Zusätzliche Vorschriften in den Datenschutzgesetzen der US-Bundesstaaten bringen neue rechtliche und technische Hürden für Unternehmen mit sich. Verschiedene Datenschutzgesetze der US-Bundesstaaten geben Verbrauchern mehr Kontrolle über ihre personenbezogenen Informationen, indem sie Verbrauchern bestimmte Rechte einräumen und Unternehmen verpflichten, ihre Datenschutzpraktiken offenzulegen.
Sie sind sich nicht sicher, ob US-Gesetze für Sie gelten? Finden Sie es in diesem 1-minütigen Quiz heraus
Beachten Sie bitte, dass die Rechte von Verbrauchern und die Durchsetzung dieser Gesetze in den einzelnen Bundesstaaten sehr unterschiedlich geregelt sind. Deshalb haben wir diese Anleitung zusammengestellt, um die juristische Fachsprache etwas verständlicher zu machen und Ihnen dabei zu helfen, die entsprechenden Vorschriften für Ihre individuellen Bedürfnisse zu finden.
Wir unterstützen Sie dabei, alle für Sie geltenden US-Datenschutzgesetze einzuhalten. Unsere Lösungen nehmen Ihnen die komplizierten technischen und rechtlichen Aspekte ab, sodass Ihnen das Rätselraten über die Einhaltung von Vorschriften erspart bleibt.
Sie suchen nach einem bestimmten bundesstaatlichen US-Gesetz?
Über die nachstehenden Links gelangen Sie direkt zu unseren ausführlichen Artikeln zu den einzelnen bundesstaatlichen US-Gesetzen
Cheatsheets und Vergleichstabellen zu den bundesstaatlichen US-Gesetzen
🇺🇸 Bundesstaatliche US-Gesetze im Überblick
CPRA (CCPA)
- Die Kriterien für die Klassifizierung als Unternehmen wurden aktualisiert. Finden Sie hier heraus, ob Sie als Unternehmen eingestuft werden.
- Durch das CPRA wurde eine zusätzliche Kategorie geschützter Daten geschaffen: sensible personenbezogene Informationen (SPI). Unternehmen müssen nun ein höheres Datenschutzniveau einhalten, um sensible personenbezogene Informationen angemessen zu schützen.
🔎 Hier finden Sie eine vollständige Liste der Anforderungen.
Unternehmen, die SPI von Verbrauchern verarbeiten wollen, müssen zusätzliche Vorgaben einhalten. Beispielsweise muss die Website von Unternehmen, die SPI speichern, einen deutlichen und sichtbaren Link mit der Aufschrift „Die Verwendung meiner sensiblen personenbezogenen Informationen einschränken“ aufweisen, der es Verbrauchern ermöglicht, die Verarbeitung ihrer SPI einzuschränken.
- Die Datenschutzrechte von Verbrauchern wurden erweitert. Um sich auf die Einhaltung des CPRA vorzubereiten, müssen einige Unternehmen u. U. erhebliche Änderungen an ihren bestehenden Sicherheits- und Datenschutzmaßnahmen vornehmen, zusätzliches Personal einstellen oder Dienste Dritter in Anspruch nehmen.
- Die folgenden Grundsätze sind nun Bestandteil des CPRA:
- Datenminimierung
- Zweckbindung
- Speicherbegrenzung
- Gemäß dem CPRA sind Unternehmen zudem verpflichtet, die Opt-out-Präferenzsignale von Verbrauchern zuzulassen und zu verarbeiten.
Virginia Consumer Data Protection Act (VCDPA)
- Unternehmen müssen Nutzern einen hinlänglich zugänglichen, deutlichen und aussagekräftigen Datenschutzhinweis bereitstellen. Hier finden Sie eine umfassende Checkliste der Informationen, die Ihre Datenschutzerklärung enthalten muss.
- Die Rechte von Nutzern wurden überarbeitet und Unternehmen müssen Anfragen von Nutzernnun innerhalb von 45 Tagen nachkommen.
Colorado Privacy Act (CPA)
- Das CPA räumt Verbrauchern erweiterte Rechte in Bezug auf ihre personenbezogenen Daten ein. Die vorgesehenen Rechte umfassen u. a. das Recht auf Widerspruch gegen:
- zielgerichtete Werbung,
- den Verkauf von personenbezogenen Daten und
- bestimmte Arten des Profiling.
- Sie sind nun verpflichtet, Ihren Nutzern einen hinlänglich zugänglichen, deutlichen und aussagekräftigen Datenschutzhinweis bereitzustellen, der Angaben dazu enthält, welche Kategorien personenbezogener Daten erhoben oder verarbeitet werden, wie und wo Ihre Nutzer ihre Rechte ausüben können und mehr.
- Der universelle Mechanismus muss erst ab dem 1. Juli 2024 respektiert werden. Bis zu diesem Datum können Sie universellen Opt-out-Signalen nachkommen, sind jedoch nicht dazu verpflichtet.
- Sie müssen es Ihren Nutzern ermöglichen, ihr Recht auf Widerspruch gegen derartige Verarbeitungen über einen vom Nutzer gewählten universellen Opt-out-Mechanismus auszuüben.
Hinweis
Der universelle Mechanismus muss ab dem 1. Juli 2024 respektiert werden. Bis zu diesem Datum können Sie universellen Opt-out-Signalen nachkommen, sind jedoch nicht dazu verpflichtet.
Wie Ihnen iubenda dabei helfen kann, das CPA einzuhalten
Utah Consumer Privacy Act (UCPA)
- Das UCPA räumt Verbrauchern erweiterte Rechte in Bezug auf ihre personenbezogenen Daten ein. Zu den vorgesehenen Rechten gehören u. a.:
- Recht auf Auskunft
- Recht auf Löschung
- Recht auf Datenübertragbarkeit
- Recht auf Widerspruch gegen bestimmte Arten der Verarbeitung
- Wenn das Gesetz in Kraft tritt, obliegen dem Verantwortlichen zusätzliche Pflichten, wie u. a. auf Anfragen von Verbrauchern innerhalb eines Zeitraums von 45 Tagen zu reagieren.
Das Verbraucherschutzgesetz von Utah tritt am 31. Dezember 2023 in Kraft. Weitere Informationen finden Sie hier.
Connecticut Data Privacy Act (CTDPA)
- Das CTDPA räumt Verbrauchern in Connecticut erweiterte Rechte in Bezug auf ihre personenbezogenen Daten ein. Zu den vorgesehenen Rechten gehören u. a.:
- Recht auf Auskunft,
- Recht auf Berichtigung,
- Recht auf Löschung,
- Recht auf Datenübertragbarkeit und
- Recht auf Widerspruch gegen bestimmte Arten der Datenverarbeitung.
- Verantwortliche müssen bestimmte Vorgaben erfüllen. Zu den vorgesehenen Vorgaben gehören u. a.:
- Verbrauchern einen deutlichen und aussagekräftigen Datenschutzhinweis bereitzustellen,
- Datenschutzeinschätzungen durchzuführen, und
- Verbrauchern eine einfache Möglichkeit zu geben, ihre Einwilligung zu widerrufen.
Das CTDPA tritt am 1. Juli 2023 in Kraft. Weitere Informationen finden Sie hier.