich auf natürliche Personen mit Wohnsitz in Iowa, die im persönlichen, nicht-kommerziellen Kontext agieren, und schließt Mitarbeiter sowie “B2B-Kontakte” aus.
Das Gesetz verpflichtet Unternehmen zu verschiedenen Maßnahmen, darunter die Zweckbindung der Datenverarbeitung, die Implementierung angemessener Sicherheitsmaßnahmen, das Verbot von Diskriminierung, die Bereitstellung transparenter Datenschutzhinweise und die vertragliche Regelung der Beziehungen zu Auftragsverarbeitern. Darüber hinaus gewährt der IDPA Verbrauchern in Iowa Rechte wie das Recht auf Widerspruch, Löschung, Zugang und Datenübertragbarkeit.
Zu den besonderen personenbezogenen Daten, die unter den IDPA fallen, gehören unter anderem Angaben zur ethnischen Herkunft, religiösen Überzeugungen und Geolokalisierung. Unternehmen müssen deutlich auf die Verarbeitung solcher Daten hinweisen und Verbrauchern die Möglichkeit geben, der Verarbeitung zu widersprechen. Die Durchsetzung des Gesetzes liegt ausschließlich beim Generalstaatsanwalt von Iowa, und der IDPA sieht kein privates Klagerecht vor.
Indiana
Montana
Tennessee
Sobald Gouverneur Bill Lee seine Zustimmung gibt, wird Tennessee mit der Einführung des Tennessee Information Privacy Act (TIPA) zu den Staaten mit umfassenden Datenschutzgesetzen gehören. Das TIPA orientiert sich weitgehend am kalifornischen CCPA, weist jedoch eine wichtige Ausnahme auf.
Das Gesetz gilt für Unternehmen, die in Tennessee tätig sind oder Produkte und Dienstleistungen für Einwohner von Tennessee anbieten und entweder die personenbezogenen Daten von mindestens 100.000 Verbrauchern verarbeiten oder die Daten von mindestens 25.000 Verbrauchern verarbeiten und dabei mehr als 50 % ihrer Bruttoeinnahmen aus dem Verkauf dieser Daten erzielen.
Vermont
Am 10. Mai 2024 verabschiedete der Gesetzgeber in Vermont eine umfassende Datenschutzgesetzgebung, die nur noch die Unterschrift des Gouverneurs benötigt. Diese umfasst den Vermont Data Privacy Act (VDPA), den Vermont Data Broker Security Breach Notice Act und den Vermont Age-Appropriate Design Code. Verbraucher können bei bestimmten Datenschutzverletzungen Klage erheben.
Das Gesetz gilt für Unternehmen in Vermont oder solche, die dort Produkte oder Dienstleistungen anbieten. Es tritt schrittweise in Kraft, beginnend am 1. Juli 2024 für Unternehmen, die Daten von mindestens 25.000 Verbrauchern verarbeiten oder 12.500 Verbraucherdaten verarbeiten und über 25 % ihres Umsatzes aus dem Verkauf dieser Daten erzielen.
Der VDPA verlangt von Datenverarbeitern, Sicherheitsstandards einzuhalten, Datenschutz-Folgenabschätzungen durchzuführen, Einwilligungen für sensible Daten einzuholen und detaillierte Datenschutzhinweise bereitzustellen. Der Verkauf sensibler Daten ist untersagt, und Gesundheitsdaten unterliegen besonderen Schutzmaßnahmen. Der Age-Appropriate Design Code stellt sicher, dass für Minderjährige spezielle Sicherheitsvorkehrungen getroffen werden.
Verbraucher haben das Recht auf Auskunft über die Weitergabe ihrer Daten und können Anfragen an Unternehmen stellen, die innerhalb von 45 Tagen beantwortet werden müssen. Die Durchsetzung liegt beim Generalstaatsanwalt von Vermont. Von 2027 bis 2029 können Verbraucher in bestimmten Fällen Klage erheben.
Fazit zu den einzelnen Bundesstaaten
Die Datenschutzsituation in den einzelnen US-Bundesstaaten weist eine Fragmentierung auf, da die Staaten eigene, umfassende Datenschutzgesetze erlassen haben. Diese Gesetze ähneln sich oft, variieren jedoch auch in ihren spezifischen Anforderungen, was zu einem komplexen Regelungsumfeld führt.
Ausblick auf kommende Teile der Reihe
In Teil 3 der Beitragsreihe über den Status Quo des Datenschutzes in den USA wird das Privacy Framework und dessen Auswirkungen auf das hier Geschilderte behandelt. Teil 4 wird sich mit Gesetzesinitiativen auseinandersetzen und ein ausführliches Fazit ziehen – es lohnt sich dran zu bleiben. Wenn ein neuer Beitrag auf unserem Blog erscheint, erfahren sie dies stets auf X.
Die Einhaltung internationaler Datenschutzstandards stellt Unternehmen vor große Herausforderungen. Wir helfen Ihnen bei der Einhaltung von Compliance-Regeln – Fordern Sie noch heute Ihr Angebot bei uns an.