Iubenda logo
Generator starten

Anleitungen

oder
INHALTSÜBERSICHT

Virginia Consumer Data Protection Act (VCDPA)

 

Das VCDPA trat am 1. Januar 2023 in Kraft und betrifft Organisationen, die in Virginia tätig sind oder Produkte/Dienstleistungen für Menschen in Virginia anbieten.. Damit ist Virginia nach Kalifornien der zweite Staat in den Vereinigten Staaten, der ein umfassendes Datenschutzgesetz eingeführt hat. 

Das VCDPA tritt am 1. Januar 2023 in Kraft und wird Organisationen betreffen, die in Virginia Geschäfte machen oder Produkte/Dienste für Menschen in Virginia anbieten. Mit anderen Worten: Ihre Organisation muss nicht in Virginia ansässig sein, um von dem VCDPA betroffen zu sein.

🚀 In diesem Artikel erfahren Sie mehr über das VCDPA, einschließlich der Frage, ob Sie davon betroffen sind und wie Sie gesetzeskonform werden können.

Was ist das Virginia Consumer Data Protection Act (VCDPA)?

Das VCDPA gibt Nutzern das Recht, auf ihre Daten zuzugreifen und Organisationen aufzufordern, ihre personenbezogenen Daten zu löschen. Außerdem werden Unternehmen verpflichtet, eine Datensicherheitsprüfung durchzuführen, wenn sie personenbezogene Daten u.a. für gezielte Werbung und Verkäufe verarbeiten.

Nach dem VCDPA sind personenbezogene Daten alle Informationen, die mit einer identifizierten oder identifizierbaren Person verknüpft sind oder vernünftigerweise verknüpft werden können.

Daher ist es wichtig zu beachten, dass IP-Adressen als personenbezogene Daten betrachtet werden können, solange sie „mit einer identifizierten oder identifizierbaren natürlichen Person verknüpft sind oder vernünftigerweise verknüpft werden können“.

 

Wird meine Organisation vom VCDPA betroffen sein?

Um in den Geltungsbereich des Gesetzes zu fallen, müssen Unternehmen, die in Virginia geschäftlich tätig sind, eine von zwei Ebenen erfüllen, und beide Schwellenwerte beziehen sich auf eine Mindestanzahl von betroffenen Nutzern. 

Organisationen, die:
  1. mindestens 100.000 personenbezogene Daten von Nutzern in einem Kalenderjahr, oder 
  2. mindestens 25.000 personenbezogene Daten von Nutzern und gleichzeitig mehr als 50 % der Bruttoeinnahmen aus dem Verkauf dieser Daten erzielt,

kontrollien oder verarbeiten, werden vom VCDP betroffen sein. Lesen Sie weiter, um zu erfahren, wie Ihr Unternehmen gesetzeskonform werden kann. 👇

📌 Ihre Datenschutzerklärung unter dem VCDPA

Ihre Organisation muss den Nutzern einen einigermaßen zugänglichen, klaren und sinnvollen Datenschutzhinweis zur Verfügung stellen. Hier finden Sie die komplette Checkliste mit Informationen darüber, was Sie in Ihre Datenschutzerklärung mit einschließen müssen. 

Checkliste für die Datenschutzerklärung ✅

Geben Sie die Kategorien von personenbezogenen Daten an, die von Ihrer Organisation verarbeitet werden.

Geben Sie den Zweck Ihrer Organisation für die Verarbeitung personenbezogener Daten an.

Informieren Sie Ihre Nutzer darüber, wie sie ihre Rechte ausüben können (siehe unten), einschließlich wie sie gegen eine Entscheidung über ihre Anfragen Rechtsmittel einlegen können. Sie müssen eine oder mehrere Methoden bereitstellen, mit denen Nutzer eine Anfrage stellen können.

Geben Sie die Kategorien personenbezogener Daten an, die Ihre Organisation mit Dritten teilt, falls vorhanden.

Geben Sie die Kategorien von Dritten an, mit denen Ihre Organisation personenbezogene Daten teilt, falls vorhanden.

Einwohner von Virginia haben nach dem Virginia VCDPA die folgenden Rechte:

  • das Recht zu erfahren, ob ihre personenbezogenen Daten gesammelt oder verarbeitet werden;
  • Zugang zu ihren personenbezogenen Daten zu erhalten, die von dem Verantwortlichen gesammelt oder verarbeitet werden;
  • eine tragbare und nutzbare Kopie ihrer personenbezogenen Daten zu erhalten, die von einem Verantwortlichen aufbewahrt werden;
  • dass sie nicht diskriminiert werden, weil sie ihre Rechte wahrgenommen haben; 
  • ungenaue personenbezogene Daten korrigieren zu lassen; 
  • personenbezogene Daten löschen zu lassen; und 
  • sich für das Opt-out der Erfassung oder Verarbeitung ihrer personenbezogenen Daten zu entscheiden für Zwecke der gezielten Werbung, des Verkaufs und der Profilerstellung.

Bitte beachten Sie, dass es nach dem VCDPA keine Hinweise darauf gibt, dass Opt-Out-Links, die es den Nutzern ermöglichen, der Verarbeitung personenbezogener Daten für bestimmte Zwecke zu widersprechen, erforderlich sind.

Die Vorschriften des VCDPA behandeln die Opt-Out-Rechte von Nutzern nämlich genauso wie alle anderen Rechte, die Nutzern im Rahmen des Gesetzes gewährt werden. Siehe unten, wie Sie auf eine Anfrage von Nutzern reagieren können. 👇 

📌 Wie Sie auf Anfragen von Nutzern reagieren können

Ihr Unternehmen muss den Anfragen der Nutzer wie folgt nachkommen:

  • Sie müssen der Anfrage innerhalb von 45 Tagen nachkommen. Die Reaktionszeit kann einmalig um weitere 45 Tage verlängert werden, wenn dies vernünftigerweise erforderlich ist, sofern Sie Ihren Nutzer innerhalb der ursprünglichen 45-tägigen Reaktionszeit über die Verlängerung informieren und den Grund für die Verlängerung mitteilen;
  • wenn Sie die Anfrage Ihres Nutzers ablehnen, informieren Sie den Nutzer innerhalb von 45 Tagen über diese Ablehnung und geben Sie ihm die entsprechende Begründung und eine Anleitung, wie der Nutzer gegen die Entscheidung vorgehen kann;
  • wenn Sie nicht in der Lage sind, eine Anfrage mit wirtschaftlich vertretbarem Aufwand zu authentifizieren, sind Sie nicht verpflichtet, der Anfrage nachzukommen, und Sie können zusätzliche Informationen anfordern, die vernünftigerweise notwendig sind, um den Nutzer und seine Anfrage zu authentifizieren.

📌 Was passiert, wenn ich mich nicht an das VCDPA halte?

Da das VCDPA keine eigene Datenschutzagentur einrichtet, ist ausschließlich der Generalstaatsanwalt für die Durchsetzung seiner Bestimmungen zuständig.

Bevor der Generalstaatsanwalt irgendwelche Maßnahmen ergreift, wird er innerhalb von 30 Tagen schriftlich mitteilen, gegen welche Bestimmungen konkret verstoßen wurde oder verstoßen wird:

👉 Wenn Sie innerhalb der 30-Tage-Frist den festgestellten Verstoß beheben und dem Generalstaatsanwalt eine schriftliche Erklärung vorlegen, dass die mutmaßlichen Verstöße behoben wurden und es zu keinen weiteren Verstößen kommen wird, wird kein Verfahren gegen Ihr Unternehmen eingeleitet.

👉  Wenn Ihr Unternehmen nach der Behebungsfrist oder einer schriftlichen Erklärung des Generalstaatsanwalt weiterhin gegen die Vorschriften des Gesetzes verstößt, kann der Generalstaatsanwalt ein Verfahren einleiten und eine Unterlassungsklage beantragen, um die Verstöße zu unterbinden, und zivilrechtliche Strafen von bis zu $7.500 für jeden Verstoß verhängen.

Was Sie tun müssen, um sich auf das VCDPA vorzubereiten

Die Vereinigten Staaten erhalten mit dem Virginia’s Data Protection Act (VCDPA) eine weitere Datenschutzverordnung.

Wenn Ihr Unternehmen bereits mit der DSGVO und dem kalifornischen CCPA/CPRA konform ist, müssen Sie wahrscheinlich nicht viel tun, damit Ihre Website mit dem VCDPA von Virginia konform ist.

🚀
Das VCDPA trat am 1. Januar 2023 in Kraft.

Wenn Ihr Unternehmen in den Geltungsbereich des VCDPA fällt, sollten Sie sich nach Lösungen für die Einhaltung der Vorschriften umsehen, die vertrauenswürdig sind und von Juristen verfasst wurden.

Wenn Sie noch keinen haben, beginnen Sie noch heute damit, alles Nötige einzurichten./p> Generator starten