Schlagwort: Indiana

Neue Datenschutzgesetzte in Montana und Tennessee

28. April 2023

Die US-Bundesstaaten Montana und Tennessee haben am 21. April umfassende Gesetzentwürfe zum Datenschutz verabschiedet. Damit sind sie neben Indiana und Iowa die jüngsten Bundestaaten, die in diesem Jahr umfassende Datenschutzgesetze verabschiedet haben.

Iowa Data Privacy Act (IDPA)

Nach Connecticut, Utah, Virginia, Colorado und Kalifornien war Iowa am 29. März der sechste Staat, der ein umfassendes Datenschutzgesetz verabschiedete. Das Gesetz wird am 1. Januar 2025 in Kraft treten, so dass Organisationen 21 Monate Zeit haben, die neuen Anforderungen zu erfüllen. Obwohl das Gesetz einige Ähnlichkeiten mit anderen staatlichen Datenschutzgesetzen aufweist, sollten Unternehmen auf die Unterschiede achten, wenn sie ihre Compliance-Bemühungen in den Vereinigten Staaten ausweiten.

Der Iowa Data Privacy Act (IDPA) gilt für Unternehmen, die in Iowa tätig sind oder sich mit ihren Produkten oder Dienstleistungen an Verbraucher in Iowa wenden und personenbezogene Daten von 100.000 oder mehr Verbrauchern in Iowa oder 25.000 oder mehr Verbrauchern in Iowa kontrollieren oder verarbeiten und gleichzeitig mehr als 50 % ihrer Bruttoeinnahmen aus dem Verkauf dieser Daten erzielen.Die IDPA-Definition des Begriffs “Verbraucher” umfasst natürliche Personen mit Wohnsitz in Iowa, die in einem persönlichen (nichtkommerziellen und nichtbeschäftigten) Kontext handeln, und schließt Mitarbeiter und B2B-Kontakte aus.

Der IDPA erlegt den für die Datenverarbeitung Verantwortlichen Verpflichtungen auf. Dazu gehören beispielsweise die Beschränkung des Zwecks der Verarbeitung personenbezogener Daten, die Einführung angemessener Schutzmaßnahmen, den Verzicht auf Diskriminierung, transparente Datenschutzhinweise und die Sicherstellung, dass die Beziehungen zu den Auftragsverarbeitern vertraglich geregelt sind. Darüber hinaus erteilt es den Verbrauchern in Iowa das Recht auf Ablehnung, Löschung, Zugang, Widerspruch und Datenübertragbarkeit.

Zu den sensiblen personenbezogenen Daten gehören u. a. die rassische/ethnische Herkunft, religiöse Überzeugungen und Geolokalisierungsdaten. Die für die Verarbeitung Verantwortlichen müssen deutlich auf die Verarbeitung dieser Daten hinweisen und die Möglichkeit bieten, sich gegen eine Verarbeitung entscheiden zu können. Der Generalstaatsanwalt von Iowa hat die ausschließliche Durchsetzungsbefugnis und das Gesetz sieht kein privates Klagerecht vor.

Indiana Bill on Consumer data protection

Mit der Unterzeichnung der Senate Bill No. 5 durch Gouverneur Eric Holcomb wird Indiana der siebte Staat sein, der ein umfassendes Datenschutzgesetz verabschiedet. Das Gesetz tritt am 1. Januar 2026 in Kraft. Es ähnelt anderen staatlichen Datenschutzgesetzen wie dem Virginia Consumer Data Protection Act.

Das Datenschutzgesetz von Indiana gilt für Organisationen, die personenbezogene Daten von mindestens 100.000 Einwohnern Indianas oder 25.000 Einwohnern Indianas verarbeiten und gleichzeitig mehr als 50 % ihrer Bruttoeinnahmen aus dem Verkauf personenbezogener Daten erzielen. Bestimmte Einrichtungen und Daten sind von dem Gesetz ausgenommen.

Das Gesetz verpflichtet die Unternehmen, den Verbrauchern klare und aussagekräftige Datenschutzhinweise zur Verfügung zu stellen und räumt den Verbrauchern das Recht ein, ihre personenbezogenen Daten zu bestätigen, auf sie zuzugreifen, sie zu korrigieren, zu löschen und zu übertragen. Darüber hinaus können Verbraucher auch der Verarbeitung ihrer personenbezogenen Daten für gezielte Werbung, den Verkauf personenbezogener Daten oder die Profilerstellung, die erhebliche Auswirkungen hat, widersprechen.

Es gibt kein privates Klagerecht und Unternehmen haben eine 30-tägige Frist zur Behebung angeblicher Verstöße.

Montana Consumer Data Privacy Act (MCDPA)

Nachdem der Montana Consumer Data Privacy Act (MCDPA) beide Häuser der Legislative von Montana bereits passierte, fehlt nun lediglich noch die Unterschrift von Gouverneur Greg Gianforte. Der MCDPA ähnelt den Gesetzen in Connecticut und Virginia, was darauf hindeutet, dass diese Modelle zunehmend die Grundlage für andere staatliche Datenschutzgesetze darstellen.

Das Gesetz gilt für Unternehmen, die in Montana geschäftlich tätig sind, personenbezogene Daten von 50.000 oder mehr Verbrauchern in Montana oder von 25.000 oder mehr Verbrauchern in Montana kontrollieren oder verarbeiten und gleichzeitig mehr als 25 % ihrer Bruttoeinnahmen aus dem Verkauf dieser Daten erwirtschaften.

“Verbraucher” ist definiert als eine natürliche Person mit Wohnsitz in Montana, die in einem persönlichen Kontext handelt. Personenbezogene Daten werden als Informationen definiert, die mit einer identifizierten oder identifizierbaren Person verknüpft sind oder vernünftigerweise verknüpft werden können. Zu den sensiblen Daten gehören Informationen über die Rasse/ethnische Herkunft, die Religion, die Gesundheitsdiagnose, das Sexualleben, die sexuelle Orientierung, die Staatsbürgerschaft, den Einwanderungsstatus und genetische oder biometrische Informationen einer Person. Betroffene Unternehmen müssen den Verbrauchern eine Reihe von Standardrechten zugestehen, darunter das Recht auf Ablehnung des Verkaufs personenbezogener Daten, das Recht auf Löschung, Zugang, Berichtigung und Widerspruch, das Recht auf Einwilligung in Werbung und gezieltes Marketing für Personen zwischen 13 und 16 Jahren sowie das Recht auf Datenübertragbarkeit.

Sensible Daten dürfen nicht verarbeitet werden, ohne dass die Zustimmung des Verbrauchers eingeholt wurde oder, im Falle von Kindern, die COPPA-Bestimmungen eingehalten wurden.

Des Weiteren verpflichtet der MCDPA die für die Verarbeitung Verantwortlichen, den Zweck der Verarbeitung personenbezogener Daten auf das vernünftigerweise notwendige und verhältnismäßige Maß zu beschränken, Maßnahmen zu ergreifen, um angemessene Sicherheitsvorkehrungen für die ihrer Kontrolle unterliegenden personenbezogenen Daten zu treffen, Verbraucher nicht zu diskriminieren, wenn sie ihre Rechte wahrnehmen, und in ihren Datenschutzhinweisen transparent zu sein. Der Generalstaatsanwalt von Montana hat die ausschließliche Durchsetzungsbefugnis und es gibt kein privates Klagerecht.

Das MCDPA wird am 1. Oktober 2024 in Kraft treten.

Tennessee Information Privacy Act (TIPA)

Sobald Gouverneur Bill Lee zustimmt, wird sich Tennessee mit der Einführung des Tennessee Information Privacy Act (TIPA) bald den Staaten mit umfassenden Datenschutzgesetzen anschließen. Das TIPA folgt weitgehend dem Modell des kalifornischen CCPA, allerdings mit einer Ausnahme.

Er gilt für Unternehmen, die in Tennessee tätig sind oder Produkte oder Dienstleistungen für Einwohner von Tennessee anbieten und personenbezogene Daten von mindestens 100.000 Verbrauchern oder 25.000 Verbrauchern verarbeiten und gleichzeitig mehr als 50 % ihrer Bruttoeinnahmen aus dem Verkauf von personenbezogenen Daten erzielen.

Die Einhaltung der CCPA-Verpflichtungen wird wahrscheinlich zur Einhaltung des TIPA führen, vorbehaltlich der Verpflichtungen in Bezug auf das NIST Privacy Framework. Dieses verlangt von Unternehmen, dass sie Datenschutzrisiken identifizieren, kontrollieren, kommunizieren und Schutzmaßnahmen ergreifen. Die Nichteinhaltung des TIPA kann zu Strafen von bis zu 15.000 US-Dollar pro Verstoß führen, die vom Generalstaatsanwalt von Tennessee durchgesetzt werden.

Ausblick

So entscheiden sich zunehmend mehr Bundesstaaten für eigene Datenschutzgesetze, weitere Staaten werden mit Sicherheit folgen. Darüber hinaus gibt auch Pläne für speziellere Datenschutzgesetze. So gibt es beispielsweise Gesetzesvorschläge, die sich auf Kinder, soziale Medien (wie Utahs Social Media Regulation Act) und Gesundheitsinformationen, die nicht unter den HIPAA fallen (wie Washingtons My Health My Data Act), konzentrieren. Darüber hinaus gibt es auch weiterhin einen Gesetzesentwurf für ein umfassendes Datenschutzgesetz auf Bundesebene, dessen Verabschiedung zum jetzigen Zeitpunkt aber noch ungewiss ist.

US-Bundesstaat Indiana verklagt TikTok wegen Daten- und Jugendschutzverstößen

8. Dezember 2022

Wie der Generalstaatsanwalt des US-Bundesstaats Indiana, Todd Rokita, am 7. Dezember 2022 bekannt gab, muss sich die chinesische Videoplattform TikTok in zwei Klageverfahren wegen seiner undurchsichtigen Datenverarbeitungspraktiken verantworten. Rokita bezeichnete die Plattform als „Trojanisches Pferd“, welches insbesondere bei Kindern und Jugendlichen großen Schaden anrichte.

Unangemessene Inhalte träfen auf Spionage

Die beiden Klagen des US-Bundesstaats thematisieren einen mangelnden Jugendschutz einerseits und andererseits mangelnden Datenschutz, der eine Spionage US-amerikanischer Nutzerinnen und Nutzer durch die chinesische Regierung ermögliche.

Obwohl die App im App-Store ab 12 Jahren freigegeben sei, würden Kinder und Jugendliche auf TikTok häufig mit unangemessenen Inhalten konfrontiert. So zeige TikTok diesen beispielsweise sexuelle und gewalttätige Inhalte sowie Alkohol- und Drogenmissbrauch. Dabei erlaube TikTok diese Inhalte nicht bloß, sondern schlage sie sogar gezielt vor. Mithilfe der Algorithmen sollten demnach junge Menschen von der App abhängig gemacht werden.

Hinsichtlich des Datenschutzes bemängelt Rokita insbesondere die Verbindungen TikToks zu China. Die chinesische Regierung habe einen erheblichen Einfluss auf die App, auch wenn TikTok dies abstreite. Problematisch sei hier unter anderem, dass die Daten von US-amerikanischen Nutzerinnen und Nutzern auf chinesischen Servern gespeichert würden, obwohl TikTok Verbindungen zu China in seinen Datenschutzbestimmungen im US-Markt unterschlage. Dabei seien diese Informationen in den EU-Datenschutzbestimmungen bereits enthalten. Entgegen TikToks Aussagen bestünde kein ausreichender Schutz vor Spionage seitens China. Insbesondere habe die chinesische Regierung bereits zuvor Interesse an der Datensammlung von TikTok gezeigt.

Erste Klage dieser Art – aber kein neuer Vorwurf

Die Vorwürfe gegen TikTok sind nicht neu. Zwar ist Indiana der erste Bundesstaat, der auf dem Klageweg gegen die App vorgeht. Doch schon 2020 hatte der damalige US-Präsident Donald Trump mit einem Verbot gedroht, woraufhin China mit einem Verkaufsstopp für Software-Algorithmen gekontert hatte. US-Präsident Joe Biden hatte den Verbotsversuch gestoppt. Zuletzt verboten die Gouverneure der US-Bundesstaaten Texas, Maryland, North Dakota und South Dakota sowie verschiedene Bundesministerien TikTok auf Dienstgeräten von Behördenangestellten. Auch der FBI-Chef Christopher Wray hatte Sicherheitsbedenken geäußert.