Datenschutzgesetze der Bundesstaaten: Unterschiedliche Ansätze zum Datenschutz

Da der Schutz der data privacy für Einzelpersonen zur Priorität geworden ist, haben Regierungen auf allen Ebenen eine Vielzahl von Datenschutzgesetzen erlassen, um zu kontrollieren, wie Organisationen persönliche Informationen sammeln, speichern und verarbeiten, wie zum Beispiel Namen, Adressen, Gesundheitsdaten, Finanzunterlagen und Kreditinformationen.

Erfahren Sie mehr über Datenschutzgesetze in den USA, sowie welche Änderungen und Entwicklungen bei bestehenden Gesetzen zum Schutz personenbezogener Daten zu erwarten sind

Wie wird Datenschutz in den USA durchgesetzt?

Die Notwendigkeit, moderne Datenschutzprobleme anzugehen und Datenschutzrechte zu schützen, ist ein globaler Trend. Ein entscheidender Moment war im Mai 2018, als die EU die Allgemeine Datenschutzverordnung (GDPR), eine umfangreiche Gesetzgebung, die nicht nur für EU-Mitgliedstaaten gilt, sondern für jede Organisation, die Daten von europäischen Bewohnern sammelt oder verarbeitet.

Einfach ausgedrückt, die Vereinigten Staaten haben kein Äquivalent zur EU-Verordnung GDPR. Tatsächlich ist die USA, Stand 2021, eine der wenigen Demokratien und das einzige Mitglied der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung, das keine bundesweite Datenschutzbehörde besitzt, obwohl Senatorin Kirsten Gillibrand und andere die Schaffung einer solchen vorgeschlagen haben. Ohne ein umfassendes Datenschutzgesetz auf Bundesebene regulieren die USA den Datenschutz weiterhin durch eine Mischung aus Gesetzen, die auf staatlicher und bundesstaatlicher Ebene verabschiedet wurden.

Unternehmen müssen sich über alle relevanten Gesetze im Klaren sein, bevor sie beginnen, Daten zu sammeln oder zu verarbeiten, die als „persönliche Informationen“ angesehen werden könnten. Die Nichteinhaltung geltender Datenschutzgesetze kann zu Klagen und Bußgeldern führen.

Bundesdatenschutzgesetze in den USA und deren Durchsetzung

Bundesgesetze, die als Datenschutzgesetze gelten, umfassen:

• Gramm-Leach-Bliley Act (GLBA): Auch bekannt als Financial Modernization Act von 1999, verlangt der GLBA von Finanzunternehmen, zu erklären, wie sie sensible Daten der Kunden schützen und teilen
• Health Insurance Portability and Accountability Act (HIPAA): Dieses Bundesgesetz regelt die Offenlegung und Verwendung von geschützten Gesundheitsinformationen (PHI).
• Children’s Online Privacy Protection Act (COPPA): Dieses Gesetz beschränkt die Sammlung von persönlichen Informationen über Kinder unter 13 Jahren.
• Family Educational Rights and Privacy Act (FERPA): Dieses Bundesgesetz schützt die Privatsphäre von Schülerakten und gilt für alle Schulen, die Mittel vom US-Bildungsministerium erhalten.
• Fair Credit Reporting Act (FCRA): Regelt die Sammlung und Verwendung von Verbraucherinformationen

Auf Bundesebene hat die Federal Trade Commission (FTC) eine umfassende Zuständigkeit über kommerzielle Einheiten, um „täuschende Handelspraktiken“ zu verhindern, zu denen auch Datenschutzprobleme gehören können. Die FTC hat die Befugnis, Datenschutzgesetze durchzusetzen, Vorschriften zu erlassen und Maßnahmen zum Schutz der Verbraucher zu ergreifen. Insbesondere kann die FTC gegen Unternehmen vorgehen, die:

• Fehler beim Erstellen, Implementieren und Aufrechterhalten angemessener Data Security Schutzmaßnahmen
• Verletzen Sie die Datenschutzrechte von Verbrauchern, indem Sie Verbraucherinformationen ohne deren Zustimmung sammeln, verarbeiten oder teilen
• Veröffentlichen und etablieren Sie ungenaue oder verwirrende Datenschutz- und Sicherheitsrichtlinien für Verbraucher auf Websites und Apps
• Sammeln, verarbeiten, übertragen oder teilen Sie persönliche Informationen auf eine Weise, die in der Datenschutzrichtlinie nicht offengelegt ist

Datenschutzgesetze der Bundesstaaten in den USA

Viele US-Bundesstaaten haben auch ihre eigenen Datenschutz- und Sicherheitsgesetze. Die Generalstaatsanwaltschaften der Bundesstaaten sind für die Überwachung dieser Gesetze verantwortlich.

Landesgesetze haben oft überlappende oder unvereinbare Bestimmungen. Zum Beispiel haben alle 50 US-Bundesstaaten data breach-Benachrichtigungsgesetze verabschiedet, aber es gibt Unterschiede in der Definition von personenbezogenen Daten und sogar darin, was einen Datenverstoß ausmacht. Ähnlich haben mindestens 35 Staaten (und Puerto Rico) eine Form von Datenentsorgungsvorschriften erlassen, wobei viele dieser Gesetze sich speziell auf digitale Daten beziehen.

Hier sind die wichtigsten Datenschutzgesetze nach Bundesstaat, die erlassen wurden:

California Consumer Privacy Act

Wirksam Datum: 1. Januar 2020

Bestimmungen: Dieses kalifornische Datenschutzgesetz begann als Volksinitiative als Reaktion auf die wachsende öffentliche Besorgnis über die Menge an privaten Daten, die digitale und Technologieunternehmen im Silicon Valley seit Jahrzehnten stillschweigend sammeln und verkaufen. Das kalifornische Gesetz übernimmt die grundlegenden Prinzipien des Datenschutzes und der Datenschutzanforderungen der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union.

Das CCPA regelt die Erfassung, den Verkauf und die Offenlegung persönlicher Informationen von Einwohnern Kaliforniens. Es gilt für die Aktivitäten von Unternehmen, Dienstleistern, die Unternehmen bedienen, und Dritten (die Einzelpersonen oder Organisationen sein können). Einer der Schlüsselbegriffe des Gesetzes ist, dass Unternehmen schnell auf Anfragen kalifornischer Verbraucher reagieren müssen, welche persönlichen Daten über sie gesammelt werden und ob diese verkauft oder offengelegt werden. Das Gesetz verbietet Diskriminierung gegenüber Verbrauchern, die ihre Rechte ausüben; Verbrauchern muss dieselbe Qualität an Service geboten werden, auch wenn sie gegen eine bestimmte Aktivität, wie den Verkauf ihrer Daten, Einwände erheben. Dienstleister dürfen Verbraucherdaten nur nach Anweisung des Unternehmens, das sie bedienen, verwenden und müssen persönliche Informationen eines Verbrauchers auf Anfrage aus ihren Unterlagen löschen.

Geltungsbereich: Das CCPA gilt für jedes gewinnorientierte Unternehmen, das in Kalifornien tätig ist und bestimmte Bedingungen erfüllt, wie zum Beispiel eine Umsatzschwelle. Es hat eine extraterritoriale Wirkung, da es auch Nicht-CA-Unternehmen umfasst, die in Kalifornien tätig sind.

Weitere wichtige Fakten:

• Bestimmte sensible Daten sind von den CCPA-Anforderungen ausgenommen, einschließlich des geschützten Gesundheitsinformationen (PHI), die bereits durch den Health Insurance Portability & Accountability Act (HIPAA) abgedeckt sind, medizinische Informationen, die bereits durch den California Confidentiality of Medical Information Act abgedeckt sind, und einige Informationen, die durch den Gramm-Leach-Bliley Act (GLBA) abgedeckt sind.
• Das Gesetz verlangt derzeit von Unternehmen, die durch den CCPA gewährten Rechte auf ihre Angestellten auszuweiten. Es gibt jedoch einen anhängigen Gesetzesentwurf, der vorsieht, Angestellte aus der Definition des „Verbrauchers“ auszunehmen.
• Wenn ein Unternehmen eine Anfrage bezüglich der gesammelten und gespeicherten Informationen über eine Person erhält, muss es überprüfen, ob die Person, die die Anfrage stellt, tatsächlich die ist, für die sie sich ausgibt, bevor es antwortet.

Strafen für Verstöße: Das Gesetz gibt Unternehmen 30 Tage Zeit, um Verstöße zu „heilen“. Die Nichtbehebung eines Verstoßes führt zu einer zivilrechtlichen Strafe von bis zu US$7.500 für jeden vorsätzlichen Verstoß und US$2.500 für jeden unbeabsichtigten Verstoß.

California Privacy Rights Act (CPRA)

Offizieller Name: Proposition 24

Inkrafttreten: 1. Januar 2023, wird jedoch erst ab dem 1. Juli 2023 durchgesetzt

Bestimmungen: Dieses kalifornische Gesetz räumt Verbrauchern neue Rechte ein, wie das Recht auf:

• Korrigieren Sie ungenaue Informationen.
• Personenbezogene Daten müssen zweckgebunden erhoben und datensparsam behandelt werden.
• Erhalten Sie Benachrichtigungen von Unternehmen, die beabsichtigen, sensible persönliche Informationen zu verwenden, und fordern Sie sie auf, dies zu unterlassen. Dies umfasst biometrische Informationen, genetische Daten und jegliche Informationen bezüglich der Gesundheit, sexuellen Orientierung oder des Sexuallebens einer Person.

Geltungsbereich: Dieses Gesetz hat einen weiteren Geltungsbereich als das CCPA, da es Verbrauchern die folgenden erweiterten Rechte bietet:

• Das Recht, Unternehmen zu verklagen, wenn sie Passwörter und Benutzernamen offenlegen: Das CPRA erweitert die Definition von „persönlichen Informationen“ der CCPA um Benutzernamen und Passwörter.
• Das Recht, die Weitergabe von Informationen an Dritte abzulehnen: Unter dem CCPA war dies ein umstrittener Punkt, da „verkaufen“ nicht explizit das Teilen einschloss. Mit dem CPRA können Verbraucher nun den Verkauf und die Weitergabe persönlicher Informationen an Dritte ablehnen.
• Das Recht auf Zugang zu mehr Informationen: Verbraucher können Zugang zu allen persönlichen Informationen anfordern, die von einem Unternehmen gesammelt wurden, nicht nur zu Informationen, die im vorangegangenen 12-Monats-Zeitraum gesammelt wurden.

Weitere wichtige Fakten: Dieses Gesetz schafft auch eine neue Datenschutzbehörde, die California Privacy Protection Agency (CPPA), die für die Durchsetzung verantwortlich sein wird.

Strafen für Verstöße: Bußgelder können zwischen 2.500 $ und 7.500 $ liegen, je nachdem, ob Sie ein Unternehmen oder eine Einzelperson sind. Es gibt auch automatische Bußgelder von 7.500 $ für Verstöße gegen die Daten Minderjähriger (jeder unter 16 Jahren).

Colorado Privacy Act (CPA)

Offizieller Name: SB 21-190

Wirksamkeitsdatum: 1. Juli 2023

Bestimmungen: Das CPA gilt für „Verantwortliche“, die in Colorado tätig sind oder Produkte oder Dienstleistungen anbieten, die auf Einwohner von Colorado abzielen:

• Steuern oder verarbeiten Sie die personenbezogenen Daten von 100.000 oder mehr Verbrauchern in einem Jahr
• Erzielen Sie Einnahmen oder erhalten Sie Rabatte auf den Preis von Dienstleistungen oder Waren durch den Verkauf, die Verarbeitung oder die Kontrolle der persönlichen Daten von 25.000 oder mehr Verbrauchern

Ab dem 1. Juli 2024 müssen Verantwortliche, die die oben genannten Anforderungen erfüllen, Opt-Outs für gezielte Verkäufe und Werbung respektieren. Das CPA gibt den Einwohnern von Colorado auch das Recht, auf ihre persönlichen Daten zuzugreifen, diese zu korrigieren und zu löschen, zusätzlich zum Recht auf Datenübertragbarkeit. Verantwortliche haben 45 Tage Zeit, um auf Anfragen zu reagieren.

Geltungsbereich: Im Gegensatz zum California Consumer Privacy Act von 2018 hat der CPA keine finanzielle Schwelle für die Anwendbarkeit. Das bedeutet, dass jedes Unternehmen dieses Gesetz berücksichtigen muss. Es gilt jedoch nicht für die folgenden Institutionen:

• Finanzinstitutionen, die dem GLBA unterliegen
• Verschiedene Arten von gesundheitsbezogenen Daten
• Daten, die durch FERPA geregelt werden

Im Gegensatz zu den kalifornischen Gesetzen schließt der CPA gemeinnützige Organisationen nicht aus.

Weitere wichtige Fakten: CPA macht es für Verantwortliche notwendig, Datenverarbeitungsvereinbarungen (DPAs) mit Auftragsverarbeitern abzuschließen. Verantwortliche müssen auch Datenschutz-Folgenabschätzungen durchführen und protokollieren.

Strafen bei Verstößen: Es gibt kein privates Klagerecht, daher werden der Generalstaatsanwalt von Colorado und die Bezirksstaatsanwälte das CPA durchsetzen. Sie können finanzielle Schäden oder einstweilige Verfügungen fordern. Bevor sie jedoch Maßnahmen ergreifen, müssen der Generalstaatsanwalt und die Bezirksstaatsanwälte eine Verletzungsmitteilung ausstellen und Unternehmen oder Einzelpersonen 60 Tage Zeit geben, um den behaupteten Verstoß zu beheben. Nach Januar 2025 wird dieses „Recht auf Abhilfe“ durch das Recht des Controllers ersetzt, beim Büro des Generalstaatsanwalts um Anleitung zu bitten.

Virginia Consumer Data Protection Act (CDPA)

Offizieller Name: SB-1392

Wirksamkeitsdatum: 1. Januar 2023

Bestimmungen: Das CDPA gewährt Verbrauchern sechs Rechte:

• Recht auf Berichtigung
• Recht auf Zugang
• Recht auf Datenübertragbarkeit
• Recht auf Löschung
• Recht auf Widerspruch
• Recht auf Berufung

Geltungsbereich: Dieses Gesetz gilt für Einrichtungen, die Geschäfte in Virginia betreiben oder Dienstleistungen oder Produkte erstellen, die sich an Einwohner von Virginia richten:

• Steuern oder verarbeiten Sie die personenbezogenen Daten von mehr als 100.000 Verbrauchern pro Jahr
• Kontrollieren oder verarbeiten Sie die personenbezogenen Daten von mehr als 25.000 Verbrauchern und erzielen Sie mindestens die Hälfte Ihres Bruttoerlöses aus dem Verkauf von personenbezogenen Daten

Wie der CPA von Colorado hat auch der CPDA von Virginia keine Umsatzschwelle. Das bedeutet, dass Unternehmen aller Größen auf dieses Gesetz achten müssen.

Die Definition von „Verbraucher“ schließt Personen, die in einem Beschäftigungs- oder Geschäftskontext handeln, nicht ein. Dies unterscheidet es von der CPRA, die Mitarbeiterdaten einschließt. Daher müssen Unternehmen Mitarbeiterdaten nicht berücksichtigen, wenn sie entscheiden, ob die CPDA auf sie anwendbar ist.

Weitere wichtige Fakten: Wie die DSGVO der EU und die CCPA von Kalifornien enthält auch die CDPA eine Bestimmung, die die Datenerhebung auf das beschränkt, was „angemessen, relevant und vernünftigerweise notwendig im Verhältnis zu den Zwecken, für die die Daten verarbeitet werden“, ist.

Strafen für Verstöße: Wie bei Colorados CPA hat Virginias CDPA kein privates Klagerecht. Die Durchsetzung liegt in der Verantwortung des Generalstaatsanwalts. Der Verantwortliche hat 30 Tage Zeit, den Verstoß zu beheben, nachdem der Generalstaatsanwalt den Verantwortlichen darüber informiert hat, dass Maßnahmen ergriffen werden. Sollte der Verantwortliche es versäumen, den Verstoß innerhalb dieses Zeitraums zu beheben, kann der Generalstaatsanwalt eine Geldstrafe von bis zu 7.500 Dollar pro Verstoß verhängen.

Nevada Internet-Datenschutzgesetz (SB260)

Offizieller Name: BDR-52-253

Wirksamkeitsdatum: 1. Oktober 2021

Bestimmungen: Dieses Gesetz wird den Einwohnern von Nevada ein erweitertes Recht einräumen, dem Verkauf ihrer persönlichen Informationen zu widersprechen. Es schafft auch neue Anforderungen für „Datenhändler“, die als Unternehmen definiert sind, deren Hauptgeschäftstätigkeit der Verkauf von Informationen über Verbraucher von Betreibern oder anderen Datenhändlern ist. Datenhändler müssen eine spezielle Adresse einrichten, über die Verbraucher den Datenhändler auffordern können, den Verkauf ihrer Informationen einzustellen. Der Datenhändler muss innerhalb von 60 Tagen nach Erhalt antworten.

Geltungsbereich: Das Gesetz erweitert den Geltungsbereich des Widerspruchsrechts, aber der Umfang der „abgedeckten Informationen“ ist enger gefasst als „persönliche Informationen“, wie sie von ähnlichen Gesetzen definiert werden.

„Covered information“ ist beschränkt auf:

• Vor- und Nachnamen
• Heim-/physische Adressen
• E-Mail-Adresse
• Telefonnummern
• Sozialversicherungsnummern
• Kennzeichen, die es ermöglichen, die Person persönlich oder online zu kontaktieren

Weitere wichtige Fakten: Das Gesetz ändert die Online-Datenschutzrichtlinien von Nevada, wie zum Beispiel NRS 603A.300-360.

Strafen für Verstöße: Der Generalstaatsanwalt von Nevada ist mit der Durchsetzung dieses Gesetzes beauftragt. Das Gericht wird eine vorübergehende oder dauerhafte einstweilige Verfügung oder eine zivile Strafe von bis zu 5.000 Dollar pro Verstoß verhängen.

Datenschutzgesetz von Massachusetts

Offizieller Name: Standards zum Schutz personenbezogener Daten von Einwohnern des Commonwealth (201 CMR 17.00)

Wirksamkeitsdatum: 1. März 2010

Bestimmungen: Dieses Gesetz enthält Vorschriften zum Schutz der Einwohner von Massachusetts vor Identitätsdiebstahl und Betrug.

Geltungsbereich: Jede Organisation, die Lizenzen für, speichert oder persönliche Daten über Einwohner von Massachusetts verwaltet, muss ein umfassendes Programm zur Informationssicherheit implementieren.

Weitere wichtige Fakten:

• Das Gesetz verlangt von Unternehmen, eine dedizierte Person zu beschäftigen, die ein Datensicherheitsprogramm leitet und regelmäßige Mitarbeiterschulungen durchführt.
• Das Gesetz verlangt von Unternehmen auch, „angemessene Maßnahmen“ zu ergreifen, um zu überprüfen, dass Drittanbieter mit Zugang zu persönlichen Informationen diese Informationen schützen können.
• Das Gesetz schützt die Sicherheit und Vertraulichkeit persönlicher Informationen von Verbrauchern und Mitarbeitern, einschließlich Vorname, Nachname, Sozialversicherungsnummer, Führerscheinnummer, staatlich ausgestellte Ausweisnummer, Kontonummer, Kredit- oder Debitkartennummer und jeglichen Zugangscode, der den Zugriff auf finanzielle Informationen einer Person ermöglicht. Es schließt jedoch Informationen aus, die aus öffentlich zugänglichen Quellen stammen.
• Massachusetts arbeitet ebenfalls an einer Datenschutzverordnung ähnlich der CCPA. Falls verabschiedet, soll SD.341 „An Act Relative to Consumer Data Privacy“ am 1. Januar 2023 in Kraft treten.

Strafen für Verstöße: Das Office of Consumer Affairs and Business Regulation ist für die Durchsetzung verantwortlich. Jeder vorsätzliche Verstoß gegen das Gesetz kann eine zivilrechtliche Strafe von bis zu US$5.000 nach sich ziehen, zuzüglich „angemessener Kosten für die Untersuchung und Prozessführung eines solchen Verstoßes, einschließlich angemessener Anwaltsgebühren.“

Minnesota Datenschutzgesetz

Offizieller Name: Minnesota Government Data Practices Act (MGDPA) (Minn. Stat. § 13)

Gültigkeitsdatum: 1979

Bestimmungen: Dieses Gesetz aus Minnesota schützt das Recht der Einzelpersonen auf Zugang zu Regierungsdaten und regelt die Sammlung, Speicherung, Nutzung und Verbreitung von privaten Daten. Es etabliert ein Klassifikationssystem, um verschiedene Arten von Informationen zu unterscheiden, wie Bildungsdaten und Daten der Strafverfolgung. Zusätzlich werden Daten über Einzelpersonen als öffentlich oder nicht öffentlich gekennzeichnet, während Daten, die nicht Einzelpersonen betreffen, als nicht öffentlich oder geschützt nicht öffentlich eingestuft werden

Geltungsbereich: Das Gesetz gilt für jede Regierungseinheit Minnesotas.

Weitere wichtige Fakten:

• Das Gesetz verlangt, dass jede staatliche Behörde einen „verantwortlichen Beauftragten“ ernennt, der Verfahren einführt, um sicherzustellen, dass Datenanfragen „angemessen und umgehend bearbeitet werden“. Wenn eine Regierungsstelle private oder vertrauliche Daten einer Person sammeln möchte, muss die Stelle dieser Person eine Datenschutzmitteilung aushändigen, die als „Tennessen“ bezeichnet wird.
• Im Falle eines Streits zwischen einer Regierungsbehörde und einer Person bezüglich Datenpraktiken kann die Person eine Stellungnahme vom Commissioner of Administration anfordern.

Strafen für Verstöße: Zu den Strafen können eine zivilrechtliche Klage wegen vorsätzlicher Verletzung oder Anwaltskosten gehören, falls die staatliche Einrichtung die Beratungsmeinung nicht befolgt. Bei vorsätzlichen Verstößen kann das Gericht auch strafrechtliche Sanktionen gegen öffentliche Angestellte verhängen, sie ohne Bezahlung suspendieren oder entlassen.

Vorgeschlagene Datenschutzgesetze der US-Bundesstaaten

Alle oben genannten Datenschutzgesetze wurden erlassen, aber es werden Gesetze diskutiert. Sie umfassen Folgendes:

Ohio Personal Privacy Act (OPPA)

Offizieller Name: House Bill 376

Beschreibung: Dieser Gesetzentwurf ähnelt der Gesetzgebung, die in Kalifornien, Virginia und Colorado eingeführt wurde. Wenn er verabschiedet wird, wird er den Bürgern von Ohio bestimmte digitale Rechte gewähren und Unternehmen, die persönliche Daten von Verbrauchern aus Ohio sammeln, Verpflichtungen auferlegen.

Verbraucherschutzgesetz von North Carolina (CPA)

Offizieller Name: Senate Bill 569

Beschreibung: Wenn dieses Gesetz verabschiedet wird, hätten Verbraucher in North Carolina folgende Rechte:

• Recht auf Wissen und Zugang
• Recht auf Berichtigung
• Recht auf Löschung
• Recht auf Widerspruch
• Privates Klagerecht

Es gilt für alle Unternehmen, die ihre Dienstleistungen und Produkte auf Einwohner von North Carolina ausrichten und die:

• Verarbeiten oder kontrollieren Sie die personenbezogenen Daten von jährlich 100.000 oder mehr Verbrauchern
• Verarbeiten oder kontrollieren Sie die personenbezogenen Daten von mindestens 25.000 Verbrauchern und erzielen Sie mehr als die Hälfte des Bruttoerlöses aus dem Verkauf dieser personenbezogenen Daten.

Rhode Island Data Transparency and Privacy Protection Act

Offizieller Name: HB 5959

Beschreibung: Dieser Gesetzentwurf skizziert Informationsaustauschpraktiken und verlangt Transparenz in der Art und Weise, wie Verbraucherdaten gesammelt werden, und verpflichtet bestimmte Unternehmen, Datenschutzerklärungen offenzulegen. Wenn verabschiedet, wird das Gesetz Verbrauchern helfen, die persönlichen Informationen zu identifizieren, die von Online-Dienstanbietern und kommerziellen Websites gesammelt, geteilt oder an Dritte verkauft werden.

Pennsylvania Consumer Data Privacy Act

Offizieller Name: House Bill 1126

Beschreibung: Dieses Gesetz würde für gewinnorientierte Unternehmen gelten, die alle folgenden Kriterien erfüllen:

• Tätigen Sie Geschäfte in Pennsylvania
• Sammeln, teilen oder verkaufen Sie persönliche Informationen von Verbrauchern
• Bestimmen Sie allein oder mit anderen die Zwecke und Mittel der Verarbeitung persönlicher Informationen von Verbrauchern
• Erfüllen Sie eine der folgenden Anforderungen:
  • Erzielen Sie die Hälfte ihres jährlichen Einkommens aus dem Verkauf von persönlichen Informationen der Verbraucher
  • Jährlich kaufen, teilen oder verkaufen (allein oder mit anderen) die persönlichen Informationen von 50.000 Verbrauchern, Geräten oder Haushalten
  • Einen jährlichen Bruttoumsatz von mindestens 10 Millionen Dollar haben

New Jersey — Drei Datenschutzgesetze

Offizielle Namen: A5448, A3283, und A3255

Beschreibung:

A5448 und A3255 verfolgen ähnliche Ziele: Sie würden Unternehmen dazu verpflichten, Verbraucher über die Sammlung und Offenlegung von persönlich identifizierbaren Informationen zu informieren und den Verbrauchern die Möglichkeit zu geben, sich abzumelden.

A3283, der New Jersey Disclosure and Accountability Transparency Act (NJ DaTA), würde Anforderungen für die Offenlegung und Verarbeitung von persönlich identifizierbaren Informationen festlegen. Das Gesetz würde auch ein Büro für Datenschutz und verantwortungsvolle Nutzung in der Abteilung für Verbraucherangelegenheiten einrichten.

Massachusetts Information Privacy Act (MIPA)

Offizieller Name: S.46

Beschreibung: Dieses Gesetz ist eine modifizierte Version des People’s Privacy Act im Bundesstaat Washington. Es würde Verbraucher vor unautorisierten Sammlungen, Nutzung und Monetarisierung ihrer persönlichen Informationen schützen, einschließlich Standort- und biometrischer Daten; Diskriminierung aufgrund persönlicher Informationen verbieten und Arbeitnehmer vor ungerechtfertigter elektronischer Überwachung am Arbeitsplatz schützen.

Hawaii Consumer Privacy Protection Act

Offizieller Name: SB 418

Beschreibung: Dieser vorgeschlagene Gesetzentwurf wird Verbrauchern das Recht einräumen, auf ihre persönlichen Informationen zuzugreifen, diese zu löschen und dem Verkauf ihrer persönlichen Informationen zu widersprechen. Wie die CCPA hat er eine breite Definition von „persönlichen Informationen“. Er bietet die gleichen wesentlichen Schutzmaßnahmen und Rechte wie die CCPA, definiert jedoch nicht, was ein „Unternehmen“ ist, sodass er Unternehmen nicht nach Größe ausschließt.

New York Consumer Privacy Act (NYPA)

Offizieller Name: Senate Bill S567

Beschreibung: Dieses vorgeschlagene Datenschutzgesetz für New York ähnelt sehr dem CCPA. Es würde Einzelpersonen das Recht geben zu erfahren, welche Daten ein Unternehmen über sie gesammelt hat und mit wem diese geteilt wurden, zu verlangen, dass das Unternehmen die Daten korrigiert oder löscht, und sich dagegen zu entscheiden, dass ihre Daten mit Dritten geteilt oder an diese verkauft werden. Das NYPA würde das bestehende Gesetz zur Benachrichtigung bei Datenpannen in New York ergänzen, indem der Schutz personenbezogener Daten erweitert wird.

Der vorgeschlagene Gesetzentwurf legt hohe Datenschutzstandards fest, wie zum Beispiel die folgenden:

• Es legt Treuepflichten für jede juristische Person fest, die persönliche Daten sammelt, verkauft oder lizenziert, und definiert diese Pflichten weitreichend. Unternehmen müssen die persönlichen Daten der Verbraucher gegen jedes Risiko sichern, das diese betrifft. Darüber hinaus besagt es, dass die Treuepflicht des Datenverwalters „jede Pflicht gegenüber Eigentümern oder Aktionären übertrifft.“
• Es ist stärker als andere Landesgesetze, da es Unternehmen verpflichtet, die Privatsphäre ihrer Kunden über ihre eigenen Gewinne zu stellen. Diese Datenschutzgesetzgebung enthält eine sehr umstrittene Zeile, die besagt, dass Organisationen „im besten Interesse des Verbrauchers handeln“ sollten. Es erklärt jedoch nicht, was Unternehmen tatsächlich über die Interessen der New Yorker und anderer Kunden verstehen sollten.
• Es bietet ein privates Klagerecht — und gibt Verbrauchern das Recht, Unternehmen direkt wegen Datenschutzverletzungen zu verklagen, anstatt die Durchsetzung dem Generalstaatsanwalt zu überlassen.

Fazit

US-Bundesstaaten erlassen eigene Datenschutz- und Cybersicherheitsvorschriften, da, anders als in der EU, die USA noch kein umfassendes Bundesdatenschutzgesetz verabschiedet haben. Die Situation wird weiterhin komplexer werden, da in den kommenden Monaten und Jahren weitere staatliche Gesetze in Kraft treten. Um hohe Strafen, Klagen und andere Konsequenzen von Compliance-Verstößen zu vermeiden, sollten Organisationen die Datenschutzgesetze in den USA sorgfältig prüfen und sicherstellen, dass sie alle anwendbaren Anforderungen erfüllen.

F.A.Q.

Welche US-Gesetze stellen Anforderungen an den Schutz der Datenprivatsphäre?

In Ermangelung einer umfassenden bundesweiten Gesetzgebung zur Datenprivatsphäre wird die USA von sektorspezifischen und einzelstaatlichen Gesetzen geregelt, die die Weitergabe bestimmter Arten von personenbezogenen Daten kontrollieren. Zu diesen Gesetzen gehören:

• Datenschutzgesetz von 1974 — Schützt persönliche Informationen, die von Bundesbehörden verwaltet werden
• Health Insurance Portability and Accountability Act (HIPAA) und Health Information Technology for Economic and Clinical Health Act (HITECH) — Schützt persönliche Gesundheitsinformationen (PHI)
• Gramm–Leach–Bliley Act (GLBA) — Schützt finanzielle Informationen
• Children’s Online Privacy Protection Act (COPPA) — Schützt die Privatsphäre von Kindern
• Family Educational Rights and Privacy Act (FERPA) — Schützt die persönlichen Informationen von Studierenden
• California Consumer Privacy Act (CCPA) — Schützt die Privatsphäre von Einwohnern Kaliforniens
• Der New York SHIELD Act — Schützt persönliche und private Informationen der Einwohner des Staates New York

Welche Datentypen werden von den US-Datenschutzgesetzen abgedeckt?

Informationen, die nach US-Gesetzen als sensibel gelten, umfassen:

• Persönlich identifizierbare Informationen (PII) — Informationen, die verwendet werden könnten, um eine Person zu identifizieren, zu kontaktieren oder zu lokalisieren oder eine Person von einer anderen zu unterscheiden, wie Name, Adresse und Sozialversicherungsnummer
• Persönliche Gesundheitsinformationen (PHI) — Informationen über den Gesundheitszustand, die Krankengeschichte, Versicherungsdaten und andere private Daten, die von Gesundheitsdienstleistern gesammelt werden und einer bestimmten Person zugeordnet werden könnten
• Persönlich identifizierbare Finanzinformationen (PIFI) — Kreditkartennummern, Bankkontodetails oder andere Daten bezüglich der Finanzen einer Person
• Schülerakten — Die Noten, Zeugnisse, Stundenpläne, Abrechnungsdetails und andere Bildungsunterlagen einer Person

Was wird durch den Privacy Act von 1974 geschützt?

Das Datenschutzgesetz von 1974 regelt die Art und Weise, wie Bundesbehörden mit den Aufzeichnungen über Einzelpersonen umgehen müssen und verlangt von den Bundesbehörden, verschiedenen strengen Aufzeichnungspflichten nachzukommen. Es erlaubt Einzelpersonen, Zugang zu Aufzeichnungen über sich selbst zu erhalten, zu erfahren, ob diese Aufzeichnungen offengelegt wurden, und Korrekturen oder Änderungen an diesen Aufzeichnungen zu beantragen, es sei denn, die Aufzeichnungen sind gesetzlich ausgenommen.

Wie viele US-Bundesstaaten haben Datenschutzgesetze?

Mindestens 16 Bundesstaaten haben Datenschutzgesetze und drei davon haben umfassende Verbraucherdatenschutzgesetze. Kalifornien hat den bekannten California Consumer Privacy Act (CCPA) eingeführt, der ähnliche Gesetzgebungen in Colorado und Virginia angeregt hat.

Gelten US-Bundes- und Staatsdatenschutzgesetze auch für ausländische Unternehmen?

Es hängt von mehreren Faktoren ab, einschließlich der Auswirkungen auf die Einzelpersonen, der Auswirkungen auf den US-Handel und ob das Unternehmen eine Tochtergesellschaft in den USA hat. Ausländische Unternehmen können den US-Gesetzen unterliegen, wenn sie persönliche Informationen von US-Bürgern sammeln, verarbeiten oder teilen. Zum Beispiel, wenn ein ausländisches Unternehmen in Kalifornien Geschäfte macht und die persönlichen Informationen von Kalifornien-Bewohnern sammelt, während die Verbraucher in Kalifornien sind, unterliegt es dem CCPA.

Wie unterscheiden sich die Datenschutzgesetze in den USA von der DSGVO der EU?

Die DSGVO ist eine umfassende Datenschutzvorschrift, die für alle Mitgliedstaaten gilt und für jedes Unternehmen weltweit, das Daten von EU-Bürgern sammelt oder verarbeitet. Die USA verfügen über kein entsprechendes Gesetz; stattdessen wird der Datenschutz durch ein Flickwerk aus branchenspezifischen Bundesgesetzen und verschiedenen Landesgesetzen geregelt.

Ein bestimmtes, durch die DSGVO geschütztes Recht ist besonders erwähnenswert: das Recht auf Vergessenwerden. Dieses Recht ermöglicht es einer Person, die Löschung ihrer persönlichen Daten aus den Aufzeichnungen einer Organisation zu verlangen. Dieses Recht wird oft als unvereinbar mit dem Recht auf freie Meinungsäußerung angesehen, das im Ersten Verfassungszusatz der Vereinigten Staaten verankert ist, da die erzwungene Entfernung von Informationen als Einschränkung der Meinungsfreiheit und als Risiko für Zensur betrachtet werden kann.

Dennoch bieten mehrere Gesetze in den USA in gewissem Maße ein Recht auf Vergessenwerden. Zum Beispiel ermächtigt das COPPA Eltern, die Daten ihrer Kinder einzusehen und zu löschen, und das CCPA erlaubt es den Einwohnern Kaliforniens, die Löschung ihrer Daten zu beantragen – mit bestimmten Einschränkungen.