Im Laufe des Jahres 2023 treten fünf neue Datenschutzgesetze der US-Bundesstaaten in Kraft. Diese Gesetze werden die Datenschutzlandschaft in den USA verändern. Sie haben viele Gemeinsamkeiten, unterscheiden sich aber in wichtigen Punkten.

Hier finden Sie die neuen Datenschutzgesetze der US-Bundesstaaten für das Jahr 2023 und das Datum, an dem sie in Kraft treten.

• 1. Januar: Kalifornien Gesetz über die Rechte der Privatsphäre (CPRA)
• 1. Januar: Virginia Verbraucherdatenschutzgesetz (VCPDA)
• 1. Juli: Connecticut Datenschutzgesetz (CTDPA)
• 1. Juli: Colorado Datenschutzgesetz (CPA)
• 31. Dezember: Utah Verbraucherschutzgesetz (UCPA)

 

Dieser Artikel befasst sich mit diesen fünf Datenschutzgesetzen der US-Bundesstaaten und geht der Frage nach, für welche Unternehmen sie gelten und was diese Unternehmen tun müssen, um die Vorschriften einzuhalten.

Anmeldung

Jedes der neuen staatlichen Datenschutzgesetze von 2023 gilt anders. Aber sie alle haben „extraterritorialer Geltungsbereich„. Die Gesetze gelten für Unternehmen mit Sitz außerhalb des jeweiligen Staates, wenn diese Unternehmen Geschäfte tätigen oder Waren oder Dienstleistungen für Einwohner des Staates anbieten.

Jedes Gesetz sieht zwei oder drei Tests vor, um festzustellen, ob ein Kontrolleur (oder „Unternehmen“ in Kalifornien) in den Geltungsbereich des Gesetzes fällt. Die Prüfungen sind jedoch in jedem Bundesland etwas anders.

Um unter das Gesetz eines Staates zu fallen, muss ein Kontrolleur Folgendes erfüllen
einen oder mehrere der drei Schwellenwerte
in der nachstehenden Tabelle erfüllen.

NB: In Utah müssen Schwellenwert 1 PLUS entweder Schwellenwert 2 oder 3 (oder beide) erfüllt sein.

Für das vorangegangene Kalenderjahr:

• Schwellenwert 1: Mindestbruttojahresumsatz.
• Schwellenwert 2: Mindestanzahl der Verbraucher oder Haushalte, über die der für die Verarbeitung Verantwortliche personenbezogene Daten verarbeitet hat.
• Schwellenwert 3: Beide der folgenden Komponenten:

• • Komponente 1: Mindestanzahl der Verbraucher oder Haushalte, über die der für die Verarbeitung Verantwortliche personenbezogene Daten „kontrolliert oder verarbeitet“ hat.
  • Komponente 2: Mindestanteil der jährlichen Einnahmen aus dem Verkauf personenbezogener Verbraucherdaten.

 

So funktionieren die Schwellenwerte in den einzelnen Bundesländern:

	Schwelle 1: Jahreseinnahmen	Schwelle 2: Menge der Daten	Schwelle 3: Datenverkauf
Kalifornien (CPRA)	25 Millionen Dollar oder mehr	Daten über 100.000 Verbraucher oder Haushalte, die gekauft, verkauft oder geteilt wurden	Komponente 1: Nicht zutreffend   Komponente 2: 50% der Einnahmen (Verkauf oder Aufteilung)
Virginia (VCPDA)	Nicht anwendbar	Daten über 100.000 Verbraucher kontrolliert oder verarbeitet	Komponente 1: 25.000 Verbraucher   Komponente 2: 50% der Einnahmen
Colorado (CPA)	Nicht anwendbar	Daten über 100.000 Verbraucher kontrolliert oder verarbeitet	Komponente 1: 25.000 Verbraucher   Komponente 2: Jeder Betrag (einschließlich Rabatte auf Waren und Dienstleistungen)
Connecticut (CTPA)	Nicht anwendbar	Daten über 100.000 Verbraucher kontrolliert oder verarbeitet	Komponente 1: 25.000 Verbraucher oder Haushalte   Komponente 2: 25% der Einnahmen
Utah (UTCPA)	25 Millionen Dollar oder mehr (dieser Schwellenwert und mindestens ein weiterer müssen erfüllt sein)	Daten über 100.000 Verbraucher kontrolliert oder verarbeitet	Komponente 1: 25.000 Verbraucher oder Haushalte   Komponente 2: 50% der Einnahmen

 

Wenn ein Unternehmen in einem bestimmten Bundesstaat eine dieser drei Schwellenwerte erfüllt und das Unternehmen Verbraucher in diesem Bundesstaat bedient oder anspricht, fällt das Unternehmen unter das Gesetz (mit Ausnahme von
Utahs
Gesetz, wie oben erläutert).

Es gibt einige Ausnahmen, zum Beispiel für Unternehmen, die unter andere Datenschutzgesetze wie den Health Insurance Portability and Accountability Act (HIPAA) und Titel V des Gramm-Leach-Bliley Act fallen.

Rechte der Verbraucher

Jedes dieser neuen Gesetze enthält eine Version der folgenden Verbraucherrechte:

• Recht auf Zugang
• Recht auf Korrektur (außer Utah )
  
• Recht auf Löschung
• Recht auf Datenübertragbarkeit
• Recht auf Opt-out

 

In allen Staaten beträgt die
beträgt die Frist für die Beantwortung einer Anfrage zu Verbraucherrechten 45 Tage. Diese Frist kann um weitere 45 Tage verlängert werden, wenn dies sinnvoll ist.

Die spezifischen Anforderungen und Ausnahmen im Rahmen der einzelnen Verbraucherrechte unterscheiden sich von Staat zu Staat geringfügig, insbesondere in Bezug auf das „Recht auf Ausschluss“.

Recht auf Opt-out

Wie bereits erwähnt, haben die Verbraucher in jedem Bundesland das Recht, sich von der Teilnahme am Wettbewerb auszuschließen. Aber die Aktivitäten, von denen sich die Verbraucher abmelden können, sind von Staat zu Staat unterschiedlich.

Jeder Staat verlangt von den für die Verarbeitung Verantwortlichen außerdem, dass sie den Verbrauchern vor der Verarbeitung „sensibler Daten“ ein Opt-out anbieten oder ein Opt-in einholen. Wir werden dies im Folgenden näher erläutern.

Kalifornien ist der Ausreißer
Was das Ausstiegsrecht betrifft, so sollten wir uns zunächst Virginia, Colorado, Connecticut und Utah ansehen.

 

Recht auf Opt-out in Virginia, Colorado, Connecticut und Utah

Unter Virginia, Colorado, Connecticut und Utah fallen die folgenden Arten von Verarbeitungen unter das Recht auf Widerspruch:

• Gezielte Werbung
• Der Verkauf von personenbezogenen Daten
• Profiling mit rechtlichen oder ähnlich bedeutenden Auswirkungen (außer Utah)
  

 

Diese Begriffe sind in den vier Gesetzen alle ähnlich definiert:

• „Gezielte Werbung„: Anzeige einer Werbung auf der Grundlage persönlicher Daten, die „im Laufe der Zeit“ und über „nicht verbundene“ Websites oder Apps gesammelt wurden.
• „Profilierung„: Automatisierte Verarbeitung personenbezogener Daten, um Dinge über eine Person „zu bewerten, zu analysieren oder vorherzusagen“
  (nicht definiert in Utahs Gesetz).

Was die Definition des „Verkaufs“ betrifft, so gibt es eine wichtige Ausnahme (wiederum in
Utah).

• Virginia, Colorado und Connecticut definieren einen „Verkauf“ als Austausch personenbezogener Daten gegen „Geld oder eine andere wertvolle Gegenleistung“ (im Grunde jeden Vorteil).
• Utah beschränkt seine Definition eines „Verkaufs“ auf einen Austausch gegen eine „monetäre Gegenleistung“ (nur Geld).

 

 

Recht auf Opt-out in Kalifornien

In Kalifornien gilt das „Recht auf Ausstieg“:

• Der Verkauf von personenbezogenen Daten.
• Weitergabe personenbezogener Daten für „kontextübergreifende verhaltensorientierte Werbung“.

Kalifornien nimmt eine weit gefasste Definition des Begriffs „Verkauf“ an, die „Geld oder andere wertvolle Gegenleistungen“ umfasst. „Kontextübergreifende verhaltensorientierte Werbung“ bedeutet „gezielte Werbung“.

 

Universelles Opt-out

Drei der fünf Staaten verlangen von den für die Verarbeitung Verantwortlichen, dass sie den Verbrauchern die Möglichkeit geben, sich über einen „
universellen Opt-out-Mechanismus“ auf Browser-Ebene zu ermöglichen, wie z. B. die
Globale Datenschutzkontrolle:

• Kalifornien (wo dies bereits vorgeschrieben ist)
• Colorado (ab 1. Juli 2024)
• Connecticut (ab 1. Januar 2025)

 

Sensible Daten

Jedes dieser fünf Gesetze enthält eine Kategorie von „sensible Daten„.

Mit einigen kleinen Unterschieden im Wortlaut, Virginia, Colorado, Connecticut und Utah alle definieren „sensible Daten“ als Informationen über:

• Rasse oder ethnische Herkunft
• Religiöse Überzeugungen
• Psychische oder physische Gesundheitszustände oder Diagnosen
• Sexualleben oder sexuelle Orientierung
• Staatsangehörigkeit oder Einwanderungsstatus
• Genetische oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer Person
• Genaue Geolokalisierungsdaten (außer Colorado)
  
• Persönliche Daten, die von einem bekannten Kind gesammelt wurden

 

Das kalifornische Gesetz definiert „sensible persönliche Informationen“ als Informationen über:

• Sozialversicherungsnummer, Führerscheinnummer, Nummer des staatlichen Personalausweises oder Reisepassnummer
• Kontoanmeldung, Finanzkonto, Debitkarten- oder Kreditkartennummer in Kombination mit einem erforderlichen Sicherheits- oder Zugangscode, Passwort oder Zugangsdaten, die den Zugang zu einem Konto ermöglichen
• Präzise Geolokalisierung
• Rasse oder ethnische Herkunft, religiöse oder philosophische Überzeugungen oder die Mitgliedschaft in einer Gewerkschaft
• Der Inhalt von Post, E-Mails und Textnachrichten, es sei denn, das Unternehmen ist der beabsichtigte Empfänger der Kommunikation
• Genetische Daten

 

Jedes Gesetz enthält einige Regeln über sensible Daten:

• Virginia, Colorado und Connecticut:
  Die für die Verarbeitung Verantwortlichen dürfen keine sensiblen Daten ohne Zustimmung der Betroffenen verarbeiten.
• Utah: Die für die Verarbeitung Verantwortlichen dürfen keine sensiblen Daten verarbeiten, ohne dem Verbraucher ein Opt-out anzubieten.
• Kalifornien: Die Verbraucher haben das Recht, die Verwendung oder Weitergabe ihrer sensiblen persönlichen Daten einzuschränken.

 

Betreffend Daten von Kindern:

• Virginia, Colorado, Connecticut und Utah: Die Daten von Kindern müssen in Übereinstimmung mit dem Children’s Online Privacy Protection Act (COPPA) verarbeitet werden.
• Kalifornien: Unternehmen dürfen die Daten von Kindern nicht ohne Zustimmung (wenn das Kind unter 16 Jahren ist) oder ohne die Zustimmung der Eltern (wenn das Kind unter 13 Jahren ist) verkaufen oder weitergeben.

 

Hinweis zum Datenschutz

Jedes der fünf neuen Landesgesetze verpflichtet die für die Verarbeitung Verantwortlichen dazu einen Datenschutzhinweis zu veröffentlichen (oder eine „Datenschutzrichtlinie“ in der Sprache Kaliforniens).

Virginia, Colorado, Connecticut und Utah verlangen, dass der Datenschutzhinweis die folgenden Informationen enthält:

• Die Kategorien der erhobenen oder verarbeiteten personenbezogenen Daten.
• Die Zwecke, für die die Kategorien von personenbezogenen Daten verarbeitet werden.
• Wie und wo Verbraucher ihre Rechte wahrnehmen können.
• Gegebenenfalls die Kategorien personenbezogener Daten, die der für die Verarbeitung Verantwortliche mit Dritten teilt.
• Gegebenenfalls die Kategorien von Dritten, mit denen der für die Verarbeitung Verantwortliche personenbezogene Daten austauscht.
• Eine Angabe darüber, ob der für die Verarbeitung Verantwortliche personenbezogene Daten an Dritte verkauft oder personenbezogene Daten für gezielte Werbung verarbeitet.

 

Kalifornien ist etwas komplizierter. Alle folgenden Angaben müssen sich gegebenenfalls auf die Tätigkeit des Unternehmens in den vorangegangenen 12 Monaten beziehen:

• Informationen über die Verbraucherrechte der CPRA und wie man sie ausüben kann.
• Eine Liste der Kategorien von persönlichen Informationen, die das Unternehmen gesammelt hat.
• Die Kategorien von Quellen, aus denen personenbezogene Daten von Verbrauchern gesammelt werden
• Der geschäftliche oder kommerzielle Zweck für das Sammeln, den Verkauf oder die Weitergabe der persönlichen Daten der Verbraucher.
• Die Kategorien von Dritten, an die das Unternehmen personenbezogene Daten der Verbraucher weitergibt.
• Eine Liste der Kategorien personenbezogener Daten, die sie verkauft oder weitergegeben hat (falls zutreffend).
• Eine Liste der Kategorien personenbezogener Daten, die er über Verbraucher weitergegeben hat (falls zutreffend).
• Ein deutlicher Hinweis darauf, dass das Unternehmen keine personenbezogenen Daten verkauft oder weitergegeben hat (falls zutreffend).

 

Die Datenschutzrichtlinie muss alle 12 Monate aktualisiert werden.

 

Das kalifornische Gesetz enthält auch andere Transparenzverpflichtungen
Dazu gehört ein „Hinweis bei der Erhebung“, der den Verbrauchern vor der Erhebung ihrer personenbezogenen Daten vorgelegt werden muss.

 

Datenminimierung und Zweckbeschränkung

Vier der fünf staatlichen Gesetze führen eine Form der „Datenminimierung“ und „Zweckbindung“ Anforderung. Diese Anforderungen ähneln denen der EU-Datenschutzgrundverordnung (GDPR).

Unter kalifornischen Gesetz ist es Unternehmen untersagt, mehr personenbezogene Daten zu erheben, als es „vernünftigerweise notwendig und verhältnismäßig um die Zwecke zu erreichen, für die die personenbezogenen Daten erhoben oder verarbeitet wurden“.

Das kalifornische
Das Gesetz schreibt außerdem vor, dass Unternehmen personenbezogene Daten nicht länger aufbewahren dürfen, als dies vernünftigerweise notwendig ist.

Die Gesetze von Virginia, Colorado und Connecticut
Alle Gesetze verlangen dies von den Kontrolleuren:

• „Beschränken Sie die Erhebung personenbezogener Daten auf das, was im Hinblick auf die Zwecke, für die diese Daten verarbeitet werden, angemessen, relevant und vernünftigerweise erforderlich ist…“
• „…personenbezogene Daten nicht für Zwecke verarbeiten, die für die offengelegten Zwecke weder erforderlich noch mit diesen vereinbar sind

 

Utahs Das Gesetz verweist einmal auf die Pflichten zur „Datenminimierung“ und zur „Zweckbestimmung“, definiert oder beschreibt diese Konzepte jedoch nicht oder nimmt anderweitig darauf Bezug. Der Verweis auf diese nun gestrichenen Bestimmungen stammt noch aus einem früheren Entwurf des Gesetzes.

Datenschutz-Bewertungen

Die Gesetze von Virginia und Connecticut verlangen beide Gesetze von den für die Verarbeitung Verantwortlichen, eine „Datenschutzprüfung„durchzuführen, bevor sie bestimmte Arten von Verarbeitungen vornehmen, einschließlich:

• Gezielte Werbung
• Verkauf von personenbezogenen Daten
• Bestimmte Arten der Profilerstellung
• Verarbeitung sensibler Daten
• Jede andere Verarbeitung, die ein „erhöhtes Risiko eines Schadens für die Verbraucher“ darstellen könnte

 

Die Bewertung des Datenschutzes umfasst:

• Identifizierung der Vorteile Vorteile der Verarbeitung für den für die Verarbeitung Verantwortlichen, den Verbraucher und andere.
• Identifizierung der Risiken der Verarbeitung.
• Abwägung der Vorteile und Risiken.
• Identifizierung aller Sicherheitsvorkehrungen
  die umgesetzt werden könnten.

 

Die für die Verarbeitung Verantwortlichen sollten eine schriftliche Aufzeichnung ihrer Datenschutzbewertungen aufbewahren.

Sicherheit

Alle fünf Gesetze verpflichten die für die Verarbeitung Verantwortlichen dazu „angemessene“ Sicherheitsmaßnahmen zum Schutz personenbezogener Daten zu ergreifen. Die Sicherheitsmaßnahmen hängen immer von der Art der Verarbeitung und des Geschäfts ab.

Die Gesetze selbst sehen keine Meldepflicht für Datenschutzverletzungen vor, aber jeder Staat hat seine eigenen Gesetze zur Meldung von Datenschutzverletzungen.