Datum des Inkrafttretens
2017
California Privacy Rights Act (CPRA)
1. Jan 2023 CPRA expands on a few key elements of the CCPA and can be thought of as a more comprehensive iteration of the law.
” data-popover-title=”” data-original-title=”” title=””>
Das bevorstehende CPRA tritt im Jahr 2023 in Kraft. Das CPRA erweitert einige Hauptelemente des CCPA und kann als eine umfassendere Version des Gesetzes angesehen werden.
Colorado Privacy Act
1. Jul 2023
Virginia Consumer Data Protection Act (VCDPA)
1. Jan 2023
Ein Gesetz zum Schutz von personenbezogenen Daten und zur Überwachung von Online-Aktivitäten
1. Jul 2023
Utah Consumer Privacy Act
31. Dez 2023
Maryland Online Consumer Personal Information Privacy Act
Zurzeit liegen keine umfassenden Datenschutzvorschriften vor
Der Gesetzentwurf scheiterte nach erfolgter dritter Lesung im Senat und vor der noch ausstehenden Lesung im Abgeordnetenhaus aufgrund eines nachteiligen Berichts des Wirtschaftsausschusses des Abgeordnetenhauses.
Ein Gesetzentwurf zum Schutz der personenbezogenen Daten von Verbrauchern
Zurzeit liegen keine umfassenden Datenschutzvorschriften vor
Der Gesetzentwurf, dessen erste Lesung im Senat noch aussteht, wurde an den Rechtsausschuss verwiesen. Der Gesetzentwurf scheint gescheitert zu sein und es sind keine weiteren Informationen verfügbar.
Consumer Privacy Act
Zurzeit liegen keine umfassenden Datenschutzvorschriften vor
Der Gesetzentwurf ist 2021 während der bundesstaatlichen Legislaturperiode gescheitert und es sind keine weiteren Informationen verfügbar. Illinois scheint bislang noch kein umfassendes Datenschutzgesetz verabschiedet zu haben.
Consumer Data Privacy Act
Zurzeit liegen keine umfassenden Datenschutzvorschriften vor
Der Gesetzentwurf hat das entsprechende Gesetzgebungsverfahren nicht vollständig durchlaufen und es liegen keine aktuellen Informationen vor. Offenbar ist der Gesetzentwurf gescheitert, nachdem er vom Finanz- und Politikausschuss des Repräsentantenhauses von Minnesota nicht verabschiedet wurde und die Legislaturperiode inzwischen beendet ist. Minnesota scheint bislang noch kein umfassendes Datenschutzgesetz verabschiedet zu haben.
Consumer Privacy Act
Zurzeit liegen keine umfassenden Datenschutzvorschriften vor
Der Gesetzentwurf scheiterte, nachdem er vom Technologie- und Forschungsausschuss des Repräsentantenhauses von Alabama vor Ablauf der legislativen Sitzungsperiode am 30. Mai 2021 nicht verabschiedet wurde, und es sind keine weiteren Informationen verfügbar.
Oklahoma Computer Data Privacy Act
Zurzeit liegen keine umfassenden Datenschutzvorschriften vor
Der Gesetzentwurf, dessen zweite Lesung im Senat noch aussteht, wurde an den Rechtsausschuss und anschließend an den Haushaltsausschuss verwiesen. Der Gesetzentwurf scheint gescheitert zu sein und es sind keine weiteren Informationen verfügbar.
People’s Privacy Act
Zurzeit liegen keine umfassenden Datenschutzvorschriften vor
Der Gesetzentwurf ist gescheitert, nachdem er vor Ablauf der legislativen Sitzungsperiode nicht verabschiedet wurde.
Privacy Act
Zurzeit liegen keine umfassenden Datenschutzvorschriften vor
Das Gesetz ist seit dem 7. Januar 2022 beim Ausschuss für Verbraucherfragen und Verbraucherschutz der New York State Assembly anhängig. Der Gesetzentwurf scheint auf Eis zu liegen und es sind keine weiteren Informationen verfügbar.
Massachusetts Information Privacy and Security Act
Zurzeit liegen keine umfassenden Datenschutzvorschriften vor
Für den Gesetzentwurf wurde ein Untersuchungsauftrag erteilt und der Entwurf ist derzeit beim Geschäftsordnungsausschuss des Repräsentantenhauses anhängig. Es sind keine weiteren Informationen verfügbar.
Zurzeit liegen keine umfassenden Datenschutzvorschriften vor
Der Gesetzentwurf hat das Gesetzgebungsverfahren nicht vollständig durchlaufen und scheint gescheitert zu sein.
Zurzeit liegen keine umfassenden Datenschutzvorschriften vor
Der Bundesstaat Kentucky scheint bislang noch kein umfassendes Datenschutzgesetz verabschiedet zu haben.
Zurzeit liegen keine umfassenden Datenschutzvorschriften vor
Der Bundesstaat Maine scheint eher auf einen bestimmten Bereich beschränkte als umfassende Datenschutzgesetze erlassen zu haben. Beispielsweise wurde der Gesetzentwurf LD 913, der Grundlage für den Erlass des Maine Data Collection Protection Act war, dahingehend abgeändert, den Zugriff auf Zivilgerichtsakten zu regeln.
Gilt das für mich?
Es gilt für Sie, wenn Sie entweder in die Kategorie der Datenerheber, d. h. Regierungsbehörden, Hochschulen, Unternehmen, Finanzinstitute oder Einzelhändler, oder sonstiger Arten von Geschäftsunternehmen oder Verbände fallen , die zu irgendeinem Zweck, sei es durch automatisierte Erfassung oder anderweitig, nicht öffentliche personenbezogene Informationen verarbeiten, erheben, verbreiten oder anderweitig handhaben.
Betreiber. Bezeichnet eine Person, die:eine Website oder einen Online-Dienst zu gewerblichen Zwecken (Gewinnerzielungsabsicht) besitzt oder betreibt; geschützte Informationen von Verbrauchern erhebt und speichert, die in Nevada ansässig sind und die Website oder den Online-Dienst nutzen oder besuchen; und ihre Aktivitäten gezielt auf den Bundesstaat Nevada ausrichtet, Transaktionen mit dem Bundesstaat Nevada oder einer dort ansässigen Person durchführt, gezielt das Privileg in Anspruch nimmt, Aktivitäten in Nevada auszuführen, oder anderweitig an Aktivitäten beteiligt ist, die eine ausreichende Verbindung mit dem Bundesstaat Nevada darstellen, um die Anforderungen der Verfassung der Vereinigten Staaten zu erfüllen. Datenhändler. Bezeichnet eine Person, deren Hauptgeschäftstätigkeit darin besteht, geschützte Informationen über Verbraucher, zu denen sie keine direkte Beziehung hat und die in Nevada ansässig sind, von Betreibern oder anderen Datenhändlern zu erwerben und diese Informationen zu verkaufen.**Dritte, die personenbezogene Informationen im Auftrag des Anbieters der Website oder des Online-Dienstes verarbeiten, fallen nicht unter diese Definition eines Betreibers.
Das Gesetz gilt für Sie, wenn Sie eine juristische Person sind, die in Kalifornien gewinnorientiert tätig ist , die personenbezogene Informationen von Verbrauchern erhebt oder in deren Auftrag solche Informationen erhoben werden, und die allein oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung personenbezogener Informationen von Verbrauchern bestimmt und eines oder mehrere der folgenden Kriterien erfüllt : der Jahresbruttoumsatz beträgt mehr als 25.000.000 USD; es werden personenbezogene Informationen von 100.000 oder mehr Verbrauchern oder Haushalten gekauft, verkauft oder weitergegeben; und/oder mehr als 50 % des Jahresumsatzes stammen aus dem Verkauf oder der Weitergabe personenbezogener Informationen von Verbrauchern.
Tochtergesellschaften und Joint Ventures, an denen mindestens 40 % der Anteile gehalten werden, sind davon ebenfalls umfasst.
Das Gesetz gilt für Sie, wenn Sie eine juristische Person sind, die in Colorado Geschäfte betreibt oder deren gewerbliche Produkte oder Dienstleistungen bewusst auf Einwohner von Colorado abzielen , undpro Jahr die personenbezogenen Daten von mindestens 100.000 Verbrauchern kontrollieren oder verarbeiten, oder personenbezogene Daten von mindestens 25.000 Verbrauchern kontrollieren oder verarbeiten und aus dem Verkauf von personenbezogenen Daten Erträge erzielen (oder einen Rabatt auf den Preis von Waren oder Dienstleistungen erhalten).
Das Gesetz gilt für Sie, wenn Sie eine Person sind, die in Virginia Geschäfte betreibt oder deren Zielgruppe die Einwohner von Virginia sind , undpro Jahr die personenbezogenen Daten von mindestens 100.000 Verbrauchern kontrollieren oder verarbeiten, oder personenbezogene Daten von mindestens 25.000 Verbrauchern kontrollieren oder verarbeiten, und mehr als 50 % des Bruttoumsatzes aus dem Verkauf von personenbezogenen Daten erzielen.
Das Gesetz gilt für Sie, wenn Sie ein Unternehmen sind (unabhängig davon, ob Sie Ihren Sitz in Connecticut haben oder nicht), dessen Zielgruppe die Einwohner von Connecticut sind, und das:während eines Kalenderjahres die personenbezogenen Daten von mindestens 100.000 Verbrauchern kontrolliert oder verarbeitet; oder personenbezogene Daten von mindestens 25.000 Verbrauchern kontrolliert oder verarbeitet und mehr als 50 % des Bruttoumsatzes aus dem Verkauf von personenbezogenen Daten erzielt.
Nach dem Gesetz wird ein „Unternehmen“ wie folgt definiert:Jede gewinnorientierte Organisation, die personenbezogene Informationen einer natürlichen Personen oder eines Verbrauchers erhebt.
Das Gesetz gilt für jeden Verantwortlichen oder Auftragsverarbeiter , der in Utah Geschäfte betreibt oder dessen Produkt oder Dienstleistung auf Einwohner von Utah abzielt, der einen Jahresumsatz von mindestens 25.000.000 USD erzielt und eines oder mehrere der folgenden Kriterien erfüllt:während eines Kalenderjahres werden personenbezogene Daten von 100.000 oder mehr Verbrauchern kontrolliert oder verarbeitet; oder mehr als 50 % des Bruttoumsatzes des Unternehmens stammen aus dem Verkauf von personenbezogenen Daten und es werden personenbezogene Daten von 25.000 oder mehr Verbrauchern kontrolliert oder verarbeitet.
Wen schützt es?
Einwohner Nevadas
Verbraucher. Natürliche Personen mit Wohnsitz im Bundesstaat Kalifornien.
Verbraucher. Natürliche Personen mit Wohnsitz in Colorado, nur als Privatperson oder im Rahmen eines Haushalts handeln.
Verbraucher. Natürliche Personen mit Wohnsitz im Bundesstaat Virginia.
Verbraucher. Natürliche Personen mit Wohnsitz in Connecticut.
Verbraucher. Natürliche Personen mit Wohnsitz in diesem Bundesstaat, die als Privatperson oder im Rahmen eines Haushalts handeln.
Welche Rechte gewährt das Gesetz den Nutzern?
Das Recht auf Widerspruch gegen den Verkauf personenbezogener Informationen
Verkauf die Offenlegung von geschützten Informationen durch einen Betreiber oder Datenhändler an eine Person, welche die geschützten Informationen im Auftrag des Betreibers oder Datenhändlers verarbeitet; die Offenlegung von geschützten Informationen durch einen Betreiber an eine Person, zu welcher der Verbraucher eine direkte Beziehung hat, um ein vom Verbraucher gewünschtes Produkt bereitzustellen oder eine vom Verbraucher gewünschte Dienstleistung zu erbringen; die Offenlegung von geschützten Informationen durch einen Betreiber an eine Person zu Zwecken, die angesichts des Zusammenhangs, in dem der Verbraucher dem Betreiber die geschützten Informationen zur Verfügung gestellt hat, mit den angemessenen Erwartungen eines Verbrauchers im Einklang stehen; die Offenlegung von geschützten Informationen durch einen Betreiber oder Datenhändler an eine Person, die ein Vertriebspartner des Betreibers oder Datenhändlers ist; oder die Offenlegung oder Übermittlung von geschützten Informationen durch einen Betreiber oder Datenhändler an eine Person als Vermögenswert, der Teil einer Fusion, Übernahme, Insolvenz oder einer anderen Transaktion ist, bei welcher die Person die Kontrolle über alle oder einen Teil der Vermögenswerte des Betreibers oder Datenhändlers übernimmt.
Recht auf Auskunft und Zugriff Recht auf Löschung personenbezogener Informationen Recht auf Berichtigung unzutreffender personenbezogener Informationen Recht auf Widerspruch gegen den Verkauf oder die Weitergabe personenbezogener Informationen Recht auf Einschränkung der Verwendung/Offenlegung sensibler personenbezogener Informationen Recht auf diskriminierungsfreie Ausübung der Datenschutzrechte des Verbrauchers
Verkauf
Im Rahmen dieses Gesetzes geltend folgende Fälle nicht als Verkauf von personenbezogenen Informationen durch ein Unternehmen:
Ein Verbraucher weist das Unternehmen an oder nimmt das Unternehmen in Anspruch, um willentlich:
personenbezogene Informationen offenzulegen.
mit einem oder mehreren Dritten zu kommunizieren.
Das Unternehmen verwendet oder gibt einen Identifikator eines Verbrauchers weiter, der dem Verkauf seiner personenbezogenen Informationen widersprochen oder die Verwendung seiner sensiblen personenbezogenen Informationen eingeschränkt hat, um andere Personen darauf hinzuweisen, dass der Verbraucher dem Verkauf seiner personenbezogenen Informationen widersprochen oder die Verwendung seiner sensiblen personenbezogenen Informationen eingeschränkt hat.
Das Unternehmen übermittelt die personenbezogenen Informationen eines Verbrauchers an einen Dritten als Vermögenswert, der Teil einer Fusion, Übernahme, Insolvenz oder einer anderen Transaktion ist, bei welcher der Dritte die Kontrolle über das gesamte Unternehmen oder über einen Teil davon übernimmt, unter der Voraussetzung, dass die Informationen im Einklang mit diesem Gesetz verwendet oder weitergegeben werden. Ändert ein Dritter die Art und Weise, wie er die personenbezogenen Informationen eines Verbrauchers verwendet oder weitergibt, erheblich ab, sodass sie mit den zum Zeitpunkt der Erhebung gemachten Zusagen im Wesentlichen unvereinbar ist, muss er den Verbraucher vorab durch einen Hinweis über die neue oder geänderte Praxis informieren. Der Hinweis muss gut sichtbar und deutlich sein, um sicherzustellen, dass Verbraucher ihre Entscheidungsmöglichkeiten im Einklang mit diesem Gesetz auf einfache Weise wahrnehmen können. Dieser Unterabsatz berechtigt ein Unternehmen nicht dazu, wesentliche rückwirkende Änderungen an der Datenschutzerklärung vorzunehmen oder die Datenschutzerklärung anderweitig auf sonstige Weise abzuändern, die gegen den Unfair and Deceptive Practices Act (Kapitel 5 (beginnend mit Abschnitt 17200) von Teil 2 Abschnitt 7 des Business and Professions Code) verstoßen würde.
„Weitergeben“, „weitergegeben“ oder „Weitergabe“
Im Rahmen dieses Gesetzes gelten folgende Fälle nicht als Weitergabe personenbezogener Informationen durch ein Unternehmen:
Ein Verbraucher weist das Unternehmen an oder nimmt das Unternehmen in Anspruch, um willentlich personenbezogene Informationen offenzulegen oder willentlich mit einem oder mehreren Dritten zu kommunizieren.
Das Unternehmen verwendet oder gibt einen Identifikator eines Verbrauchers weiter, welcher der Weitergabe seiner personenbezogenen Informationen widersprochen oder die Verwendung seiner sensiblen personenbezogenen Informationen eingeschränkt hat, um andere Personen darauf hinzuweisen, dass der Verbraucher der Weitergabe seiner personenbezogenen Informationen widersprochen oder die Verwendung seiner sensiblen personenbezogenen Informationen eingeschränkt hat.
Das Unternehmen übermittelt die personenbezogenen Informationen eines Verbrauchers an einen Dritten als Vermögenswert, der Teil einer Fusion, Übernahme, Insolvenz oder einer anderen Transaktion ist, bei welcher der Dritte die Kontrolle über das gesamte Unternehmen oder über einen Teil davon übernimmt, unter der Voraussetzung, dass die Informationen im Einklang mit diesem Gesetz verwendet oder weitergegeben werden. Ändert ein Dritter die Art und Weise, wie er die personenbezogenen Informationen eines Verbrauchers verwendet oder weitergibt, erheblich ab, sodass sie mit den zum Zeitpunkt der Erhebung gemachten Zusagen im Wesentlichen unvereinbar ist, muss er den Verbraucher vorab durch einen Hinweis über die neue oder geänderte Praxis informieren. Der Hinweis muss gut sichtbar und deutlich sein, um sicherzustellen, dass Verbraucher ihre Entscheidungsmöglichkeiten im Einklang mit diesem Gesetz auf einfache Weise wahrnehmen können. Dieser Unterabsatz berechtigt ein Unternehmen nicht dazu, wesentliche rückwirkende Änderungen an der Datenschutzerklärung vorzunehmen oder die Datenschutzerklärung anderweitig auf sonstige Weise abzuändern, die gegen den Unfair and Deceptive Practices Act (Kapitel 5 (beginnend mit Abschnitt 17200) von Teil 2 Abschnitt 7 des Business and Professions Code) verstoßen würde.
Zielgerichtete Werbung
Profiling
Recht auf Auskunft und Datenübertragbarkeit Recht auf Berichtigung Recht auf Löschung Recht auf Widerspruch gegen die Verarbeitung zu Zwecken der zielgerichteten Werbung, des Profilings oder des Verkaufs von personenbezogenen Daten, und Recht auf Beschwerde.
Verkauf
Folgendes ist davon nicht umfasst:
die Offenlegung von personenbezogenen Daten an einen Auftragsverarbeiter, der die personenbezogenen Daten im Auftrag eines Verantwortlichen verarbeitet;
die Offenlegung von personenbezogenen Daten an einen Dritten, um ein vom Verbraucher gewünschtes Produkt bereitzustellen oder eine vom Verbraucher gewünschte Dienstleistung zu erbringen;
die Offenlegung oder Übermittlung von personenbezogenen Daten an einen Vertriebspartner des Verantwortlichen;
die Offenlegung oder Übermittlung von personenbezogenen Daten als Vermögenswert, der Teil einer beabsichtigten oder unmittelbaren Fusion, Übernahme, Insolvenz oder anderen Transaktion ist, bei welcher der Dritte die Kontrolle über alle oder einen Teil der Vermögenswerte des Verantwortlichen übernimmt; oder
die Offenlegung von personenbezogenen Daten:
die der Verantwortliche auf Anweisung eines Verbrauchers offenlegt oder die ein Verbraucher willentlich offenlegt, indem er den Verantwortlichen dazu in Anspruch nimmt, mit einem Dritten zu kommunizieren; oder
die ein Verbraucher willentlich der Öffentlichkeit über einen Massenmedienkanal zugänglich macht.
Zielgerichtete Werbung
Folgendes ist davon nicht umfasst:
Anzeigen für einen Verbraucher, nachdem der Verbraucher Informationen oder eine Rückmeldung angefordert hat;
Anzeigen, die auf Aktivitäten innerhalb der eigenen Websites oder Online-Anwendungen eines Verantwortlichen basieren;
Anzeigen, die auf dem Kontext einer aktuellen Suchanfrage oder eines aktuellen Besuches einer Website oder Online-Anwendung durch den Verbraucher basieren; oder
die Verarbeitung von personenbezogenen Daten ausschließlich zu Messungs- oder Berichtszwecken in Bezug auf Leistung, Reichweite oder Häufigkeit von Werbung.
Profiling
Recht auf Auskunft und Datenübertragbarkeit Recht auf Löschung Recht auf Berichtigung Recht auf Widerspruch gegen die Verarbeitung zu Zwecken der zielgerichteten Werbung, des Profilings oder des Verkaufs von personenbezogenen Daten.
Verkauf
Folgendes ist davon nicht umfasst:
die Offenlegung von personenbezogenen Daten an einen Auftragsverarbeiter, der die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet;
die Offenlegung von personenbezogenen Daten an einen Dritten, um ein vom Verbraucher gewünschtes Produkt bereitzustellen oder eine vom Verbraucher gewünschte Dienstleistung zu erbringen;
die Offenlegung oder Übermittlung von personenbezogenen Daten an einen Vertriebspartner des Verantwortlichen;
die Offenlegung von Informationen, die der Verbraucher (i) willentlich der Öffentlichkeit über einen Massenmedienkanal zugänglich gemacht und (ii) nicht auf eine bestimmte Zielgruppe beschränkt hat, oder
die Offenlegung oder Übermittlung von personenbezogenen Daten an einen Dritten als Vermögenswert, der Teil einer Fusion, Übernahme, Insolvenz oder anderen Transaktion ist, bei welcher der Dritte die Kontrolle über alle oder einen Teil der Vermögenswerte des Verantwortlichen übernimmt.
Zielgerichtete Werbung
Folgendes ist davon nicht umfasst:
Anzeigen, die auf Aktivitäten innerhalb der eigenen Websites oder Online-Anwendungen eines Verantwortlichen basieren;
Anzeigen, die auf dem Kontext einer aktuellen Suchanfrage oder eines aktuellen Besuches einer Website oder Online-Anwendung durch den Verbraucher basieren;
Anzeigen, die an einen Verbraucher gerichtet werden, nachdem der Verbraucher Informationen oder eine Rückmeldung angefordert hat; oder
die Verarbeitung von personenbezogenen Daten, die ausschließlich zu Messungs- oder Berichtszwecken in Bezug auf Leistung, Reichweite oder Häufigkeit von Werbung verarbeitet werden.
Profiling
Recht auf Auskunft und Datenübertragbarkeit Recht auf Berichtigung Recht auf Löschung Recht auf Widerspruch gegen die Verarbeitung zu Zwecken der zielgerichteten Werbung, des Profilings oder des Verkaufs von personenbezogenen Daten, und Recht auf Beschwerde.
Verkauf
Folgendes ist davon nicht umfasst:
die Offenlegung von personenbezogenen Daten an einen Auftragsverarbeiter, der die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet;
die Offenlegung von personenbezogenen Daten an einen Dritten, um ein vom Verbraucher gewünschtes Produkt bereitzustellen oder eine vom Verbraucher gewünschte Dienstleistung zu erbringen;
die Offenlegung oder Übermittlung von personenbezogenen Daten an einen Vertriebspartner des Verantwortlichen;
die Offenlegung von personenbezogenen Daten, wenn der Verbraucher den Verantwortlichen anweist, die personenbezogenen Daten offenzulegen, oder den Verantwortlichen willentlich dazu in Anspruch nimmt, mit einem Dritten zu kommunizieren;
die Offenlegung von personenbezogenen Daten, die der Verbraucher:
willentlich der Öffentlichkeit über einen Massenmedienkanal zugänglich gemacht hat, und
nicht auf eine bestimmte Zielgruppe beschränkt hat; oder
die Offenlegung oder Übermittlung von personenbezogenen Daten an einen Dritten als Vermögenswert, der Teil einer Fusion, Übernahme, Insolvenz oder anderen Transaktion, oder einer beabsichtigten Fusion, Übernahme, Insolvenz oder anderen Transaktion ist, bei welcher der Dritte die Kontrolle über alle oder einen Teil der Vermögenswerte des Verantwortlichen übernimmt.
Zielgerichtete Werbung
Folgendes ist davon nicht umfasst:
Anzeigen, die auf Aktivitäten innerhalb der eigenen Websites oder Online-Anwendungen eines Verantwortlichen basieren;
Anzeigen, die auf dem Kontext einer aktuellen Suchanfrage oder eines aktuellen Besuches einer Website oder Online-Anwendung durch den Verbraucher basieren;
Anzeigen, die an einen Verbraucher gerichtet werden, nachdem der Verbraucher Informationen oder eine Rückmeldung angefordert hat; oder
die Verarbeitung von personenbezogenen Daten ausschließlich zu Messungs- oder Berichtszwecken in Bezug auf Häufigkeit, Leistung oder Reichweite von Werbung.
Profiling
Recht auf Auskunft Recht auf Berichtigung Recht auf Löschung Recht auf Datenübertragbarkeit Recht auf Widerspruch gegen die Verarbeitung der personenbezogenen Daten des Verbrauchers zu folgenden Zwecken:zielgerichtete Werbung Verkauf von personenbezogenen Daten
Verkauf
Folgendes ist davon nicht umfasst:
die Offenlegung von personenbezogenen Daten durch einen Verantwortlichen an einen Auftragsverarbeiter, der die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet;
die Offenlegung von personenbezogenen Daten durch einen Verantwortlichen an einen Vertriebspartner des Verantwortlichen;
unter Berücksichtigung des Zusammenhangs, in dem der Verbraucher dem Verantwortlichen die personenbezogenen Daten zur Verfügung gestellt hat, die Offenlegung personenbezogener Daten durch den Verantwortlichen an einen Dritten, sofern der Zweck der Offenlegung mit den angemessenen Erwartungen eines Verbrauchers im Einklang steht;
die Offenlegung oder Übermittlung von personenbezogenen Daten, wenn ein Verbraucher einen Verantwortlichen anweist:
die personenbezogenen Daten offenzulegen, oder
mit einem oder mehreren Dritten zu kommunizieren;
die Offenlegung von personenbezogenen Daten durch einen Verbraucher an einen Dritten, um ein vom Verbraucher oder von einem Elternteil oder Erziehungsberechtigten eines Kindes gewünschtes Produkt bereitzustellen bzw. eine gewünschte Dienstleistung zu erbringen;
die Offenlegung von Informationen, die der Verbraucher:
willentlich der Öffentlichkeit über einen Massenmedienkanal zugänglich macht, und
nicht auf eine bestimmte Zielgruppe beschränkt; oder
die Übermittlung von personenbezogenen Daten durch einen Verantwortlichen an einen Dritten als Vermögenswert, der Teil einer beabsichtigten oder unmittelbaren Fusion, Übernahme oder Insolvenz ist, bei welcher der Dritte die Kontrolle über alle oder einen Teil der Vermögenswerte des Verantwortlichen übernimmt.
Zielgerichtete Werbung
Folgendes ist davon nicht umfasst:
Anzeigen, die auf den Aktivitäten eines Verbrauchers innerhalb der Website oder Online-Anwendung eines Verantwortlichen oder einer verbundenen Website oder Online-Anwendung basieren;
Anzeigen, die auf dem Kontext einer aktuellen Suchanfrage oder eines aktuellen Besuches einer Website oder Online-Anwendung durch den Verbraucher basieren;
Anzeigen, die an einen Verbraucher gerichtet werden, nachdem der Verbraucher Informationen, ein Produkt, eine Dienstleistung oder eine Rückmeldung angefordert hat; oder
die Verarbeitung von personenbezogenen Daten ausschließlich zu Messungs- oder Berichtszwecken in Bezug auf Werbung.
Muss ich einen Datenschutzhinweis bereitstellen?
JA
Folgendes muss in Ihrem Datenschutzhinweis enthalten sein:
die Kategorien der personenbezogenen Informationen, die Sie über Ihren Online-Dienst erheben, und die Dritten, an die Sie diese Informationen ggf. weitergeben; eine Beschreibung des Verfahrens (sofern vorhanden), mit dem Verbraucher ihre über Ihren Online-Dienst erhobenen Informationen überprüfen und Änderungen verlangen können; ob Sie personenbezogene Informationen von Verbrauchern weitergeben; eine speziell für Anfragen vorgesehen Adresse, an die sich Verbraucher wenden können, um dem Verkauf ihrer personenbezogenen Informationen zu widersprechen; eine Beschreibung Ihres Verfahrens, mit dem Sie Verbraucher über Änderungen an Ihrem Datenschutzhinweis informieren; eine Erklärung dazu, ob Dritte personenbezogene Informationen über die Online-Aktivitäten eines einzelnen Verbrauchers im Laufe der Zeit und über verschiedene Websites oder Online-Dienste hinweg erheben können; und das Wirksamkeitsdatum des Hinweises.
JA
Folgendes muss in Ihrem Datenschutzhinweis enthalten sein:
die Kategorien der personenbezogenen Informationen (sofern zutreffend), die das Unternehmen in den letzten 12 Monaten an Dritte verkauft oder weitergegeben hat, nebst Angabe der betreffenden Dritten und des geschäftlichen oder gewerblichen Zweckes; eine Erklärung dazu, ob das Unternehmen Kenntnis davon hat, dass es personenbezogene Informationen von Verbrauchern unter 16 Jahren verkauft oder weitergibt; die Kategorien der personenbezogenen Informationen (sofern zutreffend), die das Unternehmen in den letzten 12 Monaten an Dritte offengelegt hat, nebst Angabe der betreffenden Dritten und des geschäftlichen/gewerblichen Zweckes; eine Erklärung dazu, ob das Unternehmen sensible personenbezogene Informationen über die angegeben Zwecke hinaus verwendet oder offenlegt; Links zu einem Formular oder Portal für Online-Anfragen (sofern vorhanden), über das Verbraucher Auskunft über die erhobenen, weitergegebenen oder verkauften personenbezogenen Informationen erhalten können; sofern das Unternehmen sensible personenbezogene Informationen über die angegebenen Zwecke hinaus verwendet oder offenlegt, müssen Sie Verbraucher über ihr Recht auf Einschränkung der Verwendung oder Offenlegung ihrer sensiblen personenbezogenen Informationen informieren; eine allgemeine Beschreibung des vom Unternehmen eingesetzten Verfahrens, um den Antrag eines Verbrauchers auf Auskunft, Löschung oder Berichtigung zu überprüfen, einschließlich aller Informationen, die der Verbraucher angeben muss; eine Erläuterung dazu, wie ein Opt-out-Präferenzsignal für den Verbraucher verarbeitet wird (d. h. ob das Signal für das Gerät, den Browser, das Verbraucherkonto und/oder Offline-Verkäufe gilt und unter welchen Umständen) und wie der Verbraucher ein Opt-out-Präferenzsignal nutzen kann; gegebenenfalls zusätzliche Meldepflichten für Unternehmen, die große Mengen personenbezogener Informationen erheben. (Eine umfassende Liste der zusätzlichen Meldepflichten und weitere damit verbundene Informationen finden Sie in Abschnitt 7102 der im Anschluss erlassenen Vorschriften) .
JA
Folgendes muss in Ihrem Datenschutzhinweis enthalten sein:
die Kategorien der personenbezogenen Daten, die durch den Verantwortlichen oder einen Auftragsverarbeiter im Auftrag des Verantwortlichen erhoben oder verarbeitet werden; die Zwecke, für welche die Kategorien personenbezogener Daten verarbeitet werden; wie Verbraucher ihre Rechte ausüben können; wie ein Verbraucher gegen die Maßnahme eines Verantwortlichen bezüglich der Anfrage des Verbrauchers Beschwerde einlegen kann; die Kontaktinformationen des Verantwortlichen; die Kategorien der personenbezogenen Daten, die der Verantwortliche an Dritte weitergibt (sofern zutreffend); die Kategorien der Dritten, an die der Verantwortliche personenbezogene Daten weitergibt (sofern zutreffend).
JA
Folgendes muss in Ihrem Datenschutzhinweis enthalten sein:
die Kategorien der vom Verantwortlichen verarbeiteten personenbezogenen Daten; der Zweck für die Verarbeitung personenbezogener Daten; wie Verbraucher die ihnen zustehenden Rechte ausüben können; wie ein Verbraucher gegen die Entscheidung eines Verantwortlichen in Bezug auf eine Anfrage des Verbrauchers Beschwerde einlegen kann; die Kategorien der personenbezogenen Daten, die der Verantwortliche an Dritte weitergibt (sofern zutreffend); die Kategorien der Dritten, an die der Verantwortliche personenbezogene Daten weitergibt (sofern zutreffend).
JA
Informationen, die im Hinweis angegeben werden müssen:
die Kategorien der vom Verantwortlichen verarbeiteten personenbezogenen Daten; der Zweck für die Verarbeitung personenbezogener Daten; wie Verbraucher ihre Rechte ausüben können (einschließlich Informationen dazu, wie ein Verbraucher gegen die Entscheidung eines Verantwortlichen in Bezug auf eine Anfrage des Verbrauchers Beschwerde einlegen kann); die Kategorien der personenbezogenen Daten, die der Verantwortliche an Dritte weitergibt (sofern zutreffend); die Kategorien der Dritten, an die der Verantwortliche personenbezogene Daten weitergibt (sofern zutreffend); mindestens eine sichere und zuverlässige Methode mit der Verbraucher eine Anfrage zur Ausübung ihrer Rechte übermitteln können.
JA
Folgende Informationen müssen im Hinweis angegeben werden:
die Kategorien der vom Verantwortlichen verarbeiteten personenbezogenen Daten; die Zwecke, für welche die Kategorien personenbezogener Daten verarbeitet werden; wie und wo Verbraucher ihre Rechte ausüben können (einschließlich Informationen dazu, wie ein Verbraucher gegen die Maßnahme eines Verantwortlichen bezüglich der Anfrage des Verbrauchers zur Ausübung eines Rechts Beschwerde einlegen kann); die Kategorien der personenbezogenen Daten, die der Verantwortliche an Dritte weitergibt (sofern zutreffend); die Kategorien der Dritten, an die der Verantwortliche personenbezogene Daten weitergibt (sofern zutreffend); sofern personenbezogene Daten an Dritte verkauft oder für zielgerichtete Werbung verarbeitet werden, muss der Verantwortliche den Verbraucher darüber informieren, wie der Verbraucher sein Recht auf Widerspruch dagegen ausüben kann.
Gibt es Regeln für Tracker (wie z. B. Cookies)?
NEIN
NEIN
NEIN
NEIN
NEIN
NEIN
Muss ich die Opt-out-Präferenzsignale von Verbrauchern respektieren (z. B. GPC – Globale Datenschutzkontrolle )
NEIN
JA
Gemäß dem CPRA sind Unternehmen zudem verpflichtet, die Opt-out-Präferenzsignale von Verbrauchern zuzulassen und zu verarbeiten.
Ein Opt-out-Präferenzsignal ist ein Signal, das von einer Plattform, einer Technologie oder einem Mechanismus auf Veranlassung des Verbrauchers verschickt wird, um dessen Widerspruch gegen den Verkauf und die Weitergabe personenbezogener Informationen zu kommunizieren. Durch dieses Signal wird die Zustimmung zum Verkauf und zur Weitergabe personenbezogener Informationen automatisch für alle vom Verbraucher besuchten Websites verweigert, ohne dass er dies jeweils einzeln kommunizieren muss.
JA
Wenn Sie personenbezogene Daten zu zielgerichteten Werbungs-/Verkaufszwecken verarbeiten, müssen Sie es Verbrauchern ermöglichen, ihr Recht auf Widerspruch gegen eine derartige Verarbeitung über einen vom Nutzer gewählten universellen Opt-out-Mechanismus auszuüben.
Dieses Erfordernis tritt am 1. Juli 2024 in Kraft.
Unabhängig von der Entscheidung eines Verbrauchers, sein Widerspruchsrecht über einen universellen Opt-out-Mechanismus auszuüben, können Sie Verbrauchern nach wie vor die Möglichkeit geben, ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten zu zielgerichteten Werbungs- oder zu Verkaufszwecken zu erteilen.
NEIN
JA
Spätestens ab dem 1. Januar 2025 müssen Sie es Verbrauchern ermöglichen, der Verarbeitung ihrer personenbezogenen Daten zu zielgerichteten Werbungs-/Verkaufszwecken durch ein Opt-out-Präferenzsignal widersprechen zu können. Dieses Signal kann von einer Plattform, Technologie oder einem Mechanismus gesendet werden und zeigt an, dass ein Verbraucher derartigen Verarbeitungen oder Verkäufen widerspricht.
NEIN
Muss ich es Verbrauchern ermöglichen, der Verarbeitung von personenbezogenen Daten in Bezug auf bestimmte Zwecke zu widersprechen?
JA
Verbraucher können sich jederzeit über eine speziell für Anfragen vorgesehene Adresse an einen Betreiber wenden und den Betreiber anweisen, geschützte Informationen, die der Betreiber über den Verbraucher erhoben hat oder erheben wird, nicht zu verkaufen.
JA
Verbraucher haben das Recht, dem Verkauf und der Weitergabe ihrer personenbezogenen Informationen zu widersprechen und die Verwendung/Offenlegung ihrer sensiblen personenbezogenen Informationen einzuschränken.
JA
Das Gesetz räumt Verbrauchern das Recht ein, der Verarbeitung von personenbezogenen Daten für folgende Zwecke zu widersprechen: zielgerichtete Werbung, Verkauf personenbezogener Daten oder Profiling zur Förderung von Entscheidungen, die rechtliche oder ähnlich bedeutende Folgen für einen Verbraucher haben.
JA
Das Gesetz räumt Verbrauchern das Recht ein, der Verarbeitung von personenbezogenen Daten für folgende Zwecke zu widersprechen: zielgerichtete Werbung, Verkauf personenbezogener Daten oder Profiling zur Unterstützung von Entscheidungen, die rechtliche oder ähnlich bedeutende Folgen für den Verbraucher haben.
JA
Verbraucher haben das Recht, der Verarbeitung von personenbezogenen Daten für folgende Zwecke zu widersprechen: zielgerichtete Werbung, Verkauf personenbezogener Daten oder Profiling zur Unterstützung rein automatisierter Entscheidungen, die rechtliche oder ähnlich bedeutende Folgen für den Verbraucher haben.
JA
Verbraucher haben das Recht, der Verarbeitung ihrer personenbezogenen Daten für folgende Zwecke zu widersprechen: zielgerichtete Werbung, Verkauf von personenbezogenen Daten.
Muss ich vor der Verarbeitung von sensiblen personenbezogenen Daten die Einwilligung (Opt-in) des Verbrauchers einholen?
NEIN
NEIN
JA
Verantwortliche dürfen sensible Daten von Verbrauchern nicht verarbeiten, ohne zuvor deren Einwilligung einzuholen. Im Falle der wissentlichen Verarbeitung personenbezogener Daten eines Kindes muss zuvor die Einwilligung der Eltern oder des Erziehungsberechtigten des Kindes eingeholt werden.
JA
Verantwortliche dürfen sensible Daten eines Verbrauchers nicht verarbeiten, ohne dessen Einwilligung einzuholen. Im Falle der wissentlichen Verarbeitung sensibler Daten eines Kindes müssen diese Daten gemäß dem Gesetz zum Schutz der Privatsphäre von Kindern im Internet (COPPA) verarbeitet werden.
JA
Verantwortliche dürfen sensible Daten eines Verbrauchers nicht verarbeiten, ohne dessen Einwilligung einzuholen. Im Falle der wissentlichen Verarbeitung sensibler Daten eines Kindes müssen diese Daten gemäß dem Gesetz zum Schutz der Privatsphäre von Kindern im Internet (COPPA) verarbeitet werden.
NEIN
N/A (die Verarbeitung sensibler Daten erfolgt auf der Basis eines Opt-out-Prinzips), jedoch darf ein Verantwortlicher die von einem Verbraucher erhobenen sensiblen Daten nur verarbeiten, wenn er den Verbraucher zuvor deutlich darauf hinweist und ihm die Möglichkeit gibt, der Verarbeitung zu widersprechen. Im Fall der wissentlichen Verarbeitung personenbezogener Daten eines Kindes müssen diese Daten gemäß dem Bundesgesetz zum Schutz der Privatsphäre von Kindern im Internet (COPPA) verarbeitet werden.
Welche Folgen hat ein Verstoß gegen die Vorschriften?
Geldbuße für den Verstoß oder Unterlassungsverfügung. Geldbußen von bis zu 5.000 USD je Verstoß.
Geldbuße von 2.500 USD je Verstoß oder 7.500 USD , wenn es sich um einen vorsätzlichen Verstoß handelt oder der Verstoß die personenbezogenen Informationen eines Kindes betrifft.
Geldbuße von bis zu maximal 20.000 USD je Verstoß.
Geldbuße von bis zu 7.500 USD für jeden Verstoß.
Geldbuße von bis zu maximal 5.000 USD für jeden vorsätzlichen Verstoß, zzgl. der Kosten, die dem Generalstaatsanwalt bezüglich der Untersuchung und Vorbereitung des Falles entstehen, einschließlich Anwaltskosten.
Durch Einleitung eines Prozesses kann der Generalstaatsanwalt ggf. (i) kompensatorischen Schadenersatz für den Verbraucher und (ii) einen Betrag von bis zu maximal 7.500 USD für jeden Verstoß einklagen.
Nevada
Kalifornien
Colorado
Virginia
Connecticut
Utah
Maryland
Iowa
Illinois
Minnesota
Alabama
Oklahoma
Washington
New York
Massachussetts
Arizona
Kentucky
Maine