Datenschutzfragen und entsprechende Regularien gehören zu den größten Herausforderungen, denen Unternehmen heute gegenüberstehen. Während Unternehmen, die von der DSGVO die erste Welle von Bußgeldern, Anforderungen und Standards gespürt haben, ist Datenschutz heute ein internationales Thema.
Die USA haben bereits begonnen, sich auf eine revolutionäre Datenschutzregelung zuzubewegen. Da in Kalifornien und Nevada verabschiedete Gesetze und in vielen anderen Bundesstaaten Gesetzesentwürfe geplant sind, sollten Unternehmen in den kommenden Monaten mit Auswirkungen rechnen.
In diesem Artikel werden die entscheidenden Teile des Datenschutzgesetzes/-gesetzes jedes Bundesstaates aufgeschlüsselt – einschließlich der Personen, für die sie gelten, wann sie in Kraft treten, Strafen, wie man Compliance erreicht und warum Staaten die Schritte vor der Bundesregierung unternommen haben, um die persönlichen Daten der Verbraucher zu schützen Daten.
Der kalifornische Verbraucherdatenschutzgesetz
Als eines der ersten Datenschutzgesetze nach der DSGVO wurde die
CCPA dient als Blaupause für andere Gesetzesentwürfe in den USA. Mit Wirkung vom 1. Januar 2020 gilt der CCPA für ein Unternehmen, das personenbezogene Daten von Einwohnern Kaliforniens erhebt/verarbeitet oder in Kalifornien geschäftlich tätig ist. Diese Unternehmen unterliegen dem CCPA, wenn sie entweder:- einen Bruttoumsatz von 25 Millionen US-Dollar überschreiten
- Kaufen, empfangen, verkaufen oder teilen (insgesamt) personenbezogene Daten von 50.000 oder mehr Verbraucherhaushalten oder Geräten
- 50 % oder mehr des Jahresumsatzes durch den Verkauf personenbezogener Daten von Verbrauchern erzielen
Der CCPA gewährt Verbrauchern ähnliche Rechte wie die DSGVO, einschließlich der Offenlegung personenbezogener Daten und Anfragen nach personenbezogenen Daten. Unternehmen sind verpflichtet, auf überprüfbare Verbraucheranfragen mit Informationen wie Kategorien und Daten personenbezogener Daten, Dritte und Kategorien von Dritten, mit denen Daten geteilt werden, und mehr.
Der als Datensubjektanfragen (DSR) bekannte Abschnitt gewährt Benutzern Zugriff auf Löschoptionen für ihre personenbezogenen Daten. Außerdem verlangt der CCPA, dass Unternehmen auf ihrer Homepage den Link „Meine persönlichen Daten nicht verkaufen“ anzeigen. Der CCPA wird vom Generalstaatsanwalt durchgesetzt und beinhaltet Geldstrafen von bis zu 7.500 USD für jeden einzelnen Verstoß.
Nevadas Datenschutzgesetz
Das Datenschutzgesetz von Nevada wurde am 29. Mai 2019 unterzeichnet und trat am 1. Oktober 2019 drei Monate vor dem bekannteren CCPA in Kraft. Die Gesetze sind sehr ähnlich, unterscheiden sich jedoch stark in der Definition von „Verkauf“. Nevadas Gesetz ist enger gefasst, deckt nicht alle Dienstleister ab und ist gegenüber Finanzinstituten nachsichtiger. Laut InfoLawGroup ähneln sich das CCPA- und das Nevada-Gesetz insofern, als beide „Unternehmen dazu verpflichten, einen Prozess zu entwickeln, um die Rechtmäßigkeit einer Verbraucher-Opt-out-Anfrage zu überprüfen und“ verlangen, dass Unternehmen innerhalb von 60 Tagen auf die Anfrage antworten.“ Ähnlich wie in Kalifornien liegt die Durchsetzung von Nevada beim Generalstaatsanwalt und umfasst Geldstrafen von bis zu 5.000 USD pro Verstoß.
New Yorks Datenschutzgesetz
Im Mai 2019 stellte der Senator des Staates New York, Kevin Thomas, einen der revolutionärsten Gesetzesvorlagen zum Datenschutz vor. Die Anforderungen waren Standard und beinhalteten die Möglichkeit für die Bewohner, auf ihre personenbezogenen Daten zuzugreifen, sie zu korrigieren, zu löschen und vor Dritten zu bewahren.
Allerdings wurden weitergehende Regelungen aufgenommen, wie beispielsweise Pflichten zu Datentreuhändern und das Recht der Anwohner, Unternehmen zu verklagen, wenn sie durch einen Verstoß verletzt werden. Dieses private Klagerecht ist einer der größten Unterschiede zu anderen Vorschriften und könnte Verbraucher dazu anregen, Unternehmen zu verfolgen, die nicht die Vorschriften einhalten. Der Gesetzentwurf ist auch umfassender als der CCPA und deckt jedes Unternehmen ab, das die „sensiblen Daten von Einwohnern von New York“ besitzt, ohne dass für die erfassten Unternehmen Einnahmen erforderlich sind.
Mit Gesetzen, die in zwei Bundesstaaten verabschiedet wurden, Gesetzentwürfen in anderen und neun Bundesstaaten, die neue Gesetze zur Benachrichtigung von Datenschutzverletzungen erlassen, sind wir Zeuge des Beginns einer massiven Verschiebung hin zum Schutz von Verbraucherdaten und zur Rechenschaftspflicht für Unternehmen, die Kontrollen und verarbeiten.
Um die Einhaltung der Vorschriften aufrechtzuerhalten, müssen Unternehmen die aktuellen Gesetze, künftige Vorschriften in Arbeit und das Potenzial für unterschiedliche Standards in den USA kennen. Das Erstellen von Prozessen für die Datenverarbeitung, Datenübertragbarkeit und -zuordnung sowie Kontrollen für die Benutzer-Opt-In sind einige der notwendigen Praktiken für Unternehmen, die personenbezogene Daten erheben.