Schlagwort: Montana Consumer Data Privacy Act (MCDPA)

Neue Datenschutzgesetzte in Montana und Tennessee

28. April 2023

Die US-Bundesstaaten Montana und Tennessee haben am 21. April umfassende Gesetzentwürfe zum Datenschutz verabschiedet. Damit sind sie neben Indiana und Iowa die jüngsten Bundestaaten, die in diesem Jahr umfassende Datenschutzgesetze verabschiedet haben.

Iowa Data Privacy Act (IDPA)

Nach Connecticut, Utah, Virginia, Colorado und Kalifornien war Iowa am 29. März der sechste Staat, der ein umfassendes Datenschutzgesetz verabschiedete. Das Gesetz wird am 1. Januar 2025 in Kraft treten, so dass Organisationen 21 Monate Zeit haben, die neuen Anforderungen zu erfüllen. Obwohl das Gesetz einige Ähnlichkeiten mit anderen staatlichen Datenschutzgesetzen aufweist, sollten Unternehmen auf die Unterschiede achten, wenn sie ihre Compliance-Bemühungen in den Vereinigten Staaten ausweiten.

Der Iowa Data Privacy Act (IDPA) gilt für Unternehmen, die in Iowa tätig sind oder sich mit ihren Produkten oder Dienstleistungen an Verbraucher in Iowa wenden und personenbezogene Daten von 100.000 oder mehr Verbrauchern in Iowa oder 25.000 oder mehr Verbrauchern in Iowa kontrollieren oder verarbeiten und gleichzeitig mehr als 50 % ihrer Bruttoeinnahmen aus dem Verkauf dieser Daten erzielen.Die IDPA-Definition des Begriffs “Verbraucher” umfasst natürliche Personen mit Wohnsitz in Iowa, die in einem persönlichen (nichtkommerziellen und nichtbeschäftigten) Kontext handeln, und schließt Mitarbeiter und B2B-Kontakte aus.

Der IDPA erlegt den für die Datenverarbeitung Verantwortlichen Verpflichtungen auf. Dazu gehören beispielsweise die Beschränkung des Zwecks der Verarbeitung personenbezogener Daten, die Einführung angemessener Schutzmaßnahmen, den Verzicht auf Diskriminierung, transparente Datenschutzhinweise und die Sicherstellung, dass die Beziehungen zu den Auftragsverarbeitern vertraglich geregelt sind. Darüber hinaus erteilt es den Verbrauchern in Iowa das Recht auf Ablehnung, Löschung, Zugang, Widerspruch und Datenübertragbarkeit.

Zu den sensiblen personenbezogenen Daten gehören u. a. die rassische/ethnische Herkunft, religiöse Überzeugungen und Geolokalisierungsdaten. Die für die Verarbeitung Verantwortlichen müssen deutlich auf die Verarbeitung dieser Daten hinweisen und die Möglichkeit bieten, sich gegen eine Verarbeitung entscheiden zu können. Der Generalstaatsanwalt von Iowa hat die ausschließliche Durchsetzungsbefugnis und das Gesetz sieht kein privates Klagerecht vor.

Indiana Bill on Consumer data protection

Mit der Unterzeichnung der Senate Bill No. 5 durch Gouverneur Eric Holcomb wird Indiana der siebte Staat sein, der ein umfassendes Datenschutzgesetz verabschiedet. Das Gesetz tritt am 1. Januar 2026 in Kraft. Es ähnelt anderen staatlichen Datenschutzgesetzen wie dem Virginia Consumer Data Protection Act.

Das Datenschutzgesetz von Indiana gilt für Organisationen, die personenbezogene Daten von mindestens 100.000 Einwohnern Indianas oder 25.000 Einwohnern Indianas verarbeiten und gleichzeitig mehr als 50 % ihrer Bruttoeinnahmen aus dem Verkauf personenbezogener Daten erzielen. Bestimmte Einrichtungen und Daten sind von dem Gesetz ausgenommen.

Das Gesetz verpflichtet die Unternehmen, den Verbrauchern klare und aussagekräftige Datenschutzhinweise zur Verfügung zu stellen und räumt den Verbrauchern das Recht ein, ihre personenbezogenen Daten zu bestätigen, auf sie zuzugreifen, sie zu korrigieren, zu löschen und zu übertragen. Darüber hinaus können Verbraucher auch der Verarbeitung ihrer personenbezogenen Daten für gezielte Werbung, den Verkauf personenbezogener Daten oder die Profilerstellung, die erhebliche Auswirkungen hat, widersprechen.

Es gibt kein privates Klagerecht und Unternehmen haben eine 30-tägige Frist zur Behebung angeblicher Verstöße.

Montana Consumer Data Privacy Act (MCDPA)

Nachdem der Montana Consumer Data Privacy Act (MCDPA) beide Häuser der Legislative von Montana bereits passierte, fehlt nun lediglich noch die Unterschrift von Gouverneur Greg Gianforte. Der MCDPA ähnelt den Gesetzen in Connecticut und Virginia, was darauf hindeutet, dass diese Modelle zunehmend die Grundlage für andere staatliche Datenschutzgesetze darstellen.

Das Gesetz gilt für Unternehmen, die in Montana geschäftlich tätig sind, personenbezogene Daten von 50.000 oder mehr Verbrauchern in Montana oder von 25.000 oder mehr Verbrauchern in Montana kontrollieren oder verarbeiten und gleichzeitig mehr als 25 % ihrer Bruttoeinnahmen aus dem Verkauf dieser Daten erwirtschaften.

“Verbraucher” ist definiert als eine natürliche Person mit Wohnsitz in Montana, die in einem persönlichen Kontext handelt. Personenbezogene Daten werden als Informationen definiert, die mit einer identifizierten oder identifizierbaren Person verknüpft sind oder vernünftigerweise verknüpft werden können. Zu den sensiblen Daten gehören Informationen über die Rasse/ethnische Herkunft, die Religion, die Gesundheitsdiagnose, das Sexualleben, die sexuelle Orientierung, die Staatsbürgerschaft, den Einwanderungsstatus und genetische oder biometrische Informationen einer Person. Betroffene Unternehmen müssen den Verbrauchern eine Reihe von Standardrechten zugestehen, darunter das Recht auf Ablehnung des Verkaufs personenbezogener Daten, das Recht auf Löschung, Zugang, Berichtigung und Widerspruch, das Recht auf Einwilligung in Werbung und gezieltes Marketing für Personen zwischen 13 und 16 Jahren sowie das Recht auf Datenübertragbarkeit.

Sensible Daten dürfen nicht verarbeitet werden, ohne dass die Zustimmung des Verbrauchers eingeholt wurde oder, im Falle von Kindern, die COPPA-Bestimmungen eingehalten wurden.

Des Weiteren verpflichtet der MCDPA die für die Verarbeitung Verantwortlichen, den Zweck der Verarbeitung personenbezogener Daten auf das vernünftigerweise notwendige und verhältnismäßige Maß zu beschränken, Maßnahmen zu ergreifen, um angemessene Sicherheitsvorkehrungen für die ihrer Kontrolle unterliegenden personenbezogenen Daten zu treffen, Verbraucher nicht zu diskriminieren, wenn sie ihre Rechte wahrnehmen, und in ihren Datenschutzhinweisen transparent zu sein. Der Generalstaatsanwalt von Montana hat die ausschließliche Durchsetzungsbefugnis und es gibt kein privates Klagerecht.

Das MCDPA wird am 1. Oktober 2024 in Kraft treten.

Tennessee Information Privacy Act (TIPA)

Sobald Gouverneur Bill Lee zustimmt, wird sich Tennessee mit der Einführung des Tennessee Information Privacy Act (TIPA) bald den Staaten mit umfassenden Datenschutzgesetzen anschließen. Das TIPA folgt weitgehend dem Modell des kalifornischen CCPA, allerdings mit einer Ausnahme.

Er gilt für Unternehmen, die in Tennessee tätig sind oder Produkte oder Dienstleistungen für Einwohner von Tennessee anbieten und personenbezogene Daten von mindestens 100.000 Verbrauchern oder 25.000 Verbrauchern verarbeiten und gleichzeitig mehr als 50 % ihrer Bruttoeinnahmen aus dem Verkauf von personenbezogenen Daten erzielen.

Die Einhaltung der CCPA-Verpflichtungen wird wahrscheinlich zur Einhaltung des TIPA führen, vorbehaltlich der Verpflichtungen in Bezug auf das NIST Privacy Framework. Dieses verlangt von Unternehmen, dass sie Datenschutzrisiken identifizieren, kontrollieren, kommunizieren und Schutzmaßnahmen ergreifen. Die Nichteinhaltung des TIPA kann zu Strafen von bis zu 15.000 US-Dollar pro Verstoß führen, die vom Generalstaatsanwalt von Tennessee durchgesetzt werden.

Ausblick

So entscheiden sich zunehmend mehr Bundesstaaten für eigene Datenschutzgesetze, weitere Staaten werden mit Sicherheit folgen. Darüber hinaus gibt auch Pläne für speziellere Datenschutzgesetze. So gibt es beispielsweise Gesetzesvorschläge, die sich auf Kinder, soziale Medien (wie Utahs Social Media Regulation Act) und Gesundheitsinformationen, die nicht unter den HIPAA fallen (wie Washingtons My Health My Data Act), konzentrieren. Darüber hinaus gibt es auch weiterhin einen Gesetzesentwurf für ein umfassendes Datenschutzgesetz auf Bundesebene, dessen Verabschiedung zum jetzigen Zeitpunkt aber noch ungewiss ist.